Criteri di gruppo di Active Directory: Impostazioni

16/05/2019

Criteri di gruppo è un'infrastruttura gerarchica che consente a un amministratore di rete responsabile di Microsoft Active Directory di implementare configurazioni specifiche per utenti e computer. I Criteri di gruppo possono anche essere utilizzati per definire i criteri di utente, sicurezza e di rete a livello di macchina.

definizione

I gruppi di Active Directory aiutano gli amministratori a determinare cosa possono fare gli utenti sulla rete, inclusi file, cartelle e applicazioni a cui accederanno. Le raccolte di impostazioni utente e computer sono chiamate oggetti Criteri di gruppo, che vengono amministrate da un'interfaccia centrale chiamata console di gestione. I Criteri di gruppo possono anche essere controllati utilizzando strumenti da riga di comando come gpresult e gpupdate. politiche del gruppo di directory attive

il Server Windows Sono state aggiunte le impostazioni del 2008, note come scelte di policy di gruppo, per fornire agli amministratori maggiore attenzione e flessibilità.

Active Directory: cos'è?

In termini semplici, Active Directory è un servizio di directory basato su marchio Microsoft, che è una parte obbligatoria dell'architettura di Windows. Come altri servizi di directory come Novell Directory Services, AD è un sistema centralizzato e standardizzato che programma automaticamente la gestione della rete di dati, sicurezza e risorse e consente inoltre di interagire con altre directory. Active Directory è progettato specificamente per ambienti di rete distribuiti.

impostazione dei criteri di gruppo nella directory attiva

Active Directory è diventata una nuova funzionalità per Windows 2000 Server ed è stata migliorata nel 2003, il che lo rende una parte ancora più importante del sistema operativo. Windows Server 2003 AD fornisce un singolo collegamento denominato servizio di directory per tutti gli oggetti su una rete, inclusi utenti, gruppi, computer, stampanti, criteri e autorizzazioni.

Per un utente o un amministratore, l'impostazione di Active Directory offre un'unica vista gerarchica da cui è possibile gestire tutte le risorse di rete.

Perché implementare Active Directory

Ci sono molte ragioni per implementare questo sistema. Innanzitutto, Microsoft Active Directory viene generalmente considerato un miglioramento significativo rispetto ai domini Windows NT Server 4.0 o persino alle reti di server autonome. L'AD ha un meccanismo di amministrazione centralizzato su tutta la rete. Fornisce inoltre ridondanza e tolleranza agli errori durante la distribuzione di due o più controller di dominio in un dominio.

Il servizio gestisce automaticamente lo scambio di dati tra i controller di dominio in modo che la rete rimanga valida. Gli utenti ottengono l'accesso a tutte le risorse della rete per le quali sono autorizzate mediante Single Sign-On. Tutte le risorse sulla rete sono protette da un robusto meccanismo di sicurezza che verifica l'autenticazione dell'utente e l'autorizzazione delle risorse per ogni accesso.

Anche con una maggiore sicurezza e controllo di Active Directory, la maggior parte delle sue funzionalità sono invisibili agli utenti finali. A questo proposito, la migrazione degli utenti alla rete AD richiede un po 'di riqualificazione. Il servizio offre i mezzi per far avanzare e downgrade rapidamente i controller di dominio e i server membri. Il sistema può essere gestito e protetto utilizzando le policy di gruppo di Active Directory. Si tratta di un modello organizzativo gerarchico flessibile che semplifica la gestione e il dettaglio di una specifica delega di responsabilità amministrative. AD è in grado di gestire milioni di oggetti all'interno di un dominio.

Sezioni principali

I registri dei criteri di gruppo di Active Directory sono organizzati utilizzando quattro tipi di partizioni o strutture contenitore. Queste quattro divisioni sono foreste (foreste), domini, unità organizzative e siti Web:

  • Foresta: una raccolta di ogni oggetto, i suoi attributi e la sintassi.

  • Dominio: un insieme di computer che utilizzano un insieme comune di criteri, il nome e il database dei membri.

  • Le unità organizzative sono contenitori in cui è possibile raggruppare i domini. Crea una gerarchia per il dominio e crea una struttura aziendale in condizioni geografiche o organizzative.

  • I siti sono raggruppamenti fisici che non dipendono dall'area e dalla struttura delle unità organizzative. I siti distinguono tra località collegate da connessioni a bassa e alta velocità e sono definite da una o più subnet IP.

impostazione della directory attiva

Le foreste non si limitano alla geografia o alla topologia di rete. Una foresta può contenere più domini, ognuno dei quali ha uno schema generale. I membri dello stesso dominio foresta non hanno nemmeno bisogno di una connessione LAN o WAN dedicata. Una singola rete può anche ospitare diverse foreste indipendenti. In generale, è necessario utilizzare una foresta per ogni entità legale. Tuttavia, ulteriori foreste potrebbero essere desiderabili per scopi di test e di ricerca al di fuori della foresta di produzione.

domini

I domini di Active Directory fungono da contenitori per le politiche di sicurezza e le assegnazioni amministrative. Per impostazione predefinita, tutti gli oggetti in essi contenuti sono soggetti a criteri di gruppo. Allo stesso modo, qualsiasi amministratore può gestire tutti gli oggetti all'interno di un dominio. Inoltre, ogni dominio ha il proprio database univoco. Pertanto, l'autenticazione è basata sul dominio. Dopo aver autenticato un account utente, questo account ottiene l'accesso alle risorse.

Per configurare i criteri di gruppo in Active Directory, sono richiesti uno o più domini. Come accennato in precedenza, un dominio AD è un insieme di computer che utilizzano un insieme comune di criteri, il nome e il database dei loro membri. Un dominio deve avere uno o più server che fungono da controller di dominio (DC) e archiviare il database, supportare le politiche e fornire l'autenticazione per l'accesso.

Controller di dominio

In Windows NT, il controller di dominio di base (PDC) e il controller di dominio di backup (BDC) erano ruoli che possono essere assegnati a un server su una rete di computer che utilizza il sistema operativo Windows. Windows utilizzava l'idea del dominio per controllare l'accesso a un insieme di risorse di rete (applicazioni, stampanti, ecc.) Per un gruppo di utenti. L'utente deve solo accedere al dominio per poter accedere a risorse che possono trovarsi su diversi server sulla rete. gruppi di directory attivi

Un server, noto come controller di dominio primario, gestiva il database utente principale per il dominio. Uno o più server sono stati definiti come controller di dominio di backup. Il controller principale ha inviato periodicamente copie del database ai controller di dominio di backup. Il controller di dominio di backup può accedere come controller di dominio primario in caso di guasto del server PDC e può anche aiutare a bilanciare il carico di lavoro se la rete è sufficientemente occupata.

Delega e configurazione di Active Directory

In Windows 2000 Server, mentre i controller di dominio sono stati salvati, i ruoli del server PDC e BDC sono stati in gran parte sostituiti da Active Directory. Non è più necessario creare domini separati per separare i privilegi amministrativi. All'interno di Active Directory, è possibile delegare i privilegi amministrativi in ​​base alle unità organizzative. I domini non sono più limitati a 40.000 utenti. I domini AD possono gestire milioni di oggetti. Poiché non esistono più PDC e BDC, le impostazioni dei criteri di gruppo di Active Directory applicano la replica multi-master e tutti i controller di dominio sono peer-to-peer.

Struttura organizzativa

Le unità organizzative sono molto più flessibili e più facili da gestire rispetto ai domini. Gli organi ti danno flessibilità quasi illimitata, dal momento che puoi muoverli, eliminarli e creare nuove unità, se necessario. Tuttavia, i domini sono molto più stretti nelle impostazioni della struttura. I domini possono essere cancellati e ricreati, ma questo processo destabilizza l'ambiente e dovrebbe essere evitato quando possibile. directory attiva cosa si tratta in parole semplici

I siti sono raccolte di subnet IP che hanno una connessione veloce e affidabile tra tutti gli host. Un altro modo per creare un sito è connettersi a una rete locale, ma non a una connessione WAN, poiché le connessioni WAN sono molto più lente e meno affidabili delle connessioni LAN. Utilizzando i siti, puoi controllare e ridurre la quantità di traffico che passa attraverso i tuoi canali di rete globali lenti. Ciò può portare a un flusso di traffico più efficiente per le attività di prestazione. Può anche ridurre il costo di un collegamento WAN per i servizi pay-per-bit.

Procedura guidata infrastruttura e directory globale

Altri componenti chiave di Windows Server in Active Directory includono l'Infrastructure Wizard (IM), un servizio FSMO completo (procedura guidata a singola operazione flessibile) responsabile di un processo automatizzato che cattura i collegamenti obsoleti, noti come fantasmi, nel database di Active Directory.

Gli oggetti fantasma vengono creati su controller di dominio che richiedono un riferimento incrociato tra un oggetto all'interno del proprio database e un oggetto proveniente da un altro dominio nella foresta. Ciò accade, ad esempio, quando aggiungi un utente da un dominio a un gruppo in un altro dominio nella stessa foresta. I fantasmi sono considerati obsoleti quando non contengono più dati aggiornati a causa di modifiche apportate a un oggetto estraneo rappresentato dal fantoccio. Ad esempio, quando un oggetto di destinazione viene rinominato, spostato, spostato tra domini o eliminato. Il master infrastrutture è l'unico responsabile per la ricerca e la correzione di fantomatici obsoleti. Eventuali modifiche apportate come risultato del processo di "riparazione" devono quindi essere replicate su altri controller di dominio.

La procedura guidata dell'infrastruttura viene a volte confusa con il catalogo globale (GC), che supporta una copia parziale di sola lettura di ciascun dominio nella foresta e, tra le altre cose, viene utilizzata per l'archiviazione di gruppo universale e l'elaborazione dell'accesso. Poiché i GC memorizzano una copia parziale di tutti gli oggetti, possono creare riferimenti tra domini senza la necessità di fantasmi.

Active Directory e LDAP

Microsoft include LDAP (Lightweight Directory Access Protocol) come componente di Active Directory. LDAP è un protocollo software che consente a qualsiasi utente di trovare organizzazioni, individui e altre risorse, come file e dispositivi su una rete, sia su Internet pubblico o su una intranet aziendale.

Sulle reti TCP / IP (incluso Internet), un sistema di nomi di dominio (DNS) è un sistema di directory utilizzato per associare un nome di dominio a uno specifico indirizzo di rete (posizione di rete univoca). Tuttavia, potresti non conoscere il nome del dominio. LDAP ti permette di cercare le persone senza sapere dove si trovano (anche se informazioni aggiuntive aiuteranno nella ricerca).

La directory LDAP è organizzata in una semplice gerarchia gerarchica composta dai seguenti livelli:

  • La directory root (posizione di origine o origine dell'albero).

  • Paese.

  • Organizzazione.

  • Unità organizzative (dipartimenti).

  • Individui (inclusi persone, file e condivisioni come stampanti).

Una directory LDAP può essere distribuita su molti server. Ogni server può avere una versione replicata di una directory condivisa, che viene sincronizzata periodicamente.

Per ogni amministratore, è importante capire cos'è LDAP. Poiché la ricerca di informazioni in Active Directory e la possibilità di creare query LDAP sono particolarmente utili durante la ricerca di informazioni memorizzate in un database AD. Per questo motivo, molti amministratori prestano grande attenzione alla padronanza del filtro di ricerca LDAP.

Criteri di gruppo e gestione di Active Directory

È difficile discutere di AD senza menzionare i Criteri di gruppo. Gli amministratori possono utilizzare i criteri di gruppo in Microsoft Active Directory per definire le impostazioni per utenti e computer su una rete. Queste impostazioni sono configurate e archiviate nei cosiddetti oggetti Criteri di gruppo (GPO), che vengono quindi associati agli oggetti di Active Directory, compresi domini e siti. Questo è il meccanismo principale per applicare le modifiche ai computer per gli utenti nell'ambiente Windows.

Grazie a Group Policy Management, gli amministratori possono configurare globalmente le impostazioni del desktop sui computer degli utenti, limitare / consentire l'accesso a specifici file e cartelle sulla rete. politiche di directory attive

Applicazione Criteri di gruppo

È importante capire come vengono utilizzati e applicati gli oggetti Criteri di gruppo. La seguente procedura è accettabile per loro: prima vengono applicati i criteri della macchina locale, poi i criteri del sito, poi i criteri del dominio e poi le politiche applicate alle singole unità organizzative. Un oggetto utente o computer può appartenere a un solo sito e a un dominio in qualsiasi momento, pertanto riceveranno solo oggetti Criteri di gruppo associati a quel sito o dominio.

Struttura dell'oggetto

Gli oggetti Criteri di gruppo sono suddivisi in due parti distinte: un modello di criteri di gruppo (GPT) e un contenitore di criteri di gruppo (GPC). Un modello di criteri di gruppo è responsabile della conservazione di determinati parametri creati nell'oggetto Criteri di gruppo ed è essenziale per il suo successo. Salva queste impostazioni in una grande cartella e struttura di file. Affinché le impostazioni vengano applicate correttamente a tutti gli oggetti utente e computer, GPT deve essere replicato su tutti i controller nel dominio.

Un oggetto Criteri di gruppo fa parte di un oggetto Criteri di gruppo memorizzato in Active Directory che risiede su ciascun controller di dominio nel dominio. GPC è responsabile del mantenimento dei riferimenti alle estensioni client (CSE), al percorso verso GPT, ai percorsi dei pacchetti di installazione software e ad altri aspetti di riferimento dell'oggetto Criteri di gruppo. GPC non contiene molte informazioni relative all'oggetto Criteri di gruppo corrispondente, ma è necessaria per la funzionalità GPO. Quando sono configurate le politiche di installazione del software, GPC aiuta a mantenere i collegamenti associati all'oggetto Criteri di gruppo e memorizza altri collegamenti e percorsi relazionali memorizzati negli attributi dell'oggetto. Conoscere la struttura del GPC e come accedere alle informazioni nascoste memorizzate negli attributi si ripaga quando è necessario identificare un problema relativo al criterio di gruppo. directory attiva del server Windows

In Windows Server 2003, Microsoft ha rilasciato una soluzione di gestione dei criteri di gruppo come mezzo per aggregare i dati sotto forma di uno snap-in, noto come Console Gestione Criteri di gruppo (GPMC). GPMC offre un'interfaccia di gestione orientata alla GPO che semplifica notevolmente l'amministrazione, la gestione e la posizione degli oggetti Criteri di gruppo. Tramite GPMC, è possibile creare nuovi oggetti Criteri di gruppo, modificare e modificare oggetti, tagliare / copiare / incollare oggetti Criteri di gruppo, creare copie di backup degli oggetti ed eseguire il set di politiche risultante.

ottimizzazione

Con l'aumentare del numero di oggetti Criteri di gruppo gestiti, le prestazioni influiscono sulle macchine sulla rete. Suggerimento: quando le prestazioni diminuiscono, limitare i parametri di rete dell'oggetto. Il tempo di elaborazione aumenta in proporzione diretta al numero di impostazioni individuali. Configurazioni relativamente semplici, come le impostazioni del desktop o le politiche di Internet Explorer, potrebbero non richiedere molto tempo, mentre il reindirizzamento delle cartelle software può caricare seriamente una rete, specialmente durante i periodi di punta.

Separare gli oggetti Criteri di gruppo personalizzati e quindi disabilitare la parte non utilizzata. Una delle migliori pratiche per migliorare le prestazioni e ridurre la confusione gestionale è creare oggetti separati per i parametri che verranno applicati ai computer e separati per gli utenti.

Leggi il precedente

LG Pocket Printer. Descrizione, caratteristiche, capacità

Leggi il prossimo

Lexus NX 300h: specifiche tecniche, foto e recensioni

Articoli correlati
24/02/2019

Vintage Hotel "New World" (Sudak, Crimea): descrizione, recensioni, come arrivare

02/03/2019

I principali tipi di riproduzione della popolazione

04/03/2019

Breve biografia di Alexey Nusinov