Правила групе Ацтиве Дирецтори: Поставке

Групна политика је хијерархијска инфраструктура која омогућава администратору мреже задужен за Мицрософт Ацтиве Дирецтори да имплементира специфичне конфигурације за кориснике и рачунаре. Групне смернице могу се користити и за дефинисање корисничких, безбедносних и мрежних политика на нивоу машине.

Дефиниција

Групе Ацтиве Дирецтори помажу администраторима да одреде шта корисници могу да раде на мрежи, укључујући датотеке, фасцикле и апликације којима ће приступити. Збирке поставки корисника и рачунара се називају ГПО, које се управљају из централног интерфејса који се зове управљачка конзола. Групне смернице се такође могу контролисати помоћу алатки командне линије као што су гпресулт и гпупдате.

Ин Виндовс сервер Додате су поставке за 2008. годину, познате као избор групних политика, како би се администраторима пружила боља усмјереност и флексибилност.

Ацтиве Дирецтори - шта је то

Поједностављено речено, Ацтиве Дирецтори је услуга директоријума заснована на Мицрософт заштитном знаку, која је суштински део Виндовс архитектуре. Као и друге услуге директоријума, као што је Новелл Дирецтори Сервицес, АД је централизовани и стандардизовани систем који аутоматски програмира управљање мрежом података, безбедности и ресурса, а такође вам омогућава и интеракцију са другим директоријумима. Ацтиве Дирецтори је дизајниран посебно за дистрибуирана мрежна окружења.

Ацтиве Дирецтори је постао нова функција за Виндовс 2000 Сервер и побољшана је 2003. године, што га чини још важнијим дијелом ОС-а. Виндовс Сервер 2003 АД обезбеђује једну везу која се назива услуга директоријума за све објекте на мрежи, укључујући кориснике, групе, рачунаре, штампаче, смернице и дозволе.

За корисника или администратора, постављање Ацтиве Дирецтори-а пружа јединствен хијерархијски поглед из којег се могу управљати свим мрежним ресурсима.

Зашто имплементирати Ацтиве Дирецтори

Постоји много разлога за имплементацију овог система. Пре свега, Мицрософт Ацтиве Дирецтори се обично сматра значајним побољшањем у односу на домене Виндовс НТ Сервер 4.0 или чак аутономне серверске мреже. АД има централизовани механизам администрације кроз мрежу. Он такође обезбеђује редундантност и толеранцију грешака при примени два или више контролера домена у домену.

Услуга аутоматски управља размјеном података између контролера домена, тако да мрежа остаје одржива. Корисници добијају приступ свим ресурсима на мрежи за које су овлашћени коришћењем јединствене пријаве. Сви ресурси на мрежи заштићени су робусним сигурносним механизмом који провјерава аутентичност корисника и ауторизацију ресурса за сваки приступ.

Чак и са побољшаном безбедношћу и контролом Ацтиве Дирецтори, већина њених функција је невидљива крајњим корисницима. У том смислу, миграција корисника на АД мрежу захтијева мало преквалификације. Услуга нуди средства за брзо напредовање и смањивање контроле домена и сервера чланова. Системом се може управљати и штитити помоћу смерница групе Ацтиве Дирецтори. Ово је флексибилан хијерархијски организациони модел који олакшава управљање и детаљно дефинисање специфичног делегирања административних одговорности. АД је у стању да управља милионима објеката унутар једног домена.

Главни дијелови

Књиге правила групе Ацтиве Дирецтори организоване су помоћу четири типа партиција или структура контејнера. Ове четири дивизије су шуме (шуме), домени, организационе јединице и веб-локације:

• Шума - збирка сваког објекта, његових атрибута и синтаксе.

• Домаин - скуп рачунара који користе заједнички скуп правила, име и базу података својих чланова.

• Организационе јединице су контејнери у којима се домени могу груписати. Они стварају хијерархију за домен и стварају структуру компаније у географским или организационим условима.

• Локације су физичке групе које не зависе од подручја и структуре организационих јединица. Сајтови разликују локације које су повезане ниским и високим брзинама и дефинисане су једном или више ИП подмрежа.

Шуме нису ограничене на географију или топологију мреже. Једна шума може да садржи више домена, од којих свака има општу шему. Члановима исте шумске домене није потребна чак ни посвећена ЛАН или ВАН веза. Једна мрежа такође може бити дом за неколико независних шума. У принципу, за сваку правну особу треба користити једну шуму. Међутим, додатне шуме могу бити пожељне за потребе тестирања и истраживања изван производне шуме.

Домаинс

Ацтиве Дирецтори домени служе као контејнери за сигурносне политике и административне задатке. Подразумевано, сви објекти у њима подлежу групним правилима. Слично томе, сваки администратор може управљати свим објектима унутар домена. Поред тога, сваки домен има своју јединствену базу података. Дакле, аутентикација се заснива на домену. Након аутентификације корисничког налога, овај рачун добија приступ ресурсима.

Да бисте конфигурисали смернице групе у активном директоријуму, потребан је један или више домена. Као што је раније поменуто, АД домен је скуп рачунара који користе заједнички скуп правила, име и базу података својих чланова. Домена мора имати један или више сервера који служе као контролери домена (ДЦ) и чувају базу података, смернице подршке и обезбеђују аутентификацију за пријављивање.

Контролери домена

У оперативном систему Виндовс НТ, контролер основног домена (ПДЦ) и контролер резервног домена (БДЦ) су улоге које се могу доделити серверу на мрежи рачунара који користе оперативни систем Виндовс. Виндовс је користио идеју домена да контролише приступ скупу мрежних ресурса (апликација, штампача, итд.) За групу корисника. Корисник треба само да се улогује у домен како би приступио ресурсима који се могу налазити на неколико различитих сервера на мрежи.

Један сервер, познат као примарни контролер домена, управља примарном корисничком базом података за домену. Један или више сервера су дефинисани као контролори резервних домена. Примарни контролер периодично шаље копије базе података контролорима резервног домена. Контролор домена бацкупа може да се пријави као примарни контролер домена у случају да ПДЦ сервер не успе, а такође може да помогне да се балансира радно оптерећење ако је мрежа довољно заузета.

Делегирање и конфигурација Ацтиве Дирецтори-а

У Виндовс 2000 Серверу, док су контролери домена били сачувани, ПДЦ и БДЦ серверске улоге су углавном замењене Ацтиве Дирецтори-ом. Више није потребно креирати одвојене домене за одвајање административних привилегија. Унутар АД, можете делегирати административне привилегије на основу организационих јединица. Домени више нису ограничени на 40.000 корисника. АД домени могу да управљају милионима објеката. Пошто више нема ПДЦ-а и БДЦ-а, поставке смерница групе Ацтиве Дирецтори примењују репликацију са више мастера, а сви контролери домена су равноправни.

Организациона структура

Организационе јединице су много флексибилније и лакше управљати него у доменима. Оргити вам пружају готово неограничену флексибилност, јер их можете померати, брисати и креирати нове јединице по потреби. Међутим, домени су много чвршћи у својим поставкама структуре. Домене се могу избрисати и поново креирати, али тај процес дестабилизира околиш и треба га избјегавати када је то могуће.

Сајтови су колекције ИП подмрежа које имају брзу и поуздану везу између свих хостова. Други начин за креирање сајта је повезивање на локалну мрежу, али не и ВАН везу, пошто су ВАН везе много спорији и мање поуздане од ЛАН веза. Користећи локације, можете контролисати и смањити количину саобраћаја који пролази кроз споре канале глобалне мреже. Ово може довести до ефикаснијег протока саобраћаја за извршавање задатака. Такође може смањити трошкове ВАН везе за услуге плати-по-бит.

Чаробњак инфраструктуре и глобални директоријум

Друге кључне компоненте Виндовс Сервера у Ацтиве Дирецтори-у укључују Чаробњака за инфраструктуру (ИМ), који је потпуно функционалан ФСМО сервис (чаробњак за флексибилне једноструке операције) који је одговоран за аутоматизирани процес који обухваћа застарјеле везе, познате као фантоми, у бази података Ацтиве Дирецтори.

Фантоми се стварају на ДЦ-има који захтијевају унакрсну референцу између објекта унутар властите базе података и објекта из другог домена у шуми. То се дешава, на пример, када додате корисника из једног домена у групу у другом домену у истој шуми. Фантоми се сматрају застарјелим када више не садрже ажуриране податке због промјена направљених на страни објекат који представља фантом. На пример, када је циљни објекат преименован, премештен, премештен између домена или избрисан. Управитељ инфраструктуре је једини одговоран за проналажење и поправку застарелих фантома. Свака промена која је направљена као резултат процеса "поправке" мора се затим реплицирати на друге контролоре домена.

Чаробњак за инфраструктуру се понекад помијеша са глобалним каталогом (ГЦ), који подржава дјеломичну, само за читање копију сваког домена у шуми и, између осталог, користи се за универзално групно похрањивање и обраду података за пријаву. Пошто ГЦс складиште делимичну копију свих објеката, они могу креирати унакрсне доменске референце без потребе за фантомима.

Ацтиве Дирецтори и ЛДАП

Мицрософт укључује ЛДАП (Лигхтвеигхт Дирецтори Аццесс Протоцол) као компоненту Ацтиве Дирецтори-а. ЛДАП је софтверски протокол који омогућава сваком кориснику да пронађе организације, појединце и друге ресурсе, као што су датотеке и уређаји на мрежи, било на јавном интернету или на корпоративном интранету.

На ТЦП / ИП мрежама (укључујући Интернет), систем назива домена (ДНС) је систем директоријума који се користи за повезивање имена домена са одређеном мрежном адресом (јединствена мрежна локација). Међутим, можда не знате име домена. ЛДАП вам омогућава да тражите људе без знања о томе где се налазе (иако ће додатне информације помоћи у претраживању).

ЛДАП директоријум је организован у једноставну хијерархијску хијерархију која се састоји од следећих нивоа:

• Основни директоријум (изворна локација или извор стабла).

• Државе.

• Организације.

• Организационе јединице (одељења).

• Појединци (укључујући људе, датотеке и дијелове као што су писачи).

ЛДАП директориј се може дистрибуирати на више сервера. Сваки сервер може имати реплицирану верзију дељеног директоријума, који се периодично синхронизује.

За сваког администратора је важно разумети шта је ЛДАП. Пошто је тражење информација у Ацтиве Дирецтори-у и могућност креирања ЛДАП упита посебно корисно када се траже информације похрањене у АД бази података. Из тог разлога, многи администратори посвећују велику пажњу савладавању ЛДАП филтера за претрагу.

Гроуп Полици и Ацтиве Дирецтори Манагемент

Тешко је разговарати о АД без помињања групне политике. Администратори могу да користе смернице групе у програму Мицрософт Ацтиве Дирецтори да би дефинисали поставке за кориснике и рачунаре на мрежи. Ова подешавања се конфигуришу и чувају у такозваним објектима смерница групе (ГПО), који се затим повезују са објектима Ацтиве Дирецтори, укључујући домене и локације. Ово је главни механизам за примену промена на рачунарима за кориснике у Виндовс окружењу.

Захваљујући управљању групним правилима, администратори могу глобално конфигурирати поставке радне површине на корисничким рачуналима, ограничити / омогућити приступ одређеним датотекама и мапама на мрежи.

Примена смерница групе

Важно је разумети како се ГПО користе и примењују. Следећа процедура је прихватљива за њих: прво се примењују смернице за локалне машине, затим смернице сајта, затим политике домена, а затим политике које се примењују на појединачне организационе јединице. Корисник или објекат рачунара могу да припадају само једном сајту и једном домену у било ком тренутку, тако да ће примати само ГПО-ове који су повезани са овом страницом или доменом.

Објецт струцтуре

ГПО су подељени у два одвојена дела: шаблон смерница групе (ГПТ) и контејнер за групне смернице (ГПЦ). Предложак групне политике је одговоран за очување одређених параметара креираних у објекту групне политике и од суштинског је значаја за његов успјех. Она чува ове поставке у великој структури директоријума и датотека. Да би се поставке успјешно примијениле на све корисничке и рачуналне објекте, ГПТ мора бити реплициран на све контролере у домену.

ГПО је део ГПО-а ускладиштеног у Ацтиве Дирецтори који се налази на сваком контролеру домена у домену. ГПЦ је одговоран за одржавање референци за клијентске екстензије (ЦСЕ), путању до ГПТ-а, путања до пакета за инсталацију софтвера и других референтних аспеката ГПО-а. ГПЦ не садржи много информација које се односе на одговарајући ГПО, али је неопходно за ГПО функционалност. Када се конфигуришу смернице за инсталацију софтвера, ГПЦ помаже у одржавању веза које су повезане са ГПО и чува друге релационе везе и путање ускладиштене у атрибутима објекта. Познавање структуре ГПЦ-а и како приступити скривеним информацијама похрањеним у атрибутима ће се исплатити када је потребно идентифицирати проблем везан за групну политику.

У оперативном систему Виндовс Сервер 2003, Мицрософт је издао решење за управљање групним политикама као средство за прикупљање података у облику уграђене конзоле, познате као Конзола за управљање групним правилима (ГПМЦ). ГПМЦ обезбеђује ГПО-оријентисани интерфејс за управљање који увелико поједностављује администрацију, управљање и локацију ГПО-а. Кроз ГПМЦ, можете креирати нове ГПО, уређивати и уређивати објекте, изрезати / копирати / залијепити ГПО, креирати резервне копије објеката и извршити скуп правила.

Оптимизација

Како се број управљаних ГПО-ова повећава, перформансе утичу на машине на мрежи. Савет: када се перформансе смање, ограничите мрежне параметре објекта. Време обраде се повећава директно пропорционално броју појединачних подешавања. Релативно једноставне конфигурације, као што су поставке радне површине или Интернет Екплорер правила, можда неће потрајати дуго, док преусмјеравање софтверских мапа може озбиљно оптеретити мрежу, посебно у вршним периодима.

Одвојите прилагођене ГПО, а затим онемогућите неискоришћени део. Једна од најбољих пракси за побољшање перформанси и смањење конфузије у менаџменту је креирање одвојених објеката за параметре који ће бити примењени на рачунаре и одвојени за кориснике.