Pravilnik skupine je hierarhična infrastruktura, ki omogoča skrbniku, ki je odgovoren za Active Directory Microsoft, izvajanje določenih konfiguracij za uporabnike in računalnike. Pravila skupine lahko uporabite tudi za določanje pravilnikov za uporabnike, varnostne in omrežne ravni na ravni računalnika.
Definicije
Skupine Active Directory skrbnikom pomagajo določiti, kaj lahko uporabniki počnejo v omrežju, vključno z datotekami, mapami in aplikacijami, do katerih bodo imeli dostop. Uporabniške zbirke in nastavitve računalnika se imenujejo predmeti pravilnika skupine, ki se upravljajo iz osrednjega vmesnika, imenovanega upravljalna konzola. Pravilnik skupine lahko upravljate tudi z orodji ukazne vrstice, kot sta gpresult in gpupdate.
Windows Server 2008 je bil dodan nastavitvam, imenovanim "Izbira pravilnikov skupine", ki skrbnikom zagotavljajo najboljšo smer in prilagodljivost.
Active Directory - kaj je
Enostavne besede Active Directory je imeniška storitev, ki temelji na Microsoftovih blagovnih znamkah, je sestavni del arhitekture Windows. Podobno kot druge imeniške storitve, kot je na primer Novell Directory Services, je AD centraliziran in standardiziran sistem, ki samodejno programira upravljanje omrežja za podatke, varnost in vire ter omogoča interakcijo z drugimi imeniki. Active Directory je zasnovan namensko za distribuirana omrežna okolja.
Active Directory je postal novost za Windows 2000 Server, ki je nadgrajen na različico 2003leto, kar je še pomembnejši del OS. Windows Server 2003 AD nudi en imenik, imenovan storitev imenika, za vse objekte v omrežju, vključno z uporabniki, skupinami, računalniki, tiskalniki, pravilniki in dovoljenji. Nastavitev Active Directory za uporabnika ali skrbnika ponuja en sam hierarhični pogled, iz katerega lahko upravljate vse omrežne vire.
Zakaj izvajati Active Directory
Za izvajanje tega sistema obstaja veliko razlogov. Prvič, Microsoft Active Directory na splošno velja za znatno izboljšanje glede na domene Windows NT Server 4.0 ali celo samostojna strežniška omrežja. AD ima centraliziran mehanizem za upravljanje celotnega omrežja. Prav tako zagotavlja redundanco in toleranco napak pri uvajanju dveh ali več krmilnikov domene v domeno.
Storitev samodejno upravlja izmenjavo podatkov med krmilniki domene, tako da omrežje ostaja izvedljivo. Uporabniki imajo dostop do vseh omrežnih virov, za katere so pooblaščeni z eno prijavo. Vsi viri v omrežju so zaščiteni z zanesljivim varnostnim mehanizmom, ki preverja overjanje uporabnikov in pooblastila za vsak dostop. Tudi z izboljšano varnostjo in nadzorom Active Directory je večina njegovih funkcij nevidna končnim uporabnikom. V zvezi s tem migracija uporabnikov na AD omrežje zahteva malo prekvalifikacije. Storitev ponuja orodja za hitro napredovanje in zniževanje uvrstitve krmilnikov domen in članskih strežnikov. Sistem lahko upravljate in varujete s pravilnikom skupine Active Directory. Je prilagodljivhierarhični organizacijski model, ki vam omogoča enostavno upravljanje in podrobno določanje posebnih pooblastil za upravljanje. AD je sposoben upravljati milijone objektov znotraj ene domene.
Osnovni oddelki
Skupinska politika Active Directory Knjige so organizirane s štirimi vrstami particij ali struktur zabojnikov. Te štiri divizije so gozdovi, domene, organizacijske enote in območja:
Gozd - zbirka vsakega objekta, njegovih atributov in skladnje. Domena - niz računalnikov, ki uporabljajo skupen nabor pravilnikov, ime in podatkovno bazo svojih članov. Organizacijske enote - zabojniki, v katerih se lahko združijo domene. Ustvarjajo hierarhijo za domeno in ustvarjajo strukturo podjetja v geografskem ali organizacijskem smislu. Mesta - fizične skupine, ki niso odvisne od območja in strukture organizacijskih enot. Mesta razlikujejo lokacijo, povezano z nizko in visoko hitrostno povezavo, in jo določa ena ali več IP podomrež.Gozdovi niso omejeni na geografijo ali topologijo omrežja. En gozd lahko vsebuje več domen, od katerih ima vsaka splošno shemo. Za člane domene istega gozda ni potrebna niti namenska LAN ali WAN povezava. Enotno omrežje je lahko tudi dom več neodvisnih gozdov. Na splošno mora biti za vsak pravni subjekt uporabljen en gozd. Vendar pa so za preskušanje in raziskovalne namene zunaj proizvodnega gozda lahko zaželeni dodatni gozdovi.
Domene
Domene AktivneImenik služi kot vsebniki za varnostne politike in upravne dodelitve. Privzeto so vsi predmeti v njih predmet skupinskih pravilnikov. Podobno lahko vsak skrbnik upravlja vse objekte znotraj domene. Poleg tega ima vsaka domena svojo edinstveno bazo podatkov. Tako se avtentikacija izvede na podlagi domene. Po preverjanju pristnosti uporabnika računa ta račun dobi dostop do virov. Za konfiguriranje pravilnika skupine v storitvi Active Directory je potrebna ena ali več domen. Kot smo že omenili, je domena AD zbirka računalnikov, ki uporabljajo splošni nabor politik, ime in podatkovno bazo svojih članov. Domena mora imeti enega ali več strežnikov, ki delujejo kot krmilniki domen (DC) in shranjujejo bazo podatkov, vzdržujejo pravilnike in zagotavljajo overjanje prijav.
Krmilniki domen
Upravljalnik domen Windows NT (PDC) in krmilnik varnostnega kopiranja (BDC) imata vloge, ki jih je mogoče dodeliti strežnikom v omrežju računalnikov z operacijskim sistemom Windows. Windows je uporabil idejo domene za upravljanje dostopa do niza omrežnih virov (aplikacij, tiskalnikov itd.) Za skupino uporabnikov. Uporabnik se mora prijaviti v domeno samo za dostop do virov, ki se lahko nahajajo na več različnih strežnikih v omrežju.
En strežnik, znan kot glavni krmilnik domene, je upravljal glavnega uporabnika baze podatkov za domeno. Eden ali več strežnikov je bilo označenih kot stanje pripravljenostiKrmilniki domen. Primarni krmilnik redno pošilja kopije podatkovne baze rezervnih krmilnikov domene. Krmilnik domene lahko vnese kot primarni krmilnik domene v primeru, da strežnik PDC ne uspe, in lahko pomaga uravnotežiti delovno obremenitev, če je omrežje dovolj zasedeno.
Delegacija Active Directory in nastavitev
V operacijskem sistemu Windows 2000 Server, medtem ko so bili krmilniki domene shranjeni, so vloge strežnika PDC in BDC večinoma nadomestili Active Directory. Za delitev upravnih privilegijev ni več potrebe po oblikovanju ločenih področij. V okviru ADS lahko upravne privilegije prenesete na organizacijske enote. Domene niso več omejene na omejitev 40.000 uporabnikov. Domene AD lahko upravljajo milijone objektov. Ker ni več PDC ali BDC, nastavitev pravilnika skupine Active Directory uporablja kopiranje množenja in vsi krmilniki domene so enakovredni.
Organizacijska struktura
Organizacijske enote so veliko bolj prilagodljive in lažje upravljane kot domene. Orhideje vam dajejo skoraj neomejeno prilagodljivost, saj lahko po potrebi premikate, brišete in ustvarjate nove delitve. Vendar pa so domene veliko bolj toge v svojih nastavitvah strukture. Domene je mogoče odstraniti in ponovno ustvariti, vendar ta proces destabilizira okolje in se ga je treba izogibati, kadar koli je to mogoče.
Mesta so zbirke IP podomrež, ki imajo hitro in zanesljivo povezavo med vsemi gostitelji. Drug način ustvarjanja spletnega mesta je, da se povežeteLAN, vendar ne povezave WAN, saj so povezave WAN veliko počasnejše in manj zanesljive od povezave LAN. Z uporabo spletnega mesta lahko nadzorujete in zmanjšate količino prometa, ki poteka skozi vaše počasne kanale v globalnem omrežju. To lahko vodi do učinkovitejšega pretoka prometa za cilje uspešnosti. Prav tako lahko zmanjša stroške povezave WAN za storitve s plačilom na bit.
Čarovnik za infrastrukturo in globalni imenik
Med drugimi ključnimi komponentami strežnika Windows Server Active Directory je tudi infrastrukturni čarovnik (IM), ki je v celoti opremljen FSMO (čarovnik za fleksibilne enojne operacije), ki je odgovoren za samodejni postopek, ki zajema znane zastarele povezave v obliki baze podatkov. Fantomi se ustvarijo v DC, ki zahtevajo navzkrižno sklicevanje med objektom v lastni bazi podatkov in objektom iz druge domene v gozdu. To se zgodi, ko na primer dodate uporabnike iz ene domene v skupino v drugi domeni, v istem gozdu. Fantomi so zastareli, ko ne vsebujejo več najnovejših podatkov, ki nastanejo zaradi sprememb, ki jih je naredil tretji subjekt, ki ga predstavlja fantom. Na primer, ko se ciljni predmet preimenuje, premakne, premakne med domenami ali izbriše. Poveljnik infrastrukture je osebno odgovoren za iskanje in popravljanje zastarelih fantomov. Vse spremembe, ki so nastale kot posledica postopka »popravi«, morajo biti obnovljene v drugih krmilnikih domene. Glavna infrastruktura je včasih zamenjana z globalnim imenikom (GC), kipodpira delno kopijo vsake domene v gozdu samo za branje in se med drugim uporablja za univerzalno shranjevanje skupin in obdelavo prijave. Ker GC hrani delno kopijo vseh predmetov, lahko ustvarijo meddržavne povezave, ne da bi potrebovali fantome.
Active Directory in LDAP
Microsoft vključuje LDAP (Lightweight Directory Access Protocol) kot komponento Active Directory. LDAP je protokol programske opreme, ki vsakemu uporabniku omogoča, da najde organizacije, posameznike in druge vire, kot so datoteke in naprave v omrežju, bodisi na javnem internetu ali v intranetu organizacije. V omrežjih TCP /IP (vključno z internetom) je sistem domenskih imen (DNS) sistem imenikov, ki se uporablja za povezovanje imena domene z določenim omrežnim naslovom (edinstveno omrežno mesto). Vendar pa imena domene morda ne poznate. LDAP vam omogoča iskanje ljudi, ne da bi vedel, kje so (čeprav vam bodo pri iskanju pomagale dodatne informacije). Imenik LDAP je organiziran v preprosto hierarhično hierarhijo, ki je sestavljena iz naslednjih ravni:
korenski imenik (izvorni ali drevesni vir). Države. Organizacije. Organizacijske enote (oddelki). Posamezniki (vključno z ljudmi, datotekami in skupnimi viri, kot so tiskalniki).Imenik LDAP se lahko razdeli med številne strežnike. Vsak strežnik ima lahko podvojeno različico imenika v skupni rabi, ki se redno sinhronizira. Pomembno je, da vsak skrbnik razume, kaj je LDAP. Torej, kakoIskanje informacij v imeniku Active Directory in možnost ustvarjanja poizvedb LDAP je še posebej uporabno pri iskanju informacij, shranjenih v podatkovni zbirki AD. Zaradi tega veliko skrbnikov namenja veliko pozornosti obvladovanju filtra za iskanje LDAP.
Upravljanje politik skupine in Active Directory
O AD težko razpravljamo, ne da bi omenili politiko skupine. Skrbniki lahko s pravilniki skupine v storitvi Microsoft Active Directory določijo nastavitve za uporabnike in računalnike v omrežju. Te nastavitve so konfigurirane in shranjene v tako imenovanih predmetih pravilnika skupine (GPO), ki nato komunicirajo z objekti Active Directory, vključno z domenami in spletnimi mesti. To je glavni mehanizem za spreminjanje uporabniških računalnikov v okolju Windows. Z upravljanjem pravilnikov skupine lahko skrbniki globalno prilagajajo nastavitve namizja na uporabniških računalnikih, omejujejo /dovoljujejo dostop do določenih datotek in map v omrežju.
Uporaba politik skupine
Pomembno je razumeti, kako se uporabljajo in uporabljajo predmeti skupinske politike. Naslednji vrstni red je zanje sprejemljiv: prvič, uporabijo se pravilniki o lokalnih računalnikih, nato pravilnik o spletnem mestu, potem politika domene in nato pravila, ki veljajo za posamezne organizacijske enote. Objekt po meri ali računalnik lahko v vsakem trenutku pripada samo enemu mestu in eni domeni, zato bodo prejemali le predmete pravilnika skupine, ki so povezani s tem spletnim mestom ali domeno.
Objektna struktura
Objekti GPO so razdeljeni vDva ločena dela: predlogo pravilnika skupine (GPT) in vsebnik pravilnika skupine (GPC). Predloga pravilnika skupine je odgovorna za ohranjanje določenih parametrov, ki jih ustvari gpo, in je ključnega pomena za njegov uspeh. Te nastavitve shrani v veliko strukturo map in datotek. Če želite nastavitve uspešno uporabiti za vse uporabniške in računalniške objekte, morate GPT kopirati na vse krmilnike domene. Posoda pravilnika skupine je del predmeta pravilnika skupine, shranjenega v imeniku Active Directory, ki se nahaja na vsakem krmilniku domene v domeni. GPC je odgovoren za vzdrževanje povezav za razširitve odjemalcev (CSE), poti za GPT, poti do namestitvenih paketov programske opreme in drugih referenčnih vidikov predmetov skupine GPO. GPC ne vsebuje veliko informacij, povezanih z ustreznim predmetom skupinske politike, vendar je potreben za funkcionalnost GPO. Ko so nastavitve pravilnika programske opreme konfigurirane, GPC pomaga vzdrževati povezave, ki so povezane s predmetom pravilnika skupine, in shranjuje druge relacijske povezave in poti, shranjene v atributih objekta. Razumevanje strukture GPC in načina dostopa do skritih informacij, shranjenih v atributih, se izplača, če morate identificirati težavo, povezano s pravilnikom skupine.
V operacijskem sistemu Windows Server 2003 je Microsoft izdal rešitev za upravljanje politik skupine kot orodje za združevanje podatkov v trenutku, znano kot konzola za upravljanje pravilnikov skupine (GPMC). GPMC zagotavlja vmesnik za upravljanje, ki se osredotoča naGPO, ki močno poenostavi upravljanje, upravljanje in lokacijo objektov skupinske politike. Preko GPMC lahko ustvarite nove predmete politik skupine, uredite in uredite predmete, izrežete /kopirate /prilepite predmete pravilnika skupine, varnostno kopirate objekte in izvedete nastali niz pravilnikov.
Optimizacija
Ker se število predmetov politike političnih skupin poveča, to vpliva na zmogljivost naprave v omrežju. Nasvet: Ko zmanjšujete zmogljivost, omejite omrežne parametre objekta. Čas obdelave se poveča neposredno v sorazmerju s številom posameznih nastavitev. Razmeroma preproste konfiguracije, kot so nastavitve namizja ali pravilniki Internet Explorerja, lahko trajajo dolgo časa, medtem ko lahko preusmerjanje map programske opreme resno obremeni omrežje, zlasti v konicah. Razdelite predmete pravilnika skupine po meri in nato izklopite neuporabljen del. Ena od najboljših praks za izboljšanje produktivnosti in zmanjšanje menedžerske zmede je ustvarjanje ločenih objektov za parametre, ki bodo uporabljeni za računalnike in za posamezne uporabnike.
