Dobri-porady.pp.ua
Поради для маленьких і великих

Групові політики Active Directory і їх налаштування

Можливості ОС Windows дозволяють здійснювати ефективне управління комп'ютерними мережами. Це може стосуватися аспектів контролю доступу користувачів до тих чи інших ресурсів, а також забезпечення безпеки обміну даними. У числі найбільш зручних і функціональних інструментів вирішення подібних завдань - залучення групових політик. В ОС Windows передбачена особлива програмне середовище для управління ними Active Directory. У чому її специфіка? Яким чином здійснюється налаштування Active Directory?

Що таке групова політика?

Під терміном «групова політика» прийнято розуміти сукупність правил, за якими здійснюється настроювання середовища користувача в ОС Windows. Головне її визначна властивість - можливість настроювати різні параметри на різних ПК одночасно, за єдиним стандартам та принципам.

Групповые политики Active Directory

Фіксується вона на конкретному домені. Принцип застосування групової політики - ієрархічний. Основний канал вертикальної реалізації, передбачений в Windows, - це каталог Active Directory. Групи тих або інших комп'ютерів або користувачів управляються, виходячи з алгоритмів, які приймаються на рівні корпоративної політики в сфері безпеки і контролю доступу до ПК.

Восстановление Active Directory

В рамках середовища Active Directory створюються дві основні політики, а саме Default Domain Policy, що має відношення безпосередньо до домену, а також Default Domain Controller's Policy, яка відповідає за відповідного типу контролер.

Особливості Active Directory

Групові політики Active Directory зараховуються до найзручнішим варіантами налаштування ПК і користувальницьких середовищ в комп'ютерних мережах, що працюють під управлінням Windows. Використовуючи цей інструмент, компанія може здійснювати ефективний контроль над роботою мережі, підтримувати продуктивність інфраструктури, підвищувати ступінь захищеності корпоративної інформації.

Особливість Active Directory - це, як ми зазначили вище, ієрархічна структура відповідної програмної середовища. Основні її елементи - об'єкти. У свою чергу, їх можна класифікувати на різні категорії. В числі базових - ресурси (такими можуть бути, наприклад, принтери та інша офісна техніка), програмні служби (наприклад, інтерфейси обміну електронними повідомленнями), а також облікові записи співробітників компанії та ідентифікаційні дані про комп'ютерах. Програмна середа Active Directory може надавати системного адміністратора відомості про тих чи інших об'єктах, здійснювати управління ними, задавати критерії, що стосуються доступу до них.

Об'єкти, які є основними компонентами групових політик, можуть вміщати в себе додаткові елементи. Це можуть бути, наприклад, групи безпеки. Об'єкт характеризується рядом унікальних ознак - ім'ям, сукупністю атрибутів (наприклад, типів даних, які він включає в себе). Можна зазначити, що властивості атрибутів, про яких йде мова, фіксуються в схемах, що визначають специфіку тих чи інших об'єктів.

Критерії реалізації групової політики

Для того щоб у компанії була можливість задіяти всі переваги, які дають групові політики Active Directory, інфраструктура належить їй комп'ютерної мережі повинна відповідати ряду критеріїв. В числі базових:

  • мережа повинна функціонувати на базі Active Directory (їх присутність необхідна хоча б на головному сервері);
  • ПК, що знаходяться в структурі мережі і щодо яких буде здійснюватися контроль користувальницьких середовищ, повинні працювати під одним доменом, а співробітники, у свою чергу, - використовувати в роботі ідентифікаційні дані, прив'язані до нього;
  • системні адміністратори повинні володіти всіма необхідними повноваженнями для впровадження принципів групової політики в корпоративній мережі.
  • Розглянемо тепер, яким чином здійснюється управління груповими політиками, а також їх налаштування.

    Інструменти управління груповими політиками і їх налаштування

    В ОС Windows для вирішення завдання, про яку йде мова, можна використовувати відповідну консоль. Як її запустити? Потрібно натиснути на «Пуск», потім перейти в меню «Всі програми», вибрати «Адміністрування», після - «Управління груповими політиками».

    Настройка Active Directory

    Налаштування Active Directory здійснюється за допомогою редагування параметрів групової політики, які безпосереднім чином пов'язані з її об'єктами. Вони, в свою чергу, можуть управлятися безпосередньо з консолі, про яку йде мова. Розглянемо найбільш значущі з точки зору практики роботи з груповими політиками інтерфейси даного програмного компонента.

    Об'єкти Active Directory можна побачити в головному вікні консолі. Приклади таких: Accounting Security (відповідає за безпеку), а також зазначені вище ключові об'єкти політики, що стосуються домена і його контролера. Можна помітити, що Default Domain Policy задається за замовчуванням і включає в себе параметри, актуальні для всіх користувачів ПК і в рамках конкретного домену. У свою чергу, політика Default Domain Controller Policy має безпосереднє відношення тільки до контролерів.

    Управління параметрами

    Розглянемо, яким чином може здійснюватися налаштування Active Directory на практиці. Для того щоб внести ті чи інші корективи в відповідні параметри, необхідно задіяти спеціалізований редактор. Щоб зробити це, потрібно клацнути правою кнопкою миші на опції «Управління груповими політиками», а потім вибрати пункт «Правити». Після цього можна виставляти потрібні параметри. Примітно, що відповідна програма Active Directory, реалізована в інтерфейсах Windows, зберігає налаштування автоматично. Тобто після того, як користувач виставить необхідні параметри, вони тут же зафіксуються в системі.

    Ключові параметри

    В яких розділах інтерфейсу консолі містяться ключові параметри, що впливають на групові політики Active Directory? У числі таких - папки Computer Configuration, а також User Configuration. У першій містяться параметри, які актуальні для всіх ПК, підключених до корпоративної мережі.

    Объекты Active Directory

    Неважливо, які саме працівники користуються Active Directory. Авторизація під конкретним логіном в даному випадку другорядна. Як правило, в інтерфейсі Computer Configuration фіксуються налаштування безпеки. В папці User Configuration визначаються параметри, що застосовуються, у свою чергу, до конкретним співробітникам. Неважливо, на якому саме комп'ютері вони збираються працювати.

    Розглянемо інші ключові параметри, які може задіяти системний адміністратор, що здійснює управління Active Directory. Наприклад, в папці Policies розташовуються налаштування, які в цілому відповідають за групову політику. У папці Preferences фіксуються параметри, що мають відношення до кращим налаштувань комп'ютера. Вони можуть зачіпати різні компоненти операційної системи - реєстру, файли, папки. Дана область налаштувань, до речі, може використовуватися не тільки як інструмент настройки групової політики, але і для управління іншого типу функціями Windows.

    Адміністративні шаблони

    У числі найбільш примітних компонентів, які включає в себе служба Active Directory, потрібно згадати адміністративні шаблони. Що вони являють собою? Це параметри групової політики, що фіксуються в спеціальних розділах реєстру. Їх відмінна особливість в тому, що вони не можуть бути змінені користувачем, мають стандартні права. Однак якщо ті чи інші програми Windows, що мають відношення до функцій групових політик, виявляють їх в реєстрі, то виконують в першу чергу інструкції, закладені в них.

    Нюанси редагування параметрів політики

    Які найбільш важливі нюанси, які характеризують таку процедуру, як налаштування групових політик Active Directory? Фахівці рекомендують звертати особливу увагу на сутність конкретних параметрів з точки зору їх активізації або, навпаки, відключення. У деяких випадках той факт, що та чи інша політика не функціонує, зовсім не обов'язково буде означати, що релевантні їй процеси також дезактивуються, і навпаки. Уся необхідна інформація щодо тих чи інших параметрів політик зазвичай фіксується в супроводжує їх довідковому текстовому повідомленні. Ряд параметрів при цьому має додаткові опції. Їх специфіка, як правило, також роз'яснюється в довідках.

    Active Directory группы

    Докладне вивчення відповідних даних - головна умова того, щоб адміністратором не була допущена випадкова помилка. Active Directory - це програмне середовище з великою кількістю елементів, що відповідають за ключові параметри безпеки і стійкості мережі. Спеціаліст, відповідальний за роботу з нею, повинен виявляти необхідний рівень компетентності в частині управління груповими політиками.

    Практика роботи з об'єктами політики: створення елементів

    Перейдемо від теорії до практичних нюансів, що стосуються роботи з груповими політиками. Так, в числі найпоширеніших завдань системних адміністраторів - створення відповідного типу об'єктів. Розглянемо, яким чином це відбувається.

    Настройка групповых политик Active Directory

    Для того щоб створити об'єкт групової політики, необхідно відкрити консоль управління, про яку ми згадували вище. Системний адміністратор, працюючи з відповідного типу елементами, може використовувати методологію одночасного їх створення і зв'язування або ж застосувати послідовний підхід. У середовищі фахівців по роботі з комп'ютерними мережами досить поширений перший сценарій. Розглянемо його особливості.

    Для того щоб здійснити одночасне створення та зв'язування відповідного об'єкта, необхідно зробити наступні основні дії.

    По-перше, відкривши консоль, клацнути правою кнопкою миші на домені, після чого вибрати пункт, який відображає бажання створити об'єкт, і зв'язати його.

    По-друге, необхідно описати відповідний об'єкт, ввівши потрібний текст у форму «Ім'я», розташовану у вікні «Новий об'єкт».

    В принципі, це все, що потрібно зробити. Разом з тим може виникнути необхідність у коригуванні параметрів об'єкта. Це також робиться з допомогою інструментів консолі.

    Редагування елементів

    Так, для того щоб змінити налаштування об'єкта, необхідно зробити наступні дії.

    По-перше, клацнути на відповідному об'єкті - так, щоб праворуч у вікні інтерфейсу консолі, елементи даного типу відобразилися. Інший варіант - вибрати домен, після чого об'єкти аналогічним чином стануть доступними для перегляду.

    По-друге, в правій частині інтерфейсу консолі необхідно клацнути правою кнопкою мишки на об'єкті політики, який потрібно відредагувати, і вибрати опцію «Правити». Після цього відповідний елемент відкриється в редакторі, який входить в структуру консолі.

    По-третє, з допомогою відповідного інтерфейсу можна внести необхідні правки в групові політики Active Directory. Зміни, як ми зазначили вище, фіксуються автоматично.

    Розглянемо інший сценарій, при якому створення та зв'язування об'єкта здійснюються на різних етапах. Також може знадобитися проведення даної процедури, якщо з якихось причин споконвічний зв'язок між відповідними параметрами була розірвана.

    Для того, щоб зв'язати об'єкт з тим чи іншим доменом, необхідно зробити наступні дії.

    По-перше, потрібно клацнути правою клавішею миші на домені, з якими потрібно здійснити зв'язування об'єкта, і вибрати відповідний пункт.

    По-друге, потрібно клацнути на відповідному елементі, який відображається у вікні «Вибір об'єкта», після чого підтвердити здійснення зв'язування.

    Також при необхідності можна відв'язати об'єкт від відповідного домену. Для цього необхідно виконати наступні дії.

    По-перше, потрібно в інтерфейсі консолі управління клацнути на домені, який вже пов'язаний з об'єктом.

    По-друге, необхідно клацнути правою кнопкою мишки на відповідному об'єкті, після чого вибрати опцію «Видалити».

    По-третє, у вікні, за допомогою елементів якого здійснюється керування політиками, потрібно підтвердити дію.

    Відновлення елементів

    У ряді випадків може знадобитися особлива процедура роботи з об'єктами групової політики - відновлення. Active Directory - програмне середовище, у якій відбувається велика кількість процесів, при цьому можуть виникати ситуації, при яких об'єкти з якихось причин видаляються. Проте завжди є шанс відновлення попередніх версій з резервних копій, існуючих в системі.

    Служба Active Directory

    Інструменти, необхідні для розв'язування відповідної задачі, також присутні в консолі, яку ми сьогодні розглянемо. З їх допомогою можна здійснити відновлення як одного, так і декількох об'єктів відповідного типу за рахунок резервних копій, розташованих в спеціальній папці.

    Послідовність дій користувача в ході вирішення даної задачі може виглядати так.

    По-перше, необхідно в головному інтерфейсі консолі клацнути на папці «Об'єкти групової політики». Після цього на екрані відображаються відповідні елементи.

    По-друге, необхідно клацнути правою кнопкою мишки на теці «Об'єкти групової політики», після чого вибрати опцію «Управління резервними копіями».

    По-третє, необхідно вибрати місце, де розташовується резервна копія відповідних налаштувань, за допомогою спеціального списку, доступного в діалоговому вікні інтерфейсу. Можна також використовувати кнопку «Огляд», після чого вручну вибрати папку, в якій знаходяться потрібні файли.

    Після проведення відповідних операцій необхідно звернути увагу на список «Резервні копії». Там будуть відображатися доступні для відновлення елементи. Необхідно вибрати потрібні. Після цього натиснути на кнопку, яка запускає процес відновлення. Можливо, виявляться доступними кілька версій об'єкта. У цьому випадку корисно буде використовувати спеціальний параметр, за допомогою якого задається відображення на екрані інтерфейсу тільки найсвіжіших резервних копій об'єктів групової політики.

    Далі потрібно перевірити, наскільки успішно здійснена операція (у діалоговому вікні відображаються необхідні відомості), після чого натиснути на кнопку «OK». Так здійснюється відновлення Active Directory в частині віддалених об'єктів відповідної системи управління корпоративної комп'ютерної мережею.