- •13 Пара. Ad. Управление пользователями и группами
- •Локальные учетные записи
- •Управление доменными учетными записями пользователей
- •Управление группами
- •Область действия групп
- •Изменение области действия группы
- •Встроенные и динамически формируемые группы.
- •Групповые политики
- •Создание групповых политик
- •Применение групповых политик
- •Порядок применения объектов групповой политики
- •Приоритетность, наследование и разрешение конфликтов
- •Сценарии подключения и отключения
- •Делегирование прав на администрирование групповых политик
- •Управление пользовательскими документами и кэшированием на стороне клиента
- •Управление приложениями
- •Планирование пространства имен ad
- •Один домен, одна зона dns
- •"Расщепление" пространства имен dns
- •Поддомен в пространстве имен dns для поддержки Active Directory (рис. 6.6).
- •Два различных домена dns для внешних ресурсов и для Active Directory (рис. 6.7.).
- •Причины создания Kerberos
Управление пользовательскими документами и кэшированием на стороне клиента
(слайд №14)
Групповая политика позволяет перенаправлять некоторые пользовательские каталоги таким образом, чтобы при обращении к ним пользователь на самом деле обращался к сетевым каталогам или определенным местам локальной файловой системы. Набор папок, которые можно перенаправить таким образом, включает в себя:
Application data
Desktop (Рабочий стол)
My Documents (Мои документы)
My Pictures (Мои рисунки)
Start Menu (Главное меню).
Механизм перенаправления пользовательских папок является частью технологии IntelliMirror, цель которой - обеспечить доступ к рабочим файлам и конфигурационной информации вне зависимости от того, какую рабочую станцию пользователь использует для работы. Как следствие, технология Intellimirror обеспечивает сохранность пользовательских файлов и конфигурационных данных в случае, если рабочая станция пользователя выходит из строя.
Три варианта перенаправления пользовательской папки.
No administrative policy specified (административная политика не назначена).
Basic (базовый). Перенаправляет папку в новое место вне зависимости от того, к какой группе принадлежит пользователь. Новое место должно быть указано с использованием формата UNC. При указании нового места можно использовать такие переменные, как %username%. Таким образом, для разных пользователей папка может быть перенаправлена в разные каталоги, однако все эти каталоги должны располагаться в одной и той же сетевой папке общего доступа.
Advanced (усложненный). Для разных групп пользователей можно указать разные местоположения папки. Для разных групп можно указать различные UNC-имена. Соответствующие папки могут располагаться на разных серверах.
Управление приложениями
(слайд №15)
Рассмотрим немного подробнее использование групповых политик для развертывания приложений в сетях под управлением Active Directory.
Групповые политики могут использоваться для установки прикладных программ в масштабах всего домена или отдельного организационного подразделения.
Используются следующие способы управления установкой приложений:
назначение приложений компьютерам (при данном способе приложение, назначенное компьютеру, автоматически устанавливается при загрузке компьютера). Автоматическая установка.
назначение приложений пользователям (приложение устанавливается при первом вызове данного приложения - при открытия ярлычка приложения или файла, соответствующего данному приложению). Автоматическая установка.
публикация приложений пользователям (название приложения добавляется к списку доступных для установки программ в окне "Установка и удаление программ" в Панели управления). Ручная установка.
Автоматическая установка только с разрешением файла *.msi. Установочная программа с расширением *.exe, только в ручной установке.
Планирование пространства имен ad
(слайд №16)
Планирование пространства имен и структуры AD - очень ответственный момент, от которого зависит эффективность функционирования будущей корпоративной системы безопасности. При этом надо иметь в виду, что созданную вначале структуру в процессе эксплуатации будет очень трудно изменить (например, в Windows 2000 изменить имя домена верхнего уровня вообще невозможно, а в Windows 2003 решение этой задачи требует выполнения жестких условий и тщательной подготовки данной операции). При планировании AD необходимо учитывать следующие моменты:
тщательный выбор имен доменов верхнего уровня;
качество коммуникаций в компании (связь между отдельными подразделениями и филиалами);
организационная структура компании;
количество пользователей и компьютеров в момент планирования;
прогноз темпов роста количества пользователей и компьютеров.
Рассмотрим вопрос пространства имен AD.
При планировании имен доменов верхнего уровня можно использовать различные стратегии и правила. В первую очередь необходимо учитывать вопросы интеграции внутреннего пространства имен и пространства имен сети Интернет - т.к. пространство имен AD базируется на пространстве имен DNS, при неправильном планировании могут возникнуть проблемы с безопасностью, а также конфликты с внешними именами.
Рассмотрим основные варианты.