-
Административные шаблоны.
Active Directory — LDAP-совместимая реализация интеллектуальной службы каталогов корпорации Microsoft для операционных систем семейства Windows NT. Active Directory позволяет администраторам использовать групповые политики (GPO) для обеспечения единообразия настройки пользовательской рабочей среды, развёртывать ПО на множестве компьютеров (через групповые политики или посредством Microsoft Systems Management Server 2003 (или System Center Configuration Manager)), устанавливать обновления ОС, прикладного и серверного ПО на всех компьютерах в сети (с использованием Windows Server Update Services (WSUS); Software Update Services (SUS) ранее). Active Directory хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких сотен до нескольких миллионов объектов.
Служба каталогов (Directory Service) — это средство иерархического представления ресурсов, принадлежащих некоторой отдельно взятой организации, и информации об этих ресурсах. Под ресурсами могут пониматься материальные ресурсы, персонал, сетевые ресурсы и т. д.
LDAP (англ. Lightweight Directory Access Protocol — «облегчённый протокол доступа к каталогам») — это сетевой протокол для доступа к службе каталогов X.500, разработанный IETF как облегчённый вариант разработанного ITU-T протокола DAP. LDAP — относительно простой протокол, использующий TCP/IP и позволяющий производить операции аутентификации (bind), поиска (search) и сравнения (compare), а также операции добавления, изменения или удаления записей. Обычно LDAP-сервер принимает входящие соединения на порт 389 по протоколам TCP или UDP. Для LDAP-сеансов, инкапсулированных в SSL, обычно используется порт 636.
Если вы так или иначе сталкиваетесь с AD (Active Directory), то вам наверняка приходилось иметь дело с политикой групп (Group Policy). Одним из основных компонентов объектов политики групп (Group Policy Object - GPO) является контроль над системным реестром (Registry). Контроль реестра внутри политики групп в первую очередь осуществляется посредством включения административных шаблонов. Эти шаблоны весьма полезны, но у них есть и отрицательные моменты. Один из отрицательных моментов, способных вызвать проблемы, касается контролирования управления шаблонов, когда выходит новая версия. Есть решение не только для этой проблемы, но и многих других проблем, связанных с этими шаблонами. Вот одно из решений, решение с хранилищем, которое разрешает проблему с административными шаблонами.
Основы административных шаблонов
Административные шаблоны представляют собой текстовые файлы, содержащие простой код, который помогает разрешенной политике групп выполнять различные модификации системного реестра. Эти шаблоны хранятся в файлах с расширением .ADM, от которого и происходит название шаблонов ADM. Шаблоны очень важны для политики групп, так как они выполняют две различные функции.
Первая функция заключается в создании политики и установок в редакторе объектов политики групп (Group Policy Object Editor). Все установки, созданные шаблонными ADM, видны в узле Administrative Templates.
Каждый шаблон ADM содержит информацию для секции пользователя и компьютера в GPO. Есть ключевые слова в шаблонах ADM, разделяющие две секции.
Вторая функция шаблонов ADM связана с установками пользователя и компьютера, которые создаются внутри файлов. Шаблоны ADM также указывают точный путь регистрации, значение и данные, которые меняет каждая установка. Все установки пользователя в шаблонах ADM будут обновлять HKEY_CurrentUser секцию системного реестра, а компьютерные установки обновляют HKEY_Local_Machine область реестра.
Стандартные шаблоны adm
Для Windows Server 2003 GPO существует всего пять стандартных ADM шаблонов. Шаблоны ADM запускаются с целью контроля определенных аспектов узла Administrative Templates в GPO, которые показаны в таблице 1.
|
Таблица 1: Каждый ADM шаблон создан для контроля над определенными установками в GPO |
|
|
ADM Шаблон |
Функция шаблона |
|
Conf.adm |
NetMeeting |
|
Inetres.adm |
Internet Explorer |
|
System.adm |
Общие настройки системы (General system settings) |
|
Wmplayer.adm |
Windows Media Player |
|
Wuau.adm |
Обновления Windows Update/Automatic Update |
Общий размер стандартных ADM шаблонов составляет примерно 4 MB. Хотя файлов и не много, они занимают относительно много места.
Увеличение шаблонов (adm Template Bloat)
Чтобы понять увеличение шаблонов ADM, вам нужно понять, как хранятся GPO. Каждый GPO разбит на две части, и каждая часть хранится в различных местах на контроллерах доменов.
Одна часть с названием Group Policy Container (GPC), хранится в качестве объекта в AD. Основная задача этой части GPO заключается в том, что она связывает все соединения, расположения и пути различных аспектов GPO. GPC не содержит никаких настроек или шаблонов.
Вторая часть GPO с названием Group Policy Template (GPT), хранится в виде файлов в SYSVOL на контроллерах доменов. Точное место GPT будет c:\Windows\SYSVOL\sysvol\<domainname>\Policies\<GUID of GPO>. Эта секция GPO полностью отвечает за определенные установки, настроенные в GPO. GPT не только хранит все настройки в большом количестве файлов, она еще содержит копию шаблонов ADM.
Проблема с расширением АDM заключается в том, что копии шаблонов хранятся в каждом GPT, а не одном. Поэтому если у вас большое количество шаблонов ADM, общее количество места, занимаемого ими, может быть весьма значительным. Некоторые компании имеют более тысячи GPO, что составляет примерно 4 GB места, занятого лишь под ADM шаблоны.
Помимо занимаемого места эти шаблоны должны быть скопированы на все контроллеры доменов. Служба репликации файлов (File Replication Service), которая сейчас на некоторых версиях Windows называется DFS Replication, несет ответственность за этот процесс.