Active Directory Slovníček – Pojmy a Základní Pojmy
V tomto příspěvku, budu na seznamu a vysvětlit nejčastěji používané terminologie v Active Directory a souvisejících technologií.
Pokud jste ve službě Active Directory nováčkem, bude to skvělý zdroj pro seznámení se základy služby Active Directory a základními pojmy.
seskupil jsem pojmy do různých sekcí, abych usnadnil pochopení a odkaz. Některá témata mohou být velmi technická, poskytl jsem krátkou a snadno srozumitelnou terminologii. Na konci každé sekce pak poskytnu další zdroje, pokud se chcete dozvědět více.
obsah:
- Active Directory, Základy – Start
- Active Directory Services
- Active Directory, DNS
- Replikace služby Active Directory
- Active Directory, Zabezpečení (Autentizace, Bezpečnostní Protokoly, Oprávnění)
- Active Directory Konzoly pro Správu
- DHCP
- zásady Skupiny
služby Active Directory Základy
Tyto jsou základní pojmy, měli byste být obeznámeni s při jednání s Active Directory.
Active Directory
Active Directory je adresářová služba, která centralizuje správu uživatelů, počítačů a dalších objektů v rámci sítě. Jeho primární funkcí je ověřování a autorizace uživatelů a počítačů v doméně windows. Například, když se uživatel přihlásí do počítače v doméně kontroluje uživatelské jméno a heslo, které byly předloženy k ověření účtu. Pokud se jedná o platné uživatelské jméno a heslo, uživatel je ověřen a přihlášen do počítače.
nenechte se zmást s následujícími třemi termíny, které všechny odkazují na Active Directory.
- REKLAMA – To je jen zkratka pro Active Directory
- AD DS – To je server, který je spuštěna služba Active Directory Domain Services Role
- Řadič Domény – To je také server se službou Active Directory Domain Service Roli. Z důvodů převzetí služeb při selhání se doporučuje mít více řadičů domény.
Active Directory Web Services (ADWS)
Doména
doména je logická struktura kontejnerů a objektů v rámci služby Active Directory. Doména obsahuje následující součásti:
- hierarchická struktura pro uživatele, skupiny, počítače a další objekty
- Bezpečnostní služby, které poskytují ověřování a oprávnění k prostředkům v doméně a jiných doménách
- Politik, které jsou použity pro uživatele a počítače
- název DNS k určení domény. Když se přihlásíte do počítače, který je součástí domény, přihlašujete se do názvu domény DNS. Moje doména DNS je ad.activedirectorypro.com, takto je identifikována moje doména.
doménový strom
Když přidáte podřízenou doménu do nadřazené domény, vytvoříte to, čemu se říká doménový strom. Doménový strom je jen řada domén propojených hierarchicky, všechny používají stejný jmenný prostor DNS. Pokud activedirectorypro.com bylo přidat doménu nazvanou školení, nebo videa, která by byla pojmenována training.activedirectorypro.com a videos.activedirectorypro.com. Tyto domény jsou součástí stejného doménového stromu a mezi rodičovskou a podřízenou doménou se automaticky vytvoří důvěra.
funkční úrovně
Les
les je soubor doménových stromů. Doménový strom sdílí společné schéma a konfigurační kontejner. Doménový strom je propojen prostřednictvím tranzitivní důvěry. Při první instalaci služby Active Directory a vytvoření domény také vytváříte les.
FQDN – Plně Kvalifikované Doménové Jméno
FSMO
řadič domény má několik funkcí, které jsou označovány jako role FSMO. Všechny tyto role jsou nainstalovány na prvním řadiči domény v Novém lese, můžete přesouvat role napříč více dc, abyste pomohli s výkonem a selháním při selhání.
-
Schema Master-hlavní schéma je role pro celý les, která zpracovává všechny změny schématu služby Active Directory.
-
Domain Naming Master – Jedná se o roli v celém lese, která je mistrem doménových jmen. Zpracovává jmenný prostor a přidávání odebrání doménových jmen.
-
PDC Emulator-tato role zpracovává změny hesla, blokování uživatelů, Zásady skupiny a je časovým serverem pro klienty.
-
rid Master-tato role je zodpovědná za zpracování požadavků rid pool ze všech DC v doméně. Když jsou vytvořeny objekty, jako jsou uživatelé a počítače, dostanou přiřazen jedinečný SID a relativní ID (RID). Hlavní role RID zajišťuje, že objektům nejsou přiřazeny stejné SID a RIDs.
-
hlavní server Infrastruktury – To je doména široký úloha použita pro referenční objekty v jiných doménách. Pokud jsou uživatelé z domény a členy skupiny zabezpečení v doméně B, použije se hlavní role infrastruktury pro odkaz na účty ve správné doméně.
objekty
při práci s Active Directory budete primárně pracovat s objekty. Objekty jsou definovány jako skupina atributů, které představují prostředek v doméně. Těmto objektům je přiřazen jedinečný identifikátor zabezpečení (Sid), který slouží k udělení nebo odepření přístupu objektu ke zdrojům v doméně. Výchozí typy objektů vytvořené v nové doméně ve službě Active Directory jsou:
- Organizační jednotka (OU) – OU je objekt kontejneru, který může obsahovat různé objekty ze stejné domény. Budete používat ou k ukládání a organizaci, uživatelských účtů, kontaktů, počítačů a skupin. Objekty zásad skupiny také propojíte s OU.
- uživatelé-uživatelské účty jsou přiřazeny primárně uživatelům, aby získali přístup k prostředkům domény. Mohou být také použity ke spouštění programů nebo systémových služeb.
- počítač-jedná se jednoduše o počítač, který je připojen k doméně.
- skupiny-existují dva typy objektů, skupina zabezpečení a distribuční skupina. Skupina zabezpečení je seskupení uživatelských účtů, které lze použít k zajištění přístupu ke zdrojům. Distribuční skupiny se používají pro seznamy distribuce e-mailů.
- kontakty-Kontakt se používá pro e-mailové účely. Nemůžete se přihlásit k doméně jako kontakt a nelze ji použít k Zabezpečení Oprávnění.
- Sdílená složka – když publikujete sdílenou složku ve službě Active Directory, vytvoří objekt. Publikování sdílených složek do reklamy usnadňuje uživatelům najít sdílené soubory a složky v doméně.
- sdílet tiskárnu – stejně jako sdílené složky můžete publikovat tiskárny do služby Active Directory. To také usnadňuje uživatelům najít a používat tiskárny v doméně.
LDAP (Lightweight Directory Access Protocol)
Globální Katalog (GC)
server globálního katalogu obsahuje kompletní replika všech objektů a slouží k provádění lesních široké vyhledávání. Ve výchozím nastavení je první řadič domény v doméně označen jako server GC, pro zlepšení výkonu se doporučuje mít pro každý web alespoň jeden server GC.
Jet Database Engine
databáze Active Directory je založena na Microsoft Jet Blue engine a využívá Extensible Storage Engine (ESE) pro práci s daty. Databáze je jediný soubor s názvem ntds.dit, ve výchozím nastavení je uložen ve složce %SYSTEMROOT%\NTDS a v každém řadiči domény.
koš
koš Active Directory umožňuje správcům snadno obnovit smazané položky, ve výchozím nastavení to není povoleno. Jak povolit koš krok za krokem průvodce.
Read-Only Domain Controller (RODC)
servery RODC obsahují kopii databáze Active Directory pouze pro čtení a neumožňují změny v AD. Jeho primárním účelem jsou pobočky a místa se špatnou fyzickou bezpečností.
schéma
schéma služby Active Directory definuje každou třídu objektů, které lze vytvořit a použít v lese služby Active Directory. Definuje také každý atribut, který může v objektu existovat. Jinými slovy, jedná se o plán, jak mohou být data uložena ve službě Active Directory. Například uživatelský účet je instancí třídy user, používá atributy k ukládání a poskytování informací o tomto objektu. Počítačový účet je další instance třídy, která je také definována jejími atributy.
existuje mnoho tříd a atributů, pokud vaše programování nebo řešení některých pokročilých problémů není nutné vědět vše o schématu.
SYSVOL
sysvol je velmi důležitá složka, která je sdílena na každém řadiči domény. Výchozí umístění je %SYSTEMROOT% \ SYSVOL\sysvol a skládá se z následujících:
- zásady Skupiny Objektů
- Složky
- Skripty
- Spojovací Body
Náhrobku
Náhrobní kámen je odstraněn objekt z REKLAMY, který nebyl odstraněn z databáze, objekt technicky zůstane v databázi po dobu času. Během této doby lze objekt Obnovit.
atributy názvu objektu
níže jsou uvedeny některé důležité atributy, které byste měli znát při práci s Active Directory.
- userPrincipalName (UPN) – toto je běžné přihlašovací jméno, které je ve formátu e-mailové adresy. UPN vypadá takto, [email protected], UPN lze použít k přihlášení do domény windows.
- objectGUID-tento atribut slouží k jednoznačné identifikaci uživatelského účtu. I když je účet přejmenován nebo přesunut, objectGUID se nikdy nezmění.
- sAmAccountName-tento atribut je uživatel pro přihlášení účtu k doméně. Byl to primární prostředek pro přihlášení k doméně pro starší verze systému Windows, může být stále používán v moderních verzích systému Windows.
- objectSID-tento atribut je identifikátor zabezpečení (Sid) uživatele. Sid používá server k identifikaci uživatele a jeho členství ve skupině k autorizaci přístupu uživatelů k prostředkům domény.
- sIDHistory-tento atribut obsahuje předchozí Sid pro uživatelský objekt. To je nutné pouze v případě, že se uživatel přestěhoval do jiné domény.
- relativní Distinguished Name (RDN) – RDN Je první složkou distinguished name. Je to název objektu ve službě Active Directory vzhledem k jeho umístění v hierarchické struktuře AD
- Distinguished Name (DN) – atribut DN lokalizuje objekty v adresáři – Tento atribut je běžně používán službami a aplikacemi k vyhledání objektů ve službě Active Directory. DN se skládá z následujících komponentů:
- CN – common name
- OU – organizační jednotka
- DC – domain component
Skupiny
Skupiny se používají ke shromažďování uživatelských účtů, počítače a kontaktní objektů do řízení jednotek. Vytváření skupin usnadňuje kontrolu oprávnění ke zdrojům a přiřazování zdrojů, jako jsou tiskárny a složky. Existují dva typy skupin
- distribuce-distribuční skupiny používají e-mailové aplikace T snadno poslat e-mail skupině uživatelů.
- Security – skupiny zabezpečení jsou skupina účtů, které lze použít k snadnému přiřazení ke zdroji nebo k žádosti o oprávnění. Pokud bych například chtěl uzamknout složku pro personální oddělení, mohl bych dát všechny zaměstnance do skupiny zabezpečení a použít skupinu do složky místo každého jednotlivého účtu.
rozsah skupiny
rozsah skupiny určuje, zda lze skupinu použít v doméně nebo v lese. Zde jsou tři skupinové rozsahy:
- Universal-může obsahovat objekty z jiných univerzálních skupin a jakoukoli doménu ve stromu nebo lese.
- Globální – může obsahovat objekty z domény a může být použit v libovolném doménovém stromu nebo lese.
- Domain Local-může obsahovat objekty z libovolné domény, ale může být aplikován pouze na doménu, ve které byl vytvořen.
Zdroje:
Pochopení Náhrobky, Active Directory, a Jak se Chránit,
Schéma služby Active Directory
Lesní a Doménu Funkční Úrovně
Active Directory: Pojmy, 1. Část
služby Active Directory Služby
Active Directory zahrnuje několik dalších služeb, které spadají pod Služby Active Directory Domain services, tyto služby zahrnují:
Active Directory Certificate Services (AD CS)
Toto je role serveru, která umožňuje vybudování infrastruktury veřejných klíčů (PKI) a poskytnout digitální certifikáty pro vaši organizaci. Certifikáty lze použít k šifrování síťového provozu, provozu aplikací a slouží k ověření uživatelů a počítačů. Když vidíte https v adrese prohlížeče, znamená to, že používá certifikát k šifrování komunikace z klienta na server.
Služby Active Directory Domain services (AD DS)
Viz Active Directory popis
Active Directory Federation Services (AD FS)
Active Directory Lightweight Directory Services (AD LDS)
služby správy práv služby Active Directory (AD RMS)
Active Directory DNS
Domain Name System je služba, která poskytuje rozlišení jména, nejčastěji název hostitele k rozlišení IP adresy. V této části se dozvíte o některých důležitých součástech DNS.
záznamy prostředků
záznam prostředků je položka v systému DNS, která pomáhá lokalizovat zdroje založené na IP nebo názvu domény. Existuje mnoho typů záznamů prostředků, níže je seznam společných typy záznamů:
- – mapy hostname IPv4 adresu
- AAAA – Mapuje název hostitele na adresu IPv6
- CNAME – Mapy alias názvu hostitele
- MX – Používá se k vyhledání poštovního serveru
- NS – Specifika jako name server pro doménu
- PTR – Mapuje IPv4 adresy na hostname. Opak záznamu A.
- SOA-obsahuje administrativní informace
- SRV-Používá se k vyhledání serverů, které hostují specifické služby
- TXT-může obsahovat různá data – Často se používá pro ověření domén a bezpečnostních důvodů.
Dynamic DNS (DDNS)
Dynamic DNS je metoda pro klienty registrovat a dynamicky aktualizovat své záznamy zdrojů pomocí serveru DNS. To umožňuje klientům, kteří používají DHCP, automaticky aktualizovat svůj záznam DNS, když se změní jejich IP adresa.
Název Hostitele
zóny
DNS Aging and Scavenging
Toto je funkce, kterou lze povolit, aby pomohla automatizovat vyčištění zastaralých záznamů DNS. Vytvořil jsem samostatný příspěvek, který vysvětluje více a poskytuje pokyny krok za krokem pro konfiguraci stárnutí DNS a úklidu.
záznamy SRV používané službou Active Directory
v doméně Windows jsou záznamy SRV používány klienty k vyhledání řadičů domény pro službu Active Directory. Při instalaci služby AD DS proces automaticky vytvoří záznamy SRV pro službu Active Directory.
- Active Directory vytvoří jeho záznamy SRV v následujících složkách, kde Název_domény je název vaší domény:
- Zóny dopředného Vyhledávání/Název_domény/_msdcs/dc/_sites/Default-First-Site-Name/_tcp Zóny dopředného Vyhledávání/Název_domény/_msdcs/dc/_tcp
Zde je screenshot z mé DNS:
Předávání
DNS servery pro předávání jsou servery, které vyřešit názvy hostitelů, že vaše vnitřní DNS server nemůže vyřešit, a to především externí domény, např. procházení internetu. Můžete nastavit předávání požadavků DNS na libovolný server podle vašeho výběru, často se používá ISP.
kořenové rady
kořenový tip server je další metoda k vyřešení názvů hostitelů, které váš interní server nemůže vyřešit. Rozdíl je v tom, že tyto servery slouží jako kořenová zóna DNS pro internet. Jsou spravovány několika velkými organizovanými pro bezpečnost a redundanci. K vyřešení externích jmen můžete použít buď kořenové rady, nebo dopředu.
zdroje:
Kompletní Seznam DNS záznam prostředku typy
Jak ověřit, že DNS SRV záznamy byly vytvořeny pro řadič domény
Root Hints vs Vyvážecí
DNS Nejlepší Postupy,
Replikace služby Active Directory
Replikace je proces, který zajišťuje, že změny provedené na jednom řadiči domény jsou replikovány do ostatních řadičů domény v doméně.
Připojení Objektů
připojení objektu specifika, které řadiče domény replikovat s ostatními, jak často a jejich kontextů názvů.
KCC
Kontrola Konzistence Znalostí (KCC) je proces, který běží na všech řadičích domény a generuje topologie replikace na základě lokalit, podsítí a odkazů na objekty.
podsítě
podsíť je logická část IP sítě. Podsítě se používají ke skupině zařízení do konkrétní sítě, často podle umístění, budovy nebo podlahy. Pokud máte vícemístné prostředí, služba Active Directory potřebuje vědět o vašich podsítích, aby mohla správně identifikovat nejúčinnější zdroje. Pokud tyto informace nejsou poskytovány, mohou klienti ověřit a použít nesprávný řadič domény.
Site
web je sbírka podsítí. Weby služby Active Directory pomáhají definovat tok replikace a umístění prostředků pro klienty, jako je řadič domény.
odkaz na stránky
odkazy na stránky umožňují konfigurovat, které weby jsou navzájem propojeny.
most propojení stránek
most propojení stránek je logické spojení mezi weby. Jedná se o metodu, která logicky reprezentuje přechodnou konektivitu mezi weby.
topologie webu
topologie webu je mapa, která definuje síťové připojení pro replikaci a umístění zdrojů v lese služby Active Directory. Topologie webu je konzistentní několika komponent včetně webů, podsítí, odkazů na stránky, mostů odkazů na stránky a objektů připojení.
replikace uvnitř webu
toto je replikace, která se vyskytuje mezi řadiči domény na stejném místě.
replikace mezi weby
v prostředí s více weby musí být změna jednoho webu replikována na druhý web. Tomu se říká replikace mezi weby.
Zdroje:
Jak Replikace služby Active Directory Funguje
Active Directory Replikace Koncepty,
služby Active Directory Zabezpečení (Autentizace, Bezpečnostní Protokoly, Oprávnění)
Kerberos
Kerberos je protokol zabezpečení, který bezpečně umožňuje uživatelům, aby prokázal svou totožnost, aby získali přístup k prostředkům v doméně.
Centrum Distribuce Klíčů (KDC)
KDC je služba, která běží na řadiči domény a dodávky lístky relace použité v protokolu Kerberos pro ověřování.
Service Principal Names (SPN)
SPN je jedinečný identifikátor instance služby.
NTLM
NTLM je soubor bezpečnostních protokolů používaných k ověřování, poskytování integrity a důvěrnosti uživatelům. Kerberos je preferovaný ověřovací protokol a používá se v moderních verzích Windows, NTLM je stále k dispozici pro starší klienty a systémy na workgroup.
oprávnění NTFS
oprávnění NTFS vám umožňují definovat, kdo je oprávněn přistupovat k souboru nebo složce. Níže je uveden seznam základních oprávnění, která můžete nastavit:
- plná kontrola-to dává uživatelům práva přidávat, upravovat, přesouvat a mazat soubory a složky.
- Změnit – umožňuje uživatelům prohlížet a práva upravit
- Přečtěte si & Spustit – umožňuje uživatelům prohlížet a spouštět práva
- Přečíst – připraven jen práva
- Napsat – přímo do souboru a přidat nové složky
Share Permissions
Sdílet oprávnění definovat úrovně přístupu ke sdíleným zdrojům, jako jsou složky. Existují tři základní sdílená oprávnění:
- Read-dává uživatelům zobrazit práva ke složce a podsložkám
- Change-dává uživatelům číst a upravovat práva
- plná kontrola-dává uživatelům upravovat, měnit a číst práva.
diskreční seznam řízení přístupu (DACL)
DACL identifikuje, jaký účet umožňuje nebo odepírá přístup k objektu, jako je soubor nebo složka.
Položky Řízení Přístupu (ACE)
DACL obsahuje Esa, ESO definuje, jaký účet a jakou úroveň přístupu má být poskytnuté zdroje. Pokud není přítomen žádný ACE systém odepře veškerý přístup k objektu.
System Access Control List (SACL)
SACL umožňuje administrátorům zaznamenávat pokusy o přístup k objektu zabezpečení.
Fine Grained Password Policy
Zdroje:
Kerberos pro Zaneprázdněné Admin
Ověřování systému Windows Technický Přehled
Rozdíly Mezi Sdílení a Oprávnění systému souborů NTFS.
Seznamy Řízení Přístupu
služby Active Directory Konzoly pro Správu
Tento oddíl zahrnuje konzoly pro správu, budete muset použít ke správě různých Active Directory technologie. Pro přístup k těmto konzolám pro správu budete muset nainstalovat nástroje pro vzdálenou správu serveru (RSAT).
Active Directory Users and Computers (ADUC)
Toto je nejčastěji používaná konzole pro správu uživatelů, počítačů, skupin a kontaktů.
zkratka: dsa.msc
Active Directory Administrative Center (ADAC)
domény a trusty služby Active Directory
tato konzola se používá ke zvýšení režimu domény nebo funkční úrovně domény nebo lesa. Používá se také ke správě vztahů důvěry.
Active Directory Sites and Services
Toto je hlavní konzola pro správu replikace. Tato konzola se používá ke správě objektů topologie webu, objektů připojení, replikace plánu, ruční vynucení replikace, povolení globálního katalogu a povolení ukládání do mezipaměti univerzální skupiny.
ADSI Edit
Správa DFS
tato konzola se používá ke správě jmenných prostorů DFS a replikace DFS.
DHCP
tato konzola se používá k vytváření rozsahů DCHP, zobrazení informací o pronájmu a všech věcí DHCP.
DNS
tato konzola se používá k vytváření DNS zón, záznamů zdrojů a správě všech věcí DNS.
Správa zásad skupiny
PowerShell
zdroje:
Dynamic Host Control Protocol (DHCP)
rozsah
- název rozsahu – toto je název rozsahu. Dejte mu popisný název, takže je snadné určit, pro která zařízení je určen.
- rozsah IP adres – toto je rozsah IP, který chcete, aby zařízení používala. Například 10.2.2.0 / 24
- vyloučení IP adresy – můžete zadat vyloučení IP adresy z rozsahu. To je užitečné, pokud máte v podsíti zařízení, která potřebují statickou IP adresu, jako je router nebo server.
- doba trvání leasingu-leasing určuje, jak dlouho má klient IP adresu, než ji vrátí do fondu.
- Možnosti DHCP – existuje řada různých možností, které můžete zahrnout, když DHCP přiřadí IP adresu. Více o tomto níže
možnosti DHCP
existuje mnoho možností DCHP, níže jsou nejčastěji používané možnosti v doméně Windows.
- 003 router-výchozí brána podsítě
- 005 DNS server-IP adresa klientů serveru DNS by měla být použita pro rozlišení názvu.
- 015 název domény DNS-přípona DNS, kterou by měl klient používat, často stejná jako název domény.
filtrování DHCP
filtrování DHCP lze použít k odepření nebo povolení zařízení na základě jejich MAC adresy. Používám jej například k blokování připojení mobilních zařízení k naší zabezpečené wifi.
Superscopes
superscope je sbírka jednotlivých rozsahů DHCP. To lze použít, když se chcete připojit k rozsahům společně. Upřímně, nikdy jsem to nepoužil.
rozdělené rozsahy
Jedná se o způsob zajištění odolnosti proti chybám pro rozsah DHCP. Použití převzetí služeb při selhání DHCP není preferovanou metodou pro odolnost proti chybám.
DHCP Failover
DCHP failover byla nová funkce začínající ve verzi serveru 2012. Umožňuje dvěma serverům DHCP sdílet informace o pronájmu a poskytovat vysokou dostupnost služeb DCHP. Pokud se jeden server stane nedostupným, převezme jej druhý server.
zdroje:
parametry DHCP
Zásady skupiny
Zásady skupiny umožňují centrálně spravovat nastavení uživatele a počítače. Zásady skupiny můžete použít k nastavení zásad hesel, zásad auditu, uzamčení obrazovky, mapových jednotek, nasazení softwaru, jedné jednotky, nastavení sady office 365 a mnoho dalšího.
objekty zásad skupiny (GPO)
GPO jsou Soubor Nastavení zásad, které používáte pro počítače nebo uživatele.
obnovovací frekvence zásad skupiny
klientské pracovní stanice a členské servery obnovují své zásady každých 90 minut. Aby se zabránilo ohromující řadiče domény jejich je náhodný offset interval přidán do každého počítače. Tím se zabrání tomu, aby všechny stroje požadovaly aktualizace zásad skupiny z DC současně a potenciálně je zhroutily.
Zpracování Zásad
zásady Skupiny použijí v následujícím pořadí
- Lokální
- Stránky
- Doména
- Organizační Jednotka (OU)
Blokovat dědičnost
ve výchozím nastavení, objekty zásad skupiny jsou dědičné. Chcete-li změnit toto chování, můžete použít možnost dědičnosti bloků na úrovni OU.
no Override
Pokud chcete zásady vynutit a zabránit jejich blokování, použijte volbu No override.
uživatelská nastavení
v GPO jsou uživatelská a počítačová nastavení. Uživatelská nastavení se vztahují pouze na uživatelské objekty. Pokud v GPO nakonfigurujete uživatelská nastavení, musí být GPO aplikován na uživatelské objekty.
nastavení počítače
nastavení počítače v GPO jsou nastavení, která lze použít na počítač. Pokud nakonfigurujete nastavení počítače, musí být GPO aplikován na objekty počítače.
výsledná sada zásad (RsoP)
výsledná sada zásad je nástroj společnosti Microsoft, který je zabudován do Windows 7 a novějších verzí. Poskytuje správcům zprávu o tom, jaká nastavení zásad skupiny se aplikují na uživatele a počítače. Lze jej také použít k simulaci nastavení pro účely plánování.
mám kompletní návod v mém článku Jak používat RSoP ke kontrole a odstraňování nastavení zásad skupiny.
Předvolby zásad skupiny
Předvolby zásad skupiny se primárně používají ke konfiguraci nastavení, která lze později změnit na úrovni klienta. Předvolby mají také možnost provádět pokročilé cílení, jako je použití na určitou OU, verzi systému Windows, uživatele ve skupině atd. Preference jsou běžně používány následující konfiguraci:
- Mapování Jednotky
- nastavení Registru
- Instalace tiskárny
- Plán úkolů
- Nastavit oprávnění souborů a složek
- Nastavit nastavení napájení
Šablony
můžete nainstalovat další šablony zásady skupiny rozšíření výchozí Gpo dodávané společností Microsoft. Některé běžné použité šablony jsou Office 365, Chrome, Firefox a ty, které dodávají aplikace třetích stran. Šablony jsou soubory založené na xml obvykle ve formátu ADM nebo ADMX příponu souboru.
zdroje:
Architektura zásad skupiny
přehled zásad skupiny
uniklo mi něco? Máte co sdílet? Dejte mi vědět v komentářích níže.
Doporučené Nářadí: SolarWinds Server & Aplikace Sledovat
Tento nástroj byl navržen tak, aby Sledovat Active Directory a dalších kritických služeb, jako je DNS & DHCP. Rychle zjistí problémy s řadičem domény, zabrání selhání replikace, sledování neúspěšných pokusů o přihlášení a mnoho dalšího.
Co se mi na SAM nejvíce líbí, je snadné použití řídicího panelu a varovných funkcí. Má také schopnost sledovat virtuální stroje a úložiště.
Stáhněte si bezplatnou zkušební verzi zde