Установка программы с помощью групповых политик active directory

После создания файла инсталлятора Windows вы можете развертывать приложения, используя групповые политики Active Directory Windows Server 2003. Групповые политики обеспечивают средства, позволяющие публиковать приложение или делать его доступным для инсталляции на рабочих станциях. После конфигурации соответствующей групповой политики при последующей загрузке компьютера или входе пользователя в систему на компьютере появится извещение о новом пакете программ, и затем приложение может быть установлено.

Прежде чем вы сможете опубликовать приложение для пользователей сети, нужно скопировать инсталляционные файлы программ, включая .msi-файл, на доступный сетевой ресурс. Необходима гарантия того, что все пользователи или компьютеры имеют соответствующий доступ к ресурсу. Если вы назначаете приложение для компьютеров, компьютерные учетные записи должны иметь доступ Read (Чтение). Если вы назначаете или публикуете приложение для пользователей, то пользователи должны иметь доступ Read. (Смотрите следующий раздел для сравнения деталей назначения приложений и публикации приложений.)

Установка программ с помощью GPO

После создания сетевого ресурса и копирования на него инсталляционных файлов вы готовы к реализации объектов групповой политики GPO, которые будут публиковать приложение для клиентов. Вы можете создать новый объект GPO или изменить существующий. При конфигурировании GPO вы должны сначала определить, необходимо ли публиковать приложение для компьютеров или пользователей. Используйте контейнер Computer ConfigurationSoftware Settings в Group Policy Object Editor (Редактор объектов групповой политики), и приложение будет установлено на рабочей станции, когда она перезагрузится в следующий раз. Если вы решите публиковать приложение для пользователей, используйте контейнер User Conf igurationSof tware Settings в редакторе объектов групповой политики, и приложение будет доступно пользователю при его следующем входе в систему.

Примечание. В главе 11 была представлена консоль управления групповыми политиками Microsoft Group Policy Management Console (GPMC), являющаяся мощным инструментом для управления всеми конфигурациями групповых политик целой организации. Поскольку консоль разработана как отдельный инструмент, предназначенный для управления групповой политикой, то ее пользовательский интерфейс сильно отличается от интерфейса, используемого в других инструментах администрирования Active Directory. Однако поскольку GPMC-консоль не является обязательным дополнением, то информация, данная в главах 11, 12 и 13, базируется на использовании только тех инструментов администрирования и оснасток, которые поставляются как часть инсталляционного компакт-диска Windows Server 2003.

Когда вы используете групповую политику для инсталляции приложений, у вас имеется два варианта извещения о приложении для клиента. Первый вариант состоит в назначении приложения, которое может адресоваться или компьютеру, или пользователю. Второй вариант состоит в публикации приложения, которая делает его доступным, но только для учетных записей пользователей.

Установка и удаление программ групповыми политиками Windows Server 2016

Когда вы назначаете приложение компьютеру, оно будет полностью установлено при следующей загрузке компьютера, что означает, что приложение будет установлено для всех пользователей компьютера, когда они в следующий раз войдут в систему.

Одна из новых функций в Active Directory Windows Server 2003, отсутствующая в Active Directory Windows 2000, — возможность полной установки программного приложения при входе пользователя в систему вместо установки его в результате активации файла. Выбор этой опции означает, что процесс входа в систему займет больше времени, поскольку произойдет установка приложения, но затем приложение будет доступно клиенту для использования. Эта опция доступна только в том случае, когда приложение назначено пользователю. Опубликованные

приложения не будут установлены полностью, пока они не инсталлируются через панель Add Or Remove Programs или через активацию расширения. Эта опция не используется, если приложение назначено компьютеру, потому что приложение полностью устанавливается только при перезагрузке компьютера.

Когда вы публикуете приложение для пользователей, оно извещает о себе при следующем входе пользователя в сеть. В этом случае приложение появляется только в панели управления Add Or Remove Programs. Чтобы установить приложение, пользователь должен выбрать его в этой панели. По умолчанию опубликованные приложения устанавливаются также через активацию расширения.

В большинстве случаев публикация приложения является наилучшим вариантом, если данное приложение требуется только некоторым пользователям. Например, имеется графическое приложение типа Microsoft Visio, которое постоянно используют только сетевые архитекторы. Однако некоторым другим пользователям также может потребоваться Visio. Публикуя приложение для пользователей, вы не устанавливаете его на их рабочих столах и не добавляете его к их ярлыкам, а делаете его доступным для тех, кто в нем нуждается.

Для публикации приложения с помощью групповой политики используйте следующую процедуру.
1. Скопируйте инсталляционные файлы программы на сетевой ресурс. Сконфигурируйте разрешения на доступ к ресурсу, гарантируя, что все нужные пользователи и компьютеры имеют доступ Read (Чтение) для чтения инсталляционных файлов. 2. Найдите контейнер: сайт, домен или организационную единицу (OU), в котором вы хотите опубликовать приложение, и обратитесь к свойствам контейнера.

Щелкните на вкладке Group Policy (Групповая политика). Создайте новый объект GPO или щелкните на кнопке Edit (Правка) для изменения свойств существующего объекта GPO.

3. Если вы публикуете приложение для учетных записей пользователей, раскройте контейнер User Conf igurationSof tware Settings (Конфигурирование пользователейПараметры настройки программ) в редакторе объектов групповых политик, щелкните правой кнопкой мыши на кнопке Software Installation (Инсталляция программ), выберите New (Новый), а затем выберите Package (Пакет). Если вы публикуете приложение для компьютерных учетных записей, то раскройте контейнер Computer ConfigurationSoftware Settings (Конфигурирование компьютеровПараметры настройки программ) в редакторе GPO, щелкните правой кнопкой мыши на кнопке Software Installation (Инсталляция программ), выберите New (Новый), а затем выберите Package (Пакет). 4. Найдите место в сети или напечатайте сетевой путь к месту расположения инсталляционных файлов. Вы должны использовать место в сети, а не локальное имя диска на сервере, потому что для клиентских компьютеров публикуется место в сети. Выберите соответствующий файл .msi.

Примечание. Если вы выберете неправильное сетевое место или измените его после развертывания, нужно обновить пакет программ. Нет никаких средств, позволяющих изменить инсталляционный путь для пакета программ.
5. При выборе файла .msi вы можете указать способ, которым вы хотите публиковать пакет программ. На рисунке 12-1 показаны способы публикации приложения для учетных записей пользователя. Если вы публикуете приложение для, компьютеров, можно только назначать приложение.

Рис. 12-1. Опции для публикации пакета программ
6. Если вы хотите назначить или опубликовать приложение, щелкните на кнопке ОК. Если вы выберете опцию Advanced (Дополнительно), появится окно свойств данного пакета Properties, опции которого обсуждаются в разделе «Конфигурирование свойств пакета программ» далее в этой главе.

Как только объект GPO сконфигурирован, приложение будет опубликовано для всех клиентов контейнерного объекта. По умолчанию программный инсталляционный компонент групповой политики применяется только при входе пользователя в систему (если политика применяется к учетным записям пользователей) или при перезагрузке компьютера (если политика применяется к компьютерным учетным записям). Инструмент командной строки GPUpdate, который имеется на всех компьютерах с системами Windows XP Professional и Windows Server 2003, может вызвать принудительный выход из системы или перезагрузку на рабочей станции как часть обновления, связанного с групповой политикой. Чтобы вызвать выход из системы или перезагрузку, используйте команду gpupdate /logoff или gpupdate /reboot.

Распределение программного обеспечения и пропускная способность сети

Один из наиболее трудных аспектов управления распределением программного обеспечения с помощью групповых политик состоит в управлении использованием сети. Если вы назначите большое приложение размером в несколько мегабайт на большую группу пользователей, и все они начнут устанавливать его одновременно, эта установка займет часы из-за существенного увеличения объема сетевого трафика.

Есть множество опций, позволяющих управлять сетевой пропускной способностью. Одна из опций состоит в назначении приложения на компьютеры с просьбой к пользователям перезагрузить компьютеры в конце дня. Вы можете также вынуждать перезагрузку рабочей станции, используя команду GPUpdate.

Если вы примените эту команду одновременно лишь к нескольким рабочим станциям, влияние на сеть может быть сведено к минимуму. Другая опция состоит в назначении приложения маленькой группе пользователей за один раз. В большинстве случаев старайтесь избежать назначения приложений, которые будут полностью устанавливаться при входе пользователя в систему. Если вы публикуете приложение, но позволяете пользователю инициировать инсталляцию, появится возможность, по крайней мере, растянуть инсталляцию программного обеспечения на некоторое время. Хотя ни одна из этих опций не является идеальной, их можно использовать, чтобы до некоторой степени управлять пропускной способностью сети.

Другой способ управлять использованием сети для нескольких сайтов состоит в том, чтобы применить распределенную файловую систему (Distributed File System — DFS). С помощью DFS можно создать структуру логического каталога, не зависящую от того, в каком месте сети фактически хранятся файлы.

Например, можно создать корень DFS с именем \serverlsoftinst, а затем для всех приложений создать подкаталоги ниже этой общей точки. С помощью системы D*FS можно найти подкаталоги на нескольких серверах и сконфигурировать физические связи к одним и тем же логическим каталогам. Если вы используете интегрированную систему DFS, можно сконфигурировать автоматическую репликацию содержания папки между копиями одного и того же каталога. Система DFS является приложением, учитывающим наличие сайтов, т.е. если у вас имеется несколько сайтов, то компьютеры клиентов будут всегда подключаться к копии DFS папки, расположенной в их собственном сайте, вместо того чтобы пересекать глобальную сеть WAN для обращения к папке, расположенной в другом сайте.

Трудно предсказать, каким будет эффект сетевой инсталляции. Одно из преимуществ использования групповых политик для установки программного обеспечения состоит в том, что можно легко выполнить тестирование, чтобы увидеть ожидаемый эффект. Например, можно сконфигурировать объект GPO, который включает пакет программ, но не

связан ни с какой OU, затем создать временную OU, добавить несколько пользовательских или компьютерных учетных записей и связать GPO-объект с OU. Эта конфигурация может использоваться для проверки того, сколько времени потребуется для установки приложения в маленькой группе пользователей. Можно также запустить программное распределение, связав объект GPO с производственной OU, используя фильтрацию группы для ограничения количества пользователей или компьютеров, к которым применяется GPO-объект.

Независимо от количества усилий, предпринятых вами для минимизации влияния на сеть, развертывание объемного приложения для большого количества пользователей всегда оказывает воздействие на сеть, поэтому нужно запланировать выполнение инсталляции в течение несколько дней.

Использование групповых политик для распределения приложений с помощью инсталлятора, не принадлежащего платформе Windows

В некоторых случаях вы можете не создавать файла .msi для установки приложения, а использовать групповые политики для его распределения. Например, простое приложение должно быть установлено на нескольких рабочих станциях, оно не требует никакой настройки и модернизации. Можно создать и использовать файл параметров настройки инсталляции программы (.zap) для установки этого приложения.

Файл . zap является текстовым файлом, который содержит команды, предназначенные для установки приложения. В большинстве случаев .zap-файл будет содержать только следующие строки:

Значение FriendlyName является именем, отображаемым в панели управления Add Or Remove Programs на компьютере клиента. Значение SetupCommand ~ путь к инсталляционному файлу для приложения. Можно использовать UNC-путь или отображенный диск для значения SetupCommand. Если приложение обеспечивает средства для настройки инсталляции с использованием параметров установки, можно включить эти параметры в значение SetupCommand, указывая его вслед за параметром, определяющим путь установки, заключенным в двойные кавычки. Например:

SetupCommand = «\servernamesharenameseup.exe» /parameter

Обратите внимание, если командная строка включает параметр, то путь установки использует одинарный набор двойных кавычек вместо двойного набора двойных кавычек, которые требовались в предыдущем примере.

После создания файла .zap и копирования инсталляционных файлов приложения на сетевой ресурс можно опубликовать приложение для пользователей. Приложение добавляется к списку доступных приложений в панели управления Add Or Remove Programs, и пользователи могут выбрать его для установки. Приложения, которые распределяются через файлы .zap, не могут быть назначены ни компьютерам, ни пользователям, их нельзя устанавливать с помощью активации расширения.

Использование файла .zap имеет несколько важных ограничений по сравнению с использованием файлов инсталлятора Windows. Во-первых, инсталляция приложения с помощью файла .zap запускает нормальную инсталляционную программу для приложения, т.е. нельзя настраивать инсталляцию, если приложение не обеспечивает параметры установки для этого.

Далее, инсталляция приложения с помощью файла .zap не может выполняться с разрешениями, включенными в процессе инсталляции, т.е. для установки приложения пользователь должен быть местным администратором. Приложения, которые были установлены с помощью файла .zap, не могут самовосстанавливаться. Если приложение перестанет работать из-за порчи или удаления файла, пользователю придется снова выполнить первоначальную инсталляционную процедуру вручную для повторной установки приложения. Кроме того, приложение, которое было установлено с помощью файла .zap, не может быть легко модернизировано или исправлено. Из-за перечисленных недостатков технология инсталляции программ имеет ограниченную пригодность и должна использоваться только тогда, когда вы устанавливаете простое приложение, которое вряд ли будет обновляться.

Источник: stfw.ru

Установка принтеров пользователям домена AD с помощью групповых политик

Рассмотрим возможности автоматического подключения принтеров пользователям домена Active Directory с помощью групповых политик (GPO). Довольно удобно, когда при первом входе в систему у пользователя сразу устанавливаются и появляются в принтерах доступные ему устройства.

Рассмотрим следующую конфигурацию: в организации имеется 3 отдела, каждый отдел должен печатать документы на собственном цветном сетевом принтере. Ваша задача, как администратора, настроить автоматическое подключение сетевых принтеров пользователям в зависимости от отдела.

Данная инструкция предполагает использованием Group Policy Preferences – расширения групповых политик, которые появились в Windows Server 2008. Соответственно уровень домена должен быть не менее Windows Server 2008, а клиенты не ниже Win XP SP3.

Подключение принтеров пользователям через GPO

Создайте три новые группы безопасности в AD (prn_HPColorSales, prn_HPColorIT, prn_HPColorManagers) и добавьте в нее пользователей отделов (наполнение групп пользователей можно автоматизировать по статье “Динамические группы в AD”). Вы можете создать группы в консоли ADUC, или с помощью командлета New-ADGroup:

New-ADGroup «prnHPColorSales» -path ‘OU=Groups,OU=Moscow,DC=corp,dc=winitpro,DC=ru’ -GroupScope Global –PassThru

Запустите консоль редактора доменных политик (GPMC.msc), создайте новую политику prnt_AutoConnect и прилинкуйте ее к OU с пользователями;

Если у вас в домене используется небольшое количество сетевых принтеров (до 30-50), вы можете все их настраивать с помощью одной GPO. Если у вас сложная структура домена, есть сайты AD, используется делегирование прав администраторам филиалов, лучше создать несколько политик подключения принтеров, например по одной политике на сайт или OU.

Если вы хотите подключать принтер по IP адресу (не через принт-сервера, а напрямую), выберите пункт TCP/IP Printer.

Действие – Update. В поле Shared Path укажите UNC адрес принтера, например, \msk-prnthpcolorsales (в моем примере все принтеры подключены к принт-серверу \msk-prnt ). Здесь же вы можете указать, нужно ли использовать этот принтер в качестве принтера по-умолчанию;

Перейдите на вкладку Common и укажите, что принтер нужно подключать в контексте пользователя (опция Run in logged-on user’s security context). Также выберите опцию Item-level targeting и нажмите на кнопку Targeting;

С помощью нацеливания GPP вам нужно указать, что данная политика подключения принтера применялась только для членов группы prn_HPColorSales. Для этого нажмите New Item -> Security Group -> в качестве имени группы укажите prn_HPColorSales;

Обратите внимание, что данное ограничение не запрещает любому пользователю домена подключить это принтер вручную в проводнике Windows. Чтобы ограничить доступ к принтеру, нужно изменить права доступа к нему на принт-сервере, ограничив возможность печати определенными группам.

Аналогичным образом создайте политики подключения принтеров для других групп пользователей.

Есть еще старый раздел политик для настройки принтеров — Computer Configuration -> Policies -> Windows Settings -> Deployed Printers, однако этот метод установки принтеров пользователям не такой гибкий, как рассмотренный ваше способ с помощью GPP.

При использовании такой групповой политики, новые принтера будут устанавливаться у пользователей, только если на их компьютере уже установлен соответствующий принтеру драйвер печати. Дело в том, что у обычных пользователей нет прав на установку драйверов.

Настройка политики подключения принтеров Point and Print Restrictions

Для корректного подключения принтеров у любого пользователя, вам придется настроить политику Point and Print Restrictions и настроить адреса принт-серверов серверов, с которых пользователей разрешено устанавливать принтеры.

Напомню, что с 2016 года Microsoft с целью безопасности по-умолчанию запретила установку неподписанных и неупакованных драйверов (non-package-aware v3 printer drivers). Смотри статью Проблема подключения сетевых принтеров.

Если вы подключаете принтеры через пользовательский раздел политики, перейдите в раздел GPO User Configuration -> Policy -> Administrative Templates -> Control Panel -> Printers -> Printer -> Point and Print Restriction. Включите политику (Enabled) и настройте ее следующим образом:

• Users can only point and print to these servers –укажите список принт-серверов, с которых разрешено устанавливать драйвера (указываются FQDN имена, разделитель точка с запятой);
• When installing driver for new connection -> Do not show warning or elevation prompt
• When installing driver for existing connection -> Do not show warning or elevation prompt.

Аналогичным образом нужно включить политику Package Point and Print – Approved server в разделе User Configuration -> Policies -> Administrative Templates -> Printers и задать в ней список доверенных принт-серверов.

Теперь после перезагрузки компьютера при входе пользователя у него будет автоматически подключаться назначенный ему сетевой принтер.

Раньше для подключения принтеров пользователей мне приходилось использовать VBS /PowerShell скрипты установки и подключения принтеров, которые запускались как Startup скрипты GPO и возможностей фильтрации групповых политик. Однако использовать GPP политики для настройки принтеров на мой взгляд намного проще.

Источник: nveresov.ru

Групповые политики Active Directory: настройки

Групповая политика – это иерархическая инфраструктура, которая позволяет сетевому администратору, отвечающему за Active Directory Microsoft, реализовывать определенные конфигурации для пользователей и компьютеров. Групповая политика также может использоваться для определения политик пользователя, безопасности и сети на уровне машины.

Определение

Группы Active Directory помогают администраторам определять параметры того, что пользователи могут делать в сети, включая файлы, папки и приложения, к которым они получат доступ. Коллекции пользовательских и компьютерных параметров называются объектами групповой политики, которые администрируются из центрального интерфейса, называемого консолью управления. Групповая политика также может управляться с помощью средств командной строки, таких как gpresult и gpupdate.

В Windows Server 2008 были добавлены настройки, известные как выбор групповой политики, чтобы обеспечить администраторам лучшую направленность и гибкость.

Active Directory — что это

Простыми словами Active Directory — это служба каталогов на основе товарных знаков Microsoft, являющаяся обязательной частью архитектуры Windows. Как и другие службы каталогов, такие как Novell Directory Services, AD — это централизованная и стандартизованная система, которая автоматически программирует сетевое управление данными, безопасностью и ресурсами, а также позволяет взаимодействовать с другими каталогами. Active Directory разработан целенаправленно для распределенных сетевых сред.

Служба Active Directory стала новинкой для Windows 2000 Server и была усовершенствована в версии 2003 года, что делает ее еще более важной частью ОС. Windows Server 2003 AD предоставляет единую ссылку, называемую службой каталогов для всех объектов в сети, включая пользователей, группы, компьютеры, принтеры, политики и разрешения.

Для пользователя или администратора настройка Active Directory предоставляет единый иерархический вид, из которого можно управлять всеми ресурсами сети.

Зачем внедрять Active Directory

Есть множество причин для внедрения этой системы. Прежде всего, Microsoft Active Directory обычно считается значительным улучшением по сравнению с доменами Windows NT Server 4.0 или даже автономными сетями серверов. AD имеет централизованный механизм администрирования по всей сети. Он также обеспечивает избыточность и отказоустойчивость при развертывании в домене двух или более контроллеров домена.

Служба автоматически управляет обменом данными между контроллерами домена, чтобы сеть оставалась жизнеспособной. Пользователи получают доступ ко всем ресурсам в сети, для которых они авторизованы с помощью единого входа. Все ресурсы в сети защищены надежным механизмом безопасности, который проверяет идентификацию пользователей и полномочия ресурсов на каждый доступ.

Даже благодаря улучшенной безопасности и контролю Active Directory большинство его функций невидимы для конечных пользователей. В связи с этим миграция пользователей в сеть AD требует небольшой переподготовки. Служба предлагает средства для быстрого продвижения и понижения рейтинга контроллеров домена и серверов-членов.

Системой можно управлять и защищать с помощью групповых политик Active Directory. Это гибкая иерархическая организационная модель, которая позволяет легко управлять и детализировать конкретное делегирование административных обязанностей. AD способен управлять миллионами объектов в пределах одного домена.

Основные разделы

Книги групповых политик Active Directory организованы с использованием четырех типов разделов или контейнерных структур. Эти четыре подразделения — леса (forests), домены, организационные подразделения и сайты:

• Лес — коллекция каждого объекта, его атрибуты и синтаксис.
• Домен — набор компьютеров, на которых используется общий набор политик, имя и база данных их членов.
• Организационные единицы — контейнеры, в которых домены могут быть сгруппированы. Они создают иерархию для домена и создают структуру компании в географических или организационных условиях.
• Сайты — физические группировки, не зависящие от области и структуры организационных единиц. Сайты различают местоположения, подключенные низко- и высокоскоростными соединениями, и определяются одной или несколькими подсетями IP.

Леса не ограничены географией или топологией сети. Один лес может содержать многочисленные домены, каждый из которых имеет общую схему. Для членов домена того же леса не требуется даже выделенное соединение LAN или WAN. Единая сеть также может быть родиной нескольких независимых лесов. В общем, для каждого юридического лица должен использоваться один лес.

Тем не менее дополнительные леса могут быть желательными для целей испытаний и исследований за пределами производственного леса.

Домены

Домены Active Directory служат в качестве контейнеров для политик безопасности и административных назначений. По умолчанию все объекты в них подчиняются групповым политикам. Аналогично любой администратор может управлять всеми объектами внутри домена. Кроме того, каждый домен имеет свою собственную уникальную базу данных.

Таким образом, аутентификация осуществляется на основе домена. После аутентификации учетной записи пользователя эта учетная запись получает доступ к ресурсам.

Для настройки групповых политик в Active Directory требуется один или несколько доменов. Как упоминалось ранее, домен AD представляет собой набор компьютеров, на которых используется общий набор политик, имя и база данных их членов. Домен должен иметь один или несколько серверов, которые служат контроллерами домена (DC) и хранят базу данных, поддерживают политики и предоставляют аутентификацию для входа.

Контроллеры домена

В Windows NT базовым контроллером домена (PDC) и контроллером домена резервного копирования (BDC) были роли, которые могут быть назначены серверу в сети компьютеров, использующих операционную систему Windows. Windows использовала идею домена для управления доступом к набору сетевых ресурсов (приложений, принтеров и т. д.) для группы пользователей. Пользователю необходимо только войти в домен, чтобы получить доступ к ресурсам, которые могут быть расположены на нескольких разных серверах в сети.

Один сервер, известный как основной контроллер домена, управлял основной пользовательской базой данных для домена. Один или несколько серверов были определены как резервные контроллеры домена. Первичный контроллер периодически отправлял копии базы данных контроллерам резервных доменов. Резервный контроллер домена может войти как основной контроллера домена, в случае, когда PDC-сервер потерпел неудачу, а также может помочь сбалансировать рабочую нагрузку, если сеть достаточно занята.

Делегирование и настройка Active Directory

В Windows 2000 Server, в то время как контроллеры домена были сохранены, роли сервера PDC и BDC были в основном заменены Active Directory. Больше нет необходимости создавать отдельные домены для разделения административных привилегий. Внутри AD можно делегировать административные привилегии на основе организационных единиц. Домены больше не ограничены лимитом в 40 000 пользователей.

Домены AD могут управлять миллионами объектов. Поскольку больше нет PDC и BDC, настройка групповых политик Active Directory применяет репликацию с несколькими ведущими, и все контроллеры домена являются одноранговыми.

Оргструктура

Организационные подразделения намного гибче и проще в управлении, чем в доменах. Оргединицы предоставляют вам почти неограниченную гибкость, поскольку вы можете перемещать их, удалять и создавать новые подразделения по мере необходимости. Однако домены гораздо более жесткие в своих настройках структуры. Домены могут удаляться и создаваться заново, но этот процесс дестабилизирует среду и его следует избегать, когда это возможно.

Сайты представляют собой коллекции IP-подсетей, которые имеют быструю и надежную связь между всеми хостами. Другим способом создания сайта является подключение к локальной сети, но не соединение WAN, так как соединения WAN значительно медленнее и менее надежны, чем соединения LAN. Используя сайты, вы можете контролировать и уменьшать объем трафика, который проходит по вашим медленным каналам глобальной сети. Это может привести к более эффективному потоку трафика для задач производительности. Он также может снизить затраты на WAN-связь для услуг с оплатой за бит.

Мастер инфраструктуры и глобальный каталог

Среди других ключевых компонентов Windows Server в Active Directory есть мастер инфраструктуры (IM), который является полнофункциональной службой FSMO (гибкий одиночный мастер операций), отвечающей за автоматический процесс, который фиксирует устаревшие ссылки, известные как фантомы, в базе данных Active Directory.

Фантомы создаются на DC, которые требуют перекрестной ссылки между объектом в пределах своей собственной базы данных и объектом из другого домена в лесу. Это происходит, например, когда вы добавляете пользователя из одного домена в группу в другом домене в том же лесу.

Фантомы считаются устаревшими, когда они больше не содержат обновленных данных, которые возникают из-за изменений, внесенных в посторонний объект, представляемый фантомом. Например, когда целевой объект переименовывается, перемещается, переносится между доменами или удаляется. Мастер инфраструктуры несет исключительную ответственность за поиск и исправление устаревших фантомов. Любые изменения, внесенные в результате процесса «исправления», затем должны быть реплицированы на другие контроллеры домена.

Мастер инфраструктуры иногда путают с глобальным каталогом (GC), который поддерживает частичную, доступную только для чтения копию каждого домена в лесу и, кроме всего прочего, используется для универсального хранения групп и обработки входа в систему. Поскольку GC хранят частичную копию всех объектов, они могут создавать междоменные ссылки без необходимости фантомов.

Active Directory и LDAP

Microsoft включает LDAP (протокол облегченного доступа к каталогам) как составной компонент Active Directory. LDAP — это программный протокол, позволяющий любому пользователю находить организации, отдельных лиц и другие ресурсы, такие как файлы и устройства в сети, будь то в общедоступном интернете или в корпоративной интрасети.

В сетях TCP/IP (включая интернет) система доменных имен (DNS) — это система каталогов, используемая для привязки имени домена к определенному сетевому адресу (уникальному местоположению в сети). Однако вы можете не знать доменное имя. LDAP позволяет вам искать людей, не зная, где они находятся (хотя дополнительная информация поможет в поиске).

Каталог LDAP организован в простой иерархической иерархии, состоящей из следующих уровней:

• Корневой каталог (исходное место или источник дерева).
• Страны.
• Организации.
• Организационные единицы (отделы).
• Отдельные лица (включая людей, файлы и общие ресурсы, такие как принтеры).

Каталог LDAP можно распространять среди многих серверов. Каждый сервер может иметь реплицированную версию общего каталога, который синхронизируется периодически.

Для каждого администратора важно понимать, что такое LDAP. Так как поиск информации в Active Directory и возможность создания запросов LDAP особенно полезен при поиске информации, хранящейся в базе данных AD. По этой причине многие администраторы уделяют большое внимание освоению фильтра поиска LDAP.

Управление групповой политикой и Active Directory

Трудно обсуждать AD без упоминания групповой политики. Администраторы могут использовать групповые политики в Microsoft Active Directory для определения параметров для пользователей и компьютеров в сети. Эти параметры настраиваются и сохраняются в так называемых объектах групповой политики (GPO), которые затем связываются с объектами Active Directory, включая домены и сайты. Это основной механизм применения изменений к компьютерам пользователям в среде Windows.

Благодаря управлению групповой политикой администраторы могут глобально настраивать параметры рабочего стола на пользовательских компьютерах, ограничивать/разрешать доступ к определенным файлам и папкам в сети.

Применение групповых политик

Важно понимать, как используются и применяются объекты групповой политики. Для них приемлем следующий порядок: сначала применяются политики локальных машин, затем политики сайта, затем политики домена, а затем политики, применяемые к отдельным организационным единицам. Пользовательский или компьютерный объект может принадлежать только одному сайту и одному домену в любой момент времени, поэтому они будут получать только объекты групповой политики, которые связаны с этим сайтом или доменом.

Структура объектов

Объекты GPO разбиваются на две отдельные части: шаблон групповой политики (GPT) и контейнер групповой политики (GPC). Шаблон групповой политики отвечает за сохранение определенных параметров, созданных в объекте групповой политики, и имеет важное значение для его успеха. Он сохраняет эти настройки в большой структуре папок и файлов. Чтобы настройки успешно применялись ко всем объектам пользователя и компьютера, GPT должен быть реплицирован для всех контроллеров в домене.

Контейнер групповой политики — это часть объекта групповой политики, хранящегося в Active Directory, который находится на каждом контроллере домена в домене. GPC отвечает за ведение ссылок на клиентские расширения (CSE), путь к GPT, пути к пакетам установки программного обеспечения и другие ссылочные аспекты объекта групповой политики. GPC не содержит большого количества информации, относящейся к соответствующему объекту групповой политики, но он необходим для функциональности GPO. Когда политики установки программного обеспечения настроены, GPC помогает поддерживать ссылки, связанные с объектом групповой политики и сохраняет другие реляционные ссылки и пути, хранящиеся в атрибутах объекта. Знание структуры GPC и способа доступа к скрытой информации, хранящейся в атрибутах, окупится, когда вам нужно будет выявить проблему, связанную с групповой политикой.

В Windows Server 2003 Microsoft выпустила решение для управления групповыми политиками как средство объединения данных в ​​виде оснастки, известной как консоль управления групповыми политиками (GPMC). GPMC предоставляет интерфейс управления, ориентированный на GPO, что значительно упрощает администрирование, управление и местоположение объектов групповой политики. Через GPMC вы можете создавать новые объекты групповой политики, изменять и редактировать объекты, вырезать/копировать/вставлять объекты групповой политики, создавать резервные копии объектов и выполнять результирующий набор политик.

Оптимизация

По мере увеличения количества управляемых объектов групповой политики, производительность влияет на машины в сети. Совет: при снижении производительности ограничьте сетевые параметры объекта. Время обработки увеличивается прямо пропорционально количеству индивидуальных настроек. Относительно простые конфигурации, такие как настройки рабочего стола или политики Internet Explorer, могут не занять много времени, в то время как переадресация папок программного обеспечения, может серьезно нагрузить сеть, особенно в пиковые периоды.

Разделите пользовательские объекты групповой политики, а затем отключите неиспользуемую часть. Одна из лучших практик как для повышения производительности, так и для снижения управленческой путаницы заключается в создании отдельных объектов для параметров, которые будут применяться к компьютерам и отдельных для пользователей.

Источник: www.syl.ru