Pravila skupine Active Directory: Nastavitve
Pravilnik skupine je hierarhična infrastruktura, ki omogoča skrbniku omrežja, ki je odgovoren za Microsoft Active Directory, izvajanje določenih konfiguracij za uporabnike in računalnike. Pravila skupine lahko uporabite tudi za definiranje uporabniških, varnostnih in omrežnih pravilnikov na ravni računalnika.
Opredelitev
Skupine Active Directory skrbnikom pomagajo določiti, kaj lahko storijo uporabniki v omrežju, vključno z datotekami, mapami in aplikacijami, do katerih bodo dostopali. Zbirke uporabniških in računalniških nastavitev se imenujejo GPO, ki se upravljajo iz osrednjega vmesnika, imenovanega upravljalna konzola. Pravila skupine lahko upravljate tudi z orodji ukazne vrstice, kot so gpresult in gpupdate. 
V Strežnik Windows Dodane so bile nastavitve za leto 2008, znane kot izbire skupinskih politik, ki skrbnikom omogočajo boljšo osredotočenost in prilagodljivost.
Active Directory - kaj je to
Preprosto povedano, Active Directory je imeniška storitev, ki temelji na blagovni znamki Microsoft, in je bistveni del arhitekture sistema Windows. Podobno kot druge imeniške storitve, kot je na primer Novell Directory Services, je AD centraliziran in standardiziran sistem, ki samodejno programira upravljanje podatkov, varnosti in virov v omrežju ter omogoča tudi interakcijo z drugimi imeniki. Active Directory je zasnovan posebej za porazdeljena omrežna okolja.
Active Directory je postal nova funkcija za Windows 2000 Server in je bil izboljšan leta 2003, zaradi česar je še bolj pomemben del operacijskega sistema. Windows Server 2003 AD ponuja eno povezavo, imenovano storitev imenika, za vse objekte v omrežju, vključno z uporabniki, skupinami, računalniki, tiskalniki, pravilniki in dovoljenji.
Nastavitev Active Directory za uporabnika ali skrbnika zagotavlja en sam hierarhični pogled, s katerim je mogoče upravljati vse omrežne vire.
Zakaj izvajati Active Directory
Obstaja veliko razlogov za izvajanje tega sistema. Prvič, Microsoft Active Directory se običajno šteje za znatno izboljšanje glede na domene Windows NT Server 4.0 ali celo avtonomnih strežniških omrežij. AD ima centraliziran upravni mehanizem v celotnem omrežju. Prav tako zagotavlja redundanco in toleranco napak pri uvajanju dveh ali več krmilnikov domene v domeno.
Storitev samodejno upravlja izmenjavo podatkov med krmilniki domen, tako da omrežje ostane izvedljivo. Uporabniki imajo dostop do vseh virov v omrežju, za katere so pooblaščeni z uporabo enojne prijave. Vsi viri v omrežju so zaščiteni z robustnim varnostnim mehanizmom, ki preverja avtentikacijo uporabnikov in pooblastila za vsak dostop.
Tudi z izboljšano varnostjo in nadzorom Active Directory je večina njegovih funkcij končnim uporabnikom nevidna. V zvezi s tem migracija uporabnikov na AD omrežje zahteva malo prekvalifikacije. Storitev ponuja sredstva za hitro napredovanje in zniževanje števila krmilnikov domen in strežnikov članov. Sistem je mogoče upravljati in zaščititi s pravilniki skupine Active Directory. To je fleksibilen hierarhični organizacijski model, ki omogoča enostavno upravljanje in podrobno opredelitev specifičnega prenosa upravnih odgovornosti. AD je sposoben upravljati milijone objektov znotraj ene domene.
Glavni odseki
Knjige pravilnikov skupine Active Directory so organizirane z uporabo štirih tipov particij ali kontejnerskih struktur. Te štiri divizije so gozdovi (gozdovi), domene, organizacijske enote in spletne strani:
Forest - zbirka vsakega predmeta, njegovih atributov in skladnje.
Domain - niz računalnikov, ki uporabljajo skupen nabor pravilnikov, ime in podatkovno bazo svojih članov.
Organizacijske enote so kontejnerji, v katere se lahko združijo domene. Ustvarjajo hierarhijo za domeno in ustvarjajo strukturo podjetja v geografskih ali organizacijskih pogojih.
Mesta so fizične skupine, ki niso odvisne od območja in strukture organizacijskih enot. Mesta razlikujejo med lokacijami, ki so povezane z nizkimi in hitrimi povezavami, in so definirane z eno ali več podmrežami IP.
Gozdovi niso omejeni na geografijo ali topologijo omrežja. En gozd lahko vsebuje več domen, od katerih ima vsaka splošno shemo. Člani iste gozdne domene niti ne potrebujejo namenske povezave LAN ali WAN. Enotno omrežje je lahko tudi dom več neodvisnih gozdov. Na splošno je treba za vsak pravni subjekt uporabiti en gozd. Vendar pa so za preskušanje in raziskovalne namene zunaj proizvodnega gozda lahko zaželeni dodatni gozdovi.
Domene
Domene Active Directory služijo kot vsebniki za varnostne pravilnike in skrbniške dodelitve. Privzeto so vsi predmeti v njih predmet skupinskih pravilnikov. Podobno lahko vsak skrbnik upravlja vse objekte znotraj domene. Poleg tega ima vsaka domena svojo edinstveno bazo podatkov. Tako je avtentikacija osnovana na domeni. Po overjanju uporabniškega računa ta račun pridobi dostop do virov.
Če želite konfigurirati pravilnike skupine v Active Directory, je potrebna ena ali več domen. Kot smo že omenili, je domena AD niz računalnikov, ki uporabljajo skupen nabor pravilnikov, ime in bazo podatkov svojih članov. Domena mora imeti enega ali več strežnikov, ki služijo kot krmilniki domen (DC) in shranjujejo bazo podatkov, pravilnike za podporo in zagotavljajo overjanje za prijavo.
Krmilniki domen
V operacijskem sistemu Windows NT sta osnovni krmilnik domene (PDC) in rezervni nadzornik domene (BDC) vloga, ki ju je mogoče dodeliti strežniku v omrežju računalnikov z operacijskim sistemom Windows. Windows uporablja idejo domene za nadzor dostopa do niza omrežnih virov (aplikacij, tiskalnikov itd.) Za skupino uporabnikov. Uporabnik se mora prijaviti samo v domeno, da lahko dostopa do virov, ki se lahko nahajajo na več različnih strežnikih v omrežju. 
En strežnik, znan kot primarni krmilnik domene, je upravljal primarno uporabniško bazo podatkov za domeno. Eden ali več strežnikov je bilo opredeljenih kot krmilniki domene za varnostno kopiranje. Primarni krmilnik periodično pošilja kopije baze podatkov v rezervne krmilnike domene. Nadomestni krmilnik domene se lahko prijavi kot primarni krmilnik domene v primeru, da strežnik PDC ne uspe, in lahko tudi pomaga uravnotežiti delovno obremenitev, če je omrežje dovolj zasedeno.
Prenos in konfiguracija storitve Active Directory
V operacijskem sistemu Windows 2000 Server, medtem ko so bili krmilniki domen shranjeni, so bile vloge strežnika PDC in BDC večinoma nadomeščene z Active Directory. Za ločevanje upravnih privilegijev ni več potrebno ustvarjati ločenih domen. V AD lahko upravne pravice prenesete na podlagi organizacijskih enot. Domene niso več omejene na 40.000 uporabnikov. Domene AD lahko upravljajo milijone objektov. Ker ni več PDC-jev ali BDC-jev, nastavitve skupinskih pravil Active Directory veljajo za podvojevanje z več glavniki in vsi krmilniki domene so enakovredni.
Organizacijska struktura
Organizacijske enote so veliko bolj prilagodljive in lažje obvladljive kot na področjih. Orgite vam omogočajo skoraj neomejeno prilagodljivost, saj jih lahko premaknete, izbrišete in ustvarite nove enote, kot je potrebno. Vendar pa so domene veliko strožje v svojih nastavitvah strukture. Domene je mogoče izbrisati in ponovno ustvariti, vendar ta proces destabilizira okolje in se ga je treba izogibati, kadar je to mogoče. 
Mesta so zbirke IP podomrež, ki imajo hitro in zanesljivo povezavo med vsemi gostitelji. Drug način ustvarjanja spletnega mesta je povezava z lokalnim omrežjem, ne pa tudi povezave WAN, saj so povezave WAN veliko počasnejše in manj zanesljive kot povezave LAN. Z uporabo spletnih mest lahko nadzorujete in zmanjšate količino prometa, ki poteka skozi počasne globalne omrežne kanale. To lahko privede do učinkovitejšega pretoka prometa za izvajanje nalog. Lahko tudi zmanjša stroške povezave WAN za storitve s plačilom na bit.
Čarovnik za infrastrukturo in globalni imenik
Druge ključne komponente sistema Windows Server v storitvi Active Directory vključujejo čarovnika za infrastrukturo (IM), ki je celovita storitev FSMO (čarovnik za fleksibilno delovanje), ki je odgovoren za avtomatiziran proces, ki zajame zastarele povezave, znane kot fantomi, v podatkovni zbirki Active Directory.
Fantomi se ustvarijo na DC-jih, ki zahtevajo navzkrižno sklicevanje med objektom v njegovi lastni bazi podatkov in objektom iz druge domene v gozdu. To se na primer zgodi, če uporabnika dodate iz ene domene v skupino v drugi domeni v istem gozdu. Fantomi se štejejo za zastarele, če ne vsebujejo več posodobljenih podatkov zaradi sprememb tujega predmeta, ki ga predstavlja fantom. Na primer, ko se ciljni predmet preimenuje, premakne, premakne med domenami ali izbriše. Poveljnik infrastrukture je edini odgovoren za iskanje in popravljanje zastarelih fantomov. Vse spremembe, ki so nastale kot posledica postopka "popravila", je treba nato podvojiti na druge krmilnike domene.
Čarovnik za infrastrukturo se včasih zamenja z globalnim katalogom (GC), ki podpira delno kopijo vsake domene v gozdu samo za branje in se med drugim uporablja za univerzalno skupinsko shranjevanje in obdelavo prijave. Ker GC shranjujejo delno kopijo vseh objektov, lahko ustvarijo navzkrižno domensko referenco, ne da bi potrebovali fantome.
Active Directory in LDAP
Microsoft vključuje LDAP (Lightweight Directory Access Protocol) kot komponento Active Directory. LDAP je protokol programske opreme, ki vsakemu uporabniku omogoča, da najde organizacije, posameznike in druge vire, kot so datoteke in naprave v omrežju, bodisi na javnem internetu ali v intranetu podjetja.
Na omrežjih TCP / IP (vključno z internetom) je sistem domenskih imen (DNS) sistem imenikov, ki se uporablja za povezovanje imena domene z določenim omrežnim naslovom (edinstveno omrežno lokacijo). Vendar pa imena domene morda ne poznate. LDAP vam omogoča iskanje ljudi, ne da bi vedel, kje so (čeprav bodo dodatne informacije pomagale pri iskanju).
Imenik LDAP je organiziran v preprosti hierarhični hierarhiji, ki vsebuje naslednje ravni:
Korenski imenik (izvorna lokacija ali vir drevesa).
Države.
Organizacije.
Organizacijske enote (oddelki).
Posamezniki (vključno z ljudmi, datotekami in delnicami, kot so tiskalniki).
Imenik LDAP se lahko razdeli na veliko strežnikov. Vsak strežnik ima lahko podvojeno različico imenika v skupni rabi, ki se redno sinhronizira.
Za vsakega skrbnika je pomembno razumeti, kaj je LDAP. Ker je iskanje informacij v imeniku Active Directory in možnost ustvarjanja poizvedb LDAP še posebej uporabno pri iskanju informacij, shranjenih v podatkovni zbirki AD. Zaradi tega veliko skrbnikov namenja veliko pozornosti obvladovanju filtra za iskanje LDAP.
Pravila skupine in upravljanje Active Directory
Težko je razpravljati o AD, ne da bi omenila politiko skupine. Skrbniki lahko s pravilniki skupine v programu Microsoft Active Directory določijo nastavitve za uporabnike in računalnike v omrežju. Te nastavitve so konfigurirane in shranjene v tako imenovanih predmetih pravilnika skupine (GPO), ki so nato povezani z objekti Active Directory, vključno z domenami in spletnimi mesti. To je glavni mehanizem za uporabo sprememb računalnikov za uporabnike v okolju Windows.
Zahvaljujoč upravljanju pravilnikov skupine lahko skrbniki globalno konfigurirajo nastavitve namizja na uporabniških računalnikih, omejijo / dovolijo dostop do določenih datotek in map v omrežju. 
Aplikacija pravilnika skupine
Pomembno je razumeti, kako se GPO uporabljajo in uporabljajo. Naslednji postopek je za njih sprejemljiv: najprej se uporabijo pravilniki o lokalnih računalnikih, nato pravilniki o spletnem mestu, nato pravilniki o domeni in nato pravila, ki se uporabljajo za posamezne organizacijske enote. Uporabnik ali računalnik lahko kadar koli pripadata samo enemu spletnemu mestu in eni domeni, tako da bosta prejemala le predmete za skupinsko rabo, ki so povezani s tem spletnim mestom ali domeno.
Objektna struktura
Predmeti skupinske rabe so razdeljeni na dva ločena dela: predlogo pravilnika skupine (GPT) in vsebnik pravilnika skupine (GPC). Predloga pravilnika skupine je odgovorna za ohranjanje določenih parametrov, ustvarjenih v predmetu pravilnika skupine, in je bistvena za njegov uspeh. Te nastavitve shrani v veliko mapo in strukturo datotek. Če želite, da bodo nastavitve uspešno uporabljene za vse uporabniške in računalniške objekte, mora biti GPT podvojena na vse krmilnike v domeni.
GPO je del GPO, shranjenega v imeniku Active Directory, ki se nahaja na vsakem krmilniku domene v domeni. GPC je odgovoren za vzdrževanje povezav do razširitev odjemalcev (CSE), poti do GPT, poti do namestitvenih paketov programske opreme in drugih referenčnih vidikov GPO. GPC ne vsebuje veliko informacij, povezanih z ustreznim predmetom GPO, vendar je potreben za funkcionalnost GPO. Ko so pravila za namestitev programske opreme konfigurirana, GPC pomaga vzdrževati povezave, povezane z GPO, in shranjuje druge relacijske povezave in poti, shranjene v atributih objekta. Poznavanje strukture GPC-ja in dostop do skritih informacij, shranjenih v atributih, se bo izplačalo, ko boste morali identificirati težavo, povezano s politiko skupine. 
V operacijskem sistemu Windows Server 2003 je Microsoft izdal rešitev za upravljanje politik skupine kot sredstvo za združevanje podatkov v obliki snap-ina, znanega kot konzola za upravljanje pravilnikov skupine (GPMC). GPMC zagotavlja vmesnik za upravljanje, usmerjen v GPO, ki močno poenostavlja upravljanje, upravljanje in lokacijo predmetov skupne rabe. Preko GPMC lahko ustvarite nove GPO, uredite in uredite predmete, izrežete / kopirate / prilepite GPO, izdelate varnostne kopije objektov in izvedete nastali niz pravilnikov.
Optimizacija
S povečanjem števila upravljanih predmetov splošne narave uspešnost vpliva na naprave v omrežju. Nasvet: če se učinkovitost zmanjša, omejite omrežne parametre objekta. Čas obdelave se poveča v sorazmerju s številom posameznih nastavitev. Razmeroma preproste konfiguracije, kot so nastavitve namizja ali pravilniki Internet Explorerja, morda ne bodo trajale dolgo, medtem ko lahko preusmerjanje map programske opreme resno obremeni omrežje, zlasti v konicah.
Ločite predmete za pisanje po meri in onemogočite neuporabljen del. Ena od najboljših praks za izboljšanje zmogljivosti in zmanjšanje zmede pri upravljanju je ustvariti ločene objekte za parametre, ki bodo uporabljeni za računalnike in ločeni za uporabnike.