Technika a technologie » Zásady skupiny služby Active Directory: Nastavení

Zásady skupiny služby Active Directory: Nastavení

Technika a technologie

Zásady skupiny jsou hierarchická infrastruktura, která umožňuje správci, který je odpovědný za službu Active Directory, Microsoft, implementovat určité konfigurace pro uživatele a počítače. Zásady skupiny lze také použít k určení zásad uživatelů, zabezpečení a na úrovni sítě na úrovni zařízení.

Definice

Skupiny Active Directory pomáhají správcům definovat, co mohou uživatelé v síti dělat, včetně souborů, složek a aplikací, ke kterým budou mít přístup. Uživatelské sbírky a nastavení počítače se nazývají objekty zásad skupiny, které jsou spravovány z centrálního rozhraní nazývaného konzola pro správu. Zásady skupiny lze také spravovat pomocí nástrojů příkazového řádku, jako jsou gpresult a gpupdate.
V systému Windows Server 2008 bylo přidáno nastavení známé jako volby zásad skupiny, které poskytnou správcům nejlepší směr a flexibilitu.

Služba Active Directory - Co to je

Jednoduchá slova Služba Active Directory je adresářová služba založená na ochranných známkách společnosti Microsoft, která je nedílnou součástí architektury Windows. Stejně jako ostatní služby adresářů, jako je služba Novell Directory Services, je AD centralizovaným a standardizovaným systémem, který automaticky naprogramuje správu sítě pro data, zabezpečení a zdroje a umožňuje interakci s ostatními adresáři. Služba Active Directory je účelně určena pro distribuovaná síťová prostředí.


Služba Active Directory se stala novinkou pro systém Windows 2000 Server byla inovována na verzi 2003rok, což je ještě důležitější součástí operačního systému. Systém Windows Server 2003 AD poskytuje jediný adresář nazývaný adresářová služba pro všechny objekty v síti, včetně uživatelů, skupin, počítačů, tiskáren, zásad a oprávnění. Pro uživatele nebo správce obsahuje nastavení služby Active Directory jeden hierarchický vzhled, ze kterého můžete spravovat všechny síťové zdroje.

Proč implementovat službu Active Directory

Existuje mnoho důvodů pro implementaci tohoto systému. Za prvé, služba Microsoft Active Directory je obecně považována za významné zlepšení oproti doménám Windows NT Server 4.0 nebo dokonce samostatným serverovým sítím. AD má centralizovaný mechanismus pro správu celé sítě. Také poskytuje redundanci a toleranci chyb při nasazení dvou nebo více řadičů domény do domény.

Služba automaticky řídí výměnu dat mezi řadiči domény, takže síť zůstává životaschopná. Uživatelé mají přístup ke všem síťovým prostředkům, pro něž jsou autorizováni jediným přihlášením. Všechny zdroje v síti jsou chráněny spolehlivým zabezpečovacím mechanismem, který ověřuje oprávnění uživatelů k ověřování a autorským oprávněním pro každý přístup. Dokonce i s vylepšenou ochranou a ovládáním služby Active Directory je většina jeho funkcí pro koncové uživatele neviditelná. V tomto ohledu vyžaduje migrace uživatelů do sítě AD pouze malou rekvalifikaci. Služba nabízí nástroje pro rychlý postup a snížení pořadí řadičů domén a členských serverů. Systém můžete spravovat a chránit pomocí zásad skupiny služby Active Directory. Je flexibilníhierarchický organizační model, který vám umožní snadno spravovat a upřesňovat konkrétní delegování administrativních povinností. Služba AD je schopna spravovat miliony objektů v jedné doméně.

Základní sekce

Skupinové zásady zásad skupiny služby Active Directory jsou uspořádány pomocí čtyř typů oddílů nebo kontejnerových struktur. Tyto čtyři divize jsou lesy, domény, organizační jednotky a lokality:
  • Les - sbírka každého objektu, jeho atributy a syntaxe.
  • Doména - soubor počítačů, který používá společný soubor zásad, jméno a databázi svých členů.
  • Organizační jednotky - Kontejnery, ve kterých lze domény seskupovat. Vytvářejí hierarchii domény a vytvářejí strukturu společnosti v geografické nebo organizační struktuře.
  • Místa - fyzické skupiny, které nezávisí na oblasti a struktuře organizačních jednotek. Lokality rozlišují polohu, propojené nízkorychlostními a vysokorychlostními připojeními a jsou určeny jednou nebo více podsítími IP.
    • Lesy nejsou omezeny na geografii nebo topologii sítě. Jeden dom může obsahovat více domén, z nichž každá má obecnou schéma. Pro členy domén téhož lesa se nevyžaduje ani vyhrazené připojení LAN nebo WAN. Jediná síť může být také domovem několika nezávislých lesů. Obecně platí, že pro každou právnickou osobu musí být použit jeden les. Nicméně další lesy mohou být žádoucí pro testování a výzkumné účely mimo produkční les.

    Domény

    Domény AktivníAdresář slouží jako kontejnery pro bezpečnostní zásady a administrativní přiřazení. Ve výchozím nastavení všechny objekty v nich podléhají skupinovým zásadám. Podobně každý správce může spravovat všechny objekty uvnitř domény. Navíc každá doména má svou vlastní jedinečnou databázi. Ověřování se tedy provádí na základě domény. Po ověření uživatele účtu získá tento účet přístup k prostředkům. K nakonfigurování zásad skupiny ve službě Active Directory je vyžadována jedna nebo více domén. Jak již bylo zmíněno dříve, AD doména je sbírka počítačů, které používají obecnou sadu zásad, jméno a databázi svých členů. Doména musí mít jeden nebo více serverů, které slouží jako řadiče domény (DCs) a ukládají databázi, zachovávají zásady a poskytují autentizaci pro přihlášení.

    Doménové řadiče

    Doménový řadič domény systému Windows NT (PDC) a řadič zálohovacích domén (BDC) mají role, které mohou být přiřazeny k serverům v síti počítačů s operačním systémem Windows. Systém Windows použil nápad domény ke správě přístupu k souboru síťových prostředků (aplikací, tiskáren apod.) Pro skupinu uživatelů. Uživatel potřebuje pouze přihlásit se do domény pro přístup k prostředkům, které mohou být umístěny na několika různých serverech v síti.
    Jeden server, známý jako hlavní řadič domény, spravoval hlavní uživatele databáze pro doménu. Jeden nebo více serverů bylo označeno jako pohotovostní režimŘadiče domény. Primární řadič pravidelně odesílá kopie databáze zálohovacích řadičů domény. Záložní řadiče domény mohou vstoupit jako primární řadič domény v případě, že PDC-server selhal a mohou pomoci vyvážit zátěž v případě, že síť je dost práce.

    , delegace a konfigurace Active Directory

    V systému Windows 2000 Server, zatímco DC byly uloženy, role PDC a BDC serverů byly většinou nahrazeny Active Directory. Již není třeba vytvářet samostatné domény pro rozdělení administrativních oprávnění. V rámci služby ADS můžete delegovat oprávnění správce na základě organizačních jednotek. Domény již nejsou omezeny na limit 40 000 uživatelů. Domény AD mohou spravovat miliony objektů. Vzhledem k tomu, že již není PDC a BDC, konfigurovat replikace služby Active Directory Group Policy využívá více vodícího a všechny řadiče domény jsou odnoranhovыmy.

    Organizační struktura

    Organizační jednotky jsou mnohem flexibilnější a snadněji spravovatelné než domény. Orchideje vám poskytují téměř neomezenou flexibilitu, protože můžete podle potřeby přesouvat, mazat a vytvářet nové divize. Nicméně domény jsou mnohem rigidnější v nastavení struktury. Domény mohou být odstraněny a znovu vytvořeny, ale tento proces destabilizuje životní prostředí a je třeba se vyhnout, kdykoli je to možné.
    Stránky jsou sbírky podsítí IP, které mají rychlé a spolehlivé spojení mezi všemi hosty. Dalším způsobem, jak vytvořit stránky, je připojení kLAN, ale ne připojení WAN, protože připojení WAN je mnohem pomalejší a méně spolehlivá než připojení k síti LAN. Pomocí této stránky můžete řídit a snížit objem provozu, který prochází pomalými kanály v globální síti. To může vést k efektivnějšímu toku provozu pro výkonnostní cíle. Může také snížit náklady na připojení WAN pro služby typu pay-per-bit.

    Master of infrastruktury a globální katalog

    Mezi další klíčové komponenty Windows Server Active Directory je hlavní server infrastruktury (IM), což je plně vybavený servis FSMO (Flexible Single Master Operations), který je zodpovědný za automatizovaného procesu, který zachycuje zastaralé odkazy známých jako přízraky, v databázi služby Active Directory. Fantasy jsou vytvářeny na DC, které vyžadují křížový odkaz mezi objektem v jeho vlastní databázi a objektem z jiné domény v doménové struktuře. K tomu dochází například při přidávání uživatelů z jedné domény do skupiny v jiné doméně ve stejném doménové struktuře. Fantomy jsou zastaralé, pokud již neobsahují nejnovější data, která vzniknou v důsledku změn provedených v objektu třetí strany zastoupeném phantomem. Pokud je například cílový objekt přejmenován, přesunut, přesunut mezi doménami nebo smazán. Master Infrastructure Master je osobně zodpovědný za hledání a zastavení zastaralých fantomů. Veškeré změny provedené v procesu „opravuje“ a replikovány do ostatních řadičů domény. Hlavní server infrastruktury někdy zaměňováno s globální katalog (GC), kterýpodporuje kopii každé domény v doménové struktuře pouze pro čtení a mimo jiné slouží k univerzálnímu ukládání skupin a zpracování přihlášení. Vzhledem k tomu, že GC ukládá částečnou kopii všech objektů, mohou vytvářet interdomainové odkazy bez nutnosti phantomů.

    Služba Active Directory a LDAP

    Společnost Microsoft zahrnuje jako součást služby Active Directory protokol LDAP (Lightweight Directory Access Protocol). LDAP je softwarový protokol, který umožňuje každému uživateli najít organizace, jednotlivce a další zdroje, jako jsou soubory a zařízení v síti, ať už na veřejném internetu nebo na intranetu organizace. V sítích TCP /IP (včetně Internetu) je systém DNS (Domain Name System) adresářový systém používaný k navázání názvu domény na konkrétní síťovou adresu (jedinečné síťové umístění). Pravděpodobně však neznáte název domény. Služba LDAP umožňuje vyhledávat lidi, aniž by věděli, kde se nacházejí (i když vám další informace pomohou při hledání). Adresář LDAP je uspořádán v jednoduché hierarchické hierarchii, sestávající z následujících úrovní:
  • Kořenový adresář (zdroj nebo zdroj stromu).
  • Země.
  • Organizace.
  • Organizační jednotky (oddělení).
  • Jednotlivci (včetně lidí, souborů a sdílených zdrojů, například tiskáren).
    • Adresář LDAP lze distribuovat mezi mnoha servery. Každý server může mít replikovanou verzi sdíleného adresáře, který je periodicky synchronizován. Je důležité, aby každý správce pochopil, co je LDAP. Tak jakHledání informací ve službě Active Directory a schopnost vytvářet dotazy LDAP je zvláště užitečné při hledání informací uložených v databázi AD. Z tohoto důvodu mnoho administrátorů věnuje zvláštní pozornost zvládnutí filtru vyhledávání LDAP.

    Správa zásad skupiny a Active Directory

    Je obtížné diskutovat o AD bez uvedení skupinové politiky. Správci mohou ve službě Microsoft Active Directory použít zásady skupiny pro určení nastavení pro uživatele a počítače v síti. Tato nastavení jsou nakonfigurována a uložena v tzv. Group Policy Objects (GPO), které pak komunikují s objekty služby Active Directory včetně domén a webů. Jedná se o hlavní mechanismus pro aplikaci změn v uživatelských počítačích v prostředí Windows. Při správě zásad skupiny mohou správci globálně přizpůsobit nastavení plochy v uživatelských počítačích, omezit nebo povolit přístup k určitým souborům a složkám v síti.

    Aplikace skupinových zásad

    Je důležité pochopit, jakým způsobem jsou objekty skupinové politiky používány a uplatňovány. Následující objednávka je pro ně přijatelná: nejprve se používají zásady místních počítačů, pak zásady webu, zásady domény a zásady, které platí pro jednotlivé organizační jednotky. Vlastní nebo počítačový objekt může v určitém okamžiku patřit pouze jednomu serveru a jedné doméně, takže obdrží pouze objekty zásad skupiny, které jsou přiřazeny danému webu nebo doméně.

    Objektová struktura

    Objekty GPO jsou rozdělenyDvě samostatné části: Šablona zásad skupiny (GPT) a Kontejner pro politiku skupin (GPC). Šablona zásad skupiny je zodpovědná za zachování určitých parametrů vytvořených gpo a je zásadní pro její úspěch. Uloží tato nastavení do velké struktury složek a souborů. Chcete-li úspěšně aplikovat nastavení na všechny objekty uživatelů a počítačů, GPT musí být replikován všem řadičím domény. Kontejner Zásady skupiny je součástí objektu Zásady skupiny uložený ve službě Active Directory umístěný na každém řadiči domény v doméně. Společnost GPC je zodpovědná za udržování odkazů na rozšíření o klienta (CSE), cest GPT, cest k instalačním balíčkům softwaru a dalších referenčních aspektů objektu GPO. GPC neobsahuje mnoho informací týkajících se příslušného objektu zásad skupiny, je však nutné pro funkci GPO. Když jsou nakonfigurovány zásady pro nastavení softwaru, GPC pomáhá udržovat odkazy, které jsou spojeny s objektem zásad skupiny, a ukládá další relační odkazy a cesty uložené v atributech objektu. Porozumění struktuře GPC a způsobu přístupu k skrytým informacím uloženým v atributech se vyplácí, když potřebujete identifikovat problém spojený se zásadami skupiny.
    V systému Windows Server 2003 společnost Microsoft vydala řešení pro správu skupinových politik jako nástroj pro kombinování dat v okamžiku, známém jako Konzola správy zásad skupiny (GPMC). GPMC poskytuje rozhraní pro správu, které se zaměřuje naGPO, což značně zjednodušuje správu, správu a umístění objektů zásad skupiny. Prostřednictvím modulu GPMC můžete vytvářet nové objekty zásad skupiny, upravovat a upravovat objekty, odstraňovat /kopírovat /vkládat objekty zásad skupiny, zálohovat objekty a provádět výslednou sadu zásad.

    Optimalizace

    Jak se zvyšuje počet objektů spravovaných zásad skupiny, ovlivňuje výkon počítače v síti. Tip: Při snížení výkonu omezte síťové parametry objektu. Doba zpracování se zvyšuje přímo v poměru k počtu jednotlivých nastavení. Relativně jednoduché konfigurace, například nastavení plochy nebo zásady aplikace Internet Explorer, mohou trvat dlouho, zatímco přesměrování složek softwaru může vážně načíst síť, a to zejména v době špičky. Rozdělte své vlastní objekty Zásady skupiny a vypněte nepoužívanou část. Jednou z osvědčených postupů pro zvýšení produktivity a omezení zmatek v řízení je vytvoření samostatných objektů pro parametry, které budou použity pro počítače a pro jednotlivé uživatele.

    Související publikace