Групові політики active directory та їх налаштування

Можливості ОС Windows дозволяють здійснювати ефективне управління комп`ютерними мережами. Це може стосуватися аспектів контролю доступу користувачів до тих чи інших ресурсів, а також забезпечення безпеки обміну даними. У числі найбільш зручних і функціональних інструментів вирішення подібних завдань - задіяння групових політик. В ОС Windows передбачена особлива програмна середа для управління ними - Active Directory. У чому її специфіка? Яким чином здійснюється настройка Active Directory?

Що таке групова політика?

Під терміном «групова політика» прийнято розуміти сукупність правил, за якими здійснюється настройка користувача середовища в ОС Windows. Головне її примітна властивість - можливість налаштовувати різні параметри на різних ПК одночасно, за єдиними стандартами і принципам.

Фіксується вона на конкретному домені. Принцип застосування групової політики - ієрархічний. Основний канал вертикальної реалізації, передбачений в Windows, - це каталог Active Directory. Групи тих чи інших комп`ютерів або користувачів управляються, виходячи з алгоритмів, прийнятих на рівні корпоративної політики у сфері безпеки та контролю доступу до ПК.

В рамках середовища Active Directory створюються дві основні політики, а саме Default Domain Policy, що має відношення безпосередньо до домену, а також Default Domain Controller`s Policy, яка відповідає за відповідного типу контролер.

Особливості Active Directory

Групові політики Active Directory зараховуються до найзручнішим варіантам налаштування ПК і користувальницьких середовищ в комп`ютерних мережах, що працюють під управлінням Windows. Задіюючи даний інструмент, компанія може здійснювати ефективний контроль над роботою мережі, підтримувати продуктивність інфраструктури, підвищувати ступінь захищеності корпоративної інформації.

Особливість Active Directory - це, як ми зазначили вище, ієрархічна структура відповідної програмної середовища. Основні її елементи - об`єкти. У свою чергу, їх можна класифікувати на різні категорії. У числі базових - ресурси (такими можуть бути, наприклад, принтери і інша офісна техніка), програмні служби (наприклад, інтерфейси обміну електронними повідомленнями), а також облікові записи співробітників компанії та ідентифікаційні дані про комп`ютери. Програмна середа Active Directory може надавати системному адміністраторові відомості про тих чи інших об`єктах, здійснювати управління ними, задавати критерії, що стосуються доступу до них.

Об`єкти, які є основними компонентами групових політик, можуть вміщати в себе додаткові елементи. Це можуть бути, наприклад, групи безпеки. Об`єкт характеризується рядом унікальних ознак - ім`ям, сукупністю атрибутів (наприклад, типів даних, які він включає в себе). Можна відзначити, що властивості атрибутів, про які йде мова, фіксуються в схемах, що визначають специфіку тих чи інших об`єктів.

Критерії реалізації групової політики

Для того щоб у компанії була можливість задіяти всі переваги, які дають групові політики Active Directory, інфраструктура належної їй комп`ютерної мережі повинна відповідати низці критеріїв. У числі базових:

• мережа повинна функціонувати на базі служб Active Directory (їх присутність необхідно хоча б на головному сервері);
• ПК, що знаходяться в структурі мережі і щодо яких буде здійснюватися контроль користувальницьких середовищ, повинні працювати під одним доменом, а співробітники, у свою чергу, - використовувати в роботі ідентифікаційні дані, прив`язані до нього;
• системні адміністратори повинні володіти всіма необхідними повноваженнями для впровадження принципів групової політики в корпоративній мережі.

Розглянемо тепер те, яким чином здійснюється управління груповими політиками, а також їх налаштування.

Інструменти управління груповими політиками та їх налаштування

В ОС Windows для вирішення завдання, про яку йде мова, можна використовувати відповідну консоль. Як її запустити? Потрібно натиснути на «Пуск», потім перейти в меню «Усі програми», вибрати «Адміністрування», після - «Управління груповими політиками».

Налаштування Active Directory здійснюється за допомогою редагування параметрів групової політики, які безпосереднім чином пов`язані з її об`єктами. Вони, в свою чергу, можуть управлятися безпосередньо за допомогою консолі, про яку йде мова. Розглянемо найбільш значущі з погляду практики роботи з груповими політиками інтерфейси даного програмного компонента.

Об`єкти Active Directory можна побачити в головному вікні консолі. Приклади таких: Accounting Security (відповідає за безпеку), а також зазначені вище ключові об`єкти політики, що стосуються домена і його контролера. Можна помітити, що Default Domain Policy задається за замовчуванням і включає в себе параметри, актуальні для всіх ПК і користувачів в рамках конкретного домену. У свою чергу, політика Default Domain Controller Policy має безпосереднє відношення тільки до контролерів.

Управління параметрами

Розглянемо, яким чином може здійснюватися настройка Active Directory на практиці. Для того щоб внести ті чи інші коригування у відповідні параметри, необхідно задіяти спеціалізований редактор. Щоб зробити це, потрібно клацнути правою кнопкою миші на опції «Управління груповими політиками», а потім вибрати пункт «Правити». Після цього можна виставляти потрібні параметри. Примітно, що відповідна програма Active Directory, реалізована в інтерфейсах Windows, зберігає настройки автоматично. Тобто після того як користувач виставить необхідні параметри, вони тут же зафіксуються в системі.

Ключові параметри

У яких розділах інтерфейсу консолі містяться ключові параметри, що впливають на групові політики Active Directory? У числі таких - папки Computer Configuration, а також User Configuration. У першій містяться параметри, які актуальні для всіх ПК, підключених до корпоративної мережі.

Неважливо, які саме співробітники користуються Active Directory. Авторизація під конкретним логіном в даному випадку другорядна. Як правило, в інтерфейсі Computer Configuration фіксуються налаштування безпеки. У папці User Configuration визначаються параметри, застосовувані, у свою чергу, до конкретних співробітникам. Неважливо, на якому саме комп`ютері вони збираються працювати.

Розглянемо інші ключові параметри, які може задіяти системний адміністратор, що здійснює управління Active Directory. Наприклад, у папці Policies розташовуються налаштування, які в цілому відповідають за групову політику. У папці Preferences фіксуються параметри, що мають відношення до переважним налаштувань комп`ютера. Вони можуть зачіпати самі різні компоненти операційної системи - реєстр, файли, папки. Дана область налаштувань, до слова, може використовуватися не тільки як інструмент налаштування групової політики, але і для управління іншого типу функціями Windows.

Адміністративні шаблони

У числі найбільш примітних компонентів, які включає в себе служба Active Directory, потрібно згадати адміністративні шаблони. Що вони являють собою? Це параметри групової політики, що фіксуються в особливих розділах реєстру. Їх відмінна особливість в тому, що вони не можуть бути змінені користувачем, що має стандартні права. Однак якщо ті чи інші програми Windows, що мають відношення до функцій групових політик, виявляють їх в реєстрі, то виконують в першу чергу інструкції, закладені в них.

Нюанси редагування параметрів політики

Які найбільш важливі нюанси, які характеризують таку процедуру, як налаштування групових політик Active Directory? Фахівці рекомендують звертати особливу увагу на сутність конкретних параметрів з точки зору їх активізації або, навпаки, відключення. У деяких випадках той факт, що та чи інша політика не функціонує, зовсім не обов`язково буде означати, що релевантні їй процеси також дезактивируются, і навпаки. Вся необхідна інформація щодо тих чи інших параметрів політик зазвичай фіксується в супроводжує їх довідковому текстовому повідомленні. Ряд параметрів при цьому має додаткові опції. Їх специфіка, як правило, також роз`яснюється в довідках.

Докладне вивчення відповідних даних - головна умова того, щоб адміністратором не була допущена випадкова помилка. Active Directory - це програмна середа з великою кількістю елементів, що відповідають за ключові параметри безпеки і стійкості мережі. Спеціаліст, відповідальний за роботу з нею, повинен виявляти необхідний рівень компетентності в частині управління груповими політиками.

Практика роботи з об`єктами політики: створення елементів

Перейдемо від теорії до практичних нюансів, що стосуються роботи з груповими політиками. Так, в числі найпоширеніших завдань системних адміністраторів - створення відповідного типу об`єктів. Розглянемо, яким чином це відбувається.

Для того щоб створити об`єкт групової політики, необхідно відкрити консоль управління, про яку ми згадували вище. Системний адміністратор, працюючи з відповідного типу елементами, може використовувати методологію одночасного їх створення та зв`язування або ж застосувати послідовний підхід. У середовищі фахівців по роботі з комп`ютерними мережами досить поширений перший сценарій. Розглянемо його особливості.

Для того щоб здійснити одночасне створення і зв`язування відповідного об`єкта, необхідно провести наступні основні дії.

По-перше, відкривши консоль, клацнути правою кнопкою миші на домені, після чого вибрати пункт, що відображає бажання створити об`єкт, і зв`язати його.

По-друге, необхідно описати відповідний об`єкт, ввівши потрібний текст у форму «Ім`я», розташовану у вікні «Новий об`єкт».

В принципі, це все, що потрібно зробити. Разом з тим може виникнути необхідність у коригуванні налаштувань об`єкту. Це також робиться за допомогою інструментів консолі.

Редагування елементів

Так, для того щоб змінити налаштування об`єкта, необхідно зробити наступні дії.

По-перше, клацнути на відповідному об`єкті - так, щоб праворуч, у вікні інтерфейсу консолі, елементи даного типу відобразилися. Інший варіант - вибрати домен, після чого об`єкти аналогічним чином стануть доступними для перегляду.

По-друге, в правій частині інтерфейсу консолі необхідно клацнути правою кнопкою мишки на об`єкті політики, який потрібно відредагувати, і вибрати опцію «Правити». Після цього відповідний елемент відкриється в редакторі, який входить в структуру консолі.

По-третє, за допомогою відповідного інтерфейсу можна внести необхідні правки до групові політики Active Directory. Зміни, як ми зазначили вище, фіксуються автоматично.

Розглянемо інший сценарій, при якому створення і зв`язування об`єкта здійснюються на різних етапах. Також може знадобитися проведення даної процедури, якщо з яких-небудь причин споконвічна зв`язок між відповідними параметрами була розірвана.

Для того щоб зв`язати об`єкт з тим чи іншим доменом, необхідно зробити наступні дії.

По-перше, потрібно клацнути правою клавішею миші на домені, з яким потрібно здійснити зв`язування об`єкта, і вибрати відповідний пункт.

По-друге, потрібно клацнути на відповідному елементі, який відображається у вікні "Вибір об`єкта», після чого підтвердити здійснення зв`язування.

Також при необхідності можна відв`язати об`єкт від відповідного домену. Для цього необхідно провести наступні дії.

По-перше, потрібно в інтерфейсі консолі управління клацнути на домені, який вже пов`язаний з об`єктом.

По-друге, необхідно клацнути правою кнопкою мишки на відповідному об`єкті, після чого вибрати опцію «Видалити».

По-третє, у вікні, за допомогою елементів якого здійснюється управління політиками, потрібно підтвердити дію.

Відновлення елементів

У ряді випадків може знадобитися особлива процедура роботи з об`єктами групової політики - відновлення. Active Directory - програмна середа, в якій відбувається велика кількість процесів, при цьому можуть виникати ситуації, при яких об`єкти з яких-небудь причин видаляються. Проте завжди є шанс відновлення їх попередніх версій з резервних копій, існуючих в системі.

Інструменти, необхідні для вирішення відповідної задачі, також присутні в консолі, яку ми сьогодні досліджуємо. З їх допомогою можна здійснити відновлення як одного, так і декількох об`єктів відповідного типу за рахунок резервних копій, що розташовуються в спеціальній папці.

Послідовність дій користувача в ході вирішення даного завдання може виглядати так.

По-перше, необхідно в головному інтерфейсі консолі клацнути на папці «Об`єкти групової політики». Після цього на екрані відобразяться відповідні елементи.

По-друге, необхідно клацнути правою кнопкою мишки на папці «Об`єкти групової політики», після чого вибрати опцію «Управління резервними копіями».

По-третє, необхідно вибрати місце, де розташовується резервна копія відповідних налаштувань, за допомогою спеціального списку, доступного в діалоговому вікні інтерфейсу. Можна також використовувати кнопку «Обзор», після чого вручну вибрати папку, в якій знаходяться потрібні файли.

Після проведення відповідних операцій необхідно звернути увагу на список «Резервні копії». Там будуть відображатися доступні для відновлення елементи. Необхідно вибрати потрібні. Після цього - натиснути на кнопку, яка запустить процес відновлення. Можливо, доступними виявляться кілька версій об`єкта. У цьому випадку корисно буде використовувати спеціальний прапорець, за допомогою якого задається відображення на екрані інтерфейсу тільки найсвіжіших резервних копій об`єктів групової політики.

Далі потрібно перевірити те, наскільки успішно здійснена операція (у діалоговому вікні відобразяться необхідні відомості), після чого натиснути на кнопку «OK». Так здійснюється відновлення Active Directory в частині віддалених об`єктів відповідної системи управління корпоративною комп`ютерною мережею.