Active Directory



Незабаром буде вже чотири роки, як вийшла система Windows з нею - служба Active. Уже стихли баталії про те, чим вона краще або гірше вже не з'являються обережні репліки, мов, почекати треба, поки інші не спробують так сервісний пакет не вийде, а те й два. Уже прочитана безліч літератури на цю тему, благо її російською мовою видано предосить. І от результат: великі й середні компанії масово стали переходити на Windows 2000 і Active Directory.

Після виходу Windows Server 2003 усе було звернено на цей продукт. Уже зараз компанії всі частіше планують впровадження саме цієї ОС, а не її попередниці. Можливо, відкриваючи фахівці хотіли б бачити саму останню інформацію про Active Directory 2003. Але для даної книги ця неможлива вимога, тому що тут я пишу про том. із чим працював тривалий час. Але це не означає, що книга марна для таких читачів. Всі концепції побудови служби каталогів і її обслуговувань залишилися колишніми. Тому все, що тут описано, повною мірою тносится й до Windows 2003.

З моменту виходу Windows 2000 я допомагав компаніям впроваджувати Directory. Шишок за цей час було набито чимало: у кожній організації своя специфіка й свої всі володіють різним ньому готовності до цього кроку. Це вимагало шукати обхідні пуги й нетривіальні рішення. Але подібні процеси мали місце й в інших країнах. У підсумку в Microsoft нагромадився значний досвід впровадження знання й досягнення сотень консультантів Microsoft Consulting Services. Частина інформації опублікована на Web-Сайті Microsoft, у базі знань Microsoft, також доступної Винтернете.

Робота з Active Directory




Active Directory: підхід професіонала ляется політика, що забороняє користувачам деякі дії, вона буде поширена й на адміністраторів. Якщо адміністраторів винести в окреме прийде створювати спеціальну поотменяющую доменної. Підвищити гнучкість роботи з політиками дозволяє фільтрація. Суть цього механізму проста: у політики, як у будь-якого об'єкта Active є список контролю доступу. Крім таких рядків, як Read, Write, Full у ньому є й Apply Group Policy. Окремо від Read дозвіл Apply не має змісту. Але якщо для групи користувачів у списку контролю доступу зазначені обоє цих дозволу, політика буде застосована до цієї групи. Дозвіл Read означає, що член групи може тільки подивитися параметри але вони не будуть до нього. Щораз при створенні нового об'єкта групової політики до нього застосовуються дозволу, закладені в схемі. От список таких дозволів: Дозволу, до об'єкта групової політики по Create Delete Apply Full All child All child Group Control Read Write objects objects Policy Authenticated Users / / Creator owners Domain / / / Enterprise Admins / / / SYSTEM / / Як бачите, за замовчуванням політика застосовується до всіх членів групи Authenticated Users, що за замовчуванням входять всі зареєстровані у лісі користувачі, крім анонімів і гостей. Випливаючи цій логіці, що й для адміністраторів, як для членів групи Authenticated Users, також буде застосовуватися політика, хоча нижче що до них вона не застосовується. Це не так. Справа в тому, що. розглядаючи список контролю доступу, треба звертати увагу не алфавітний порядок груп, а на їх розташування. Досить відкрити редактор списку контролю доступу, щоб побачити, що на першому рядку - дозволу для групи Domain Admins. Тому що для них Apply Group Policy не зазначено, те правила до них застосовуватися не будуть. Зауваження За замовчуванням група Enterprise Admins коштує в списку контролю доступу на останнім місці. Якщо її члени не входять у групу Domain те з погляду політики, вони такі ж користувачі, як і інші, і правила будуть застосовані до них. Active Directory: підхід професіонала ляется політика, що забороняє користувачам деякі дії, вона буде поширена й на адміністраторів. Якщо адміністраторів винести в окреме прийде створювати спеціальну поотменяющую доменної. Підвищити гнучкість роботи з політиками дозволяє фільтрація. Суть цього механізму проста: у політики, як у будь-якого об'єкта Active є список контролю доступу. Крім таких рядків, як Read, Write, Full у ньому є й Apply Group Policy. Окремо від Read дозвіл Apply не має змісту. Але якщо для групи користувачів у списку контролю доступу зазначені обоє цих дозволу, політика буде застосована до цієї групи. Дозвіл Read означає, що член групи може тільки подивитися параметри але вони не будуть до нього. Щораз при створенні нового об'єкта групової політики до нього застосовуються дозволу, закладені в схемі. От список таких дозволів: Дозволу, до об'єкта групової політики по Create Delete Apply Full All child All child Group Control Read Write objects objects Policy Authenticated Users / / Creator owners Domain / / / Enterprise Admins / / / SYSTEM / / Як бачите, за замовчуванням політика застосовується до всіх членів групи Authenticated Users, що за замовчуванням входять всі зареєстровані у лісі користувачі, крім анонімів і гостей. Випливаючи цій логіці, що й для адміністраторів, як для членів групи Authenticated Users, також буде застосовуватися політика, хоча нижче що до них вона не застосовується. Це не так. Справа в тому, що. розглядаючи список контролю доступу, треба звертати увагу не алфавітний порядок груп, а на їх розташування. Досить відкрити редактор списку контролю доступу, щоб побачити, що на першому рядку - дозволу для групи Domain Admins. Тому що для них Apply Group Policy не зазначено, те правила до них застосовуватися не будуть. Зауваження За замовчуванням група Enterprise Admins коштує в списку контролю доступу на останнім місці. Якщо її члени не входять у групу Domain те з погляду політики, вони такі ж користувачі, як і інші, і правила будуть застосовані до них. [...]
Початок
[1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11] [12] [13] [14] [15] [16] [17] [18] [19] [20] [21] [22] [23] [24] [25] [26] [27] [28] [29] [30] [31] [32] [33] [34] [35] [36] [37] [38] [39] [40] [41] [42] [43] [44] [45] [46] [47] [48] [49] [50] [51] [52] [53] [54] [55] [56] [57] [58] [59] [60] [61] [62] [63] [64] [65] [66] [67] [68] [69] [70] [71] [72] [73] [74] [75] [76] [77] [78] [79] [80] [81] [82] [83] [84] [85] [86] [87] [88] [89] [90] [91] [92] [93] [94] [95] [96] [97] [98] [99] [100] [101] [102] [103] [104] [105] [106] [107] [108] [109] [110] [111] [112] [113] [114] [115] [116] [117] [118] [119] [120] [121] [122] [123] [124] [125] [126] [127] [128] [129] [130] [131] [132] [133] [134] [135] [136] [137] [138] [139] [140] [141] [142] [143] [144] [145] [146] [147] [148] [149] [150] [151] [152] [153] [154] [155] [156] [157] [158] [159] [160] [161] [162] [163] [164] [165] [166] [167] [168] [169] [170] [171] [172] [173] [174] [175] [176] [177] [178] [179] [180] [181] [182] [183] [184] [185] [186] [187] [188] [189] [190] [191] [192] [193] [194] [195] [196] [197] [198] [199] [200] [201] [202] [203] [204] [205] [206] [207] [208] [209] [210] [211] [212] [213] [214] [215] [216] [217] [218] [219] [220] [221] [222] [223] [224] [225] [226] [227] [228] [229] [230] [231] [232] [233] [234] [235] [236] [237] [238] [239] [240] [241] [242] [243] [244] [245] [246] [247] [248] [249] [250] [251] [252] [253] [254] [255] [256] [257] [258] [259] [260] [261] [262] [263] [264] [265] [266] [267] [268] [269] [270] [271] [272] [273] [274] [275] [276] [277] [278] [279] [280] [281] [282] [283] [284] [285] [286] [287] [288] [289] [290] [291] [292] [293] [294] [295] [296] [297] [298] [299] [300] [301] [302] [303] [304] [305] [306] [307] [308] [309] [310] [311] [312] [313] [314] [315] [316] [317] [318] [319] [320] [321] [322] [323] [324] [325] [326] [327] [328] [329] [330] [331] [332] [333] [334] [335] [336] [337] [338] [339] [340] [341] [342] [343] [344] [345] [346] [347] [348] [349] [350] [351] [352] [353] [354] [355] [356] [357] [358] [359] [360] [361] [362] [363] [364] [365] [366] [367] [368] [369] [370] [371] [372] [373] [374] [375] [376] [377] [378] [379] [380] [381] [382] [383] [384] [385] [386] [387] [388] [389] [390] [391] [392] [393] [394] [395] [396] [397] [398] [399] [400] [401] [402] [403] [404] [405] [406] [407] [408] [409] [410] [411] [412] [413] [414] [415] [416] [417] [418] [419] [420] [421] [422] [423] [424] [425] [426] [427] [428] [429] [430] [431] [432] [433] [434] [435] [436] [437] [438] [439] [440] [441] [442] [443] [444] [445] [446] [447] [448] [449] [450] [451] [452] [453] [454] [455] [456] [457] [458] [459] [460] [461] [462] [463] [464] [465] [466] [467] [468] [469] [470] [471] [472] [473] [474] [475] [476] [477] [478] [479] [480] [481] [482] [483] [484] [485] [486] [487] [488] [489] [490] [491] [492] [493] [494] [495] [496] [497] [498] [499] [500] [501] [502] [503] [504] [505] [506] [507] [508] [509] [510]