Краткие итоги

Связывание GPO с OU

Связывание GPO с сайтом

Связывание GPO с доменом

Планирование структуры GPO

При реализации групповой политики сначала создаются GPO, затем эти объекты связываются с сайтами, доменами и OU. Может потребоваться применение некоторых GPO на уровне доменов или сайтов, но в большинстве случаев следует применять GPO на уровне OU [3].

GPO, связанный с доменом, применяется ко всем пользователям и компьютерам домена. Поскольку это мощная политика, следует свести к минимуму количество GPO этого уровня.

Типичное применение GPO уровня домена — реализация корпоративных стандартов. Например, в компании может действовать стандартное требование, состоящее в том, что ко всем компьютерам и пользователям должна применяться одна и та же политика управления паролями и аутентификацией. В этом случае применение GPO уровня домена было бы отличным решением.

GPO связывают с сайтами очень редко, поскольку гораздо эффективнее связывать GPO с OU, структура которых основана на территориальном делении.

Но при определенных обстоятельствах связывание GPO с сайтом — приемлемое решение. Если параметры должны быть общими для всех компьютеров, физически находящихся в определенном месте, и для этого места создан сайт, есть смысл связать GPO с сайтом. Например, для компьютеров, расположенных в некоем филиале, нужно задать определенную сетевую конфигурацию с поддержкой подключения к Интернету. В этом случае идеально подходит GPO, связанный с сайтом.

В большинстве случаев лучше связывать GPO с хорошо продуманной структурой OU, чем с сайтами или доменами. OU обеспечивают наибольшую гибкость, поскольку позволяют спроектировать структуру, хотя бы отчасти упрощающую применение групповой политики. Кроме того, OU более гибкие в администрировании: можно без проблем перемещать пользователей и компьютеры между OU, изменять структуру OU и даже переименовывать сами OU.

В Active Directory можно создать пять типов учетных записей:

Компьютер;
Пользователь;
Группа;
InetOrgPerson;
Контакт.

В Windows Server 2003 существует два основных типа учетных записей пользователей:

локальные;
доменные.

И на локальных компьютерах, и в доменах создается две ключевые учетные записи:

Администратор (Administrator);
Гость (Guest).

Есть несколько правил, которые нужно соблюдать при планировании стратегии именования пользователей. При планировании стратегии аутентификации (в том числе, управления паролями) рекомендуется соблюдать ряд правил.

При планировании групп могут использоваться следующие их типы групп и области действия:

группы безопасности;
группы распространения;
глобальные группы;
локальные группы домена;
универсальные группы:

Группы пользователей помогают достичь наибольших успехов в стратегии управления учетными записями при выполнении следующих правил:

избегать выдачи разрешений учетным записям;
создавать локальные группы домена;
для упорядочивания пользователей использовать глобальные группы;
помещать глобальные группы в локальные группы домена;
не включать пользователей в универсальные группы.

При планировании групповой политики существует два основных ее типа:

конфигурация компьютера;
конфигурация пользователя.

Вне зависимости от типа групповой политики имеется три следующие категории:

параметры программ (Software Settings);
параметры Windows (Windows Settings);
административные шаблоны (Administrative Templates).

Поскольку GPO, применяемые к пользователю или компьютеру, могут поступать из нескольких источников, нужен способ определения того, в каком порядке эти GPO обрабатываются.