Zasady grupy to hierarchiczna infrastruktura, która pozwala administratorowi sieci odpowiedzialnemu za Microsoft Active Directory implementować określone konfiguracje dla użytkowników i komputerów. Zasad grupy można również używać do definiowania zasad dotyczących użytkowników, zabezpieczeń i sieci na poziomie komputera.
Grupy Active Directory pomagają administratorom określić, co użytkownicy mogą robić w sieci, w tym pliki, foldery i aplikacje, do których będą mieli dostęp. Zbiory ustawień użytkownika i komputera nazywane są GPO, które są administrowane z centralnego interfejsu zwanego konsolą zarządzania. Zasady grupy można również kontrolować za pomocą narzędzi wiersza polecenia, takich jak gpresult i gpupdate.
W Serwer Windows Dodano ustawienia w roku 2008, znane jako opcje polityki grupowej, aby zapewnić administratorom większą koncentrację i elastyczność.
Mówiąc prościej, Active Directory jest usługą katalogową opartą na znaku towarowym Microsoft, która jest obowiązkową częścią architektury systemu Windows. Podobnie jak inne usługi katalogowe, takie jak Novell Directory Services, AD to scentralizowany i ustandaryzowany system, który automatycznie programuje zarządzanie siecią danych, zabezpieczeń i zasobów, a także umożliwia interakcję z innymi katalogami. Usługa Active Directory została zaprojektowana specjalnie dla rozproszonych środowisk sieciowych.
Usługa Active Directory stała się nową funkcją systemu Windows 2000 Server i została ulepszona w 2003 r., Co czyni ją jeszcze ważniejszą częścią systemu operacyjnego. W systemie Windows Server 2003 AD dostępne jest pojedyncze łącze o nazwie usługa katalogowa dla wszystkich obiektów w sieci, w tym użytkowników, grup, komputerów, drukarek, zasad i uprawnień.
W przypadku użytkownika lub administratora skonfigurowanie usługi Active Directory zapewnia jeden hierarchiczny widok, za pomocą którego można zarządzać wszystkimi zasobami sieciowymi.
Istnieje wiele przyczyn wdrożenia tego systemu. Przede wszystkim Microsoft Active Directory jest zwykle uważany za znaczące ulepszenie w stosunku do domen Windows NT Server 4.0 lub nawet autonomicznych sieci serwerów. AD ma scentralizowany mechanizm administracyjny w całej sieci. Zapewnia także nadmiarowość i tolerancję błędów podczas wdrażania dwóch lub więcej kontrolerów domeny w domenie.
Usługa automatycznie zarządza wymianą danych między kontrolerami domeny, dzięki czemu sieć pozostaje opłacalna. Użytkownicy uzyskują dostęp do wszystkich zasobów w sieci, do których są uprawnieni za pomocą pojedynczego logowania. Wszystkie zasoby w sieci są chronione przez solidny mechanizm bezpieczeństwa, który sprawdza uwierzytelnianie użytkownika i autoryzację zasobów dla każdego dostępu.
Nawet przy zwiększonym bezpieczeństwie i kontroli Active Directory większość jego funkcji jest niewidoczna dla użytkowników końcowych. W związku z tym migracja użytkowników do sieci AD wymaga niewielkiego przeszkolenia. Usługa oferuje możliwość szybkiego przejścia na wyższy poziom i obniżenia wersji kontrolerów domeny i serwerów członkowskich. System może być zarządzany i chroniony przy użyciu zasad grupy Active Directory. Jest to elastyczny hierarchiczny model organizacyjny, który ułatwia zarządzanie i szczegółową delegację obowiązków administracyjnych. AD jest w stanie zarządzać milionami obiektów w jednej domenie.
Książki zasad grupy usługi Active Directory są zorganizowane przy użyciu czterech typów partycji lub struktur kontenerów. Te cztery działy to lasy (lasy), domeny, jednostki organizacyjne i witryny internetowe:
Las - kolekcja każdego obiektu, jego atrybuty i składnia.
Domena - zestaw komputerów, które używają wspólnego zestawu zasad, nazwy i bazy danych swoich członków.
Jednostki organizacyjne to kontenery, w których można grupować domeny. Tworzą hierarchię dla domeny i tworzą strukturę firmy w warunkach geograficznych lub organizacyjnych.
Witryny to fizyczne grupy, które nie zależą od obszaru i struktury jednostek organizacyjnych. Strony rozróżniają lokalizacje połączone przez połączenia o niskiej i dużej szybkości i są definiowane przez jedną lub kilka podsieci IP.
Lasy nie są ograniczone do geografii lub topologii sieci. Jeden las może zawierać wiele domen, z których każda ma ogólny schemat. Członkowie tej samej domeny lasu nie potrzebują nawet dedykowanego połączenia LAN lub WAN. Pojedyncza sieć może być także domem dla kilku niezależnych lasów. Ogólnie rzecz biorąc, jeden las powinien być używany dla każdej osoby prawnej. Jednak dodatkowe lasy mogą być pożądane w celach testowych i badawczych poza lasem produkcyjnym.
Domeny Active Directory służą jako kontenery dla polityk bezpieczeństwa i przydziałów administracyjnych. Domyślnie wszystkie znajdujące się w nich obiekty podlegają zasadom grupowym. Podobnie każdy administrator może zarządzać wszystkimi obiektami w domenie. Ponadto każda domena ma swoją własną unikalną bazę danych. Tak więc uwierzytelnianie jest oparte na domenie. Po uwierzytelnieniu konta użytkownika to konto uzyskuje dostęp do zasobów.
Aby skonfigurować zasady grupy w usłudze Active Directory, wymagana jest co najmniej jedna domena. Jak wspomniano wcześniej, domena AD to zestaw komputerów, które używają wspólnego zestawu zasad, nazwy i bazy danych swoich członków. Domena musi mieć jeden lub więcej serwerów, które służą jako kontrolery domeny (DC) i przechowywać bazę danych, zasady obsługi oraz zapewniać uwierzytelnianie w celu logowania.
W systemie Windows NT podstawowym kontrolerem domeny (PDC) i zapasowym kontrolerem domeny (BDC) były role, które można przypisać do serwera w sieci komputerów korzystających z systemu operacyjnego Windows. System Windows używał pomysłu domeny do kontrolowania dostępu do zbioru zasobów sieciowych (aplikacji, drukarek itp.) Dla grupy użytkowników. Użytkownik musi tylko zalogować się do domeny, aby uzyskać dostęp do zasobów, które mogą znajdować się na kilku różnych serwerach w sieci.
Jeden serwer, znany jako podstawowy kontroler domeny, zarządzał podstawową bazą danych użytkowników dla domeny. Jeden lub więcej serwerów zostało zdefiniowanych jako zapasowe kontrolery domeny. Główny kontroler okresowo wysyłał kopie bazy danych do zapasowych kontrolerów domeny. Backup kontroler domeny może zalogować się jako podstawowy kontroler domeny w przypadku awarii serwera PDC, a także może pomóc zrównoważyć obciążenie pracą, jeśli sieć jest wystarczająco zajęta.
W systemie Windows 2000 Server podczas gdy kontrolery domeny były zapisywane, role serwera PDC i BDC zostały w większości zastąpione przez Active Directory. Nie jest już konieczne tworzenie oddzielnych domen w celu oddzielenia uprawnień administracyjnych. Wewnątrz AD możesz delegować uprawnienia administracyjne na podstawie jednostek organizacyjnych. Domeny nie są już ograniczone do 40 000 użytkowników. Domeny AD mogą zarządzać milionami obiektów. Ponieważ nie ma już żadnych PDC i BDC, ustawienia zasad grupy Active Directory stosuje replikację multi-master, a wszystkie kontrolery domeny są typu peer-to-peer.
Jednostki organizacyjne są znacznie bardziej elastyczne i łatwiejsze do zarządzania niż w domenach. Orgity zapewniają niemal nieograniczoną elastyczność, ponieważ można je przenosić, usuwać i tworzyć nowe jednostki w razie potrzeby. Jednak domeny są znacznie ściślejsze w ustawieniach struktury. Domeny mogą być usuwane i ponownie tworzone, ale proces ten destabilizuje środowisko i powinno się go unikać, gdy jest to możliwe.
Witryny to kolekcje podsieci IP, które mają szybkie i niezawodne połączenie między wszystkimi hostami. Innym sposobem utworzenia witryny jest połączenie z siecią lokalną, ale nie z połączeniem WAN, ponieważ połączenia WAN są wolniejsze i mniej niezawodne niż połączenia LAN. Korzystając z witryn, można kontrolować i zmniejszać ruch, który przechodzi przez wolne, globalne kanały sieciowe. Może to prowadzić do bardziej wydajnego przepływu ruchu w zadaniach związanych z wydajnością. Może również zmniejszyć koszt łącza WAN dla usług typu "pay-per-bit".
Inne kluczowe składniki systemu Windows Server w usłudze Active Directory to Kreator infrastruktury (IM), który jest w pełni funkcjonalną usługą FSMO (elastyczny kreator pojedynczej operacji) odpowiedzialny za zautomatyzowany proces przechwytywania nieaktualnych łączy, znanych jako fantomy, w bazie danych usługi Active Directory.
Phantomy są tworzone na kontrolerach domeny, które wymagają powiązania między obiektem w jego własnej bazie danych a obiektem z innej domeny w lesie. Dzieje się tak na przykład po dodaniu użytkownika z jednej domeny do grupy w innej domenie w tym samym lesie. Fantomy są uważane za przestarzałe, gdy nie zawierają już zaktualizowanych danych z powodu zmian dokonanych w obcym obiekcie reprezentowanym przez fantom. Na przykład, gdy obiekt docelowy jest zmieniony, przeniesiony, przeniesiony między domenami lub usunięty. Kapitan infrastruktury jest wyłącznie odpowiedzialny za znajdowanie i naprawianie przestarzałych fantomów. Wszelkie zmiany wprowadzone w wyniku procesu "naprawy" muszą następnie zostać zreplikowane na innych kontrolerach domeny.
Kreator infrastruktury jest czasami mylony z katalogiem globalnym (GC), który obsługuje częściową kopię tylko do odczytu każdej domeny w lesie i, między innymi, jest używany do uniwersalnego przechowywania grup i przetwarzania danych logowania. Ponieważ GC przechowują częściową kopię wszystkich obiektów, mogą tworzyć odwołania między domenami bez potrzeby fantomów.
Microsoft zawiera LDAP (Lightweight Directory Access Protocol) jako składnik Active Directory. LDAP to protokół oprogramowania, który pozwala każdemu użytkownikowi znaleźć organizacje, osoby i inne zasoby, takie jak pliki i urządzenia w sieci, w publicznym Internecie lub w firmowym intranecie.
W sieciach TCP / IP (w tym w Internecie) system nazw domen (DNS) jest systemem katalogowym służącym do kojarzenia nazwy domeny z określonym adresem sieciowym (unikalna lokalizacja sieciowa). Jednak możesz nie znać nazwy domeny. LDAP umożliwia wyszukiwanie osób bez znajomości ich lokalizacji (chociaż dodatkowe informacje pomogą w wyszukiwaniu).
Katalog LDAP jest zorganizowany w prostej hierarchicznej hierarchii składającej się z następujących poziomów:
Katalog główny (lokalizacja źródłowa lub źródło drzewa).
Kraje.
Organizacje.
Jednostki organizacyjne (departamenty).
Osoby (w tym osoby, pliki i udziały, takie jak drukarki).
Katalog LDAP może być dystrybuowany do wielu serwerów. Każdy serwer może mieć replikowaną wersję katalogu współdzielonego, który jest okresowo synchronizowany.
Dla każdego administratora ważne jest zrozumienie, co to jest LDAP. Ponieważ wyszukiwanie informacji w Active Directory i możliwość tworzenia zapytań LDAP są szczególnie przydatne przy wyszukiwaniu informacji przechowywanych w bazie danych AD. Z tego powodu wielu administratorów przywiązuje dużą wagę do opanowania filtru wyszukiwania LDAP.
Trudno dyskutować o AD, nie wspominając o zasadach grupowych. Administratorzy mogą używać zasad grup w Microsoft Active Directory do definiowania ustawień dla użytkowników i komputerów w sieci. Te ustawienia są konfigurowane i przechowywane w tak zwanych obiektach zasad grupy (GPO), które są następnie powiązane z obiektami usługi Active Directory, w tym domenami i lokacjami. Jest to główny mechanizm wprowadzania zmian w komputerach dla użytkowników w środowisku Windows.
Dzięki zarządzaniu zasadami grupy administratorzy mogą globalnie konfigurować ustawienia pulpitu na komputerach użytkowników, ograniczać / zezwalać na dostęp do określonych plików i folderów w sieci.
Ważne jest, aby zrozumieć, w jaki sposób GPO są stosowane i stosowane. Następująca procedura jest dla nich do zaakceptowania: najpierw stosowane są lokalne zasady komputera, następnie zasady serwisu, a następnie zasady domeny, a następnie zasady stosowane do poszczególnych jednostek organizacyjnych. Użytkownik lub obiekt komputerowy może należeć tylko do jednej witryny i jednej domeny w dowolnym momencie, więc będą otrzymywać tylko obiekty zasad grupy powiązane z tą witryną lub domeną.
Obiekty zasad grupy są podzielone na dwie oddzielne części: szablon zasad grupy (GPT) i kontener zasad grupy (GPC). Szablon polityki grupowej jest odpowiedzialny za zachowanie pewnych parametrów utworzonych w obiekcie polityki grupowej i ma zasadnicze znaczenie dla jego sukcesu. Zapisuje te ustawienia w dużej strukturze folderów i plików. Aby ustawienia zostały pomyślnie zastosowane do wszystkich obiektów użytkowników i komputerów, GPT musi zostać zreplikowany do wszystkich kontrolerów w domenie.
Obiekt zasad grupy jest częścią obiektu zasad grupy przechowywanego w usłudze Active Directory, który znajduje się na każdym kontrolerze domeny w domenie. GPC odpowiada za utrzymanie referencji do rozszerzeń klientów (CSE), ścieżkę do GPT, ścieżki do pakietów instalacyjnych oprogramowania i inne referencyjne aspekty GPO. GPC nie zawiera wielu informacji związanych z odpowiednim obiektem GPO, ale jest to konieczne dla funkcji GPO. Po skonfigurowaniu zasad instalacji oprogramowania GPC pomaga utrzymywać łącza powiązane z GPO i przechowuje inne relacyjne linki i ścieżki przechowywane w atrybutach obiektów. Znajomość struktury GPC i sposobu uzyskiwania dostępu do ukrytych informacji przechowywanych w atrybutach opłaca się, gdy trzeba zidentyfikować problem związany z zasadami grupy.
W systemie Windows Server 2003 firma Microsoft opublikowała rozwiązanie do zarządzania zasadami grupy, które służy do agregowania danych w formie przystawki, znanej jako konsola zarządzania zasadami grupy (GPMC). GPMC udostępnia interfejs zarządzania zorientowany na obiekt GPO, który znacznie upraszcza administrację, zarządzanie i lokalizację obiektów GPO. Za pomocą konsoli zarządzania zasadami grupy można tworzyć nowe obiekty zasad grupy, edytować i edytować obiekty, wycinać / kopiować / wklejać obiekty GPO, tworzyć kopie zapasowe obiektów i wykonywać zestaw reguł.
Wraz ze wzrostem liczby zarządzanych obiektów zasad grupy wydajność wpływa na komputery w sieci. Wskazówka: gdy wydajność spada, ogranicz parametry sieciowe obiektu. Czas przetwarzania wzrasta wprost proporcjonalnie do liczby indywidualnych ustawień. Stosunkowo proste konfiguracje, takie jak ustawienia pulpitu lub zasady programu Internet Explorer, mogą nie zajmować dużo czasu, a przekierowanie folderów oprogramowania może poważnie załadować sieć, szczególnie w okresach szczytowego obciążenia.
Oddziel niestandardowe GPO, a następnie wyłącz nieużywaną część. Jedną z najlepszych praktyk zarówno pod względem poprawy wydajności, jak i zmniejszenia zamieszania w zarządzaniu jest utworzenie osobnych obiektów dla parametrów, które będą stosowane na komputerach i osobne dla użytkowników.