2014-02-24
637
Планирование групп
Группы упрощают предоставление разрешений пользователям. Например, назначить разрешения группе и добавить пользователей в эту группу гораздо проще, чем по отдельности назначать разрешения многочисленным пользователям и управлять этими разрешениями. Когда пользователи входят в группу, для изменения того или иного разрешения всех этих пользователей достаточно одной операции.
Как и в случае учетных записей пользователей, группы бывают локальные и уровня домена. Локальные группы хранятся в базе данных защиты локального компьютера и предназначены для управления доступом к ресурсам этого компьютера. Группы уровня домена хранятся в Active Directory и позволяют помещать в них пользователей и управлять доступом к ресурсам домена и его контроллеров.
Типы групп [3]
- Группы безопасности:
· используются для объединения в одну административную единицу;
· используются ОС.
- Группы распространения:
· используются приложениями (не ОС) для задач, не связанных с защитой.
|
|
|
Области действия групп [3]
- Глобальные группы:
· содержат учетные записи пользователей и компьютеров только того домена, в котором создана эта группа;
· им можно назначать разрешения или добавлять в локальные группы любого домена в данном лесу.
- Локальные группы домена:
· существуют на контроллерах домена и используются для управления доступом к ресурсам локального домена;
· могут включать пользователей и глобальные группы в пределах леса.
- Универсальные группы:
· используются для назначения разрешений доступа к ресурсам нескольких доменов;
· существуют вне границ доменов;
· могут включать пользователей, глобальные группы и другие универсальные группы в пределах леса.
Active Directory позволяет вкладывать группы, то есть помещать одни группы в другие. Вложение групп — эффективный способ упорядочения пользователей. При вложении групп необходимо стремиться к тому, чтобы уровень вложения был минимальным; в сущности, лучше ограничиться одним уровнем. Чем глубже вложение, тем сложнее поддерживать структуру разрешений.
Группы пользователей помогают достичь наибольших успехов в стратегии управления учетными записями при выполнении следующих правил [3]:
- Избегать выдачи разрешений учетным записям.
- Создавать локальные группы домена.
- Для упорядочивания пользователей использовать глобальные группы.
- Помещать глобальные группы в локальные группы домена.
- Не включать пользователей в универсальные группы.
Групповая политика — мощное и эффективное средство, позволяющее задать параметры сразу для нескольких пользователей и компьютеров. Кроме того, групповая политика применяется для распространения и обновления программного обеспечения в организации.
|
|
|
Групповая политика определяет набор параметров конфигурации пользователей и компьютеров, который можно связать с компьютерами, сайтами, доменами и OU в Active Directory. Такой набор параметров групповой политики называется объектом групповой политики (Group Policy Object, GPO).
Любой компьютер под управлением Windows 2000, Windows ХР или Windows Server 2003 (независимо от того, входит он в Active Directory или нет) содержит один локальный GPO, в котором заданы политики, применяемые к этому компьютеру. Если компьютер входит в Active Directory, к нему можно применить несколько дополнительных GPO, не являющихся локальными.
Существует два основных типа групповой политики [3]:
- Конфигурация компьютера. Используется для задания групповых политик, применяемых к определенным компьютерам.
- Конфигурация пользователя. Используется для задания групповых политик, применяемых к определенным пользователям.
Вне зависимости от типа параметров групповой политики имеется три следующие категории [3].
- Параметры программ (Software Settings). Категория содержит параметры для установки программного обеспечения на клиентских компьютерах (поддерживаются ОС Windows 2000 и более новые), к которым применяется групповая политика. Используются два компонента:
· служба установки Windows. Установка и обновление ПО в соответствии с инструкциями в установочных пакетах;
· установочные пакеты Windows. Исполняемые файлы сценариев со всеми инструкциями (msi).
- Параметры Windows (Windows Settings). Категория предназначена для изменения ряда параметров конфигурации, связанных со средой Windows:
· сценарии (Scripts). Настраивая конфигурацию компьютера, можно задать сценарии, которые выполняются при его включении или выключении. При настройке конфигурации для пользователя можно задать сценарии, выполняемые при входе или выходе пользователя;
· параметры безопасности (Security Settings). Это параметры безопасности, задаваемые для компьютеров и пользователей;
· настройка Internet Explorer (Internet Explorer Maintenance). Этот узел доступен только для пользователей и служит для управления работой Internet Explorer на клиентских компьютерах;
· службы удаленной установки (Remote Installation Services, RIS). RIS позволяет автоматически выполнять удаленную установку операционной системы на новые клиентские компьютеры. Эти параметры тоже доступны только для конфигураций пользователей. Они управляют удаленной установкой операционных систем;
· перенаправление папок (Folder Redirection). Эти параметры доступны только для конфигураций пользователей. Они позволяют переопределить специальные папки Windows, изменив их местонахождение по умолчанию на сетевой каталог. Благодаря этому можно централизованно управлять папками пользователей.
- Административные шаблоны (Administrative Templates). Категория содержит все параметры групповой политики, хранящиеся в реестре, которые можно использовать для конфигураций компьютеров и пользователей.
