Групова політика - це ієрархічна інфраструктура, яка дозволяє мережевому адміністратору, що відповідає за Active Directory Microsoft, реалізовувати певні конфігурації для користувачів і комп 'ютерів. Групова політика також може використовуватися для визначення політик користувача, безпеки і мережі на рівні машини.
- Визначення
- Active Directory - що це
- Навіщо впроваджувати Active Directory
- Основні розділи
- Домени
- Контролери домену
- Делегування і налаштування Active Directory
- Оргструктура
- Майстер інфраструктури та глобальний каталог
- Active Directory и LDAP
- Управління груповою політикою і Active Directory
- Застосування групових політик
- Структура об 'єктів
- Оптимізація
Визначення
Групи Active Directory допомагають адміністраторам визначати параметри того, що користувачі можуть робити в мережі, включаючи файли, теки і програми, до яких вони отримають доступ. Колекції користувацьких і комп 'ютерних параметрів називаються об' єктами групової політики, які адмініструються з центрального інтерфейсу, званого консоллю управління. Групова політика також може керуватися за допомогою засобів командного рядка, таких як gpresult і gpupdate.
У Windows Server 2008 були додані налаштування, відомі як вибір групової політики, щоб забезпечити адміністраторам кращу спрямованість і гнучкість.
Active Directory - що це
Простими словами Active Directory - це служба каталогів на основі товарних знаків Microsoft, яка є обов 'язковою частиною архітектури Windows. Як і інші служби каталогів, такі як Novell Directory Services, AD - це централізована і стандартизована система, яка автоматично програмує мережеве управління даними, безпекою і ресурсами, а також дозволяє взаємодіяти з іншими каталогами. Active Directory розроблено цілеспрямовано для розподілених мережевих середовищ.
Служба Active Directory стала новинкою для Windows 2000 Server і була вдосконалена у версії 2003 року, що робить її ще більш важливою частиною ОС. Windows Server 2003 AD надає єдине посилання, яке називається службою каталогів для всіх об 'єктів у мережі, включаючи користувачів, групи, комп' ютери, принтери, політики та дозволи.
Для користувача або адміністратора Active Directory надає ієрархічний вигляд, з якого можна керувати всіма ресурсами мережі.
Навіщо впроваджувати Active Directory
Є безліч причин для впровадження цієї системи. Перш за все, Microsoft Active Directory зазвичай вважається значним поліпшенням порівняно з доменами Windows NT Server 4.0 або навіть автономними мережами серверів. AD має централізований механізм адміністрування по всій мережі. Він також забезпечує надмірність і відмовостійкість при розгортанні в домені двох або більше контролерів домену.
Служба автоматично управляє обміном даними між контролерами домену, щоб мережа залишалася життєздатною. Користувачі отримують доступ до всіх ресурсів у мережі, для яких вони авторизовані за допомогою єдиного входу. Всі ресурси в мережі захищені надійним механізмом безпеки, який перевіряє ідентифікацію користувачів і повноваження ресурсів на кожен доступ.
Навіть завдяки поліпшеній безпеці та контролю Active Directory більшість його функцій невидимі для кінцевих користувачів. У зв 'язку з цим міграція користувачів в мережу AD вимагає невеликої перепідготовки. Служба пропонує кошти для швидкого просування і зниження рейтингу контролерів домену і серверів-членів. Системою можна керувати і захищати за допомогою групових політиків Active Directory. Це гнучка ієрархічна організаційна модель, яка дозволяє легко управляти і деталізувати конкретне делегування адміністративних обов 'язків. AD здатний керувати мільйонами об 'єктів в межах одного домену.
Основні розділи
Книги групових політик Active Directory організовані з використанням чотирьох типів розділів або контейнерних структур. Ці чотири підрозділи - ліси (forests), домени, організаційні підрозділи і сайти:
- Ліс - колекція кожного об 'єкта, його атрибути і синтаксис.
- Домен - набір комп 'ютерів, на яких використовується загальний набір політик, ім' я та база даних їх членів.
- Організаційні одиниці - контейнери, в яких домени можуть бути згруповані. Вони створюють ієрархію для домену і створюють структуру компанії в географічних або організаційних умовах.
- Сайти - фізичні угруповання, що не залежать від області та структури організаційних одиниць. Сайти розрізняють місця розташування, підключені низько- і високошвидкісними з 'єднаннями, і визначаються однією або кількома підмережами IP.
Ліси не обмежені географією або топологією мережі. Один ліс може містити численні домени, кожен з яких має загальну схему. Для членів домену того ж лісу не потрібно навіть виділене з 'єднання LAN або WAN. Єдина мережа також може бути батьківщиною кількох незалежних лісів. Загалом, для кожної юридичної особи повинен використовуватися один ліс. Проте додаткові ліси можуть бути бажаними для цілей випробувань і досліджень за межами виробничого лісу.
Домени
Домени Active Directory служать як контейнери для політики безпеки та адміністративних призначень. За замовчуванням всі об 'єкти в них підпорядковуються груповим політикам. Аналогічно будь-який адміністратор може керувати всередині домену. Крім того, кожен домен має свою власну унікальну базу даних. Таким чином, автентифікація здійснюється на основі домену. Після автентифікації облікового запису користувача цей обліковий запис отримує доступ до ресурсів.
Для налаштування групових політик в Active Directory потрібен один або кілька доменів. Як згадувалося раніше, домен AD являє собою набір комп 'ютерів, на яких використовується загальний набір політик, ім' я та база даних їх членів. Домен повинен мати один або кілька серверів, які служать контролерами домену (DC) і зберігають базу даних, підтримують політики і надають автентифікацію для входу.
Контролери домену
У Windows NT базовим контролером домену (PDC) і контролером домену резервного копіювання (BDC) були ролі, які можуть бути призначені серверу в мережі комп 'ютерів, що використовують операційну систему Windows. Windows використовувала ідею домену для керування доступом до набору мережевих ресурсів (програм, принтерів тощо) для групи користувачів. Користувачеві необхідно тільки увійти в домен, щоб отримати доступ до ресурсів, які можуть бути розташовані на декількох різних серверах в мережі.
Один сервер, відомий як основний контролер домену, керував основною базою даних для домену. Один або декілька серверів були визначені як резервні контролери домену. Первинний контролер періодично відправляв копії бази даних контролерам резервних доменів. Резервний контролер домену може увійти як основний контролера домену, у разі, коли PDC-сервер зазнав невдачі, а також може допомогти збалансувати робоче навантаження, якщо мережа досить зайнята.
Делегування і налаштування Active Directory
У Windows 2000 Server, в той час як контролери домену були збережені, ролі сервера PDC і BDC були в основному замінені Active Directory. Більше немає необхідності створювати окремі домени для поділу адміністративних привілеїв. Всередині AD можна делегувати адміністративні привілеї на основі організаційних одиниць. Домени більше не обмежені лімітом в 40 000 користувачів. Домени AD можуть керувати мільйонами об 'єктів. Оскільки більше немає PDC і BDC, налаштування групових політик Active Directory застосовує реплікацію з кількома ведучими, і всі контролери домену є одноранговими.
Оргструктура
Організаційні підрозділи набагато гнучкіші і простіші в управлінні, ніж у доменах. Оргединиці надають вам майже необмежену гнучкість, оскільки ви можете переміщати їх, видаляти і створювати нові підрозділи в міру необхідності. Однак домени набагато жорсткіші у своїх налаштуваннях структури. Домени можуть видалятися і створюватися заново, але цей процес дестабілізує середовище і його слід уникати, коли це можливо.
Сайти являють собою колекції IP-підсетей, які мають швидкий і надійний зв 'язок між усіма хостами. Іншим способом створення сайту є підключення до локальної мережі, але не з 'єднання WAN, оскільки з' єднання WAN значно повільніше і менш надійне, ніж з 'єднання LAN. Використовуючи сайти, ви можете контролювати і зменшувати обсяг трафіку, який проходить по ваших повільних каналах глобальної мережі. Це може призвести до більш ефективного потоку трафіку для завдань продуктивності. Він також може знизити витрати на WAN-зв 'язок для послуг з оплатою за біт.
Майстер інфраструктури та глобальний каталог
Серед інших ключових компонентів Windows Server в Active Directory є майстер інфраструктури (IM), який є повнофункціональною службою FSMO (гнучкий одиночний майстер операцій), що відповідає за автоматичний процес, який фіксує застарілі посилання, відомі як фантоми, в базі даних Ac
Фантоми створюються на DC, які вимагають перехресного посилання між об 'єктом в межах своєї власної бази даних і об' єктом з іншого домену в лісі. Це відбувається, наприклад, коли ви додаєте користувача з одного домену в групу в іншому домені в тому ж лісі. Фантоми вважаються застарілими, коли вони більше не містять оновлених даних, які виникають через зміни, внесені в сторонній об 'єкт, що представляється фантомом. Наприклад, коли цільовий об 'єкт перейменовується, переміщується, переноситься між доменами або видаляється. Майстер інфраструктури несе виняткову відповідальність за пошук і виправлення застарілих фантомів. Будь-які зміни, внесені в результаті процесу "виправлення", потім повинні бути репліковані на інші контролери домену.
Майстер інфраструктури іноді плутають з глобальним каталогом (GC), який підтримує часткову, доступну тільки для читання копію кожного домену в лісі і, крім усього іншого, використовується для універсального зберігання груп і обробки входу в систему. Оскільки GC зберігають часткову копію всіх об 'єктів, вони можуть створювати міждоменні посилання без необхідності фантомів.
Active Directory и LDAP
Microsoft включає LDAP (протокол полегшеного доступу до каталогів) як складений компонент Active Directory. LDAP - це програмний протокол, що дозволяє будь-якому користувачеві знаходити організації, окремих осіб та інші ресурси, такі як файли і пристрої в мережі, будь то в загальнодоступному інтернеті або в корпоративній інтрасеті.
У мережах TCP/IP (включаючи інтернет) система доменних імен (DNS) - це система каталогів, яка використовується для прив 'язки імені домену до певної мережевої адреси (унікального місця розташування в мережі). Однак ви можете не знати доменної назви. LDAP дозволяє вам шукати людей, не знаючи, де вони знаходяться (хоча додаткова інформація допоможе в пошуку).
Каталог LDAP організовано у простій ієрархічній ієрархії, що складається з таких рівнів:
- Коренева тека (вихідне місце або джерело дерева).
- Країни.
- Організації.
- Організаційні одиниці (відділи).
- Окремі особи (включаючи людей, файли та спільні ресурси, такі як принтери).
Ви можете розповсюджувати каталог LDAP серед багатьох серверів. Кожен сервер може мати репліковану версію загального каталогу, який синхронізується періодично.
Для кожного адміністратора важливо розуміти, що таке LDAP. Оскільки пошук інформації в Active Directory і можливість створення запитів LDAP особливо корисні для пошуку інформації, що зберігається в базі даних AD. З цієї причини багато адміністраторів приділяють велику увагу освоєнню фільтра пошуку LDAP.
Управління груповою політикою і Active Directory
Важко обговорювати AD без згадки групової політики. Адміністратори можуть використовувати групові політики в Microsoft Active Directory для визначення параметрів для користувачів і комп 'ютерів в мережі. Ці параметри налаштовуються і зберігаються в так званих об 'єктах групової політики (GPO), які потім зв' язуються з об 'єктами Active Directory, включаючи домени і сайти. Це основний механізм застосування змін до комп 'ютерів користувачам у середовищі Windows.
За допомогою керування груповою політикою адміністратори можуть глобально налаштовувати параметри робочого столу на комп 'ютерах користувача, обмежувати/дозволяти доступ до певних файлів і тек у мережі.
Застосування групових політик
Важливо розуміти, як використовуються і застосовуються об 'єкти групової політики. Для них прийнятний наступний порядок: спочатку застосовуються політики локальних машин, потім політики сайту, потім політики домену, а потім політики, що застосовуються до окремих організаційних одиниць. Користувацький або комп 'ютерний об' єкт може належати тільки одному сайту і одному домену в будь-який момент часу, тому вони будуть отримувати тільки об 'єкти групової політики, які пов' язані з цим сайтом або доменом.
Структура об 'єктів
Об 'єкти GPO розбиваються на дві окремі частини: шаблон групової політики (GPT) і контейнер групової політики (GPC). Шаблон групової політики відповідає за збереження певних параметрів, створених в об 'єкті групової політики, і має важливе значення для його успіху. Він зберігає ці параметри у великій структурі тек і файлів. Щоб налаштування успішно застосовувалися до всіх об 'єктів користувача і комп' ютера, GPT повинен бути реплікований для всіх контролерів в домені.
Контейнер групової політики - це частина об 'єкта групової політики, що зберігається в Active Directory, який знаходиться на кожному контролері домену в домені. GPC відповідає за ведення посилань на клієнтські розширення (CSE), шлях до GPT, шляхи до пакетів установки програмного забезпечення та інші посилальні аспекти об 'єкта групової політики. GPC не містить великої кількості інформації, що відноситься до відповідного об 'єкта групової політики, але він необхідний для функціональності GPO. Коли політики встановлення програмного забезпечення налаштовані, GPC допомагає підтримувати посилання, пов 'язані з об' єктом групової політики і зберігає інші реляційні посилання та шляхи, що зберігаються в атрибутах об 'єкта. Знання структури GPC і способу доступу до прихованої інформації, що зберігається в атрибутах, окупиться, коли вам потрібно буде виявити проблему, пов 'язану з груповою політикою.
У Windows Server 2003 Microsoft випустила рішення для управління груповими політиками як засіб об 'єднання даних у вигляді оснастки, відомої як консоль управління груповими політиками (GPMC). GPMC надає інтерфейс керування, орієнтований на GPO, що значно спрощує адміністрування, управління і місце розташування об 'єктів групової політики. За допомогою GPMC ви можете створювати нові об 'єкти групової політики, змінювати і редагувати об' єкти, вирізати/копіювати/вставляти об 'єкти групової політики, створювати резервні копії об' єктів і виконувати результуючий набір політик.
Оптимізація
У міру збільшення кількості керованих об 'єктів групової політики, продуктивність впливає на машини в мережі. Порада: при зниженні продуктивності обмежте мережеві параметри об 'єкта. Час обробки збільшується прямо пропорційно кількості індивідуальних налаштувань. Відносно прості налаштування, такі як налаштування стільниці або політики Internet Explorer, можуть не зайняти багато часу, в той час як переадресація тек програмного забезпечення, може серйозно навантажити мережу, особливо в пікові періоди.
Розділіть власні об 'єкти групової політики, а потім вимкніть невикористовувану частину. Одна з кращих практик як для підвищення продуктивності, так і для зниження управлінської плутанини полягає в створенні окремих об 'єктів для параметрів, які будуть застосовуватися до комп' ютерів і окремих для користувачів.