загрузка...
загрузка...
На головну

короткі підсумки

Зв'язування GPO з OU

Зв'язування GPO з сайтом

Зв'язування GPO з доменом

Планування структури GPO

При реалізації групової політики спочатку створюються GPO, потім ці об'єкти зв'язуються з сайтами, доменами і OU. Може знадобитися застосування деяких GPO на рівні доменів або сайтів, але в більшості випадків слід застосовувати GPO на рівні OU [3].

GPO, пов'язаний з доменом, застосовується до всіх користувачів і комп'ютерів домену. Оскільки це потужна політика, слід звести до мінімуму кількість GPO цього рівня.

Типове застосування GPO рівня домену - реалізація корпоративних стандартів. Наприклад, в компанії може діяти стандартна вимога, що складається в тому, що до всіх комп'ютерів і користувачам повинна застосовуватися одна й та сама політика управління паролями і аутентифікації. У цьому випадку застосування GPO рівня домену було б відмінним рішенням.

GPO пов'язують з сайтами дуже рідко, оскільки набагато ефективніше пов'язувати GPO з OU, структура яких заснована на територіальному розподілі.

Але за певних обставин зв'язування GPO з сайтом - прийнятне рішення. Якщо параметри повинні бути загальними для всіх комп'ютерів, фізично знаходяться в певному місці, і для цього місця створений сайт, є сенс пов'язати GPO з сайтом. Наприклад, для комп'ютерів, розташованих в якомусь філії, потрібно задати певну мережеву конфігурацію з підтримкою підключення до Інтернету. У цьому випадку ідеально підходить GPO, пов'язаний з сайтом.

У більшості випадків краще пов'язувати GPO з добре продуманою структурою OU, ніж з сайтами або доменами. OU забезпечують найбільшу гнучкість, оскільки дозволяють спроектувати структуру, хоча б частково спрощує застосування групової політики. Крім того, OU більш гнучкі в адмініструванні: можна без проблем переміщати користувачів і комп'ютери між OU, змінювати структуру OU і навіть перейменовувати самі OU.

У Active Directory можна створити п'ять типів облікових записів:

  • комп'ютер;
  • Користувач;
  • Група;
  • InetOrgPerson;
  • Контакт.

У Windows Server 2003 існує два основних типи облікових записів користувачів:

  • локальні;
  • доменні.

І на локальних комп'ютерах, і в доменах створюється дві ключові облікові записи:

  • Адміністратор (Administrator);
  • Гість (Guest).

Є кілька правил, яких слід дотримуватися при плануванні стратегії іменування користувачів. При плануванні стратегії аутентифікації (в тому числі, управління паролями) рекомендується дотримуватися ряду правил.

При плануванні груп можуть використовуватися такі їх типи груп і області дії:

  • групи безпеки;
  • групи поширення;
  • глобальні групи;
  • локальні групи домену;
  • універсальні групи:

Групи користувачів допомагають досягти найбільших успіхів у стратегії управління обліковими записами при дотриманні наступних правил:

  • уникати видачі дозволів облікових записів;
  • створювати локальні групи домену;
  • для упорядкування користувачів використовувати глобальні групи;
  • поміщати глобальні групи в локальні групи домену;
  • не включати користувачів в універсальні групи.

При плануванні групової політики існує два основних її типи:

  • конфігурація комп'ютера;
  • конфігурація користувача.

Незалежно від типу групової політики є три наступні категорії:

  • параметри програм (Software Settings);
  • параметри Windows (Windows Settings);
  • адміністративні шаблони (Administrative Templates).

Оскільки GPO, що застосовуються до користувача або комп'ютера, можуть надходити з кількох джерел, потрібен спосіб визначення того, в якому порядку ці GPO обробляються.

  • Локальний GPO.
  • GPO сайту.
  • GPO домену.
  • GPO OU.
Спадкування групової політики «-- попередня | наступна --» Планування структури сайту
загрузка...
© om.net.ua