นโยบายกลุ่ม Active Directory และการตั้งค่า

ความเป็นไปได้ของระบบปฏิบัติการวินโดวส์อนุญาตให้มีการจัดการที่มีประสิทธิภาพของเครือข่ายคอมพิวเตอร์ ซึ่งอาจรวมถึงแง่มุมของการควบคุมการเข้าถึงของผู้ใช้ไปยังแหล่งข้อมูลที่แตกต่างกันและความปลอดภัยของการแลกเปลี่ยนข้อมูล ท่ามกลางเครื่องมือที่สะดวกที่สุดและการทำงานเพื่อแก้ปัญหาดังกล่าว - มีส่วนร่วมของนโยบายกลุ่ม ใน Windows ซอฟต์แวร์ที่มีสภาพแวดล้อมที่พิเศษสำหรับการจัดการ - Active Directory ความจำเพาะของมันคืออะไร? วิธีการคือการกำหนดค่า Active Directory?

นโยบายกลุ่มคืออะไร?

คำว่า "นโยบายกลุ่ม" เป็นที่เข้าใจกันทั่วไปว่าเป็นชุดของกฎในสภาพแวดล้อมที่ผู้ใช้ตั้งค่าใน Windows มันเป็นลักษณะเด่นหลัก - ความสามารถในการปรับแต่งการตั้งค่าต่างๆไปยังเครื่องคอมพิวเตอร์หลายเครื่องในเวลาเดียวกันตามมาตรฐานเดียวกันและหลักการ

คงมันบนโดเมนที่เฉพาะเจาะจง หลักการของการใช้นโยบายกลุ่ม - ลำดับชั้น การดำเนินการขั้นพื้นฐานของช่องในแนวตั้งให้ใน Windows - มันเป็น Active Directory กลุ่มของคอมพิวเตอร์ต่างๆหรือผู้ใช้ที่ได้รับการจัดการบนพื้นฐานของอัลกอริทึมที่นำมาในระดับของนโยบายด้านความปลอดภัยขององค์กรและการควบคุมการเข้าถึงเครื่องคอมพิวเตอร์ของคุณ

ในฐานะที่เป็นส่วนหนึ่งของสภาพแวดล้อมของ Active Directory สองนโยบายที่สำคัญคือนโยบายโดเมนเริ่มต้นที่เกี่ยวข้องโดยตรงกับโดเมนและเริ่มต้นนโยบายควบคุมโดเมนซึ่งเป็นผู้รับผิดชอบสำหรับประเภทที่เหมาะสมของตัวควบคุม

คุณสมบัติของ Active Directory

นโยบายกลุ่ม Active Directory ที่มีการจัดอันดับเป็นตัวเลือกตั้งค่าเครื่องคอมพิวเตอร์ที่สะดวกที่สุดและสภาพแวดล้อมของผู้ใช้ในเครือข่ายคอมพิวเตอร์ในการดำเนินงานภายใต้ Windows ขี่จักรยานเครื่องมือ บริษัท สามารถออกกำลังกายควบคุมที่มีประสิทธิภาพมากกว่าการทำงานของเครือข่ายที่สนับสนุนประสิทธิภาพของโครงสร้างพื้นฐานเพิ่มระดับการรักษาความปลอดภัยข้อมูลขององค์กร

คุณลักษณะของ Active Directory - มันเป็นอย่างที่เราระบุไว้ข้างต้น โครงสร้างลำดับชั้นของ สภาพแวดล้อมที่ซอฟแวร์ที่สอดคล้องกัน องค์ประกอบหลักของมัน - วัตถุ ในทางกลับกันพวกเขาสามารถจำแนกออกเป็นประเภทที่แตกต่างกัน ท่ามกลางพื้นฐาน - ทรัพยากร (ที่อาจจะยกตัวอย่างเช่นเครื่องพิมพ์และอุปกรณ์สำนักงานอื่น ๆ ), บริการซอฟต์แวร์ (เช่นการเชื่อมต่อการส่งข้อความอิเล็กทรอนิกส์) เช่นเดียวกับบัญชี ของพนักงาน และบัตรประจำตัวของข้อมูลคอมพิวเตอร์ สภาพแวดล้อมของซอฟต์แวร์ Active Directory สามารถให้ข้อมูลผู้ดูแลระบบเกี่ยวกับวัตถุอื่น ๆ เหล่านี้หรือจัดการกับพวกเขาตั้งเกณฑ์สำหรับการเข้าถึงพวกเขา

วัตถุที่เป็นส่วนประกอบหลักของนโยบายกลุ่มอาจรองรับองค์ประกอบเพิ่มเติม มันอาจจะเป็นตัวอย่างเช่นกลุ่มการรักษาความปลอดภัย วัตถุที่มีเอกลักษณ์เฉพาะด้วยจำนวนของคุณลักษณะพิเศษ - ใหญ่ชื่อแอตทริบิวต์ (เช่น ชนิดข้อมูล ซึ่งประกอบด้วย) มันอาจจะตั้งข้อสังเกตว่าคุณสมบัติของคุณลักษณะในคำถามที่มีการบันทึกไว้ในรูปแบบที่กำหนดเฉพาะเจาะจงของผู้ที่หรือวัตถุอื่น ๆ

นโยบายเกณฑ์กลุ่ม

เพื่อให้ บริษัท มีโอกาสที่จะใช้ประโยชน์ทั้งหมดที่ให้นโยบายกลุ่มของ Active Directory โครงสร้างพื้นฐานที่อยู่ในเครือข่ายคอมพิวเตอร์ของเธอต้องเป็นไปตามจำนวนของเกณฑ์ ท่ามกลางฐาน:

• เครือข่ายควรดำเนินการบนพื้นฐานของการให้บริการของ Active Directory (การแสดงของพวกเขาเป็นสิ่งที่จำเป็นอย่างน้อยสำหรับเซิร์ฟเวอร์หลัก);
• เครื่องคอมพิวเตอร์กับโครงสร้างเครือข่ายและในแง่ของสภาพแวดล้อมของผู้ใช้ซึ่งจะได้รับการตรวจสอบควรจะทำงานภายใต้โดเมนและพนักงานในการเปิด - การใช้ข้อมูลประจำตัวที่ติดอยู่กับมัน
• ผู้ดูแลระบบควรจะมีอำนาจที่จำเป็นที่จะใช้หลักการของนโยบายกลุ่มบนเครือข่ายขององค์กร

ให้เราพิจารณาวิธีการจัดการนโยบายกลุ่มจะดำเนินการเช่นเดียวกับการตั้งค่าของพวกเขา

เครื่องมือการจัดการนโยบายกลุ่มและการตั้งค่า

ใน Windows ในการแก้ปัญหาในคำถามที่คุณสามารถใช้คอนโซลการที่เหมาะสม วิธีการเริ่มต้นมันได้หรือไม่ คุณต้องคลิกที่เมนู "Start" แล้วไปที่ "โปรแกรมทั้งหมด" เลือก "เครื่องมือการดูแลระบบ" แล้ว - "การจัดการนโยบายกลุ่ม"

การกำหนดค่า Active Directory จะกระทำโดยการแก้ไขการตั้งค่านโยบายกลุ่มที่เกี่ยวข้องโดยตรงกับวัตถุ พวกเขาในทางกลับกันสามารถควบคุมได้โดยตรงผ่านทางคอนโซลในคำถาม พิจารณาที่สำคัญที่สุดในแง่ของการปฏิบัติของการทำงานกับอินเตอร์เฟซนโยบายกลุ่มขององค์ประกอบซอฟต์แวร์นี้

วัตถุ Active Directory สามารถมองเห็นได้ในหน้าต่างหลักคอนโซล ตัวอย่างดังกล่าวบัญชีรักษาความปลอดภัย (รับผิดชอบในการรักษาความปลอดภัย) เช่นเดียวกับวัตถุนโยบายหลักดังกล่าวข้างต้นเกี่ยวข้องกับโดเมนและควบคุมของตน มันอาจจะตั้งข้อสังเกตว่านโยบายโดเมนเริ่มต้นจะถูกกำหนดโดยค่าเริ่มต้นและมีพารามิเตอร์ที่เกี่ยวข้องกับคอมพิวเตอร์และผู้ใช้ทั้งหมดภายในโดเมนที่เฉพาะเจาะจง ในทางกลับกันนโยบายเริ่มต้นนโยบายควบคุมโดเมนที่มีความเกี่ยวข้องเท่านั้นที่จะควบคุม

จัดการการตั้งค่า

พิจารณาวิธีการของ Active Directory สามารถติดตั้งในทางปฏิบัติ เพื่อที่จะทำการปรับเปลี่ยนบางอย่างในพารามิเตอร์ที่เหมาะสมที่คุณจะต้องใช้โปรแกรมแก้ไขความเชี่ยวชาญ การทำเช่นนี้คุณจะต้องคลิกขวาที่ตัวเลือก "การจัดการนโยบายกลุ่ม" จากนั้นเลือก "แก้ไข" จากนั้นคุณสามารถใส่ตัวเลือกที่คุณต้องการ เป็นที่น่าสังเกตว่าสอดคล้องกับโปรแกรมของ Active Directory ดำเนินการในอินเตอร์เฟซของ Windows บันทึกการตั้งค่าโดยอัตโนมัติ นั่นคือหลังจากที่ผู้ใช้มีวางค่าพารามิเตอร์ที่จำเป็นที่พวกเขาทันทีล็อคในระบบ

พารามิเตอร์ที่สำคัญ

ในบางส่วนของอินเตอร์เฟซคอนโซลมีตัวแปรสำคัญที่มีผลต่อนโยบายกลุ่มของ Active Directory? ในบรรดา - โฟลเดอร์การกำหนดค่าคอมพิวเตอร์และกำหนดค่าผู้ใช้ เป็นครั้งแรกที่มีการตั้งค่าที่มีความเกี่ยวข้องกับเครื่องคอมพิวเตอร์ทั้งหมดที่เชื่อมต่อกับเครือข่ายขององค์กร

ไม่ว่าชนิดของพนักงานที่ใช้ Active Directory การอนุมัติภายใต้การเข้าสู่ระบบเฉพาะในกรณีนี้รอง ตามกฎภายใต้การกำหนดค่าคอมพิวเตอร์ตั้งค่าความปลอดภัยอินเตอร์เฟซที่ได้รับการแก้ไข ในโฟลเดอร์กำหนดค่าผู้ใช้กำหนดค่าพารามิเตอร์ที่ใช้ในการเปิดให้กับพนักงานโดยเฉพาะอย่างยิ่ง มันไม่สำคัญว่าที่เครื่องคอมพิวเตอร์ของพวกเขากำลังจะไปทำงาน

พิจารณาพารามิเตอร์ที่สำคัญอื่น ๆ ซึ่งอาจช่วยให้ผู้ดูแลระบบดำเนินการจัดการ Active Directory ยกตัวอย่างเช่นในนโยบายการตั้งค่าโฟลเดอร์ที่ตั้งอยู่ซึ่งโดยทั่วไปมีความรับผิดชอบในนโยบายกลุ่ม การตั้งค่าโฟลเดอร์พารามิเตอร์ที่เกี่ยวข้องกับการตั้งค่าคอมพิวเตอร์ที่ต้องการการแก้ไข พวกเขาอาจจะเกี่ยวข้องกับความหลากหลายขององค์ประกอบของระบบปฏิบัติการ - รีจิสทรีไฟล์โฟลเดอร์ นี้การตั้งค่าภูมิภาคโดยวิธีการที่สามารถนำมาใช้ไม่เพียง แต่เป็นเครื่องมือการกำหนดค่านโยบายกลุ่ม แต่ยังให้การควบคุมฟังก์ชั่นอื่น ๆ เช่น Windows

แม่แบบการบริหาร

หนึ่งในองค์ประกอบที่โดดเด่นที่สุดที่มีการให้บริการของ Active Directory คุณจะต้องพูดถึงแม่แบบการบริหาร พวกเขาทำอะไรแทน? นี้การตั้งค่านโยบายกลุ่มการแก้ไขในส่วนพิเศษของสตรี คุณสมบัติที่โดดเด่นของพวกเขาคือว่าพวกเขาไม่สามารถเปลี่ยนแปลงได้โดยผู้ใช้ที่มีสิทธิในมาตรฐาน แต่ถ้าเหล่านี้หรือโปรแกรมอื่น ๆ ของ Windows ที่เกี่ยวข้องกับการทำงานของนโยบายกลุ่มพบพวกเขาในรีจิสทรีดำเนินการคำแนะนำแรกที่มีอยู่ในพวกเขา

ความแตกต่างของการตั้งค่านโยบายการแก้ไข

อะไรคือความแตกต่างที่สำคัญที่สุดที่เป็นลักษณะขั้นตอนเช่นการกำหนดค่า Active Directory นโยบายกลุ่ม? ผู้เชี่ยวชาญแนะนำให้ความสนใจเป็นพิเศษกับธรรมชาติของพารามิเตอร์ที่เฉพาะเจาะจงในแง่ของการเปิดใช้งานของพวกเขาหรือในทางที่ถูกปิด ในบางกรณีความจริงที่ว่านโยบายโดยเฉพาะอย่างยิ่งไม่ได้ทำงานไม่ได้หมายความว่ากระบวนการนี้ยังเกี่ยวข้องปิดการใช้งานมันและในทางกลับกัน ทุกข้อมูลที่จำเป็นเกี่ยวกับการตั้งค่านโยบายอื่น ๆ เหล่านี้หรือมักจะถูกบันทึกไว้ในข้อความอ้างอิงประกอบ จำนวนพารามิเตอร์ A มีตัวเลือกเพิ่มเติม ที่เฉพาะเจาะจงของพวกเขาเป็นกฎที่มีการอธิบายยังอยู่ในความช่วยเหลือ

ตรวจสอบรายละเอียดของข้อมูลที่เกี่ยวข้อง - เงื่อนไขหลักสำหรับผู้ดูแลระบบไม่ได้เป็นข้อผิดพลาดแบบสุ่มที่ถูกสร้างขึ้น Active Directory - สภาพแวดล้อมของซอฟต์แวร์ที่มีจำนวนมากขององค์ประกอบความรับผิดชอบสำหรับพารามิเตอร์ที่สำคัญของเครือข่ายความปลอดภัยและความมั่นคง ผู้รับผิดชอบในการทำงานก็จะต้องมีระดับที่จำเป็นของความสามารถของการจัดการนโยบายกลุ่ม

การปฏิบัติของการทำงานร่วมกับ GPO: รายการใหม่

ให้เราหันจากทฤษฎีความแตกต่างในทางปฏิบัติของการทำงานกับนโยบายกลุ่ม ดังนั้นท่ามกลางปัญหาที่พบมากที่สุดของผู้ดูแลระบบ - การสร้างของชนิดของวัตถุที่สอดคล้องกัน พิจารณาวิธีการนี้เกิดขึ้น

เพื่อสร้าง GPO คุณต้องเปิดคอนโซลการจัดการซึ่งเรากล่าวถึงข้างต้น ผู้ดูแลระบบการทำงานร่วมกับประเภทที่เหมาะสมขององค์ประกอบที่สามารถนำมาใช้ในเวลาเดียวกันวิธีการของการสร้างของพวกเขาและการเชื่อมโยงหรือใช้วิธีการที่สอดคล้อง ในบรรดาผู้เชี่ยวชาญด้านการทำงานร่วมกับเครือข่ายคอมพิวเตอร์เป็นครั้งแรกสถานการณ์ค่อนข้างบ่อย พิจารณาจากคุณลักษณะของมัน

เพื่อที่จะดำเนินการสร้างพร้อมกันและมีผลผูกพันของวัตถุที่สอดคล้องกันคุณต้องดำเนินการขั้นตอนพื้นฐานดังต่อไปนี้

ก่อนเปิดคอนโซลคลิกขวาบนโดเมนและจากนั้นเลือกรายการที่สะท้อนให้เห็นถึงความปรารถนาที่จะสร้างวัตถุและเชื่อมโยงมัน

ประการที่สองเราต้องอธิบายวัตถุที่เกี่ยวข้องป้อนข้อความที่ต้องการในรูปแบบของ "ชื่อ" ที่อยู่ใน "วัตถุใหม่."

โดยทั่วไปนั่นคือทั้งหมดที่ต้องทำ แต่ก็อาจจะจำเป็นต้องปรับการตั้งค่าวัตถุ นี้จะทำยังใช้เครื่องมือคอนโซล

องค์ประกอบการแก้ไข

ดังนั้นเพื่อที่จะเปลี่ยนการตั้งค่าวัตถุให้ดำเนินการดังนี้

ขั้นแรกให้คลิกบนวัตถุที่เหมาะสม - เพื่อให้สิทธิในอินเตอร์เฟซคอนโซลองค์ประกอบของประเภทของการแสดงผลนี้ อีกตัวเลือกหนึ่ง - เพื่อเลือกโดเมนแล้ววัตถุในทางเดียวกันจะสามารถใช้ได้สำหรับการดู

ประการที่สองด้านขวาของอินเตอร์เฟซคอนโซลโดยการคลิกขวาบนวัตถุนโยบายที่คุณต้องการแก้ไขและเลือก "แก้ไข" หลังจากนั้นองค์ประกอบที่สอดคล้องกันเปิดในการแก้ไขซึ่งเป็นส่วนหนึ่งของคอนโซล

ประการที่สามการใช้อินเตอร์เฟซที่เหมาะสมคุณสามารถทำการเปลี่ยนแปลงที่จำเป็นนโยบายกลุ่มของ Active Directory การเปลี่ยนแปลงที่เราระบุไว้ข้างต้นจะถูกบันทึกไว้โดยอัตโนมัติ

พิจารณาสถานการณ์อีกซึ่งในการสร้างและการเชื่อมโยงของวัตถุที่จะทำในขั้นตอนที่แตกต่างกัน นอกจากนี้ขั้นตอนนี้อาจมีความจำเป็นถ้าด้วยเหตุผลใด, การเชื่อมโยงระหว่างเดิมพารามิเตอร์ที่เกี่ยวข้องถูกฉีก

เพื่อเชื่อมโยงวัตถุที่มีโดเมนเฉพาะคุณต้องดำเนินการตามขั้นตอนดังต่อไปนี้

ประการแรกคุณจะต้องคลิกเมาส์ปุ่มขวาบนโดเมนที่คุณต้องการที่จะดำเนินการวัตถุที่มีผลผูกพันและเลือกรายการที่เหมาะสม

ประการที่สองคุณต้องคลิกที่รายการที่เหมาะสมที่จะแสดงใน "เลือกวัตถุ" แล้วยืนยันผูกพัน

นอกจากนี้ยังเป็นไปได้ที่จะแยกวัตถุจากโดเมนที่เหมาะสมตามความจำเป็น การทำเช่นนี้ให้ดำเนินการดังนี้

ประการแรกคุณต้องติดต่อคอนโซลควบคุมคลิกโดเมนที่มีการเชื่อมโยงกับวัตถุ

ประการที่สองคุณจะต้องคลิกเมาส์ปุ่มขวาบนวัตถุที่เหมาะสมและจากนั้นเลือก "ลบ."

ประการที่สามในหน้าต่างโดยใช้องค์ประกอบของการที่จัดการนโยบายที่คุณจะต้องยืนยันการกระทำ

การเรียกคืนรายการ

ในบางกรณีก็อาจจะต้องมีขั้นตอนพิเศษที่จะทำงานกับ GPOs - การกู้คืน Active Directory - สภาพแวดล้อมที่ซอฟแวร์ที่มีอยู่เป็นจำนวนมากของกระบวนการคุณอาจพบในสถานการณ์ที่วัตถุด้วยเหตุผลบางอย่างเอาออก อย่างไรก็ตามยังมีโอกาสที่จะกู้คืนรุ่นก่อนหน้านี้ของพวกเขาของการสำรองข้อมูลที่มีอยู่ในระบบ

เครื่องมือที่จำเป็นในการแก้ปัญหาที่สอดคล้องกันในปัจจุบันก็คือคอนโซลซึ่งตอนนี้เราตรวจสอบ พวกเขาสามารถใช้ในการดำเนินการกู้คืนของทั้งสองหนึ่งและอื่น ๆ วัตถุประเภทที่เหมาะสมที่ค่าใช้จ่ายของการสำรองข้อมูลที่อยู่ในโฟลเดอร์พิเศษ

ลำดับกระทำของผู้ใช้ในการแก้ปัญหาของปัญหานี้อาจมีลักษณะเหมือน

ประการแรกคุณจะต้องคลิกที่ "วัตถุนโยบายกลุ่ม" โฟลเดอร์ในคอนโซลอินเตอร์เฟซหลัก หลังจากนั้นเป็นต้นมาในรายการนั้นจะปรากฏบนหน้าจอ

ประการที่สองคลิกขวาที่โฟลเดอร์ที่ "วัตถุนโยบายกลุ่ม" คุณจะต้องคลิกแล้วเลือก "จัดการการสำรองข้อมูลตัวเลือก"

ประการที่สามที่คุณจำเป็นต้องเลือกสถานที่สำรองข้อมูลการตั้งค่าที่เหมาะสมกับรายการพิเศษที่มีอยู่ใน กล่องโต้ตอบ อินเตอร์เฟซ นอกจากนี้คุณยังสามารถใช้ปุ่ม "Browse" และแล้วด้วยตนเองเลือกโฟลเดอร์ที่มีไฟล์ที่คุณต้องการ

หลังจากการดำเนินการทำธุรกรรมที่เกี่ยวข้องมีความจำเป็นต้องให้ความสนใจกับรายการ "การสำรองข้อมูลที่" มีพร้อมที่จะเรียกคืนรายการจะแสดงเป็น มันเป็นสิ่งจำเป็นที่จะเลือกที่เหมาะสม หลังจากนั้น - คลิกที่ปุ่มที่เริ่มต้นกระบวนการกู้คืน โอกาสที่มีอยู่จะมีหลายรุ่นของวัตถุ ในกรณีนี้ก็จะเป็นประโยชน์ในการใช้กล่องพิเศษที่ใช้เพื่อระบุอินเตอร์เฟซการทำแผนที่บนหน้าจอเฉพาะการสำรองข้อมูลล่าสุดของ GPOs

ถัดไปคุณต้องตรวจสอบวิธีการที่ดีการดำเนินการดำเนินการ (ข้อมูลที่จำเป็นที่แสดงกล่องโต้ตอบ) จากนั้นคลิกที่ปุ่ม«ตกลง» ดังนั้นการดำเนินการกู้คืนของ Active Directory ของวัตถุที่ถูกลบที่สอดคล้องกับระบบการจัดการเครือข่ายคอมพิวเตอร์ขององค์กร