Tehnika i tehnologija » Pravila grupiranja za Active Directory: Postavke

Pravila grupiranja za Active Directory: Postavke

Tehnika i tehnologija

Pravila grupe su hijerarhijska infrastruktura koja administratoru koji je odgovoran za Active Directory, Microsoft, omogućuje implementaciju određenih konfiguracija za korisnike i računala. Pravila grupe mogu se koristiti i za određivanje korisničkih, sigurnosnih i mrežnih politika na razini stroja.

Definicije

Grupe Active Directory pomažu administratorima definirati što korisnici mogu raditi na mreži, uključujući datoteke, mape i aplikacije kojima će imati pristup. Korisničke zbirke i postavke računala nazivaju se objekti grupnih pravila kojima se upravlja iz središnjeg sučelja nazvanog upravljačka konzola. Grupnim pravilima se također može upravljati pomoću alata naredbenog retka kao što su gpresult i gpupdate.
Windows Server 2008 dodan je postavkama poznatim kao izbor pravila grupe kako bi se administratorima pružio najbolji smjer i fleksibilnost.

Active Directory - što je to

Jednostavne riječi Active Directory je usluga imenika koja se temelji na Microsoftovim zaštitnim znakovima, sastavni je dio arhitekture sustava Windows. Kao i druge usluge direktorija, kao što je Novell Directory Services, AD je centralizirani i standardizirani sustav koji automatski upravlja mrežnim upravljanjem za podatke, sigurnost i resurse te omogućuje interakciju s drugim direktorijima. Active Directory je dizajniran namjerno za distribuirana mrežna okruženja.


Active Directory je postao novost za Windows 2000 Server koji je nadograđen na verziju 2003godine, što ga čini još važnijim dijelom OS-a. Windows Server 2003 AD pruža jedan direktorij koji se zove usluga direktorija za sve objekte na mreži, uključujući korisnike, grupe, računala, pisače, pravila i dozvole. Za korisnika ili administratora, postavka Active Directory pruža jedan hijerarhijski izgled, iz kojeg možete upravljati svim mrežnim resursima.

Zašto implementirati Active Directory

Postoji mnogo razloga za provedbu ovog sustava. Prije svega, Microsoft Active Directory općenito se smatra značajnim poboljšanjem u odnosu na domene Windows NT Server 4.0 ili čak samostalne poslužiteljske mreže. AD ima centralizirani mehanizam za upravljanje cijelom mrežom. On također osigurava redundantnost i toleranciju grešaka pri uvođenju dva ili više kontrolera domene u domenu.

Usluga automatski upravlja razmjenom podataka između kontrolera domene kako bi mreža ostala održiva. Korisnici imaju pristup svim mrežnim resursima za koje su ovlašteni jednom prijavom. Svi resursi u mreži zaštićeni su pouzdanim sigurnosnim mehanizmom koji provjerava provjeru autentičnosti korisnika i ovlaštenja za svaki pristup. Čak i uz poboljšanu sigurnost i kontrolu Active Directory, većina njegovih značajki nevidljive su krajnjim korisnicima. U tom smislu, migracija korisnika na AD mrežu zahtijeva malo prekvalifikacije. Usluga nudi alate za brzo napredovanje i snižavanje rangiranja kontrolera domena i poslužitelja članova. Možete upravljati sustavom i štititi ga grupnim pravilima servisa Active Directory. Fleksibilan jehijerarhijski organizacijski model koji vam omogućuje jednostavno upravljanje i detaljno specificiranje delegiranja administrativnih dužnosti. AD je sposoban upravljati milijunima objekata unutar jedne domene.

Osnovni odjeljci

Grupna politika Active Directory Knjige su organizirane pomoću četiri tipa particija ili struktura spremnika. Ove četiri divizije su šume, domene, organizacijske jedinice i mjesta:
  • Šuma - zbirka svakog objekta, njegovih atributa i sintakse.
  • Domena - skup računala koja koriste zajednički skup pravila, ime i bazu podataka svojih članova.
  • Organizacijske jedinice - spremnici u kojima se domene mogu grupirati. Oni stvaraju hijerarhiju za domenu i stvaraju strukturu tvrtke u zemljopisnom ili organizacijskom smislu.
  • Mjesta - fizičke skupine koje ne ovise o području i strukturi organizacijskih jedinica. Mjesta razlikuju lokaciju, povezanu niskim i visokim brzinama veze, a određena je jednom ili više IP podmreža.
    • Šume nisu ograničene na geografiju ili topologiju mreže. Jedna šuma može sadržavati više domena, od kojih svaka ima opću shemu. Za članove domene iste šume, čak ni posvećena LAN ili WAN veza nije potrebna. Jedna mreža također može biti dom nekoliko neovisnih šuma. Općenito, za svaku se pravnu osobu mora koristiti jedna šuma. Međutim, dodatne šume mogu biti poželjne za potrebe ispitivanja i istraživanja izvan proizvodne šume.

    Domene

    Aktivne domeneDirektorij služi kao spremnici za sigurnosne politike i administrativne zadatke. Prema zadanim postavkama, svi objekti u njima podliježu grupnim pravilima. Slično tome, svaki administrator može upravljati svim objektima unutar domene. Osim toga, svaka domena ima svoju jedinstvenu bazu podataka. Stoga se provjera autentičnosti provodi na temelju domene. Nakon provjere autentičnosti korisnika računa, ovaj račun dobiva pristup resursima. Za konfiguriranje pravila grupe u usluzi Active Directory potrebna je jedna ili više domena. Kao što je ranije spomenuto, AD domena je skup računala koja koriste opći skup pravila, ime i bazu podataka svojih članova. Domena mora imati jedan ili više poslužitelja koji služe kao kontroleri domena (DC) i pohraniti bazu podataka, održavati pravila i osigurati provjeru autentičnosti za prijave.

    Kontroleri domena

    Windows NT-ov Domain Controller (PDC) i Backup Domain Controller (BDC) imaju uloge koje se mogu dodijeliti poslužiteljima na mreži računala koja koriste operacijski sustav Windows. Windows je koristio ideju domene za upravljanje pristupom skupu mrežnih resursa (aplikacija, pisača, itd.) Za skupinu korisnika. Korisnik se samo treba prijaviti u domenu da bi pristupio resursima koji se mogu nalaziti na nekoliko različitih poslužitelja na mreži.
    Jedan poslužitelj, poznat kao glavni kontroler domene, upravljao je glavnim korisnikom baze podataka za domenu. Jedan ili više poslužitelja identificirani su kao stanje čekanjaKontroleri domena. Primarni kontroler periodički šalje kopije baze podataka kontrolora domene. Kontroler domene može unijeti kao primarni kontroler domene u slučaju da PDC poslužitelj ne uspije i može pomoći uravnotežiti radno opterećenje ako je mreža dovoljno zauzeta.

    Delegiranje i postavljanje servisa Active Directory

    U sustavu Windows 2000 Server, dok su kontroleri domena spremljeni, uloge PDC i BDC poslužitelja uvelike su zamijenjene s Active Directory. Nema više potrebe za stvaranjem zasebnih domena za podjelu administrativnih privilegija. Unutar ADS-a možete delegirati administrativne privilegije na temelju organizacijskih jedinica. Domene više nisu ograničene na ograničenje od 40.000 korisnika. AD domene mogu upravljati milijunima objekata. Budući da više ne postoji PDC ili BDC, postavka grupnih pravila za Active Directory koristi replikaciju množenja, a svi kontroleri domena su ravnopravni.

    Organizacijska struktura

    Organizacijske jedinice su mnogo fleksibilnije i lakše upravljati od domena. Orhideje vam pružaju gotovo neograničenu fleksibilnost kao što možete premjestiti, izbrisati i stvoriti nove podjele prema potrebi. Međutim, domene su mnogo rigidnije u svojim postavkama strukture. Domene se mogu ukloniti i ponovno stvoriti, ali taj proces destabilizira okoliš i treba ga izbjegavati kad god je to moguće.
    Sites su zbirke IP podmreža koje imaju brzu i pouzdanu vezu između svih hostova. Drugi način stvaranja web-lokacije je povezivanje s njimLAN, ali ne i WAN veze, budući da su WAN veze mnogo sporiji i manje pouzdane od LAN veze. Pomoću web-lokacije možete kontrolirati i smanjiti količinu prometa koji prolazi kroz spore kanale u globalnoj mreži. To može dovesti do učinkovitijeg protoka prometa za ciljeve izvedbe. Također može smanjiti troškove WAN veze za usluge s plaćanjem po bitovima.

    Čarobnjak za infrastrukturu i globalni imenik

    Među ostalim ključnim komponentama sustava Windows Server Active Directory je Čarobnjak za infrastrukturu (IM), koji je potpuno opremljen FSMO (Fleksibilni jednostruki operacijski čarobnjak) koji je odgovoran za automatski proces koji sadrži poznate zastarjele veze kao fantomi, u bazi podataka Active Directory. Fantomi se stvaraju u DC-u koji zahtijevaju unakrsnu referencu između objekta unutar vlastite baze podataka i objekta iz druge domene u šumi. To se događa, primjerice, kada dodate korisnike iz jedne domene u grupu u drugoj domeni, u istoj šumi. Fantomi su zastarjeli kada više ne sadrže najnovije podatke koji nastaju zbog promjena napravljenih na objekt treće strane koje predstavlja fantom. Na primjer, kada je ciljani objekt preimenovan, premješten, premješten između domena ili izbrisan. Upravitelj infrastrukture osobno je odgovoran za pronalaženje i popravak zastarjelih fantoma. Sve promjene nastale kao rezultat postupka "popravka" moraju se vratiti drugim kontrolorima domene. Glavno računalo infrastrukture ponekad se miješa s globalnim direktorijem (GC) kojipodržava djelomičnu, samo za čitanje kopiju svake domene u šumi i, između ostalog, koristi se za univerzalno pohranjivanje grupa i obradu prijave. Budući da GC pohranjuje djelomičnu kopiju svih objekata, oni mogu stvoriti međudržavne veze bez potrebe za fantomima.

    Active Directory i LDAP

    Microsoft uključuje LDAP (Lightweight Directory Access Protocol) kao komponentu Active Directory. LDAP je softverski protokol koji svakom korisniku omogućuje pronalaženje organizacija, pojedinaca i drugih resursa, kao što su datoteke i uređaji na mreži, bilo na javnom internetu ili na intranetu organizacije. U TCP /IP mrežama (uključujući Internet), sustav naziva domene (DNS) je sustav direktorija koji se koristi za povezivanje naziva domene s određenom mrežnom adresom (jedinstvena mrežna lokacija). Međutim, možda ne znate naziv domene. LDAP vam omogućuje da tražite ljude bez da znate gdje se nalaze (iako će vam dodatne informacije pomoći u pretraživanju). LDAP direktorij je organiziran u jednostavnu hijerarhijsku hijerarhiju, koja se sastoji od sljedećih razina:
  • Korijenski direktorij (izvorni ili stablo izvor).
  • Zemlje.
  • Organizacije.
  • Organizacijske jedinice (odjeli).
  • Pojedinci (uključujući ljude, datoteke i dijeljene resurse kao što su pisači).
    • LDAP direktorij se može distribuirati među mnogim poslužiteljima. Svaki poslužitelj može imati repliciranu verziju dijeljenog direktorija, koji se periodički sinkronizira. Važno je da svaki administrator razumije što je LDAP. Pa kakoPronalaženje informacija u Active Directory i mogućnost stvaranja LDAP upita posebno je korisno kada se traže informacije pohranjene u AD bazi podataka. Zbog toga mnogi administratori obraćaju veliku pozornost na ovladavanje filtrom LDAP pretraživanja.

    Upravljanje grupnim pravilima i Active Directory

    Teško je raspravljati o AD bez spominjanja pravila grupe. Administratori mogu koristiti grupna pravila u programu Microsoft Active Directory da bi odredili postavke za korisnike i računala na mreži. Te se postavke konfiguriraju i pohranjuju u tzv. Objekte pravila grupe (GPO), koji zatim komuniciraju s objektima usluge Active Directory, uključujući domene i web-lokacije. To je glavni mehanizam za primjenu promjena na korisničkim računalima u Windows okruženju. Pomoću upravljanja pravilima grupe administratori mogu globalno prilagoditi postavke radne površine na korisničkim računalima, ograničiti /dopustiti pristup određenim datotekama i mapama na mreži.

    Primjena grupnih politika

    Važno je razumjeti kako se koriste i primjenjuju objekti grupne politike. Sljedeći je red prihvatljiv za njih: prvo, primjenjuju se pravila o lokalnim računalima, zatim pravila o web-lokacijama, zatim pravila o domeni, a zatim i pravila koja se primjenjuju na pojedine organizacijske jedinice. Prilagođeni ili računalni objekt može pripadati samo jednom web-mjestu i jednoj domeni u bilo kojem trenutku, tako da će primati samo objekte pravila grupe koji su povezani s tom web-lokacijom ili domenom.

    Objektna struktura

    U objekte GPO-a se provaljujeDva odvojena dijela: Predložak grupnih pravila (GPT) i Kontejner za pravila grupe (GPC). Predložak grupne politike odgovoran je za očuvanje određenih parametara koje stvara gpo i bitan je za njegov uspjeh. Sprema ove postavke u veliku strukturu mapa i datoteka. Da biste uspješno primijenili postavke na sve korisničke i računalne objekte, GPT mora biti repliciran na sve kontrolere domena. Spremnik pravila grupe je dio objekta pravila grupe pohranjen u Active Directory, koji se nalazi na svakom kontroleru domene u domeni. GPC je odgovoran za održavanje veza za proširenja klijenata (CSE), GPT staza, putova do paketa za instalaciju softvera i drugih referentnih aspekata GPO-a. GPC ne sadrži mnogo informacija koje se odnose na odgovarajući objekt pravila grupe, ali je potrebno za funkcionalnost GPO-a. Kada se konfiguriraju pravila za postavljanje softvera, GPC pomaže u održavanju veza koje su povezane s objektom grupnih pravila i pohranjuje druge relacijske veze i puteve pohranjene u atributima objekta. Razumijevanje GPC strukture i način pristupa skrivenim informacijama pohranjenim u atributima isplatit će se kada je potrebno identificirati problem povezan s grupnim pravilima.
    U sustavu Windows Server 2003 Microsoft je izdao rješenje za upravljanje grupnim pravilima kao alat za kombiniranje podataka u trenu, poznato kao Konzola upravljanja grupnim pravilima (GPMC). GPMC pruža upravljačko sučelje na koje se fokusiraGPO, što uvelike pojednostavljuje administraciju, upravljanje i lokaciju objekata grupne politike. Kroz GPMC možete stvarati nove objekte grupne politike, uređivati ​​i uređivati ​​objekte, izrezivati ​​/kopirati /lijepiti objekte grupne politike, stvarati sigurnosne kopije objekata i izvršavati skup pravila.

    Optimizacija

    Kako se broj objekata upravljanih grupa politika povećava, to utječe na performanse stroja na mreži. Savjet: Kada smanjujete performanse, ograničite mrežne parametre objekta. Vrijeme obrade se povećava izravno u odnosu na broj pojedinačnih postavki. Relativno jednostavne konfiguracije, kao što su postavke na radnoj površini ili Internet Explorer pravila, mogu potrajati dugo, dok preusmjeravanje softverskih mapa može ozbiljno opteretiti mrežu, osobito tijekom vrhunca. Podijelite svoje prilagođene objekte pravila grupe i zatim isključite neiskorišteni dio. Jedna od najboljih praksi za poboljšanje produktivnosti i smanjenje upravne konfuzije je stvaranje zasebnih objekata za parametre koji će se primijeniti na računala i pojedinačne korisnike.

    Povezane publikacije