Групові політики active directory і їх налаштування
Можливості ОС Windows дозволяють здійснювати ефективне управління комп`ютерними мережами. Це може стосуватися аспектів контролю доступу користувачів до тих чи інших ресурсів, а також забезпечення безпеки обміну даними. У числі найбільш зручних і функціональних інструментів вирішення подібних завдань - залучення групових політик. В ОС Windows передбачена особлива програмне середовище для управління ними - Active Directory. У чому її специфіка? Яким чином здійснюється настройка Active Directory?
Що таке групова політика?
Під терміном «групова політика» прийнято розуміти сукупність правил, за якими здійснюється настройка користувача середовища в ОС Windows. Головне її примітна властивість - можливість налаштовувати різні параметри на різних ПК одночасно, за єдиними стандартами і принципами.
Фіксується вона на конкретному домені. Принцип застосування групової політики - ієрархічний. Основний канал вертикальної реалізації, передбачений в Windows, - це каталог Active Directory. Групи тих чи інших комп`ютерів або користувачів управляються, виходячи з алгоритмів, що приймаються на рівні корпоративної політики в сфері безпеки та контролю доступу до ПК.
В рамках середовища Active Directory створюються дві основні політики, а саме Default Domain Policy, що має відношення безпосередньо до домену, а також Default Domain Controller`s Policy, яка відповідає за відповідного типу контролер.
Особливості Active Directory
Групові політики Active Directory зараховуються до найзручнішим варіантами настройки ПК і призначених для користувача середовищ в комп`ютерних мережах, що працюють під управлінням Windows. Задіюючи даний інструмент, компанія може здійснювати ефективний контроль над роботою мережі, підтримувати продуктивність інфраструктури, підвищувати ступінь захищеності корпоративної інформації.
Особливість Active Directory - це, як ми зазначили вище, ієрархічна структура відповідної програмної середовища. Основні її елементи - об`єкти. У свою чергу, їх можна класифікувати на різні категорії. У числі базових - ресурси (такими можуть бути, наприклад, принтери і інша офісна техніка), програмні служби (наприклад, інтерфейси обміну електронними повідомленнями), а також облікові записи співробітників компанії і ідентифікаційні дані про комп`ютерах. Програмне середовище Active Directory може надавати системному адміністратору відомості про ті чи інші об`єкти, здійснювати управління ними, задавати критерії, що стосуються доступу до них.
Об`єкти, які є основними компонентами групових політик, можуть вміщати в себе додаткові елементи. Це можуть бути, наприклад, групи безпеки. Об`єкт характеризується рядом унікальних ознак - ім`ям, сукупністю атрибутів (наприклад, типів даних, які він включає в себе). Можна відзначити, що властивості атрибутів, про які йде мова, фіксуються в схемах, що визначають специфіку тих чи інших об`єктів.
Критерії реалізації групової політики
Для того щоб у компанії була можливість задіяти всі переваги, які дають групові політики Active Directory, інфраструктура належить їй комп`ютерної мережі повинна відповідати ряду критеріїв. У числі базових:
- мережа повинна функціонувати на базі служб Active Directory (їх присутність необхідна хоча б на головному сервері);
- ПК, що знаходяться в структурі мережі і щодо яких буде здійснюватися контроль призначених для користувача середовищ, повинні працювати під одним доменом, а співробітники, в свою чергу, - використовувати в роботі ідентифікаційні дані, прив`язані до нього;
- системні адміністратори повинні володіти всіма необхідними повноваженнями для впровадження принципів групової політики в корпоративній мережі.
Розглянемо тепер те, яким чином здійснюється управління груповими політиками, а також їх налаштування.
Інструменти управління груповими політиками і їх налаштування
В ОС Windows для вирішення завдання, про яку йде мова, можна використовувати відповідну консоль. Як її запустити? Потрібно натиснути на «Пуск», потім перейти в меню «Усі програми», вибрати «Адміністрування», після - «Управління груповими політиками».
Налаштування Active Directory здійснюється за допомогою редагування параметрів групової політики, які безпосереднім чином пов`язані з її об`єктами. Вони, в свою чергу, можуть управлятися безпосередньо з допомогою консолі, про яку йде мова. Розглянемо найбільш значущі з точки зору практики роботи з груповими політиками інтерфейси даного програмного компонента.
Об`єкти Active Directory можна побачити в головному вікні консолі. Приклади таких: Accounting Security (відповідає за безпеку), а також зазначені вище ключові об`єкти політики, що стосуються домена і його контролера. Можна помітити, що Default Domain Policy задається за замовчуванням і включає в себе параметри, актуальні для всіх ПК і користувачів в рамках конкретного домену. У свою чергу, політика Default Domain Controller Policy має безпосереднє відношення тільки до контролерів.
управління параметрами
Розглянемо, яким чином може здійснюватися настройка Active Directory на практиці. Для того щоб внести ті чи інші корективи у відповідні параметри, необхідно задіяти спеціалізований редактор. Щоб зробити це, потрібно натиснути правою кнопкою миші на опції «Управління груповими політиками», а потім вибрати пункт «Правити». Після цього можна виставляти потрібні параметри. Примітно, що відповідна програма Active Directory, реалізована в інтерфейсах Windows, зберігає настройки автоматично. Тобто після того як користувач виставить необхідні параметри, вони тут же зафіксуються в системі.
Ключові параметри
В яких розділах інтерфейсу консолі містяться ключові параметри, що впливають на групові політики Active Directory? У числі таких - папки Computer Configuration, а також User Configuration. У першій містяться параметри, які є актуальними для всіх ПК, підключених до корпоративної мережі.
Неважливо, які саме співробітники користуються Active Directory. Авторизація під конкретним логіном в даному випадку другорядна. Як правило, в інтерфейсі Computer Configuration фіксуються настройки безпеки. В папці User Configuration визначаються параметри, що застосовуються, в свою чергу, до конкретних співробітникам. Неважливо, на якому саме комп`ютері вони збираються працювати.
Розглянемо інші ключові параметри, які може задіяти системний адміністратор, який здійснює управління Active Directory. Наприклад, в папці Policies розташовуються настройки, які в цілому відповідають за групову політику. В папці Preferences фіксуються параметри, що мають відношення до кращим налаштувань комп`ютера. Вони можуть зачіпати найрізноманітніші компоненти операційної системи - реєстру, файли, папки. Дана область налаштувань, до слова, може використовуватися не тільки як інструмент настройки групової політики, а й для управління іншого типу функціями Windows.
адміністративні шаблони
У числі найбільш примітних компонентів, які включає в себе служба Active Directory, потрібно згадати адміністративні шаблони. Що вони являють собою? Це параметри групової політики, що фіксуються в особливих розділах реєстру. Їх відмінна риса в тому, що вони не можуть бути змінені користувачем, що має стандартні права. Однак якщо ті чи інші програми Windows, що мають відношення до функцій групових політик, виявляють їх в реєстрі, то виконують в першу чергу інструкції, закладені в них.
Відео: Налаштування Active Directory Group Policy
Нюанси редагування параметрів політики
Які найбільш важливі нюанси, які характеризують таку процедуру, як настройка групових політик Active Directory? Фахівці рекомендують звертати особливу увагу на сутність конкретних параметрів з точки зору їх активізації або, навпаки, відключення. У деяких випадках той факт, що та чи інша політика не функціонує, зовсім не обов`язково означатиме, що релевантні їй процеси також дезактивируются, і навпаки. Вся необхідна інформація щодо тих чи інших параметрів політик зазвичай фіксується в супроводжує їх довідковому текстовому повідомленні. Ряд параметрів при цьому має додаткові опції. Їх специфіка, як правило, також пояснюється в довідках.
Докладне вивчення відповідних даних - головна умова того, щоб адміністратором не була допущена випадкова помилка. Active Directory - це програмне середовище з великою кількістю елементів, що відповідають за ключові параметри безпеки і стійкості мережі. Спеціаліст, відповідальний за роботу з нею, повинен проявляти необхідний рівень компетентності в частині управління груповими політиками.
Практика роботи з об`єктами політики: створення елементів
Перейдемо від теорії до практичних нюансів, що стосуються роботи з груповими політиками. Так, в числі найпоширеніших завдань системних адміністраторів - створення відповідного типу об`єктів. Розглянемо, яким чином це відбувається.
Для того щоб створити об`єкт групової політики, необхідно відкрити консоль управління, про яку ми згадували вище. Системний адміністратор, працюючи з відповідного типу елементами, може використовувати методологію одночасного їх створення і зв`язування або ж застосувати послідовний підхід. У середовищі фахівців по роботі з комп`ютерними мережами досить поширений перший сценарій. Розглянемо його особливості.
Для того щоб здійснити одночасне створення і зв`язування відповідного об`єкта, необхідно провести наступні основні дії.
По-перше, відкривши консоль, натиснути правою кнопкою миші на домені, після чого вибрати пункт, що відображає бажання створити об`єкт, і пов`язати його.
По-друге, необхідно описати відповідний об`єкт, ввівши потрібний текст в форму «Ім`я», розташовану у вікні «Новий об`єкт».
В принципі, це все, що потрібно зробити. Разом з тим може виникнути необхідність в коректуванні налаштувань об`єкту. Це також робиться за допомогою інструментів консолі.
редагування елементів
Так, для того щоб змінити налаштування об`єкта, необхідно провести наступні дії.
По-перше, клацнути на відповідному об`єкті - так, щоб справа, в вікні інтерфейсу консолі, елементи даного типу відобразилися. Інший варіант - вибрати домен, після чого об`єкти аналогічним чином стануть доступними для перегляду.
По-друге, в правій частині інтерфейсу консолі необхідно натиснути правою кнопкою мишки на об`єкті політики, який потрібно відредагувати, і вибрати опцію «Правити». Після цього відповідний елемент відкриється в редакторі, який входить в структуру консолі.
По-третє, за допомогою відповідного інтерфейсу можна внести необхідні правки в групові політики Active Directory. Зміни, як ми зазначили вище, фіксуються автоматично.
Розглянемо інший сценарій, при якому створення і зв`язування об`єкта здійснюються на різних етапах. Також може знадобитися проведення даної процедури, якщо з яких-небудь причин початкова зв`язок між відповідними параметрами була розірвана.
Для того щоб зв`язати об`єкт з тим чи іншим доменом, необхідно зробити наступні дії.
По-перше, потрібно натиснути правою клавішею миші на домені, з яким потрібно здійснити зв`язування об`єкта, і вибрати відповідний пункт.
По-друге, потрібно клацнути на відповідному елементі, який відображається у вікні «Вибір об`єкта», після чого підтвердити здійснення зв`язування.
Також при необхідності можна відв`язати об`єкт від відповідного домену. Для цього необхідно виконати наступні дії.
По-перше, потрібно в інтерфейсі консолі управління клацнути на домені, який вже пов`язаний з об`єктом.
По-друге, необхідно натиснути правою кнопкою мишки на відповідному об`єкті, після чого вибрати опцію «Видалити».
Відео: Налаштування AD GP: Налаштування чорного списку сайтів через групову політику в IE і Google Chrome
По-третє, у вікні, за допомогою елементів якого здійснюється управління політиками, потрібно підтвердити дію.
відновлення елементів
У ряді випадків може знадобитися особлива процедура роботи з об`єктами групової політики - відновлення. Active Directory - програмне середовище, в якій відбувається велика кількість процесів, при цьому можуть виникати ситуації, при яких об`єкти з яких-небудь причин видаляються. Однак завжди є шанс відновлення їх попередніх версій з резервних копій, які існують у системі.
Інструменти, необхідні для вирішення відповідного завдання, також присутні в консолі, яку ми сьогодні досліджуємо. З їх допомогою можна здійснити відновлення як одного, так і декількох об`єктів відповідного типу за рахунок резервних копій, розташованих в спеціальній папці.
Послідовність дій користувача в ході вирішення даного завдання може виглядати так.
По-перше, необхідно в головному інтерфейсі консолі клацнути на папці «Об`єкти групової політики». Після цього на екрані відобразяться відповідні елементи.
По-друге, необхідно натиснути правою кнопкою мишки на папці «Об`єкти групової політики», після чого вибрати опцію «Управління резервними копіями».
По-третє, необхідно вибрати місце, де розташовується резервна копія відповідних налаштувань, за допомогою спеціального списку, доступного в діалоговому вікні інтерфейсу. Можна також використовувати кнопку «Огляд», після чого вручну вибрати папку, в якій знаходяться потрібні файли.
Після проведення відповідних операцій необхідно звернути увагу на список «Резервні копії». Там будуть відображатися доступні для відновлення елементи. Необхідно вибрати потрібні. Після цього - натиснути на кнопку, яка запустить процес відновлення. Можливо, доступними виявляться кілька версій об`єкта. У цьому випадку корисно буде використовувати спеціальний прапорець, за допомогою якого задається відображення на екрані інтерфейсу тільки найсвіжіших резервних копій об`єктів групової політики.
Далі потрібно перевірити те, наскільки успішно здійснена операція (в діалоговому вікні відобразяться необхідні відомості), після чого натиснути на кнопку «OK». Так здійснюється відновлення Active Directory в частині віддалених об`єктів відповідної системи управління корпоративною комп`ютерною мережею.
