Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики



бет9/10
Дата07.02.2022
өлшемі0,66 Mb.
#83949
1   2   3   4   5   6   7   8   9   10
Байланысты:
Управление пользователями и группами

dsadd user “cn=User-New,ou=OU-New,dc=world,dc=ru”
3. Модификация параметра «Номер телефона» у пользователя User-New:
dsmod user “cn=User-New,ou=OU-New,dc=world,dc=ru” –tel 123-45-67
4. Получение списка пользователей домена, у которых имя начинается с символа “u”:
dsquery user -name u*
Далее рассмотрим применение групповых политик (как для отдельных ОП, так и для других структур Active Directory).


Групповые политики: назначение, состав, стандартные политики домена, порядок применения политик (локальные, сайт, домен, ОП), применение политик и права доступа, наследование и блокировка применения

Управление рабочими станциями, серверами, пользователями в большой организации — очень трудоемкая задача. Механизм Групповых политик (Group Policy) позволяет автоматизировать данный процесс управления. С помощью групповых политик (ГП) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.


Каждый объект групповых политик (GPO, Group Policy Object) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container)Ю хранящегося в БД Active Directory, и шаблона групповых политик (GPT, Group Policy Template), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка «%systemroot%\SYSVOL\sysvol\<имя домена>\Policies», и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.


Каждый объект политик содержит два раздела: конфигурация компьютера и конфигурация пользователя. Параметры этих разделов применяются соответственно либо к настройкам компьютера, либо к настройкам среды пользователя.
Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD.
Каждый объект политик может быть привязан к тому или иному объекту AD — сайту, домену или организационному подразделению (а также к нескольким объектам одновременно).
Задание параметров групповых политик производится Редактором групповых политик, который можно открыть в консоли управления соответствующим объектом AD («Active Directory – сайты и службы», «Active Directory – пользователи и компьютеры», локальная политика компьютера редактируется консолью gpedit.msc, запускаемой из командной строки). На рис. 4.47 показана закладка «Групповые политики» свойств домена world.ru. На данной закладке можно выполнить следующие действия:

  • кнопка «Создать» — создать новый объект ГП;

  • кнопка «Добавить» — привязать к данному объекту AD существующий объект ГП;

  • кнопка «Изменить» — открыть редактор групповых политик для выбранного объекта ГП;

  • кнопка «Параметры» — запретить перекрывание (поле «Не перекрывать») параметров данной объекта ГП другими политиками или блокировку на более низком уровне иерархии AD или отключить (поле «Отключить») данный объект ГП;

  • кнопка «Удалить» — удалить совсем выбранный объект ГП или удалить привязку объекта ГП к данному уровню AD;

  • кнопка «Свойства» — отключить компьютерный или пользовательский разделы политики или настроить разрешения на использование данного объекта ГП;

  • поле «Блокировать наследование политики» — запретить применение политик, привязанных к более высоким уровням иерархии AD;

  • кнопки «Вверх» и «Вниз» — управление порядком применения политик на данном уровне AD (политики, расположенные в списке выше, имеют более высокий приоритет).




Рис. 4.47

При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:



  • локальная политика;

  • политики сайта Active Directory;

  • политики домена;

  • политики организационных подразделений.

Если в процессе применения политик какие-либо параметры определяются в различных политиках, то действующими значениями параметров будут значения, определенные позднее.
Имеются следующие методы управления применением групповых политик (см. рис. 4.47):

  • блокировка наследования политик на каком либо уровне иерархии AD;

  • запрет блокировки конкретного объекта групповых политик;

  • управление приоритетом применения политик на конкретном уровне AD (кнопками «Вверх» и «Вниз»);

  • разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП «Чтение» и «Применение групповой политики»).

Кроме применения политик в момент загрузки компьютера или входя пользователя в систему, каждый компьютер постоянно запрашивает обновленные политики на контроллерах домена, загружает их и применяет обновленные параметры (и к пользователю, и к компьютеру). Рабочие станции домена и простые серверы запрашивают обновления каждые 90 ± 30 минут, контроллеры домена обновляют свои политики каждые 5 минут. Обновить набор политик на компьютере можно принудительно из командной строки командой gpupdate (на компьютерах с системами Windows XP/2003) или командами «secedit /refreshpolicy machine_policy» и «secedit /refreshpolicy user_policy» (на компьютерах с системой Windows 2000).

На практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных политик домена и выполнить задания по настройке рабочей среды пользователей с помощью групповых политик.




Управление приложениями

Рассмотрим немного подробнее использование групповых политик для развертывания приложений в сетях под управлением Active Directory.


Групповые политики могут использоваться для установки прикладных программ в масштабах всего домена или отдельного организационного подразделения.
Используются следующие способы управления установкой приложений:
1   2   3   4   5   6   7   8   9   10




©engime.org 2024
әкімшілігінің қараңыз

    Басты бет