Pravila grupe Active Directory: Postavke

Pravila grupe je hijerarhijska infrastruktura koja omogućuje administratoru mreže zaduženu za Microsoft Active Directory da implementira određene konfiguracije za korisnike i računala. Pravila grupe mogu se koristiti i za definiranje korisničkih, sigurnosnih i mrežnih pravila na razini stroja.

definicija

Skupine Active Directory pomažu administratorima da odrede što korisnici mogu raditi na mreži, uključujući datoteke, mape i aplikacije kojima će pristupiti. Zbirke korisničkih i računalnih postavki nazivaju se GPO-ovi koji se upravljaju iz središnjeg sučelja nazvanog upravljačka konzola. Pravila grupe mogu se kontrolirati i pomoću alata naredbenog retka kao što su gpresult i gpupdate.

Windows Server Windows poslužitelj Dodane su postavke za 2008., poznate kao izbor grupnih pravila, kako bi se administratorima pružila veća usmjerenost i fleksibilnost.

Active Directory - što je to

Jednostavno rečeno, Active Directory je usluga imenika utemeljena na zaštitnom znaku tvrtke Microsoft, koja je obavezni dio arhitekture sustava Windows. Kao i druge usluge direktorija kao što su Novell Directory Services, AD je centralizirani i standardizirani sustav koji automatski programira upravljanje mrežom podataka, sigurnosti i resursa, a također omogućuje interakciju s drugim direktorijima. Active Directory je dizajniran posebno za distribuirana mrežna okruženja.

Active Directory postao je nova značajka za Windows 2000 Server i poboljšana je 2003. godine, što ga čini još važnijim dijelom OS-a. Windows Server 2003 AD pruža jednu vezu nazvanu usluga direktorija za sve objekte na mreži, uključujući korisnike, grupe, računala, pisače, pravila i dozvole.

Za korisnika ili administratora, postavljanje Active Directory-a pruža jedinstven hijerarhijski pogled iz kojeg se mogu upravljati svim mrežnim resursima.

Zašto implementirati Active Directory

Postoje mnogi razlozi za provedbu ovog sustava. Prije svega, Microsoft Active Directory obično se smatra značajnim poboljšanjem u odnosu na domene Windows NT Server 4.0 ili čak autonomne poslužiteljske mreže. AD ima centralizirani upravni mehanizam u cijeloj mreži. On također osigurava redundantnost i toleranciju grešaka pri uvođenju dva ili više kontrolera domene u domenu.

Usluga automatski upravlja razmjenom podataka između kontrolera domene kako bi mreža ostala održiva. Korisnici dobivaju pristup svim resursima na mreži za koje su ovlašteni putem jednostruke prijave. Svi resursi na mreži zaštićeni su robusnim sigurnosnim mehanizmom koji provjerava autentičnost korisnika i autorizaciju resursa za svaki pristup.

Čak i uz poboljšanu sigurnost i kontrolu Active Directory, većina njegovih značajki nevidljive su krajnjim korisnicima. U tom smislu, migracija korisnika na AD mrežu zahtijeva malo prekvalifikacije. Usluga nudi sredstva za brzo napredovanje i smanjivanje broja kontrolera domena i poslužitelja članova. Sustavom se može upravljati i štititi pomoću pravila grupe Active Directory. To je fleksibilan hijerarhijski organizacijski model koji olakšava upravljanje i detaljno specificiranje delegiranja administrativnih odgovornosti. AD može upravljati milijunima objekata unutar jedne domene.

Glavni dijelovi

Knjige pravila grupe Active Directory organizirane su pomoću četiri tipa particija ili struktura spremnika. Ove četiri divizije su šume (šume), domene, organizacijske jedinice i web-lokacije:

• Šuma - zbirka svakog objekta, njegovih atributa i sintakse.

• Domena - skup računala koja koriste zajednički skup pravila, ime i bazu podataka svojih članova.

• Organizacijske jedinice su kontejneri u kojima se domene mogu grupirati. Oni stvaraju hijerarhiju za domenu i stvaraju strukturu tvrtke u geografskim ili organizacijskim uvjetima.

• Mjesta su fizičke skupine koje ne ovise o području i strukturi organizacijskih jedinica. Mjesta razlikuju lokacije povezane niskim i visokim brzinama veze i definirane su jednom ili više IP podmreža.

Šume nisu ograničene na geografiju ili topologiju mreže. Jedna šuma može sadržavati više domena, od kojih svaka ima opću shemu. Članovima iste šumske domene nije potrebna ni namjenska LAN niti WAN veza. Jedna mreža također može biti dom za nekoliko neovisnih šuma. Općenito, za svaku pravnu osobu treba koristiti jednu šumu. Međutim, dodatne šume mogu biti poželjne za potrebe ispitivanja i istraživanja izvan proizvodne šume.

domena

Domene servisa Active Directory služe kao spremnici za sigurnosne politike i administrativne zadatke. Prema zadanim postavkama, svi objekti u njima podliježu grupnim pravilima. Slično tome, svaki administrator može upravljati svim objektima unutar domene. Osim toga, svaka domena ima svoju jedinstvenu bazu podataka. Stoga se provjera autentičnosti temelji na domeni. Nakon provjere autentičnosti korisničkog računa, ovaj račun dobiva pristup resursima.

Da biste konfigurirali pravila grupe u usluzi Active Directory, potrebna je jedna ili više domena. Kao što je ranije spomenuto, AD domena je skup računala koja koriste zajednički skup pravila, ime i bazu podataka svojih članova. Domena mora imati jedan ili više poslužitelja koji služe kao kontroleri domena (DC) i pohraniti bazu podataka, pravila podrške i osigurati provjeru autentičnosti za prijavu.

Kontroleri domena

U sustavu Windows NT osnovni kontroler domene (PDC) i rezervni kontroler domene (BDC) bili su uloge koje se mogu dodijeliti poslužitelju na mreži računala pomoću operacijskog sustava Windows. Windows je koristio ideju domene za kontrolu pristupa skupu mrežnih resursa (aplikacija, pisača, itd.) Za skupinu korisnika. Korisnik se samo treba prijaviti u domenu kako bi pristupio resursima koji se mogu nalaziti na nekoliko različitih poslužitelja na mreži.

Jedan poslužitelj, poznat kao primarni kontroler domene, upravlja primarnom korisničkom bazom podataka za domenu. Jedan ili više poslužitelja definirani su kao kontrolori sigurnosne domene. Primarni kontroler periodički šalje kopije baze podataka kontrolorima domene za pohranu. Kontrolor domene sigurnosne kopije može se prijaviti kao primarni kontroler domene u slučaju da PDC poslužitelj ne uspije, a također može pomoći uravnotežiti radno opterećenje ako je mreža dovoljno zauzeta.

Delegiranje i konfiguracija servisa Active Directory

U sustavu Windows 2000 Server, dok su kontroleri domena bili spremljeni, uloge PDC i BDC poslužitelja uglavnom su zamijenjene s Active Directory. Više nije potrebno stvarati zasebne domene za odvojene administrativne povlastice. Unutar AD, možete delegirati administrativne privilegije na temelju organizacijskih jedinica. Domene više nisu ograničene na 40.000 korisnika. AD domene mogu upravljati milijunima objekata. Budući da više nema PDC-a ili BDC-a, postavke grupnih pravila za Active Directory primjenjuju se višestruko-master replikacijom, a svi kontroleri domena su ravnopravni.

Organizacijska struktura

Organizacijske jedinice su mnogo fleksibilnije i lakše upravljati nego u domenama. Orgite vam pružaju gotovo neograničenu fleksibilnost, budući da ih možete premjestiti, izbrisati i stvoriti nove jedinice po potrebi. Međutim, domene su mnogo čvršće u postavkama strukture. Domene se mogu izbrisati i ponovno stvoriti, ali taj proces destabilizira okoliš i treba ga izbjegavati kada je to moguće.

Stranice su zbirke IP podmreža koje imaju brzu i pouzdanu vezu između svih hostova. Drugi način stvaranja web-mjesta je povezivanje s lokalnom mrežom, ali ne i WAN-veza, budući da su WAN veze mnogo sporiji i manje pouzdane od LAN veza. Pomoću web lokacija možete kontrolirati i smanjiti količinu prometa koji prolazi kroz spore globalne mrežne kanale. To može dovesti do učinkovitijeg protoka prometa za zadatke izvedbe. Također može smanjiti troškove WAN veze za usluge s plaćanjem po bitovima.

Čarobnjak infrastrukture i globalni direktorij

Ostale ključne komponente sustava Windows Server u usluzi Active Directory uključuju Čarobnjak za infrastrukturu (IM), koji je potpuno funkcionalan FSMO servis (čarobnjak za fleksibilnu radnju) koji je odgovoran za automatizirani proces koji obuhvaća zastarjele veze, poznate kao fantomi, u bazi podataka Active Directory.

Fantomi se stvaraju na DC-ima koji zahtijevaju unakrsnu referencu između objekta unutar vlastite baze podataka i objekta iz druge domene u šumi. To se događa, primjerice, kada dodate korisnika iz jedne domene u grupu u drugoj domeni u istoj šumi. Fantomi se smatraju zastarjelim kada više ne sadrže ažurirane podatke zbog promjena učinjenih na strani objekt koji predstavlja fantom. Na primjer, kada se ciljani objekt preimenuje, premjesti, premjesti između domena ili obriše. Glavni nadzornik infrastrukture odgovoran je isključivo za pronalaženje i popravak zastarjelih fantoma. Sve promjene nastale kao rezultat postupka "popravka" tada se moraju replicirati na druge kontrolere domena.

Čarobnjak za infrastrukturu ponekad se miješa s globalnim katalogom (GC), koji podržava djelomičnu kopiju svake domene u šumi samo za čitanje, a između ostalog se koristi za univerzalno grupno pohranjivanje i obradu podataka za prijavu. Budući da GCs pohranjuju djelomičnu kopiju svih objekata, mogu kreirati unakrsne domenske reference bez potrebe za fantomima.

Active Directory i LDAP

Microsoft uključuje LDAP (Lightweight Directory Access Protocol) kao komponentu Active Directory. LDAP je softverski protokol koji svakom korisniku omogućuje pronalaženje organizacija, pojedinaca i drugih resursa, kao što su datoteke i uređaji na mreži, bilo na javnom internetu ili na intranetu tvrtke.

Na TCP / IP mrežama (uključujući Internet), sustav naziva domena (DNS) je sustav direktorija koji se koristi za povezivanje naziva domene s određenom mrežnom adresom (jedinstveno mrežno mjesto). Međutim, možda ne znate naziv domene. LDAP vam omogućuje da tražite ljude bez da znate gdje se nalaze (iako će dodatne informacije pomoći u pretraživanju).

LDAP direktorij je organiziran u jednostavnu hijerarhijsku hijerarhiju koja se sastoji od sljedećih razina:

• Korijenski direktorij (izvorna lokacija ili izvor stabla).

• Država.

• Organizacija.

• Organizacijske jedinice (odjeli).

• Pojedinci (uključujući osobe, datoteke i dijelove kao što su pisači).

LDAP direktorij se može distribuirati na mnoge poslužitelje. Svaki poslužitelj može imati repliciranu verziju dijeljenog direktorija, koji se periodično sinkronizira.

Za svakog administratora je važno razumjeti što je LDAP. Budući da je traženje informacija u Active Directory i mogućnost stvaranja LDAP upita posebno korisno kada se traže informacije pohranjene u AD bazi podataka. Zbog toga mnogi administratori posvećuju veliku pozornost ovladavanju LDAP filtrom pretraživanja.

Pravila grupe i upravljanje Active Directory

Teško je raspravljati o AD bez spominjanja pravila grupe. Administratori mogu koristiti grupna pravila u programu Microsoft Active Directory za definiranje postavki za korisnike i računala na mreži. Te se postavke konfiguriraju i pohranjuju u takozvane objekte pravila grupe (GPO), koji se zatim povezuju s objektima servisa Active Directory, uključujući domene i web-lokacije. To je glavni mehanizam za primjenu promjena na računalima za korisnike u Windows okruženju.

Zahvaljujući upravljanju grupnim pravilima, administratori mogu globalno konfigurirati postavke računala na korisničkim računalima, ograničiti / dopustiti pristup određenim datotekama i mapama na mreži.

Primjena pravila grupe

Važno je razumjeti kako se GPO-i koriste i primjenjuju. Sljedeći postupak je prihvatljiv za njih: prvo se primjenjuju pravila lokalnih računala, zatim pravila web-mjesta, zatim pravila domena, a zatim pravila koja se primjenjuju na pojedine organizacijske jedinice. Korisnik ili objekt računala mogu u bilo kojem trenutku pripadati samo jednoj web-lokaciji i jednoj domeni pa će primati samo GPO-ove koji su povezani s ovom web-lokacijom ili domenom.

Struktura objekta

GPO-ovi su podijeljeni u dva odvojena dijela: predlozak grupnih pravila (GPT) i spremnik grupnih pravila (GPC). Predložak grupne politike odgovoran je za očuvanje određenih parametara stvorenih u objektu pravila grupe i bitan je za njegov uspjeh. Te postavke sprema u veliku mapu i strukturu datoteke. Da bi se postavke uspješno primijenile na sve korisničke i računalne objekte, GPT mora biti repliciran svim kontrolerima u domeni.

GPO je dio GPO-a spremljenog u Active Directory koji se nalazi na svakom kontroleru domene u domeni. GPC je odgovoran za održavanje referenci za klijentska proširenja (CSE), put do GPT-a, putove do instalacijskih paketa softvera i druge referentne aspekte GPO-a. GPC ne sadrži mnogo informacija koje se odnose na odgovarajući GPO, ali je potreban za GPO funkcionalnost. Kada se konfiguriraju pravila instalacije softvera, GPC pomaže u održavanju veza povezanih s GPO-om i pohranjuje druge relacijske veze i putove pohranjene u atributima objekta. Poznavanje strukture GPC-a i pristup skrivenim informacijama pohranjenim u atributima isplatit će se kada je potrebno identificirati problem vezan uz grupna pravila.

U sustavu Windows Server 2003 Microsoft je izdao rješenje za upravljanje grupnim pravilima kao sredstvo za prikupljanje podataka u obliku proširenja, poznate kao Konzola upravljanja grupnim pravilima (GPMC). GPMC pruža sučelje za upravljanje usmjereno prema GPO-u koje uvelike pojednostavljuje administraciju, upravljanje i lokaciju GPO-ova. Kroz GPMC možete stvoriti nove GPO-ove, urediti i urediti objekte, izrezati / kopirati / zalijepiti GPO-ove, izraditi sigurnosne kopije objekata i izvršiti dobiveni skup pravila.

optimizacija

Kako se broj upravljanih GPO-ova povećava, izvedba utječe na strojeve na mreži. Savjet: kada se učinkovitost smanji, ograničite mrežne parametre objekta. Vrijeme obrade povećava se izravno proporcionalno broju pojedinačnih postavki. Relativno jednostavne konfiguracije, kao što su postavke za stolna računala ili Internet Explorer pravila, možda neće potrajati dugo, dok preusmjeravanje softverskih mapa može ozbiljno opteretiti mrežu, posebno tijekom vrhunca.

Odvojite prilagođene GPO-ove, a zatim onemogućite neiskorišteni dio. Jedna od najboljih praksi za poboljšanje izvedbe i smanjenje konfuzije u menadžmentu je stvaranje zasebnih objekata za parametre koji će se primijeniti na računala i odvojeni za korisnike.