Роль Active Directory
Управление мерами безопасности при помощи групповой политики
Параметры групповой политики – это настройки, при помощи которых администратор может контролировать действия объектов в Active Directory. Групповая политика является важной составляющей Active Directory, поскольку она позволяет унифицировано применять любые политики к большому числу компьютеров. Например, групповую политику можно использовать для настройки параметров безопасности, управления приложениями, видом рабочего стола, для назначения сценариев и перенаправления папок с локальных компьютеров на сетевые ресурсы. Система применяет групповые политики к компьютерам при загрузке, а к пользователям – при их регистрации в системе.
Настройки групповой политики могут относиться к трем контейнерам в Active Directory: подразделениям (OUs), доменам и сайтам. Установки групповой политики затрагивают либо всех пользователей (или все компьютеры) в данном контейнере, либо только определенные их группы.
С помощью групповой политики можно применять политики безопасности широкого действия. Политики уровня домена затрагивают всех его пользователей. К ним, в частности, относятся политики учетных записей, определяющие, например, минимальную длину пароля или периодичность обязательной смены пароля пользователями. При этом можно указать возможность замещения этих установок установками политик низших уровней.
После применения глобальных политик с помощью параметров групповой политики можно задать детальные настройки безопасности для индивидуальных компьютеров. Настройки безопасности локальных компьютеров определяют права и привилегии для конкретного пользователя или компьютера. Например, на сервере можно распределить права на создание резервных копий и восстановление из них данных, а на настольном компьютере задать уровень аудита доступа к данным.
Параметры безопасности для каждого компьютера складываются из настроек политик всех уровней – от домена до подразделения. В примере, приведенном на Рисунке 1 настройки для пользователей домена Europe.Microsoft.com определяются комбинацией политик доменов Microsoft.com и Europe.Microsoft.com, а также всех подразделений, в состав которых входит данный пользователь.