Politiky skupiny služby Active Directory: Nastavení
Zásady skupiny jsou hierarchická infrastruktura, která umožňuje správci sítě odpovědnému za službu Microsoft Active Directory implementovat specifické konfigurace pro uživatele a počítače. Zásady skupiny lze také použít k definování zásad uživatelů, zabezpečení a sítě na úrovni zařízení.
Definice
Skupiny služby Active Directory pomáhají správcům určit, co mohou uživatelé v síti dělat, včetně souborů, složek a aplikací, ke kterým budou mít přístup. Sestavy nastavení uživatele a počítače se nazývají objekty GPO, které jsou spravovány z centrálního rozhraní nazývaného konzola pro správu. Zásady skupiny lze také řídit pomocí nástrojů příkazového řádku, jako jsou gpresult a gpupdate. 
In Server Windows Bylo přidáno nastavení z roku 2008, známé jako volba skupinové politiky, která poskytuje správcům lepší zaměření a flexibilitu.
Active Directory - co je to
Jednoduše řečeno, služba Active Directory je adresářová služba založená na ochranných známkách společnosti Microsoft, která je povinnou součástí architektury systému Windows. Stejně jako ostatní adresářové služby, jako je služba Novell Directory Services, je AD centralizovaným a standardizovaným systémem, který automaticky naprogramuje správu dat, zabezpečení a zdrojů sítě a také umožňuje interakci s ostatními adresáři. Služba Active Directory je navržena speciálně pro distribuovaná síťová prostředí.
Služba Active Directory se stala novou funkcí pro systém Windows 2000 Server a byla rozšířena v roce 2003, což z něj dělá ještě důležitější součást operačního systému. Windows Server 2003 AD poskytuje jediný odkaz nazvaný adresářová služba pro všechny objekty v síti, včetně uživatelů, skupin, počítačů, tiskáren, zásad a oprávnění.
Pro uživatele nebo administrátory nastavení Active Directory poskytuje jeden hierarchický pohled, ze kterého lze spravovat všechny síťové prostředky.
Proč implementovat službu Active Directory
Existuje mnoho důvodů pro zavedení tohoto systému. Za prvé, služba Microsoft Active Directory je obvykle považována za významné zlepšení oproti doménám Windows NT Server 4.0 nebo dokonce autonomním serverovým sítím. AD má v síti centralizovaný mechanismus správy. Také poskytuje redundanci a odolnost proti chybám při nasazení dvou nebo více řadičů domény v doméně.
Služba automaticky řídí výměnu dat mezi řadiči domény tak, aby síť zůstala životaschopná. Uživatelé získají přístup ke všem prostředkům v síti, pro které jsou oprávněni pomocí jednotného přihlášení. Všechny zdroje v síti jsou chráněny robustním bezpečnostním mechanismem, který ověřuje ověření uživatele a autorizaci zdrojů pro každý přístup.
Dokonce i s vylepšenou ochranou a ovládáním služby Active Directory většina jeho funkcí je pro koncové uživatele neviditelná. V této souvislosti vyžaduje migrace uživatelů do sítě AD trochu rekvalifikace. Tato služba nabízí prostředky pro rychlé předávání a downgradu řadičů domén a členských serverů. Systém lze spravovat a chránit pomocí zásad skupiny služby Active Directory. Jedná se o flexibilní hierarchický organizační model, který usnadňuje správu a podrobnost specifické delegace administrativních povinností. AD je schopen spravovat miliony objektů v jedné doméně.
Hlavní části
Skupiny zásad služby Active Directory jsou organizovány pomocí čtyř typů oddílů nebo kontejnerových struktur. Tyto čtyři divize jsou lesy (lesy), domény, organizační jednotky a webové stránky:
Les - sbírka každého objektu, jeho atributy a syntaxe.
Doména - sada počítačů, které používají společný soubor zásad, jméno a databázi svých členů.
Organizační jednotky jsou kontejnery, ve kterých lze domény seskupovat. Vytvoří hierarchii domény a vytvoří strukturu společnosti v geografických nebo organizačních podmínkách.
Stránky jsou fyzické seskupení, které nezávisí na oblasti a struktuře organizačních jednotek. Lokality rozlišují mezi místy připojenými pomocí nízkonapěťových a vysokorychlostních připojení a jsou definovány jednou nebo několika podsítími IP.
Lesy nejsou omezeny na geografii nebo topologii sítě. Jeden dom může obsahovat více domén, z nichž každá má obecnou schéma. Členové stejné domény doménové struktury nevyžadují ani vyhrazené připojení k síti LAN nebo WAN. Jediná síť může být domovem několika nezávislých lesů. Obecně by měl být pro každou právnickou osobu použit jeden les. Nicméně další lesy mohou být žádoucí pro testování a výzkumné účely mimo produkční les.
Domény
Domény služby Active Directory slouží jako kontejnery pro zásady zabezpečení a administrativní přiřazení. Ve výchozím nastavení všechny objekty v nich podléhají skupinovým zásadám. Podobně každý správce může spravovat všechny objekty v doméně. Navíc každá doména má svou vlastní jedinečnou databázi. Ověřování je tedy založeno na doméně. Po ověření uživatelského účtu získá tento účet přístup ke zdrojům.
Konfigurace skupinových zásad ve službě Active Directory vyžaduje konfiguraci jedné nebo více domén. Jak již bylo zmíněno dříve, doména AD je sada počítačů, které používají společný soubor zásad, jméno a databázi svých členů. Doména musí mít jeden nebo více serverů, které slouží jako řadiče domény (DCs) a ukládají databázi, zásady podpory a poskytují autentizaci pro přihlášení.
Řadiče domény
V systému Windows NT byly základní řadič domény (PDC) a řadič domény zálohování (BDC) role, které lze přiřadit serveru v síti počítačů pomocí operačního systému Windows. Systém Windows použil doménu pro kontrolu přístupu k souboru síťových prostředků (aplikací, tiskáren apod.) Pro skupinu uživatelů. Uživatel potřebuje pouze přihlásit se do domény za účelem přístupu k prostředkům, které mohou být umístěny na několika různých serverech v síti. 
Jeden server, známý jako primární řadič domény, spravoval primární databázi uživatelů pro doménu. Jeden nebo více serverů bylo definováno jako záložní řadiče domény. Primární řadič periodicky odesílá kopie databáze do záložních řadičů domény. Záložní řadič domény se může přihlásit jako primární řadič domény v případě selhání serveru PDC a může také pomoci vyvážit pracovní zatížení, pokud je síť dostatečně zaneprázdněná.
Delegace a konfigurace služby Active Directory
V systému Windows 2000 Server, zatímco byly uloženy řadiče domény, byly role PDC a BDC serveru většinou nahrazeny serverem Active Directory. Již není nutné vytvářet samostatné domény, které by oddělovaly oprávnění správce. V rámci služby AD můžete delegovat oprávnění správce na základě organizačních jednotek. Domény již nejsou omezeny na 40 000 uživatelů. Domény AD mohou spravovat miliony objektů. Vzhledem k tomu, že již neexistují žádné PDC a BDC, nastavení zásad skupiny služby Active Directory aplikuje replikaci více replik a všechny řadiče domény jsou peer-to-peer.
Organizační struktura
Organizační jednotky jsou mnohem flexibilnější a jednodušší než v doménách. Orgity vám poskytují téměř neomezenou flexibilitu, protože je můžete přesunout, odstranit a podle potřeby vytvořit nové jednotky. Domény jsou však mnohem přísnější v nastavení struktury. Domény mohou být odstraněny a znovu vytvořeny, ale tento proces destabilizuje životní prostředí a pokud je to možné, je třeba se vyhnout. 
Stránky jsou sbírky podsítí IP, které mají rychlé a spolehlivé spojení mezi všemi hosty. Dalším způsobem, jak vytvořit stránky, je připojení k místní síti, nikoli k připojení WAN, protože připojení WAN je mnohem pomalejší a méně spolehlivá než připojení k síti LAN. S využitím webových stránek můžete řídit a omezit množství provozu, které prochází vašimi pomalými globálními síťovými kanály. To může vést k efektivnějšímu toku provozu pro úkoly výkonu. Může také snížit cenu propojení WAN pro služby typu pay-per-bit.
Průvodce infrastruktury a globální adresář
Mezi další klíčové součásti systému Windows Server ve službě Active Directory patří Průvodce infrastrukturou (IM), což je plnohodnotná služba FSMO (flexibilní průvodce jedním operačním systémem), která je odpovědná za automatizovaný proces, který zachycuje zastaralé odkazy nazvané phantoms v databázi služby Active Directory.
Fantasy jsou vytvářeny na DC, které vyžadují křížový odkaz mezi objektem v jeho vlastní databázi a objektem z jiné domény v doménové struktuře. K tomu dochází například při přidání uživatele z jedné domény do skupiny v jiné doméně ve stejném doménové struktuře. Fantomy jsou považovány za zastaralé, pokud již neobsahují aktualizované údaje v důsledku změn provedených v cizím předmětu představovaném fantomem. Například když cílový objekt je přejmenován, přesunut, přesunut mezi doménami nebo smazán. Velitel infrastruktury nese výhradní odpovědnost za nalezení a zastavení zastaralých fantomů. Jakékoli změny provedené v důsledku procesu opravy musí být potom replikovány na jiné řadiče domény.
Průvodce infrastrukturou je někdy zaměňován s globálním katalogem (GC), který podporuje kopii každé kopie každé domény v doménové struktuře, jenž je určen pouze ke čtení, a mimo jiné se používá pro univerzální ukládání skupin a přihlašování. Jelikož GC ukládají částečnou kopii všech objektů, mohou vytvářet odkazy mezi doménami bez nutnosti fantomů.
Active Directory a LDAP
Microsoft zahrnuje protokol LDAP (Lightweight Directory Access Protocol) jako součást služby Active Directory. LDAP je softwarový protokol, který umožňuje každému uživateli nalézt organizace, jednotlivce a další zdroje, například soubory a zařízení v síti, ať už na veřejném internetu nebo na podnikovém intranetu.
V sítích TCP / IP (včetně Internetu) je systém názvů domén (DNS) adresářový systém používaný k přiřazení názvu domény ke konkrétní síťové adrese (jedinečné síťové umístění). Pravděpodobně však neznáte název domény. LDAP umožňuje vyhledávat lidi, aniž by věděli, kde se nacházejí (i když další informace pomohou při vyhledávání).
Adresář LDAP je uspořádán v jednoduché hierarchické hierarchii sestávající z následujících úrovní:
Kořenový adresář (zdrojové umístění nebo zdroj stromu).
Země.
Organizace.
Organizační jednotky (oddělení).
Osoby (včetně lidí, souborů a sdílených položek, jako jsou tiskárny).
Adresář LDAP lze distribuovat na mnoho serverů. Každý server může mít replikovanou verzi sdíleného adresáře, který je periodicky synchronizován.
Pro každého správce je důležité pochopit, co je LDAP. Vzhledem k tomu, že vyhledávání informací ve službě Active Directory a schopnost vytvářet dotazy LDAP jsou zvláště užitečné při hledání informací uložených v databázi AD. Z tohoto důvodu mnoho administrátorů věnuje velkou pozornost zvládnutí filtru vyhledávání LDAP.
Zásady skupiny a správa Active Directory
Je těžké diskutovat o AD bez uvedení zásad skupiny. Administrátoři mohou ve službě Microsoft Active Directory používat zásady skupiny pro definování nastavení pro uživatele a počítače v síti. Tato nastavení jsou konfigurována a ukládána do tzv. Skupinových objektů (GPO), které jsou pak přiřazeny objektům služby Active Directory včetně domén a webů. Jedná se o hlavní mechanismus pro použití změn v počítačích pro uživatele v prostředí Windows.
Díky správě zásad skupiny mohou administrátoři globálně konfigurovat nastavení pracovního prostředí v počítačích uživatelů, omezit / povolit přístup k určitým souborům a složkám v síti. 
Aplikace skupinové politiky
Je důležité pochopit, jak se používají a používají GPO. Následující postup je pro ně přijatelný: nejprve se používají zásady místních počítačů, pak zásady webu, zásady domény a zásady uplatňované na jednotlivé organizační jednotky. Uživatelský nebo počítačový objekt může kdykoliv patřit pouze jednomu serveru a jedné doméně, takže obdrží pouze objekty GPO, které jsou přidruženy k tomuto webu nebo doméně.
Struktura objektu
GPO jsou rozděleny do dvou samostatných částí: šablony zásad skupiny (GPT) a kontejner skupiny zásad (GPC). Skupinová šablona zásad je zodpovědná za zachování určitých parametrů vytvořených v objektu zásad skupiny a je zásadní pro její úspěch. Uloží tato nastavení do velké složky a struktury souborů. Aby byla nastavení úspěšně použita na všechny objekty uživatelů a počítačů, GPT musí být replikován všem řadičům v doméně.
GPO je součástí objektu GPO uloženého ve službě Active Directory, který je umístěn na každém řadiči domény v doméně. Společnost GPC je zodpovědná za udržování odkazů na rozšíření o klienty (CSE), cestu k GPT, cestám k instalačním balíčkům softwaru a dalším referenčním aspektům organizace GPO. GPC neobsahuje mnoho informací souvisejících s odpovídajícími GPO, je však nezbytné pro funkčnost GPO. Když jsou nakonfigurovány zásady instalace softwaru, GPC pomáhá udržovat odkazy spojené s objektem GPO a ukládá další relační odkazy a cesty uložené v atributech objektu. Znát strukturu GPC a způsob přístupu ke skrytým informacím uloženým v atributech se vyplatí, když potřebujete identifikovat problém související s zásadami skupiny. 
V systému Windows Server 2003 společnost Microsoft vydala řešení pro správu zásad skupiny jako prostředek pro shromažďování dat v podobě modulu snap-in, známého jako Konzola pro správu zásad skupiny (GPMC). GPMC poskytuje GPO-orientované rozhraní pro správu, které výrazně zjednodušuje správu, správu a umístění GPO. Prostřednictvím modulu GPMC můžete vytvářet nové objekty GPO, upravovat a upravovat objekty, odstraňovat / kopírovat / vkládat objekty GPO, vytvářet záložní kopie objektů a provádět výslednou sadu zásad.
Optimalizace
Jak se zvyšuje počet spravovaných objektů GPO, výkon ovlivňuje stroje v síti. Tip: Při snížení výkonu omezte síťové parametry objektu. Doba zpracování se zvyšuje přímo podle počtu jednotlivých nastavení. Poměrně jednoduché konfigurace, například nastavení plochy nebo zásady aplikace Internet Explorer, nemusí trvat dlouho, zatímco přesměrování složek softwaru může vážně načíst síť, zejména v době špičky.
Rozdělit vlastní GPO a potom vypnout nepoužívanou část. Jednou z nejlepších postupů jak pro zlepšení výkonu, tak i pro zmírnění managerativního zmatku je vytvoření samostatných objektů pro parametry, které budou aplikovány na počítače a oddělené pro uživatele.