Управление пользователями и группами. Управление организационными подразделениями, делегирование полномочий. Групповые политики

Управление рабочими станциями, серверами, пользователями в большой организации — очень трудоемкая задача. Механизм Групповых политик (Group Policy) позволяет автоматизировать данный процесс управления. С помощью групповых политик (ГП) можно настраивать различные параметры компьютеров и пользовательской рабочей среды сразу в масштабах сайта AD, домена, организационного подразделения (детализацию настроек можно проводить вплоть до отдельного компьютера или пользователя). Настраивать можно широкий набор параметров — сценарии входа в систему и завершения сеанса работы в системе, параметры Рабочего стола и Панели управления, размещения личных папок пользователя, настройки безопасности системы (политики паролей, управления учетными записями, аудита доступа к сетевым ресурсам, управления сертификатами и т.д.), развертывания приложений и управления их жизненным циклом.

Каждый объект групповых политик (GPO, Group Policy Object) состоит из двух частей: контейнера групповых политик (GPC, Group Policy Container)Ю хранящегося в БД Active Directory, и шаблона групповых политик (GPT, Group Policy Template), хранящегося в файловой системе контроллера домена, в подпапках папки SYSVOL. Место, в котором хранятся шаблоны политик, — это папка «%systemroot%\SYSVOL\sysvol\<имя домена>\Policies», и имя папки шаблона совпадает с глобальным уникальным идентификатором (GUID) объекта Групповая политика.

• 
  кнопка «Создать» — создать новый объект ГП;
  
• 
  кнопка «Добавить» — привязать к данному объекту AD существующий объект ГП;
  
• 
  кнопка «Изменить» — открыть редактор групповых политик для выбранного объекта ГП;
  
• 
  кнопка «Параметры» — запретить перекрывание (поле «Не перекрывать») параметров данной объекта ГП другими политиками или блокировку на более низком уровне иерархии AD или отключить (поле «Отключить») данный объект ГП;
  
• 
  кнопка «Удалить» — удалить совсем выбранный объект ГП или удалить привязку объекта ГП к данному уровню AD;
  
• 
  кнопка «Свойства» — отключить компьютерный или пользовательский разделы политики или настроить разрешения на использование данного объекта ГП;
  
• 
  поле «Блокировать наследование политики» — запретить применение политик, привязанных к более высоким уровням иерархии AD;
  
• 
  кнопки «Вверх» и «Вниз» — управление порядком применения политик на данном уровне AD (политики, расположенные в списке выше, имеют более высокий приоритет).
  

При загрузке компьютера и аутентификации в домене к нему применяются компьютерные разделы всех привязанных политик. При входе пользователя в систему к пользователю применяется пользовательский раздел всех групповых политик. Политики, привязанные к некоторому уровню иерархии объектов AD (сайта, домена, подразделения) наследуются всеми объектами AD, находящимися на более низких уровнях. Порядок применения политик:

• 
  локальная политика;
  
• 
  политики сайта Active Directory;
  
• 
  политики домена;
  
• 
  политики организационных подразделений.
  

• 
  блокировка наследования политик на каком либо уровне иерархии AD;
  
• 
  запрет блокировки конкретного объекта групповых политик;
  
• 
  управление приоритетом применения политик на конкретном уровне AD (кнопками «Вверх» и «Вниз»);
  
• 
  разрешение на применение политик (чтобы политики какого-либо объекта ГП применялись к пользователю или компьютеру, данный пользователь или компьютер должен иметь разрешения на этот объект ГП «Чтение» и «Применение групповой политики»).
  

На практических занятиях необходимо изучить работу редактора групповых политик, ознакомиться с набором параметров стандартных политик домена и выполнить задания по настройке рабочей среды пользователей с помощью групповых политик.

Рассмотрим немного подробнее использование групповых политик для развертывания приложений в сетях под управлением Active Directory.

• 
  
  
  жүктеу/скачать 0,66 Mb.
  
  Достарыңызбен бөлісу: