Взаимодействие между Microsoft Office и активна директория на Windows. Услуга за директория на Active Directory

Тъй като познавам добре малкия бизнес отвътре, винаги съм се интересувал от следните въпроси. Обяснете защо един служител трябва да използва браузъра, който системният администратор харесва на работния си компютър? Или вземете друг софтуер, например същия архиватор, пощенски клиент, клиент незабавни съобщения... Леко намеквам за стандартизация и не въз основа на личните симпатии на системния администратор, а въз основа на достатъчността на функционалността, разходите за поддръжка и поддръжка на тези софтуерни продукти. Да започнем да разглеждаме ИТ като точна наука, а не като занаят, когато всеки прави каквото си иска. Отново има много проблеми с това в малкия бизнес. Представете си, че една компания в труден момент на криза смени няколко от тези администратори, какво трябва да направят бедните потребители в такава ситуация? Постоянно да се преквалифицирате?

Да погледнем от другата страна. Всеки мениджър трябва да разбира какво се случва в момента в неговата компания (включително в ИТ). Това е необходимо, за да се следи текущата ситуация и да се реагира своевременно при възникване на различни видове проблеми. Но това разбиране е по-важно за стратегическото планиране. В крайна сметка, имайки здрава и надеждна основа, можем да построим къща на 3 или 5 етажа, да направим покрив с различни форми, да направим балкони или зимна градина. По същия начин в ИТ имаме надеждна основа - по-късно можем да използваме по-сложни продукти и технологии за решаване на бизнес проблеми.

Първата статия ще говори за такава основа - услугите на Active Directory. Те са предназначени да станат здрава основа за ИТ инфраструктурата на компания от всякакъв размер и сфера на дейност. Какво е? Така че нека поговорим за това...

Да започнем разговора с прости концепции– Домейн и услуги на Active Directory.

Домейне основната административна единица в мрежовата инфраструктура на предприятието и включва всички мрежови обекти като потребители, компютри, принтери, споделяния и др. Колекцията от такива домейни се нарича гора.

Услуги на Active Directory (Услуги на Active Directory) са разпределена база данни, която съдържа всички обекти на домейна. Домейн средата на Active Directory осигурява единна точка за удостоверяване и оторизация за потребителите и приложенията в цялото предприятие. Именно с организирането на домейн и внедряването на услугите на Active Directory започва изграждането на корпоративна ИТ инфраструктура.

База Данните са активниДиректорията се съхранява на специализирани сървъри – домейн контролери. Услугите на Active Directory са роля на сървърни операционни системи Microsoft Windowsсървър. Active Directory Services има широки възможностимащабиране. IN гора АктивенДиректорията може да бъде създадена с повече от 2 милиарда обекта, което прави възможно внедряването на справочна услуга в компании със стотици хиляди компютри и потребители. Йерархична структурадомейни ви позволява гъвкаво да мащабирате ИТ инфраструктурата към всички клонове и регионални подразделения на компании. За всеки клон или подразделение на компания може да се създаде отделен домейн със собствени политики, свои потребители и групи. За всеки дъщерен домейн административните права могат да бъдат делегирани на локалните системни администратори. В същото време дъщерните домейни все още са подчинени на своите родители.

Освен това, Активни услугиДиректориите ви позволяват да конфигурирате доверителни взаимоотношения между домейн гори. Всяка компания има собствена гора от домейни, всяка със собствени ресурси. Но понякога трябва да предоставите достъп до вашия корпоративни ресурсислужители на друга фирма - работа с общи документи и приложения като част от съвместен проект. За да направите това, между организационните гори могат да бъдат установени доверителни отношения, които ще позволят на служителите на една организация да влизат в домейна на друга.

За да осигурите устойчивост на грешки за услугите на Active Directory, трябва да разположите два или повече домейн контролера във всеки домейн. Всички промени се репликират автоматично между домейн контролерите. Ако един от домейн контролерите се повреди, функционалността на мрежата не се засяга, тъй като останалите продължават да работят. Допълнително ниво на толерантност към грешки се осигурява чрез поставяне на DNS сървъри на домейн контролери в Active Directory, което позволява на всеки домейн да има множество DNS сървъри, обслужващи основната домейн зона. И ако един от DNS сървърите се повреди, останалите ще продължат да работят. За ролята и значението на DNS сървърите в ИТ инфраструктурата ще говорим в една от статиите от поредицата.

Но това са всички технически аспекти на внедряването и поддържането на услугите на Active Directory. Нека поговорим за ползите, които една компания получава, като се отдалечи от peer-to-peer мрежи и използва работни групи.

1. Единична точка за удостоверяване

В работна група на всеки компютър или сървър ще трябва да добавите ръчно пълен списъкпотребители, които се нуждаят достъп до мрежата. Ако внезапно някой от служителите иска да промени паролата си, тогава тя ще трябва да бъде променена на всички компютри и сървъри. Добре е мрежата да се състои от 10 компютъра, но ако има повече? Когато използвате домейн на Active Directory, всички потребителски акаунти се съхраняват в една база данни и всички компютри търсят от нея разрешение. Всички потребители на домейна са включени в съответните групи, например „Счетоводство“, „Финансов отдел“. Достатъчно е да зададете разрешения за определени групи веднъж и всички потребители ще имат подходящ достъп до документи и приложения. Ако нов служител се присъедини към компанията, за него се създава акаунт, който се включва в съответната група - служителят получава достъп до всички мрежови ресурси, до които трябва да има достъп. Ако служител напусне, просто го блокирайте и той веднага ще загуби достъп до всички ресурси (компютри, документи, приложения).

2. Единна точка на управление на политиката

В една работна група всички компютри имат равни права. Нито един от компютрите не може да контролира другия; невъзможно е да се следи спазването на единни политики и правила за сигурност. Когато се използва една Active Directory, всички потребители и компютри са йерархично разпределени между организационни единици, всяка от които е обект на едни и същи групови правила. Политиките ви позволяват да зададете еднакви настройки и настройки за сигурност за група компютри и потребители. Когато към домейн се добави нов компютър или потребител, той автоматично получава настройки, които отговарят на приетите корпоративни стандарти. Използвайки политики, можете централно да присвоявате мрежови принтери на потребителите, да инсталирате необходимите приложения, да задавате настройки за защита на браузъра, да конфигурирате Microsoft приложенияофис.

3. Повишено нивоинформационна сигурност

Използването на услугите на Active Directory значително повишава нивото на мрежова сигурност. Първо, това е едно и сигурно съхранение на акаунти. В среда на домейн всички потребителски пароли на домейн се съхраняват на специални сървъри на домейн контролери, които обикновено са защитени от външен достъп. Второ, когато се използва среда на домейн, за удостоверяване се използва протоколът Kerberos, който е много по-сигурен от NTLM, който се използва в работни групи.

4. Интеграция с корпоративни приложенияи оборудване

Голямо предимство на услугите на Active Directory е съответствието им със стандарта LDAP, който се поддържа от други системи, напр. пощенски сървъри(Exchange Server), прокси сървъри (ISA Server, TMG). И това не е задължително само продуктите на Microsoft. Предимството на такава интеграция е, че потребителят не трябва да помни голям брой данни за вход и пароли за достъп до определено приложение; във всички приложения потребителят има едни и същи идентификационни данни - неговото удостоверяване се извършва в една Active Directory. Windows Server предоставя RADIUS протокол за интеграция с Active Directory, който се поддържа голяма сума мрежово оборудване. По този начин е възможно например да се осигури удостоверяване на потребители на домейн при свързване чрез VPN отвън, като се използва Wi-Fi точкидостъп до компанията.

5. Унифицирано съхранение на конфигурацията на приложението

Някои приложения съхраняват конфигурацията си в Active Directory, като Exchange Server. Внедряването на услугата директория на Active Directory е предпоставка за работата на тези приложения. Съхраняването на конфигурация на приложение в директорийна услуга е полезно от гледна точка на гъвкавост и надеждност. Например, в случай на пълна повреда на сървъра на Exchange, цялата му конфигурация ще остане непокътната. За възстановяване на функционалността корпоративна поща, ще бъде достатъчно да преинсталирате Exchange Server в режим на възстановяване.

За да обобщя, бих искал още веднъж да подчертая, че услугите на Active Directory са сърцето на ИТ инфраструктурата на предприятието. В случай на повреда цялата мрежа, всички сървъри и работата на всички потребители ще бъдат парализирани. Никой няма да може да влезе в компютъра или да получи достъп до техните документи и приложения. Следователно справочната услуга трябва да бъде внимателно проектирана и внедрена, като се вземат предвид всички възможни нюанси, например честотната лента на каналите между клонове или офиси на компанията (скоростта на потребителско влизане в системата, както и обмен на данни между домейна контролери, пряко зависи от това).

  • Урок

В моята работа често ми се е налагало да се справям с мрежи, които изглежда работят, но при които всеки незначителен инцидент може да доведе до часове прекъсване внезапно. KD умря? Няма проблем, имаме втори. Как не се отварят топките? Защо шлюзът не отговаря? И на този компактдиск имаше само един DHCP сървър и сега всички те са изчезнали.

В тази статия ще се опитам да опиша правилните, от моя гледна точка, решения за създаване на мрежова инфраструктура за малък бизнес. И разбира се, тази статия отразява личната добра практика на автора и може да се различава от идеалите на читателя.

Така. Имаме до 100 клиента. Всичко е стандартно, потребителите отиват в интернет, изпращат поща, използват хранилище за файлове, работят в 1C, искат по-хладен компютър и се опитват да хващат вируси. И да, все още не знаем как да правим облак.

Няколко стълба на почти всяка инфраструктура,
и след това ще разгледаме очевидните и не толкова очевидните нюанси. Между другото, повтарям, ние сме малък и среден бизнес, не влошавайте нещата.
Сигурност на данните. „Наземна мина удари сървърната зала.“
Ако мина удари вашето сървърно помещение, тогава най-вероятно безопасността на вашите данни ще бъде последното нещо, което ви интересува. Много по-вероятно е на 31 декември тръбата отгоре да се е спукала, да предизвика пожар там и да доведе до срутване на пода.
- Данните са нашето всичко. Един от резервните сървъри трябва да се намира извън сървърното помещение. Това е спасителен пояс. Дори и да съдържа само най-важните неща, след ден или два можете отново да закупите или наемете сървъри и да разположите работеща инфраструктура. Безвъзвратно изгубена базаНикога повече няма да можете да възстановите 1s. Между другото, старият а ла P4-2400/1024 обикновено се справя с правилно организирани архиви.
Мониторинг. „01/01/2013 02:24 | От: Zabbix | Тема: Открит ядрен старт!“
Прекарвате си чудесно празнуването Нова годинас приятели. Между другото, не сте само вие, пазачът на сградата, в която наемате помещения, също не губи време. Така изгорялата стая, наводнена с вода, ще бъде приятен бонус към болната ви глава сутрин за Честита Нова година.
- Ако нещо се обърка, просто трябва първи да разберете за това. Същите SMS известия за критични събития са норма. Между другото, ако сутринта 5 минути след звъна на будилника сървърът за наблюдение не ви отговори, време е да алармирате. В края на краищата сървърът, който следи сървъра за наблюдение, също не е написал нищо. Като цяло, всичко е наред, имате резервен сървър извън сървърната стая, който въпреки това ви писа, че е загубил всички, но все още работи.
План за възстановяване. — Спокойно, Казладоев, да седнем!
Това е най-лошата Нова година в твоя опит. Да, след получаване на SMS-а и оценка на ситуацията, пожарникарите бяха извикани незабавно и те пристигнаха за почти 5 минути и бързо потушиха огъня. Но така или иначе, една част от сървърното помещение беше изгоряла, втората беше пълна с пяна, а третата в крайна сметка падна под пода.
- Лъжа, разбира се. Това не е най-приятната, но не и най-лошата Нова година. Да, предстои ви натоварена седмица, но благодарение на ясния план знаете откъде да започнете и какво да правите. Препоръчвам в плана за възстановяване след бедствие да опишете всичко подробно, вкл конзолни команди. Ако трябва да възстановите някакъв MySQL сървър, който е конфигуриран преди три години, малко вероятно ли е да си спомните някакъв незначителен нюанс, който в крайна сметка ще изисква от вас да отделите половин ден. Между другото, всичко ще върви малко по-различно, отколкото сте планирали, може би дори съвсем различно, бъдете готови за това.
Сега към основите на работата в мрежа на AD.
Няма да описвам предимствата на групирането и други LiveMigration. Ние сме малък бизнес и нямаме пари за vMotions. Всъщност не е необходимо; повечето услуги са перфектно архивирани веднага. По-долу няма да има инструкции за настройка, но ще се опитам да дам правилната насока за самообучение.
  • Активна директория. Трябва да има два домейн контролера, физически на различни хардуерни части. Между другото, Microsoft не препоръчва (не препоръчва) да се правят всички компактдискове във виртуални машини, т.е. поне едно CD трябва да е чисто желязо. Като цяло това са глупости, можете да правите различни компактдискове на различни физически хостове, просто го правете общи препоръки Microsoft за настройка на CD в виртуална среда. Между другото, не забравяйте да съхраните GC на двата домейн контролера.
  • DNS е само основата. Ако вашата услуга за имена на домейни работи неправилно, вие постоянно ще си навличате проблеми изневиделица. Трябва да има поне два DNS сървъра и за тази цел CD-тата са доста подходящи за нас. И противно на препоръките на „Анализатора за съответствие с препоръките“, съветвам ви да посочите себе си като главен на самите компактдискове. И още нещо, забравете за практиката да регистрирате сървъри на клиенти чрез IP адреси: ако това е NTP сървър, тогава клиентите трябва да го знаят като ntp.company.xyz, ако е прокси, тогава нещо като gate.company. xyz, Е, общо взето е ясно. Между другото, това може да е един и същ сървър с име srv0.domain.xyz, но с различни CNAME. Това ще бъде много полезно при разширяване или преместване на услуги.
  • NTP сървър след DNS. Вашите компактдискове винаги трябва да показват точния час.
    Благодаря на foxmuldercp за съвета
  • Трябва да има и два DHCP сървъра. На същите тези дискове, доста работна диаграма. Просто го конфигурирайте така, че диапазоните на издаване да не се припокриват, но така че всеки DHCP да може да покрива целия парк от машини. И да, нека всеки DHCP сървър се идентифицира като първи DNS сървър. Мисля, че е ясно защо.
  • Файлов сървър. И тук всичко е лесно. Правим DFS с репликация, на същия CD. Като цяло репликацията няма нищо общо с това, просто винаги регистрирайте връзки към споделяния чрез DFS, опитайте се да се придържате към тази практика по отношение на всички файлови ресурси. Когато трябва да преместите споделянето на ново местоположение, просто преместете споделянето и променете връзката в DFS. Клиентът може да не забележи нищо.
  • MSSQL сървър 1c. Вече не е лесно. И скъпо. Имате доста голяма база данни и поддържането на резервен SQL сървър е непосилно. Това нещо не може да бъде запазено; във всеки случай ви трябва нов екземпляр, който струва пари. Резервните копия са нашето всичко, нищо страшно. Помислете къде можете бързо да разположите временен DBMS сървър. Между другото, има безплатен MSSQL Express с ограничение на размера на базата данни, може би ще ви е достатъчно.
  • Шлюз. Linux и други FreeBSD. Колкото и да е неприятно, пари за TMG и други кериоси няма. Все още трябва да разбирате iptables. Тук мога да дам недвусмислен съвет - ако сте приятели с OSI, няма да има проблеми, ако не сте приятели, ще има проблеми с Kerio. Между другото, ако мислите, че сте админ и не знаете каква е разликата между рамка и рамка, тогава ще ви е трудно.
  • Безопасност. Това е много обширна тема, така че следващите параграфи са за този интимен въпрос.
    Потребителите трябва да работят под потребители на домейн. Всяко, подчертавам, всяко приложение може да бъде конфигурирано да работи в среда с ограничени права. Понякога е достатъчно да добавите разрешения за запис към директорията с инсталирана програмаи деактивирайте записа вътре изпълними файлове. Понякога, за да разберете спецификата, ще трябва да наблюдавате регистъра и файлова система. Понякога искате да убиете и да дадете администраторски права. Понякога има смисъл. Изборът е ваш, но никога не деактивирайте UAC. И вие, седейки на работното си място, трябва да имате най-много права на локален администратор над всички работни станции и в никакъв случай не трябва да сте администратор на домейн. Ако е необходимо, управлявайте сървъри през терминала.
  • Сметки. Няма да казвам нищо за потребителите, мисля, че е ясно, че има един акаунт на потребител. Но не всеки разбира, че всяка услуга трябва да има своя собствена Сметка. Например MSSQL, работещ в AD среда, не се нуждае от права на администратор на домейн. Създайте обикновен потребителски акаунти при инсталиране на СУБД го посочете. Инсталаторът ще регистрира необходимите права и всичко ще работи добре. И така с почти всяка услуга. Ако някой openfire поиска администраторски акаунт, за да се свърже с AD - това е едно име, трябва само да прочете директорийната услуга.
  • Актуализация на софтуера. Разширете WSUS и не забравяйте да влезете поне през втората сряда на месеца и да проверявате за нови актуализации. Изберете 10-15 автомобила от вашия автопарк и ги включете в тестовата група. Проверете за нови актуализации в тази група и когато не откриете грешки, разположете ги за всички. Между другото, тук

Active Directory предоставя услуги за управление на системата. Те са много най-добрата алтернативаместни групи и ви позволяват да създавате компютърни мрежис ефективно управлениеИ надеждна защитаданни.

Ако досега не сте срещали концепцията за Active Directory и не знаете как работят подобни услуги, тази статия е за вас. Нека да разберем какво означава тази концепция, какви са предимствата на такива бази данни и как да ги създадете и конфигурирате за първоначална употреба.

Active Directory е много удобен начинуправление на системата. С помощта на Active Directory можете ефективно да управлявате вашите данни.

Тези услуги ви позволяват да създадете единна база данни, управлявана от домейн контролери. Ако имате бизнес, управлявате офис или като цяло контролирате дейността на много хора, които трябва да бъдат обединени, такъв домейн ще ви бъде полезен.

Включва всички обекти - компютри, принтери, факсове, потребителски акаунти и др. Сумата от домейни, в които се намират данните, се нарича „гора“. Базата данни на Active Directory е домейн среда, където броят на обектите може да бъде до 2 милиарда. Можете ли да си представите тези везни?

Тоест с помощта на такава „гора“ или база данни можете да свържете голям брой служители и оборудване в офис и без да сте обвързани с местоположение - други потребители също могат да бъдат свързани в услугите, напр. от офис на фирмата в друг град.

Освен това в рамките на услугите на Active Directory се създават и комбинират няколко домейна - колкото по-голяма е компанията, толкова повече инструменти са необходими за контрол на нейното оборудване в базата данни.

Освен това, когато се създаде такава мрежа, се определя един контролиращ домейн и дори при последващо присъствие на други домейни, оригиналният все още остава „родител“ - тоест само той има пълен достъп до управление на информацията.

Къде се съхраняват тези данни и какво гарантира съществуването на домейни? За създаване на Active Directory се използват контролери. Обикновено те са два - ако нещо се случи с единия, информацията ще бъде запазена на втория контролер.

Друг вариант за използване на базата данни е, ако например вашата фирма си сътрудничи с друга и трябва да изпълните общ проект. В този случай неупълномощени лица може да имат нужда от достъп до файловете на домейна и тук можете да настроите нещо като „връзка“ между две различни „гори“, позволявайки достъп до необходимата информация, без да рискувате сигурността на останалите данни.

Като цяло Active Directory е инструмент за създаване на база данни в рамките на определена структура, независимо от нейния размер. Потребителите и цялото оборудване са обединени в една „гора“, създават се домейни и се поставят на контролери.

Също така е препоръчително да се изясни, че услугите могат да работят само на устройства с сървърни системи Windows. Освен това на контролерите се създават 3-4 бр DNS сървър. Те обслужват основната зона на домейна и ако някой от тях откаже, други сървъри го заместват.

След кратък преглед Active Directory for dummies, естествено се интересувате от въпроса - защо да променяте локална група за цяла база данни? Естествено, полето от възможности тук е многократно по-широко и за да разберете други разлики между тези услуги за управление на системата, нека разгледаме по-отблизо техните предимства.

Предимства на Active Directory

Предимствата на Active Directory са:

  1. Използване на един единствен ресурс за удостоверяване. В тази ситуация трябва да добавите на всеки компютър всички акаунти, до които се изисква достъп Главна информация. Колкото повече потребители и оборудване, толкова по-трудно е да се синхронизират тези данни между тях.

И така, когато използвате услуги с база данни, акаунтите се съхраняват в една точка и промените влизат в сила веднага на всички компютри.

Как работи? Всеки служител, идвайки в офиса, стартира системата и влиза в своя акаунт. Заявката за влизане ще бъде изпратена автоматично до сървъра и чрез нея ще се извърши удостоверяване.

Що се отнася до определен ред при водене на записи, винаги можете да разделите потребителите на групи - „Човешки отдел“ или „Счетоводство“.

В този случай е още по-лесно да осигурите достъп до информация - ако трябва да отворите папка за служители от един отдел, това се прави през базата данни. Заедно те получават достъп до необходимата папка с данни, докато за други документите остават затворени.

  1. Контрол върху всеки участник в базата данни.

Ако в местна групаТъй като всеки участник е независим и трудно се контролира от друг компютър, могат да се задават определени правила в домейни, които отговарят на фирмената политика.

Като системен администратор можете да зададете настройки за достъп и настройки за сигурност и след това да ги приложите към всяка потребителска група. Естествено, в зависимост от йерархията, някои групи могат да получат по-строги настройки, докато други могат да получат достъп до други файлове и действия в системата.

Освен това, когато нов човек се присъедини към компанията, неговият компютър веднага ще получи правилният комплектнастройки, при които са активирани компоненти за работа.

  1. Гъвкавост при инсталиране на софтуер.

Между другото, за компонентите - кога Помощ АктивенДиректория, можете да зададете принтери, да инсталирате необходимите програми за всички служители наведнъж и да зададете настройки за поверителност. Като цяло създаването на база данни значително ще оптимизира работата, ще следи сигурността и ще обедини потребителите максимална ефективностработа.

И ако компанията използва отделна помощна програма или специални услуги, те могат да бъдат синхронизирани с домейни и по-лесни за достъп. как? Ако комбинирате всички продукти, използвани в компанията, служителят няма да трябва да въвежда различни потребителски имена и пароли, за да влезе във всяка програма - тази информация ще бъде обща.

Сега, когато предимствата и значението на използването на Active Directory станаха ясни, нека да разгледаме процеса на инсталиране на тези услуги.

Ние използваме база данни на Windows Server 2012

Инсталирането и конфигурирането на Active Directory не е трудна задача и е по-лесно, отколкото изглежда на пръв поглед.

За да заредите услуги, първо трябва да направите следното:

  1. Променете името на компютъра: щракнете върху „Старт“, отворете контролния панел, изберете „Система“. Изберете „Промяна на настройките“ и в „Свойства“, срещу реда „Име на компютър“, щракнете върху „Промяна“, въведете нова стойност за основния компютър.
  2. Рестартирайте вашия компютър, както е необходимо.
  3. Задайте мрежовите настройки по следния начин:
    • През контролния панел отворете менюто с мрежи и споделяне.
    • Регулирайте настройките на адаптера. Щракнете с десния бутон върху „Свойства“ и отворете раздела „Мрежа“.
    • В прозореца от списъка щракнете върху Интернет протокол номер 4, отново щракнете върху „Свойства“.
    • Въведете необходимите настройки, например: IP адрес - 192.168.10.252, подмрежова маска - 255.255.255.0, главен шлюз - 192.168.10.1.
    • В реда „Предпочитан DNS сървър“ въведете адреса локален сървър, в “Алтернатива...” - други адреси на DNS сървъри.
    • Запазете промените и затворете прозорците.

Инсталирай Активни ролиДиректория като тази:

  1. Чрез Start отворете Server Manager.
  2. От менюто изберете Добавяне на роли и функции.
  3. Помощникът ще се стартира, но можете да пропуснете първия прозорец с описание.
  4. Поставете отметка в реда „Инсталиране на роли и компоненти“, продължете напред.
  5. Изберете вашия компютър, за да инсталирате Active Directory на него.
  6. От списъка изберете ролята, която трябва да се зареди - във вашия случай това е „Active Directory Domain Services“.
  7. Ще се появи малък прозорец с молба да изтеглите компонентите, необходими за услугите - приемете го.
  8. След това ще бъдете подканени да инсталирате други компоненти - ако не ви трябват, просто пропуснете тази стъпка, като щракнете върху „Напред“.
  9. Помощникът за настройка ще покаже прозорец с описания на услугите, които инсталирате - прочетете и продължете напред.
  10. Ще се появи списък с компоненти, които ще инсталираме - проверете дали всичко е правилно и ако е така, натиснете съответния бутон.
  11. Когато процесът приключи, затворете прозореца.
  12. Това е всичко - услугите се изтеглят на вашия компютър.

Настройка на Active Directory

За да конфигурирате услуга за домейн, трябва да направите следното:

  • Стартирайте съветника за настройка със същото име.
  • Кликнете върху жълтия показалец в горната част на прозореца и изберете „Повишаване на сървъра до домейн контролер“.
  • Кликнете върху добавяне на нова гора и създайте име за основния домейн, след което щракнете върху Напред.
  • Посочете режимите на работа на „гората“ и домейна - най-често те съвпадат.
  • Създайте парола, но не забравяйте да я запомните. Продължете по-нататък.
  • След това може да видите предупреждение, че домейнът не е делегиран и подкана да проверите името на домейна - можете да пропуснете тези стъпки.
  • В следващия прозорец можете да промените пътя до директориите на базата данни - направете това, ако не ви подхождат.
  • Сега ще видите всички опции, които ще зададете - проверете дали сте ги избрали правилно и продължете напред.
  • Приложението ще провери дали са изпълнени предпоставките и ако няма коментари или не са критични, щракнете върху „Инсталиране“.
  • След като инсталацията приключи, компютърът ще се рестартира сам.

Може също да се чудите как да добавите потребител към базата данни. За да направите това, използвайте менюто „Потребители или Активни компютриДиректория“, която ще намерите в секцията „Администрация“ на контролния панел, или използвайте менюто за настройки на базата данни.

За да добавите нов потребител, щракнете с десния бутон върху името на домейна, изберете „Създаване“, след това „Разделение“. Пред вас ще се появи прозорец, в който трябва да въведете името на новия отдел - той служи като папка, в която можете да събирате потребители от различни отдели. По същия начин по-късно ще създадете още няколко отдела и ще поставите правилно всички служители.

След това, когато сте създали име на отдел, щракнете с десния бутон върху него и изберете „Създаване“, след това „Потребител“. Сега остава само да въведете необходимите данни и да зададете настройките за достъп за потребителя.

Кога нов профилще бъде създаден, щракнете върху него, като изберете контекстно менюи отворете Свойства. В раздела „Акаунт“ премахнете отметката от квадратчето до „Блокиране...“. Това е всичко.

Общото заключение е, че Active Directory е мощен и полезен инструментза управление на системата, което ще помогне за обединяването на всички компютри на служителите в един екип. Използвайки услугите, можете да създадете защитена база данни и значително да оптимизирате работата и синхронизирането на информацията между всички потребители. Ако дейностите на вашата фирма или друго работно място са свързани с електроника компютрии мрежа, трябва да комбинирате акаунти и да наблюдавате производителността и поверителността, като инсталирате база данни на на базата на ActiveСправочник ще бъде чудесно решение.

Всеки начинаещ потребител, изправен пред съкращението AD, се чуди какво е Active Directory? Active Directory е услуга за директория, разработена от Microsoft за домейн Windows мрежи. Включен в повечето операционни системи Windows Server като набор от процеси и услуги. Първоначално услугата се занимаваше само с домейни. Въпреки това, започвайки с Windows Server 2008, AD се превърна в името на широк набор от услуги за идентичност, базирани на директории. Това прави Active Directory за начинаещи по-добро учебно изживяване.

Основна дефиниция

Сървърът, който изпълнява Active Directory Domain Directory Services, се нарича домейн контролер. Той удостоверява и упълномощава всички потребители и компютри в мрежов домейн на Windows, задавайки и налагайки политики за сигурност за всички компютри и инсталирайки или актуализирайки софтуер. Например, когато потребител влезе в компютър, който е присъединен към домейн на Windows, Active Directory проверява предоставената парола и определя дали субектът е системен администратор или стандартен потребител. Той също така позволява управление и съхранение на информация, предоставя механизми за удостоверяване и оторизация и установява рамка за внедряване на други свързани услуги: сертификатни услуги, обединени и олекотени справочни услуги и управление на права.

Active Directory използва LDAP версии 2 и 3, версията на Kerberos на Microsoft и DNS.

Active Directory - какво е това? С прости думи за комплекса

Наблюдението на мрежовите данни е задача, която отнема много време. Дори в малки мрежиПотребителите обикновено срещат затруднения при търсене мрежови файловеи принтери. Без някакъв вид директория средните до големите мрежи не могат да бъдат управлявани и често срещат трудности при намирането на ресурси.

Предишен Версии на Microsoft Windows включва услуги, които помагат на потребителите и администраторите да намират данни. мрежаполезен в много среди, но очевидният недостатък е тромавият интерфейс и неговата непредсказуемост. WINS мениджър и Мениджър на сървъраможеха да се използват за преглед на списък със системи, но не бяха достъпни за крайните потребители. Администраторите използваха User Manager, за да добавят и премахват данни от съвсем различен тип мрежов обект. Тези приложения се оказаха неефективни при големи мрежии повдигна въпроса защо компанията се нуждае от Active Directory?

Самият каталог в общ смисъл, е пълен списък с обекти. Телефонният указател е вид указател, който съхранява информация за хора, фирми и държавни организации, иТе обикновено записват имена, адреси и телефонни номера.Чудя се Active Directory - какво е това, с прости думиможем да кажем, че тази технология е подобна на справочника, но е много по-гъвкава. AD съхранява информация за организации, сайтове, системи, потребители, споделяния и всяка друга мрежова единица.

Въведение в концепциите на Active Directory

Защо една организация се нуждае от Active Directory? Както бе споменато във въведението към Active Directory, услугата съхранява информация за мрежовите компоненти.Ръководството за Active Directory за начинаещи обяснява, че това Позволява на клиентите да намират обекти в тяхното пространство от имена.Това t Терминът (наричан още дърво на конзолата) се отнася до областта, в която може да бъде разположен мрежов компонент. Например, съдържанието на книга създава пространство от имена, в което главите могат да бъдат присвоени на номера на страници.

DNS е конзолно дърво, което преобразува имената на хостове в IP адреси, като напрТелефонните указатели предоставят пространство от имена за разрешаване на имена за телефонни номера.Как става това в Active Directory? AD предоставя конзолно дърво за разрешаване на имена на мрежови обекти към самите обекти иможе да разрешава широк набор от обекти, включително потребители, системи и услуги в мрежа.

Обекти и атрибути

Всичко, което Active Directory проследява, се счита за обект.Можем да кажем с прости думи, че това е в Active Directory е всеки потребител, система, ресурс или услуга. Използва се общ термин обект, тъй като AD е в състояние да проследява много елементи и много обекти могат да споделят общи атрибути. Какво означава?

Атрибутите описват обекти в Active Directory, например всички потребителски обекти споделят атрибути за съхраняване на потребителското име. Това важи и за техните описания. Системите също са обекти, но имат отделен набор от атрибути, които включват име на хост, IP адрес и местоположение.

Наборът от атрибути, налични за всеки отделен тип обект, се нарича схема. Това прави класовете обекти различни един от друг. Информацията за схемата всъщност се съхранява в Active Directory. Че това поведение на протокола за сигурност е много важно, се демонстрира от факта, че дизайнът позволява на администраторите да добавят атрибути към класове обекти и да ги разпространяват в мрежата до всички краища на домейна, без да рестартират домейн контролери.

LDAP контейнер и име

Контейнерът е специален тип обект, който се използва за организиране на работата на услуга. Той не представлява физическа единица като потребител или система. Вместо това се използва за групиране на други елементи. Контейнерните обекти могат да бъдат вложени в други контейнери.

Всеки елемент в AD има име. Това не са тези, с които сте свикнали, например Иван или Олга. Това са LDAP отличителни имена. Отличителните имена на LDAP са сложни, но ви позволяват да идентифицирате уникално всеки обект в директория, независимо от неговия тип.

Дърво на термини и уебсайт

Дървото на термините се използва за описание на набор от обекти в Active Directory. Какво е това? С прости думи това може да се обясни с помощта на дървовидна асоциация. Когато контейнерите и обектите се комбинират йерархично, те са склонни да образуват разклонения - оттук и името. Свързан термин е непрекъснато поддърво, което се отнася до непрекъснатия основен ствол на дърво.

Продължавайки метафората, терминът "гора" описва колекция, която не е част от едно и също пространство от имена, но споделя обща схема, конфигурация и глобална директория. Обектите в тези структури са достъпни за всички потребители, ако сигурността позволява. Организациите, разделени на множество домейни, трябва да групират дървета в една гора.

Сайтът е географско местоположение, дефинирани в Active Directory. Сайтовете съответстват на логически IP подмрежи и като такива могат да се използват от приложенията за намиране на най-близкия сървър в мрежата. Използването на информация за сайта от Active Directory може значително да намали трафика в WAN.

Управление на Active Directory

Компонент за добавяне на потребители на Active Directory. Това е най-удобният инструмент за администриране на Active Directory. Той е достъпен директно от програмната група Административни инструменти в менюто Старт. Той замества и подобрява Server Manager и User Manager от Windows NT 4.0.


Безопасност

Active Directory играе важна роля в бъдещето на Windows мрежите. Администраторите трябва да могат да защитят своята директория от нападатели и потребители, докато делегират задачи на други администратори. Всичко това е възможно с помощта на модела за сигурност на Active Directory, който свързва списък за контрол на достъпа (ACL) с всеки контейнер и атрибут на обект в директорията.

Високо нивоКонтролът позволява на администратора да предоставя на отделни потребители и групи различни нива на разрешения за обекти и техните свойства. Те дори могат да добавят атрибути към обекти и да скриват тези атрибути от определени потребителски групи. Например, можете да зададете ACL, така че само мениджърите да могат да виждат домашните телефони на други потребители.

Делегирана администрация

Нова концепция за Windows 2000 Server е делегираната администрация. Това ви позволява да възлагате задачи на други потребители, без да предоставяте допълнителни права за достъп. Делегираната администрация може да бъде възложена чрез конкретни обекти или поддървета на съседни директории. Това е много повече ефективен методпредоставяне на правомощия върху мрежи.

IN мястото, където на някого се присвояват всички администраторски права на глобален домейн, потребителят може да получи разрешения само в рамките на конкретно поддърво. Active Directory поддържа наследяване, така че всички нови обекти наследяват ACL на своя контейнер.

Терминът "доверително отношение"

Терминът „доверително отношение“ все още се използва, но има различна функционалност. Няма разлика между еднопосочни и двупосочни тръстове. Все пак всички се доверяват Активна връзкаДиректориите са двупосочни. Освен това всички те са преходни. Така че, ако домейн A се доверява на домейн B и B се доверява на C, тогава има автоматична имплицитна връзка на доверие между домейн A и домейн C.

Одит в Active Directory - какво е това с прости думи? Това е защитна функция, която ви позволява да определите кой се опитва да получи достъп до обекти и колко успешен е опитът.

Използване на DNS (система за имена на домейни)

Системата, известна още като DNS, е необходима за всяка организация, свързана с интернет. DNS осигурява разделяне на имена между общи имена, като mspress.microsoft.com, и необработени IP адреси, които компонентите на мрежовия слой използват за комуникация.

Active Directory се използва широко DNS технологияза търсене на предмети. Това е значителна промяна от предишните операционни системи Windows, които изискват NetBIOS имена да се разрешават чрез IP адреси и разчитат на WINS или други техники за разрешаване на имена на NetBIOS.

Active Directory работи най-добре, когато се използва с DNS сървъри, работещи под Windows 2000. Microsoft улесни мигрирането на администраторите към DNS сървъри, базирани на Windows 2000, като предостави съветници за мигриране, които насочват администратора през процеса.

Могат да се използват други DNS сървъри. Това обаче ще изисква администраторите да отделят повече време за управление на DNS бази данни. Какви са нюансите? Ако решите да не използвате DNS сървъри, работещи под Windows 2000, трябва да се уверите, че вашите DNS сървъри отговарят на новия DNS протокол за динамично актуализиране. Сървърите разчитат на динамична актуализациявашите записи, за да намерите домейн контролери. Не е удобно. В края на краищата, eАко динамичното актуализиране не се поддържа, трябва да актуализирате базите данни ръчно.

Домейните на Windows и интернет домейните вече са напълно съвместими. Например име като mspress.microsoft.com ще идентифицира домейн контролерите на Active Directory, отговорни за домейна, така че всеки клиент с DNS достъп може да намери домейн контролера.Клиентите могат да използват DNS резолюция, за да търсят произволен брой услуги, тъй като сървърите на Active Directory публикуват списък с адреси в DNS, използвайки нови динамични функции за актуализиране. Тези данни се дефинират като домейн и се публикуват чрез записи на ресурсни услуги. SRV RR следвайте формата service.protocol.domain.

Сървърите на Active Directory предоставят услугата LDAP за хостване на обекта, а LDAP използва TCP като основен протоколтранспортно ниво. Следователно клиент, който търси сървър на Active Directory в домейна mspress.microsoft.com, ще търси DNS записа за ldap.tcp.mspress.microsoft.com.

Глобален каталог

Active Directory предоставя глобален каталог (GC) иосигурява един източник за търсене на всеки обект в мрежата на организацията.

Глобалният каталог е услуга в Windows 2000 Server, която позволява на потребителите да намират всички обекти, които са били споделени. Тази функционалност далеч надхвърля възможното Намерете приложенияКомпютър, включен в предишния Windows версии. В крайна сметка потребителите могат да търсят всеки обект в Active Directory: сървъри, принтери, потребители и приложения.

Груповата политика е йерархична инфраструктура, която позволява на мрежовия администратор, отговарящ за Microsoft Active Directory, да прилага специфични конфигурации за потребители и компютри. Груповите правила могат също да се използват за дефиниране на потребителски, защитени и мрежови политики на ниво машина.

Определение

Групите на Active Directory помагат на администраторите да определят настройките за това, което потребителите могат да правят в мрежата, включително файловете, папките и приложенията, до които имат достъп. Колекциите от потребителски и компютърни настройки се наричат ​​обекти групова политика, които се администрират от централен интерфейс, наречен конзола за управление. Груповите правила могат също да се управляват с помощта на инструменти на командния ред като gpresult и gpupdate.

Active Directory беше нова за Windows 2000 Server и беше подобрена във версията от 2003 г., правейки я още повече важна частОПЕРАЦИОННА СИСТЕМА. Windows Server 2003 AD предоставя единична справка, наречена директорийна услуга, за всички обекти в мрежата, включително потребители, групи, компютри, принтери, политики и разрешения.

За потребител или администратор настройката на Active Directory предоставя единен йерархичен изглед, от който да управлявате всички мрежови ресурси.

Защо да внедрите Active Directory

Има много причини да се приложи тази система. На първо място, Microsoft Active Directory обикновено се счита за значително подобрение спрямо Домейни на Windows NT Server 4.0 или дори самостоятелни сървърни мрежи. AD има централизиран механизъм за администриране в цялата мрежа. Той също така осигурява излишък и толерантност към грешки, когато два или повече домейн контролери са разположени в домейн.

Услугата автоматично управлява комуникациите между домейн контролери, за да гарантира, че мрежата остава жизнеспособна. Потребителите получават достъп до всички ресурси в мрежата, за които са упълномощени чрез единично влизане. Всички ресурси в мрежата са защитени от стабилен механизъм за сигурност, който проверява идентификацията на потребителя и правата на ресурса за всеки достъп.

Дори с усъвършенстваната сигурност и контрол на Active Directory, повечето от неговите функции са невидими за крайните потребители. В това отношение мигрирането на потребители към AD мрежа изисква малко преквалификация. Услугата предлага инструменти за бързо насърчаване и понижаване на домейн контролери и членски сървъри. Системата може да се управлява и защитава с помощта на групови политики на Active Directory. Това е гъвкав йерархичен организационен модел, който позволява лесно управление и детайлност на конкретно делегиране на административни отговорности. AD е в състояние да управлява милиони обекти в рамките на един домейн.

Основни раздели

Книгите за групови правила на Active Directory са организирани с помощта на четири типа дялове или контейнерни структури. Тези четири подразделения са гори, домейни, организационни единици и сайтове:

    Гората е колекция от всеки обект, неговите атрибути и синтаксис.

    Домейн - съвкупност от компютри, на които се използва общ наборполитик, име и база данни на техните членове.

    Организационните единици са контейнери, в които могат да бъдат групирани домейни. Те създават йерархия за домейн и създават фирмена структура в географска или организационна среда.

    Сайтовете са физически групи, които са независими от площта и структурата на организационните единици. Сайтовете правят разлика между местоположения, свързани с ниско- и високоскоростни връзки, и се определят от една или повече IP подмрежи.

Горите не са ограничени от география или мрежова топология. Една гора може да съдържа множество домейни, всеки от които има обща схема. Членовете на домейна от една и съща гора дори не изискват специална LAN или WAN връзка. Единна мрежаможе също да бъде дом на няколко независими гори. Общо взето за всички юридическо лицетрябва да се използва една гора. Въпреки това може да е желателно допълнително скеле за тестови и изследователски цели извън производствената гора.

Домейни

Домейните на Active Directory служат като контейнери за политики за сигурност и административни назначения. По подразбиране всички обекти в тях са обект на групови политики. По същия начин всеки администратор може да управлява всички обекти в домейна. Освен това всеки домейн има своя собствена уникална база данни. По този начин удостоверяването се основава на домейна. След като потребителският акаунт бъде удостоверен, този акаунт получава достъп до ресурси.

Конфигурирането на групови правила в Active Directory изисква един или повече домейни. Както бе споменато по-рано, AD домейнът е колекция от компютри, които споделят общ набор от политики, име и база данни на своите членове. Домейнът трябва да има един или повече сървъри, които служат като домейн контролери (DC) и съхраняват базата данни, поддържат политики и осигуряват удостоверяване при влизане.

Домейн контролери

В Windows NT основният домейн контролер (PDC) и резервният домейн контролер (BDC) бяха роли, които могат да бъдат присвоени на сървър в мрежа от компютри, използващи операционна система Windows. Windows използва идеята за домейн, за да контролира достъпа до набор мрежови ресурси(приложения, принтери и др.) за група потребители. Потребителят трябва само да влезе в домейн, за да получи достъп до ресурси, които могат да бъдат разположени на няколко различни сървърина линия.

Един сървър, известен като PDC, управлява основната потребителска база данни за домейна. Един или повече сървъри са определени като резервни домейн контролери. Основният контролер периодично изпраща копия на базата данни до резервните домейн контролери. Резервният домейн контролер може да влезе като основен домейн контролер в случай, че PDC сървърът се повреди, и може също да помогне за балансиране на работното натоварване, ако мрежата е достатъчно натоварена.

Делегиране и конфигуриране на Active Directory

В Windows 2000 Server, докато домейн контролерите бяха запазени, PDC и BDC сървърните роли бяха до голяма степен заменени от Active Directory. Вече няма нужда да създавате отделни домейни за разделяне на административни привилегии. В AD можете да делегирате административни привилегии въз основа на организационни единици. Домейните вече не са ограничени до 40 000 потребители. AD домейните могат да управляват милиони обекти. Тъй като вече няма PDC и BDC, настройката на груповата политика на Active Directory налага репликация с няколко главни и всички домейн контролери са равноправни.

Организационна структура

Организационните единици са много по-гъвкави и по-лесни за управление от домейните. Организационните единици ви дават почти неограничена гъвкавост, защото можете да ги местите, изтривате и създавате нови единици, ако е необходимо. Домейните обаче са много по-строги в структурните си настройки. Домейните могат да бъдат изтривани и създавани отново, но този процес дестабилизира средата и трябва да се избягва, когато е възможно.

Сайтовете са колекции от IP подмрежи, които имат бърза и надеждна връзка между всички хостове. Друг начин за създаване на сайт е да се свържете към локална мрежа, но не към WAN връзка, тъй като WAN връзките са значително по-бавни и по-малко надеждни от LAN връзките. Чрез използването на уебсайтове можете да контролирате и намалите количеството трафик, който преминава през вашите бавни канали глобална мрежа. Това може да доведе до по-ефективен поток на трафик за задачи за продуктивност. Може също да намали разходите за WAN комуникация за услуги с плащане за бит.

Съветник за инфраструктура и глобален каталог

Сред другите ключови Компоненти на WindowsСървърът в Active Directory има съветник за инфраструктура (IM), който е напълно функционален от услугата FSMO(Flexible Single Operations Wizard) е отговорен за автоматизиран процес, който улавя остарели препратки, известни като призраци, в базата данни на Active Directory.

Фантомите се създават на DC, които изискват кръстосана препратка между обект в собствената база данни и обект от друг домейн в гората. Това се случва например, когато добавите потребител от един домейн към група в друг домейн в същата гора. Фантомите се считат за остарели, когато вече не съдържат актуализирани данни, което се дължи на промени, направени в чуждия обект, представен от фантома. Например, когато целта е преименувана, преместена, прехвърлена между домейни или изтрита. Управителят на инфраструктурата е единствено отговорен за намирането и коригирането на остарели фантоми. Всички промени, направени в резултат на процеса на „коригиране“, трябва след това да бъдат копирани към други домейн контролери.

Главният на инфраструктурата понякога се бърка с глобалния каталог (GC), който поддържа частично копие само за четене на всеки домейн в гората и, наред с други неща, се използва за универсално групово съхранение и обработка на влизане. Тъй като GC съхраняват частично копие на всички обекти, те могат да създават връзки между домейни без нужда от фантоми.

Active Directory и LDAP

Microsoft включва LDAP (Lightweight Directory Access Protocol) като съставен компонентАктивна директория. LDAP е софтуерен протокол, който позволява на всеки потребител да намира организации, лица и други ресурси, като файлове и устройства, в мрежа, независимо дали в публичен интернет или корпоративен интранет.

В TCP/IP мрежите (включително Интернет) системата за имена на домейни (DNS) е система от директории, използвана за свързване на име на домейн с конкретен мрежов адрес (уникално местоположение в мрежата). Може обаче да не знаете Име на домейн. LDAP ви позволява да търсите хора, без да знаете къде се намират (въпреки че допълнителната информация ще помогне при търсенето).

LDAP директорията е организирана в проста йерархична йерархия, състояща се от следните нива:

    Основната директория (оригиналното местоположение или източник на дървото).

  • организации.

    Организационни звена (отдели).

    Индивиди (включително хора, файлове и споделени ресурси като принтери).

Една LDAP директория може да бъде разпределена между много сървъри. Всеки сървър може да има репликирана версия на споделената директория, която се синхронизира периодично.

Важно е всеки администратор да разбере какво е LDAP. Тъй като търсенето на информация в Active Directory и възможността за създаване на LDAP заявки е особено полезно при търсене на информация, съхранявана в базата данни на AD. Поради тази причина много администратори обръщат голямо внимание на овладяването на LDAP филтъра за търсене.

Управление на групови правила и Active Directory

Трудно е да се обсъжда AD без да се споменава груповата политика. Администраторите могат да използват групови правила в Microsoft Active Directory, за да дефинират настройки за потребители и компютри в мрежа. Тези настройки се конфигурират и съхраняват в така наречените обекти на групови правила (GPO), които след това се свързват с обекти на Active Directory, включително домейни и сайтове. Това е основният механизъм за прилагане на промени в компютрите на потребителите в среда на Windows.

Благодарение на ръководството групова политикаАдминистраторите могат глобално да конфигурират настройките на работния плот потребителски компютри, ограничаване/разрешаване на достъп до определени файлове и папки в мрежата.

Прилагане на групови правила

Важно е да разберете как се използват и прилагат обектите на груповата политика. Подходящият ред за тях е първо да приложат политики на локална машина, след това политики на сайт, след това политики на домейн и след това политики, приложени към отделни организационни единици. Потребител или компютърен обект може да принадлежи само към един сайт и един домейн по всяко време, така че те ще получават само GPO, които са свързани с този сайт или домейн.

Обектна структура

GPO са разделени на две отделни части: шаблон на групова политика (GPT) и контейнер на групова политика (GPC). Шаблонът за групови правила е отговорен за поддържането на определени настройки, създадени в GPO, и е от съществено значение за неговия успех. Той съхранява тези настройки в голяма папка и файлова структура. За да се приложат успешно настройките към всички потребителски и компютърни обекти, GPT трябва да се копира във всички контролери в домейна.

Контейнерът на групови правила е част от обект на групови правила, съхраняван в Active Directory, който се намира на всеки домейн контролер в домейн. GPC е отговорен за поддържането на препратки към клиентски разширения (CSE), GPT пътеки, пътеки на софтуерни инсталационни пакети и други аспекти, свързани с GPO. GPC не съдържа много информация, специфична за съответния GPO, но е необходима за функционалността на GPO. Когато политиките за инсталиране на софтуер са конфигурирани, GPC помага за поддържането на връзки, свързани с GPO, и съхранява други релационни връзки и пътища, съхранени в атрибутите на обекта. Познаването на структурата на GPC и как да получите достъп до скрита информация, съхранена в атрибути, ще се отплати, когато трябва да идентифицирате проблем с групови правила.

В Windows Server 2003 Microsoft пусна решение за управление на групови правила като инструмент за агрегиране на данни под формата на конзола, известна като конзола за управление на групови правила (GPMC). GPMC предоставя интерфейс за управление, ориентиран към GPO, който значително опростява администрирането, управлението и местоположението на GPO. Чрез GPMC можете да създавате нови GPO, да променяте и редактирате обекти, да изрязвате/копирате/поставяте GPO, да създавате резервни копияобекти и изпълнете получения набор от политики.

Оптимизация

Тъй като броят на управляваните GPO се увеличава, производителността оказва влияние върху машините в мрежата. Съвет: Ако производителността намалее, ограничете мрежовите настройки на сайта. Времето за обработка се увеличава правопропорционално на количеството индивидуални настройки. Сравнително прости конфигурации като настройки на работния плот или политики Internet Explorer, може да не отнеме много време, докато софтуерното пренасочване на папки може сериозно да натовари мрежата, особено по време на пиковите периоди.

Отделете потребителските GPO и след това деактивирайте неизползваната част. Една от най-добрите практики както за увеличаване на производителността, така и за намаляване на объркването в управлението е да създавате отделни обектиза настройки, които ще се прилагат за компютри и специфични за потребителите.