Active directory настройка групп

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC

Мы до этого уже познакомились с базовыми понятиями AD и научились создавать пользователя, пришло время научиться делать группы и темой данной статьи будет, создание групп при помощи оснастки ADUC / Как создать группу в Active Directory. Данную информацию должен знать любой системный администратор, у кого на работе развернут домен Active Directory, так как без групп, производить гибкое администрирование, просто не возможно. Для начала давайте поймем, какие группы существуют и чем они отличаются.

Как создать группу в Active Directory

• Группа Безопасности – как видно из названия эта группа относиться к безопасности, т.е. она управляет безопасностью. Она может дать права или разрешение на доступ к объектам в AD.
• Группа распространения – отличается от группы безопасности тем, что находящимся в этой группе объектам нельзя дать права, а эта группа чаще всего служит для распространения электронных писем, часто используется при установке Microsoft Exchange Server.

Теперь поговорим об области действий групп. Под областью действий понимается диапазон применения этой группы внутри домена.

Глобальная группа – она глобальна тем, что может предоставить доступ к ресурсам другого домена, т.е. ей можно дать разрешения на ресурс в другом домене. Но в нее можно добавить только те учетные записи, которые были созданы в том же домене что и сама группа. Глобальная группа может входить в другую глобальную группу и в локальную группу тоже. Ее часто называют учетной, так как в нее обычно входят учетные записи пользователей.

Локальная группа – она локальна тем, что предоставляет доступ к ресурсам только того домена, где она была создана, т.е. предоставить доступ к ресурсам другого домена она не может. Но в локальную группу могут входить пользователи другого домена. Локальная группа может входить в другую локальную группу, но не может входить в глобальную. Ее часто называют ресурсной, так как ее часто используют для предоставления доступа к ресурсам.

Универсальная группа – в нее могут входить все, и она может, предоставляет доступ всем.

Другими словами вы учетные записи пользователей добавляете в глобальные группы, а глобальные группы добавляете в локальные группы, а локальным группам предоставляете доступ к ресурсам. Организовать такую стратегию на предприятие позволит вам намного упростить управление правами и разрешениями (удобство, сокращение времени на изменение прав и разрешений). Не зря глобальные группы называют учетными, а локальные ресурсными.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-02

Теперь, когда вы больше стали понимать, что это такое и с чем это едят, давайте создадим с вами группу безопасности. Для этого щелкаем правым кликов в нужном контейнере тлт OU и выбираем создать > группу или сверху есть значок с человечками.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-03

После чего мы видим область действия и типы группы, пишем название группы, старайтесь максимально подробно и осмысленно выбирать название группы, у вас в компании должны быть разработаны стандарты именования в Active Directory.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-04

После того как группа создалась кликнете по ней двойным щелчком. Откроются свойства группы. Давайте пробежимся по вкладкам. Советую сразу написать Описание, может потом сильно сэкономить время.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-05

Вкладка Члены группы, показывает группы или пользователей которые являются членами данной группы. Как мы видим пока никого нету, давайте добавим пользователя, для этого щелкаем кнопку добавить и пишем в поисковой строке его параметры имя или

Через поиск находим нужного пользователя.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-07

Все Иванов Иван Иванович, теперь является членом группы.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-08

Вкладка Член групп, показывает в какие группы входит данная группа. Может объединяющей группе пользователей давать права для примера, у меня в организации есть программисты, и им нужен сервер VPN, для удаленного подключения, так они состоят в группе разработчики, которая уже является часть группы vpn пользователи.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-09

Вкладка Управляется, нужна для того чтобы делигировать например руководителю менеджеров права на добавление нужных ему людей в его группу, в российских реалиях почти не используется.

Администрирование Active Directory-3 часть. Создание групп при помощи оснастки ADUC.-10

Также еще пользователя можно добавить в группу правым кликом по нему и выбрать пункт добавить в группу, полезно при массовом действии.

В статье описана краткая информация о групповых политиках Active Directory и пример работы с ними на виртуальном сервере с операционной системой Windows Server.

Виртуальный сервер на базе Windows

• Лицензия включена в стоимость
• Тестирование 3-5 дней
• Безлимитный трафик

Что такое групповые политики и зачем они нужны?

Групповая политика — это инструмент, доступный для администраторов, работающих с архитектурой Active Directory. Он позволяет централизованно управлять настройками на клиентских компьютерах и серверах, подключенных к домену, а также обеспечивает простой способ распространения программного обеспечения.

Групповые политики позволяют настраивать параметры для определенного набора пользователей или компьютеров внутри домена Active Directory. Также позволяют указать политики в одном месте для группы и применить к целевому набору пользователей.

Например, можно обеспечить применение стандартного набора настроек и конфигураций для групп пользователей или компьютеров в домене или по запросу. Во всех компаниях как правило есть различные отделы, например отдел системных администраторов, разработчиков, дизайнеров, каждому из отдела необходим свой стандартный набор программного обеспечения, их рабочие компьютеры должны быть сконфигурированы под специальные задачи и нужды. С помощью групповых политик можно создать наборы настроек для конкретных групп пользователей в домене. С помощью Active Directory GPO можно установить и управлять отдельными унифицированными наборами настроек, конкретно для дизайнеров или разработчиков.

Конфигурации для компьютеров или пользователей проще и эффективнее, т.к. расположены в одном месте и не требуют повтора на каждом компьютере.

Компоненты GPO

Существует два компонента групповых политик — серверный компонент и клиентский, т.е. данная структура относится к архитектуре “клиент-сервер”.

Серверный компонент — оснастка Microsoft Management Console (MMC), которая используется для указания настроек групповой политики. MMC может быть использована для создания политик для контроля и управления административными шаблонами и настройками безопасности (скрипты, установка ПО и прочее). Каждый из них называется расширением и в свою очередь каждый из них имеет дочернее расширение, которое разрешает добавление новых компонентов или обновление существующих без возможности затронуть или подвергнуть риску всю политику.

Клиентский компонент интерпретирует и применяет настройки групповой политики для компьютеров пользователей или целевым пользователям. Клиентские расширения — это компоненты, которые запущены на пользовательской системе и несут ответственность за интерпретацию обработки и применения в объекты групповой политики.

Для администрирования GPO используют Group Policy Management Console (GPMC) и Group Policy Management Editor.

Сценарии использования Active Directory GPO:

• Централизованная настройка пакета программ Microsoft Office.
• Централизованная настройка управлением питанием компьютеров.
• Настройка веб-браузеров и принтеров.
• Установка и обновление ПО.
• Применение определенных правил в зависимости от местоположения пользователя.
• Централизованные настройки безопасности.
• Перенаправление каталогов в пределах домена.
• Настройка прав доступа к приложениям и системным программам.

Оснастка Управление групповыми политиками

После установки роли Active Directory Domain Service (AD DS) на контроллер домена на сервере появится оснастка Group Policy Management. Для того, чтобы ее открыть нажмите комбинацию клавиш Win+R и в открывшемся окне введите:

Если оснастку не удается открыть, то возможно по определенным причинам она не установлена. Установить ее можно через стандартное меню Add roles and features в диспетчере сервера, выбрав компонент Group Policy Management.

Оснастка выглядит следующим образом:

Создание объектов групповой политики

Для создания объекта групповой политики перейдите во вкладку Forest -> Domains -> -> Group Policy Objects. С помощью правой кнопки мыши откройте меню и выберете New.

В открывшемся окне в поле Name введите удобное для вас имя групповой политики.

После этого вы увидите созданный объект в списке.

Теперь необходимо настроить созданный объект под конкретные задачи. в качестве примера удалим ссылку Games из меню Start. Для это с помощью правой кнопки мыши откройте меню объекта и выберете пункт Edit.

В редакторе групповых политик перейдите по иерархии User Configuration -> Policies -> Administrative Templates -> Start Menu and Taskbar. Найдите опцию Remove Games link from Start Menu и в контекстном меню выберете пункт Edit.

В открывшемся окне отметьте Enable для включения правила и при необходимости напишите комментарий. Нажмите OK для сохранения изменений.

На этом создание объекта групповой политики закончено.

Поиск объектов групповой политики

Как правило в корпоративных средах большое количество объектов GPO, чтобы было проще найти нужный, оснастка обладает встроенным поиском. Для этого выберете ваш лес и в контекстном меню кликните Search.

Открывшееся окно поиска интуитивно понятно для работы. В первую очередь выберете конкретный домен для поиска, также можно производить поиск во всех доменах сразу. Далее выберете нужный пункт поиска, задайте условие и значение. В примере ниже производился поиск объектов групповой политики, в которых встречается слово Default.

Удаление объекта групповой политики

Если экземпляр GPO больше не нужен, его можно удалить. Выберете объект для удаления и с помощью правой кнопки мыши выберете опцию Delete.

Возможности ОС Windows позволяют осуществлять эффективное управление компьютерными сетями. Это может касаться аспектов контроля доступа пользователей к тем или иным ресурсам, а также обеспечения безопасности обмена данными. В числе самых удобных и функциональных инструментов решения подобных задач — задействование групповых политик. В ОС Windows предусмотрена особая программная среда для управления ими — Active Directory. В чем ее специфика? Каким образом осуществляется настройка Active Directory?

Что такое групповая политика?

Под термином «групповая политика» принято понимать совокупность правил, по которым осуществляется настройка пользовательской среды в ОС Windows. Главное ее примечательное свойство — возможность настраивать различные параметры на разных ПК одновременно, по единым стандартам и принципам.

Фиксируется она на конкретном домене. Принцип применения групповой политики — иерархический. Основной канал вертикальной реализации, предусмотренный в Windows, — это каталог Active Directory. Группы тех или иных компьютеров или пользователей управляются, исходя из алгоритмов, принимаемых на уровне корпоративной политики в сфере безопасности и контроля доступа к ПК.

В рамках среды Active Directory создаются две основные политики, а именно Default Domain Policy, имеющая отношение непосредственно к домену, а также Default Domain Controller’s Policy, которая отвечает за соответствующего типа контроллер.

Особенности Active Directory

Групповые политики Active Directory причисляются к самым удобным вариантам настройки ПК и пользовательских сред в компьютерных сетях, работающих под управлением Windows. Задействуя данный инструмент, компания может осуществлять эффективный контроль над работой сети, поддерживать производительность инфраструктуры, повышать степень защищенности корпоративной информации.

Особенность Active Directory — это, как мы отметили выше, иерархическая структура соответствующей программной среды. Основные ее элементы — объекты. В свою очередь, их можно классифицировать на различные категории. В числе базовых – ресурсы (таковыми могут быть, например, принтеры и иная офисная техника), программные службы (например, интерфейсы обмена электронными сообщениями), а также учетные записи сотрудников компании и идентификационные данные о компьютерах. Программная среда Active Directory может предоставлять системному администратору сведения о тех или иных объектах, осуществлять управление ими, задавать критерии, касающиеся доступа к ним.

Объекты, которые являются основными компонентами групповых политик, могут вмещать в себя дополнительные элементы. Это могут быть, например, группы безопасности. Объект характеризуется рядом уникальных признаков — именем, совокупностью атрибутов (например, типов данных, которые он включает в себя). Можно отметить, что свойства атрибутов, о которых идет речь, фиксируются в схемах, определяющих специфику тех или иных объектов.

Критерии реализации групповой политики

Для того чтобы у компании была возможность задействовать все преимущества, которые дают групповые политики Active Directory, инфраструктура принадлежащей ей компьютерной сети должна соответствовать ряду критериев. В числе базовых:

• сеть должна функционировать на базе служб Active Directory (их присутствие необходимо хотя бы на главном сервере);
• ПК, находящиеся в структуре сети и в отношении которых будет осуществляться контроль пользовательских сред, должны работать под одним доменом, а сотрудники, в свою очередь, — использовать в работе идентификационные данные, привязанные к нему;
• системные администраторы должны обладать всеми необходимыми полномочиями для внедрения принципов групповой политики в корпоративной сети.

Рассмотрим теперь то, каким образом осуществляется управление групповыми политиками, а также их настройка.

Инструменты управления групповыми политиками и их настройки

В ОС Windows для решения задачи, о которой идет речь, можно использовать соответствующую консоль. Как ее запустить? Нужно нажать на «Пуск», затем перейти в меню «Все программы», выбрать «Администрирование», после — «Управление групповыми политиками».

Настройка Active Directory осуществляется посредством редактирования параметров групповой политики, которые непосредственным образом связаны с ее объектами. Они, в свою очередь, могут управляться непосредственно с помощью консоли, о которой идет речь. Рассмотрим наиболее значимые с точки зрения практики работы с групповыми политиками интерфейсы данного программного компонента.

Объекты Active Directory можно увидеть в главном окне консоли. Примеры таковых: Accounting Security (отвечает за безопасность), а также отмеченные выше ключевые объекты политики, касающиеся домена и его контроллера. Можно заметить, что Default Domain Policy задается по умолчанию и включает в себя параметры, актуальные для всех ПК и пользователей в рамках конкретного домена. В свою очередь, политика Default Domain Controller Policy имеет непосредственное отношение только к контроллерам.

Управление параметрами

Рассмотрим, каким образом может осуществляться настройка Active Directory на практике. Для того чтобы внести те или иные корректировки в соответствующие параметры, необходимо задействовать специализированный редактор. Чтобы сделать это, нужно щелкнуть правой кнопкой мыши на опции «Управление групповыми политиками», а затем выбрать пункт «Править». После этого можно выставлять нужные параметры. Примечательно, что соответствующая программа Active Directory, реализованная в интерфейсах Windows, сохраняет настройки автоматически. То есть после того как пользователь выставит необходимые параметры, они тут же зафиксируются в системе.

Ключевые параметры

В каких разделах интерфейса консоли содержатся ключевые параметры, влияющие на групповые политики Active Directory? В числе таковых — папки Computer Configuration, а также User Configuration. В первой содержатся параметры, которые актуальны для всех ПК, подключенных к корпоративной сети.

Неважно, какие именно сотрудники пользуются Active Directory. Авторизация под конкретным логином в данном случае второстепенна. Как правило, в интерфейсе Computer Configuration фиксируются настройки безопасности. В папке User Configuration определяются параметры, применяемые, в свою очередь, к конкретным сотрудникам. Неважно, на каком именно компьютере они собираются работать.

Рассмотрим другие ключевые параметры, которые может задействовать системный администратор, осуществляющий управление Active Directory. Например, в папке Policies располагаются настройки, которые в целом отвечают за групповую политику. В папке Preferences фиксируются параметры, имеющие отношение к предпочтительным настройкам компьютера. Они могут затрагивать самые разные компоненты операционной системы — реестр, файлы, папки. Данная область настроек, к слову, может использоваться не только как инструмент настройки групповой политики, но и для управления иного типа функциями Windows.

Административные шаблоны

В числе наиболее примечательных компонентов, которые включает в себя служба Active Directory, нужно упомянуть административные шаблоны. Что они представляют собой? Это параметры групповой политики, фиксируемые в особых разделах реестра. Их отличительная особенность в том, что они не могут быть изменены пользователем, имеющим стандартные права. Однако если те или иные программы Windows, имеющие отношение к функциям групповых политик, обнаруживают их в реестре, то выполняют в первую очередь инструкции, заложенные в них.

Нюансы редактирования параметров политики

Каковы наиболее важные нюансы, которые характеризуют такую процедуру, как настройка групповых политик Active Directory? Специалисты рекомендуют обращать особое внимание на сущность конкретных параметров с точки зрения их активизации или, наоборот, отключения. В некоторых случаях тот факт, что та или иная политика не функционирует, вовсе не обязательно будет означать, что релевантные ей процессы также дезактивируются, и наоборот. Вся необходимая информация касательно тех или иных параметров политик обычно фиксируется в сопровождающем их справочном текстовом сообщении. Ряд параметров при этом имеет дополнительные опции. Их специфика, как правило, также разъясняется в справках.

Подробное изучение соответствующих данных — главное условие того, чтобы администратором не была допущена случайная ошибка. Active Directory — это программная среда с большим количеством элементов, отвечающих за ключевые параметры безопасности и устойчивости сети. Специалист, ответственный за работу с ней, должен проявлять необходимый уровень компетентности в части управления групповыми политиками.

Практика работы с объектами политики: создание элементов

Перейдем от теории к практическим нюансам, касающимся работы с групповыми политиками. Так, в числе самых распространенных задач системных администраторов — создание соответствующего типа объектов. Рассмотрим, каким образом это происходит.

Для того чтобы создать объект групповой политики, необходимо открыть консоль управления, о которой мы упоминали выше. Системный администратор, работая с соответствующего типа элементами, может использовать методологию одновременного их создания и связывания или же применить последовательный подход. В среде специалистов по работе с компьютерными сетями достаточно распространен первый сценарий. Рассмотрим его особенности.

Для того чтобы осуществить одновременное создание и связывание соответствующего объекта, необходимо произвести следующие основные действия.

Во-первых, открыв консоль, щелкнуть правой кнопкой мыши на домене, после чего выбрать пункт, отражающий желание создать объект, и связать его.

Во-вторых, необходимо описать соответствующий объект, введя нужный текст в форму «Имя», расположенную в окне «Новый объект».

В принципе, это все, что требуется сделать. Вместе с тем может возникнуть необходимость в корректировке настроек объекта. Это также делается с помощью инструментов консоли.

Редактирование элементов

Так, для того чтобы изменить настройки объекта, необходимо произвести следующие действия.

Во-первых, щелкнуть на соответствующем объекте – так, чтобы справа, в окне интерфейса консоли, элементы данного типа отобразились. Другой вариант — выбрать домен, после чего объекты аналогичным образом станут доступными для просмотра.

Во-вторых, в правой части интерфейса консоли необходимо щелкнуть правой кнопкой мышки на объекте политики, который нужно отредактировать, и выбрать опцию «Править». После этого соответствующий элемент откроется в редакторе, который входит в структуру консоли.

В-третьих, с помощью соответствующего интерфейса можно внести необходимые правки в групповые политики Active Directory. Изменения, как мы отметили выше, фиксируются автоматически.

Рассмотрим другой сценарий, при котором создание и связывание объекта осуществляются на разных этапах. Также может потребоваться проведение данной процедуры, если по каким-либо причинам изначальная связь между соответствующими параметрами была разорвана.

Для того чтобы связать объект с тем или иным доменом, необходимо произвести следующие действия.

Во-первых, нужно щелкнуть правой клавишей мыши на домене, с которым требуется осуществить связывание объекта, и выбрать соответствующий пункт.

Во-вторых, нужно щелкнуть на соответствующем элементе, который отображается в окне «Выбор объекта», после чего подтвердить осуществление связывания.

Также при необходимости можно отвязать объект от соответствующего домена. Для этого необходимо произвести следующие действия.

Во-первых, нужно в интерфейсе консоли управления щелкнуть на домене, который уже связан с объектом.

Во-вторых, необходимо щелкнуть правой кнопкой мышки на соответствующем объекте, после чего выбрать опцию «Удалить».

В-третьих, в окне, с помощью элементов которого осуществляется управление политиками, нужно подтвердить действие.

Восстановление элементов

В ряде случаев может потребоваться особая процедура работы с объектами групповой политики — восстановление. Active Directory — программная среда, в которой происходит большое количество процессов, при этом могут возникать ситуации, при которых объекты по каким-либо причинам удаляются. Однако всегда есть шанс восстановления их предыдущих версий из резервных копий, существующих в системе.

Инструменты, необходимые для решения соответствующей задачи, также присутствуют в консоли, которую мы сегодня исследуем. С их помощью можно осуществить восстановление как одного, так и нескольких объектов соответствующего типа за счет резервных копий, располагающихся в специальной папке.

Последовательность действий пользователя в ходе решения данной задачи может выглядеть так.

Во-первых, необходимо в главном интерфейсе консоли щелкнуть на папке «Объекты групповой политики». После этого на экране отобразятся соответствующие элементы.

Во-вторых, необходимо щелкнуть правой кнопкой мышки на папке «Объекты групповой политики», после чего выбрать опцию «Управление резервными копиями».

В-третьих, необходимо выбрать место, где располагается резервная копия соответствующих настроек, с помощью специального списка, доступного в диалоговом окне интерфейса. Можно также использовать кнопку «Обзор», после чего вручную выбрать папку, в которой находятся нужные файлы.

После проведения соответствующих операций необходимо обратить внимание на список «Резервные копии». Там будут отображаться доступные для восстановления элементы. Необходимо выбрать нужные. После этого — нажать на кнопку, которая запустит процесс восстановления. Возможно, доступными окажутся несколько версий объекта. В этом случае полезно будет использовать специальный флажок, с помощью которого задается отображение на экране интерфейса только самых свежих резервных копий объектов групповой политики.

Далее нужно проверить то, насколько успешно осуществлена операция (в диалоговом окне отобразятся необходимые сведения), после чего нажать на кнопку «OK». Так осуществляется восстановление Active Directory в части удаленных объектов соответствующей системы управления корпоративной компьютерной сетью.