Active Directory Gruppepolicy og innstillinger

Funksjonene i Windows lar deg effektivt administrere datanettverk. Dette kan omfatte aspekter ved å kontrollere brukerens tilgang til bestemte ressurser, samt sikre sikkerheten for datautveksling. Blant de mest praktiske og funksjonelle verktøyene for å løse slike problemer er bruken av gruppepolitikk. I Windows er det et spesielt programvaremiljø for å administrere dem - Active Directory. Hva er dens spesifisitet? Hvordan konfigurerer jeg Active Directory?

Hva er gruppepolicy?

Begrepet "gruppepolitikk" forstås å bety sett med regler som brukermiljøet er konfigurert i Windows. Hovedfunksjonen er muligheten til å konfigurere ulike parametere på forskjellige PCer samtidig, i henhold til felles standarder og prinsipper.

Det er løst på et bestemt domene. Prinsippet om å anvende Gruppepolicy er hierarkisk. Den primære vertikale implementeringskanalen fra Windows er Active Directory-katalogen. Grupper av bestemte datamaskiner eller brukere styres basert på algoritmer vedtatt på nivå med bedriftspolitikk innen sikkerhet og kontroll over tilgang til PCen.

Innenfor Active Directory-miljøet opprettes to primære retningslinjer, nemlig standarddomenepolicyen, som har direkte tilknytning til domenet, og standarddomenekontrollørens policy, som er ansvarlig for den tilsvarende kontrollertypen.

Active Directory-funksjoner

Gruppepolicy Active Directory er rangert blant de mest praktiske alternativene for å sette opp PCer og brukermiljøer på datanettverk som kjører Windows. Ved å utnytte dette verktøyet kan selskapet effektivt overvåke nettverket, opprettholde infrastrukturytelsen og forbedre sikkerheten til bedriftsinformasjon.

Egenskapen til Active Directory er, som nevnt ovenfor, den hierarkiske strukturen til det tilsvarende programvaremiljøet. Hovedelementene er objekter. I sin tur kan de bli klassifisert i forskjellige kategorier. Blant de grunnleggende ressursene er ressurser (for eksempel skrivere og annet kontorutstyr), programvaretjenester (for eksempel elektroniske meldingsgrensesnitt), samt firmaansattekontoer og data om datamaskinidentifikasjon. Active Directory-programvaremiljøet kan gi systemadministratorer informasjon om bestemte objekter, administrere dem og angi kriterier knyttet til tilgang til dem.

Objekter som er hovedkomponentene i gruppepolitikken, kan inneholde flere elementer. Disse kan for eksempel være sikkerhetsgrupper. Objektet er preget av en rekke unike egenskaper - et navn, et sett med attributter (for eksempel typer data som den inneholder). Det kan bemerkes at egenskapene til de aktuelle attributter er fastsatt i ordningene som bestemmer spesifikkene til bestemte objekter.

Kriterier for implementering av gruppepolicy

For at et selskap skal kunne utnytte alle fordelene som Active Directory Group Policy gir, må infrastrukturen i sitt eget datanett oppfylle en rekke kriterier. Blant de grunnleggende:

• Nettverket må fungere på grunnlag av Active Directory-tjenester (deres tilstedeværelse er nødvendig i det minste på hovedserveren);
• PCer som er i nettverksstrukturen og hvilke brukermiljøer som skal overvåkes, må fungere under ett domene, og ansatte bruker i sin tur identitetsdataene knyttet til det.
• Systemadministratorer må ha all nødvendig myndighet til å implementere prinsippene for konsernpolitikk i bedriftsnettverket.

La oss se på hvordan Gruppepolicy styres og konfigureres.

Gruppepolicyhåndteringsverktøy og deres innstillinger

I Windows kan du bruke riktig konsoll for å løse det aktuelle problemet. Hvordan starter jeg det? Du må klikke på "Start", deretter gå til "Alle programmer" -menyen, velg "Administrasjon", etter - "Gruppepolicyhåndtering".

Oppsett av Active Directory gjøres ved å redigere gruppepolicyinnstillinger som er direkte relatert til objekter. De kan i sin tur styres direkte ved hjelp av konsollen. Vurder det viktigste med utgangspunkt i praksis med å jobbe med gruppepolitiske grensesnitt av denne programvarekomponenten.

Du kan se Active Directory-objekter i hovedkonsollvinduet. Eksempler på disse er: Regnskapssikkerhet (ansvarlig for sikkerhet), samt de viktigste policyobjektene nevnt ovenfor angående domenet og dets kontroller. Du kan legge merke til at standard domenepolicy er angitt som standard og inneholder parametere som er relevante for alle PCer og brukere i et bestemt domene. I sin tur har Standard Domain Controller Policy et direkte forhold bare til kontrollerne.

Administrer innstillinger

Vurder hvordan du kan konfigurere Active Directory i praksis. For å gjøre noen tilpasninger til de relevante parameterne, må du bruke en spesialisert redaktør. For å gjøre dette, høyreklikker du på "Gruppepolicyhåndtering", og velger deretter "Rediger". Deretter kan du stille inn de nødvendige parametrene. Det er bemerkelsesverdig at det tilsvarende Active Directory-programmet implementert i Windows-grensesnitt lagrer innstillingene automatisk. Det vil si at etter at brukeren har satt de nødvendige parametrene, er de rettet fast i systemet.

Nøkkelparametere

Hvilke deler av konsollgrensesnittet inneholder nøkkelparametrene som påvirker Active Directory-gruppepolicyer? Blant dem - mappen Datamaskinkonfigurasjon, samt brukerkonfigurasjonen. Den første inneholder parametere som er relevante for alle PCer som er koblet til bedriftsnettverket.

Det spiller ingen rolle hvilke ansatte som bruker Active Directory. Autorisasjon under en bestemt innlogging er sekundær i dette tilfellet. Vanligvis konfigurerer grensesnittet for datakonfigurasjon sikkerhetsinnstillinger. I mappen Brukerkonfigurasjon bestemmes parametrene som brukes, i sin tur til bestemte ansatte. Det spiller ingen rolle hvilken datamaskin de skal jobbe med.

Vurder de andre viktige parametrene som en systemadministrator kan bruke til å administrere Active Directory. For eksempel er det i Innstillinger-mappen innstillinger som generelt er ansvarlige for gruppepolicy. I Innstillinger-mappen er innstillingene knyttet til de foretrukne datamaskininnstillingene fanget. De kan påvirke en rekke komponenter i operativsystemet - registeret, filene, mappene. Dette området av innstillinger, forresten, kan ikke bare brukes som et verktøy for å konfigurere Gruppepolicy, men også for å administrere andre typer Windows-funksjoner.

Administrative maler

Blant de mest bemerkelsesverdige komponentene som inkluderer Active Directory-tjenesten, må du nevne administrative maler. Hva er de? Dette er gruppepolicyinnstillinger som er fastsatt i bestemte registernøkler. Deres særegne trekk er at de ikke kan endres av en bruker som har standardrettigheter. Men hvis visse Windows-programmer som er relatert til gruppepolitikkens funksjoner, registrerer dem i registret, blir instruksjonene som er lagt ned i dem, først utført.

Nyanser av redigering av policyinnstillinger

Hva er de viktigste nyansene som preger prosedyren, for eksempel å sette opp Active Directory-gruppepolitikker? Spesialister anbefaler å være spesielt oppmerksom på kjernen til bestemte parametere når det gjelder aktivering eller omvendt frakobling. I noen tilfeller betyr ikke det faktum at en policy ikke fungerer, ikke nødvendigvis at de aktuelle prosessene også deaktiveres, og omvendt. All nødvendig informasjon om bestemte policyparametere registreres vanligvis i den medfølgende tekstmeldingen. En rekke parametre har flere alternativer. Deres spesifisitet, som regel, er også forklart i sertifikatene.

Detaljert undersøkelse av de relevante dataene er hovedbetingelsen for administratoren om ikke å foreta en utilsiktet feil. Active Directory er et programvaremiljø med et stort antall elementer som er ansvarlige for viktige sikkerhets- og nettverksstabilitetsparametere. Spesialisten som er ansvarlig for å jobbe med den, må demonstrere det nødvendige kompetansenivået i styringen av gruppepolitikken.

Arbeide med policyobjekter: opprette elementer

La oss flytte fra teori til praktiske nyanser om å jobbe med gruppepolitikk. Så, blant de vanligste oppgavene til systemadministratorer er opprettelsen av den tilsvarende typen objekter. Vurder hvordan dette skjer.

For å opprette et gruppepolicyobjekt må du åpne administrasjonskonsollen, som vi nevnte ovenfor. Systemadministratoren, som arbeider med tilhørende type elementer, kan bruke metoden til å opprette og koble dem samtidig eller anvende en konsekvent tilnærming. I miljøet av spesialister i arbeid med datanettverk er det første scenariet ganske vanlig. La oss vurdere dens funksjoner.

For å utføre samtidig opprettelse og sammenkobling av det tilsvarende objektet, er det nødvendig å utføre følgende grunnleggende handlinger.

Først åpner du konsollen, høyreklikker på domenet, og velger deretter elementet som gjenspeiler ønsket om å lage objektet, og knytte det til.

For det andre må du beskrive det tilsvarende objektet ved å skrive inn ønsket tekst i "Navn" skjemaet i vinduet "Nytt objekt".

I prinsippet er dette alt som må gjøres. Du må imidlertid kanskje justere innstillingene til objektet. Dette gjøres også ved hjelp av konsollverktøyene.

Redigerer elementer

Så, for å endre innstillingene til objektet, må du utføre følgende handlinger.

Først klikker du på det tilsvarende objektet - så til høyre, i konsollgrensesnittvinduet, vises elementene av denne typen. Et annet alternativ er å velge et domene, hvoretter objektene vil være like tilgjengelige for visning.

For det andre, på høyre side av konsollgrensesnittet, høyreklikk på policyobjektet du vil redigere, og velg alternativet "Rediger". Etter det åpnes det tilsvarende elementet i redigeringsprogrammet, som er inkludert i konsollets struktur.

For det tredje, ved hjelp av det riktige grensesnittet, kan du gjøre de nødvendige endringene i retningslinjene for Active Directory-gruppene. Endringer, som vi nevnte ovenfor, blir løst automatisk.

La oss vurdere et annet scenario, hvor opprettelse og binding av et objekt utføres på forskjellige stadier. Det kan også være nødvendig å utføre denne prosedyren hvis det opprinnelige forholdet mellom de relevante parametrene av en eller annen grunn er brutt.

For å koble et objekt til et bestemt domene, må du utføre følgende handlinger.

Først må du høyreklikke på domenet som du vil binde objektet til, og velg det aktuelle elementet.

For det andre må du klikke på det tilsvarende elementet som vises i vinduet Objektvalg, og deretter bekrefte bindingenes gjennomføring.

Også, om nødvendig, kan du løsne objektet fra det tilsvarende domenet. For å gjøre dette, fortsett som følger.

Først må du klikke i administrasjonskonsollgrensesnittet på domenet som allerede er tilknyttet objektet.

For det andre må du høyreklikke på det tilsvarende objektet, og deretter velge alternativet "Slett".

For det tredje, i vinduet, ved hjelp av elementene som du administrerer retningslinjene, må du bekrefte handlingen.

Gjenopprett gjenstander

I noen tilfeller kan du trenge en spesiell prosedyre for å jobbe med gruppepolitikkobjekter - gjenoppretting. Active Directory - et programvaremiljø der et stort antall prosesser oppstår, og det kan være situasjoner der objekter slettes av en eller annen grunn. Det er imidlertid alltid en sjanse til å gjenopprette sine tidligere versjoner fra sikkerhetskopier som finnes i systemet.

Verktøyene som er nødvendige for å løse det tilsvarende problemet er også tilstede i konsollen, som vi nå undersøker. Med hjelpen kan du gjenopprette både en og flere gjenstander av den aktuelle typen på bekostning av sikkerhetskopier, plassert i en spesiell mappe.

Sekvensen av brukerhandlinger under løsningen av denne oppgaven kan se slik ut.

Først må du klikke på mappen "Gruppepolitikkobjekter" i hovedgrensesnittet til konsollen. Deretter vises de tilsvarende elementene på skjermen.

For det andre må du høyreklikke på mappen "Gruppepolitikkobjekter", og deretter velge alternativet "Administrer sikkerhetskopier."

For det tredje må du velge stedet der sikkerhetskopien av de tilsvarende innstillingene ligger, ved hjelp av en spesialliste som er tilgjengelig i dialogboksen til grensesnittet. Du kan også bruke Browse-knappen, og deretter manuelt velge mappen som inneholder filene du trenger.

Etter å ha utført de tilsvarende operasjonene, er det nødvendig å være oppmerksom på listen over "Backup kopier". Der vil de tilgjengelige gjenstandene bli vist. Du må velge de du vil ha. Deretter klikker du på knappen som starter gjenopprettingsprosessen. Kanskje vil flere versjoner av objektet være tilgjengelige. I dette tilfellet vil det være nyttig å bruke et spesielt flagg, som lar deg vise bare de siste sikkerhetskopiene av gruppepolitiske objekter på grensesnittskjermen.

Deretter må du kontrollere hvor vellykket operasjonen ble utført (den nødvendige informasjonen vil bli vist i dialogboksen), og deretter klikke på "OK" -knappen. Slik gjenopprettes Active Directory til de eksterne objektene i det tilsvarende bedriftsnettverksadministrasjonssystemet.