Top.Mail.Ru
КОНФИГУРАТОР Серверы
Сетевое оборудование
СХД IP-телефоны IP-камеры Источники бесперебойного питания (ИБП) Комплектующие Готовые решения -40 % Серверы под задачу
О компании Купить в лизинг Блог Отзывы Доставка Гарантия Контакты Работа у нас Реквизиты Спецпредложения Игровые ПК на ISKRAPC
Эксперты в подборе IT-оборудования

Active Directory на полную катушку

13 октября 2019

Active Directory – мощный инструмент системного администратора, чаще всего использующийся для централизованной аутентификации сотрудников. Однако это не самая впечатляющая функция AD, и в большинстве предприятий ее функционал не реализуется. Как же использовать ее на полную катушку, да еще и корректно?

Еще с 1996 года AD используется для применения единых настроек ко всем машинам, серверам и рабочим окружениям – тогда, правда, ПО называлось System Policy, сегодня же мы знаем этот инструмент под названием «групповые политики» (group policy).

Если у вас в компании групповых политик меньше пяти, а учетки домена AD по умолчанию размещены в контейнерах – что ж, это нужно поправить! Домен – настроить, функционал реализовать.

Но что конкретно нужно сделать?


Все ресурсы фирмы должны быть доступны только через группы в AD

Доступ к любым информационным ресурсом вашей компании должен предоставляться только через оснастку Active Directory, то же самое касается и блокировки доступа. Благодаря этому подходу вы всегда будете знать, какие ресурсы кому доступны – через свойства учетки.

Делается это через группы безопасности AD, т.е. каждый ресурс должен предоставляться через собственную группу с настроенными на него правами. Если все имеющие доступ учетки будут сосредоточены в соответствующих группах, то вы сможете видеть, кто имеет доступ к какой информации.

Чтобы упростить поиск нужных групп, им лучше всего создать соответствующие контейнеры.


Все рабочие машины и рабочее окружение настраиваются только через групповую политику

Благодаря этому принципу одного взгляда в AD будет достаточно, чтобы понять, как настроены рабочие станции и какое на них установлено ПО.

Это серьезно облегчает введение в работу новой машины: установите на нее операционную систему, введите ее в домен – и она автоматически настроится посредством групповой политики. Комплект ПО, рабочее окружение – все подгрузится автоматически. Кстати, так же можно настраивать и серверы.


Каждая групповая политика преследует одну четко сформулированную цель

Это очевидное правило, упреждающее неразбериху. В любой политике можно прописать множество настроек, но когда политик будет много и возникнут ошибки, «вылавливать блох» будет ну очень трудно. Поэтому: одна политика – одна задача.

Кроме того, благодаря этому правилу управление политиками будет гибче: разные компьютеры и пользователей можно будет разносить по разным контейнерам.

Наконец, соблюдая эту установку вы получите политики, которые легко изучить (например, чтобы ввести нового сотрудника в курс дела) и которыми просто управлять (если нужно отключить параметр настройки, достаточно отключить политику на домене).


Все группы и групповые политики, а также структура контейнеров в AD должны легко читаться и однозначно интерпретироваться

Во многих компаниях хорошо настроенная Active Directory это не сотни даже, а тысячи атрибутов, групп и политик. Они нужны чтобы упростить управление, но с тем же успехом могут и усложнить его – если их будет не прочитать.

Корректная настройка AD не только технически грамотна, но и должна легко читаться и усваиваться. К сожалению, чаще это атрибут мощной корпорации, которой важно вводить в курс дела новых сотрудников и максимально упростить управление и без того сложной IT-инфраструктурой. Все-таки если у вас 20 пользователей и 20000, то во втором случае это правило очевиднее.

 
Поделитесь статьей в соцсетях   
 
Вам также может быть интересно

Товар добавлен в список сравнения
Перейти в сравнение
Продолжить просмотр
Подбираете сервер для 1С?
Подпишитесь на специальную серию писем про выбор и настройку сервера под 1С
Подписаться
Боитесь неправильно выбрать сервер?
Оставьте свой email, и мы пришлем чек-лист с 5 самыми распространенными ошибками
Получить чек-лист
Нажимая кнопку "Получить чек-лист", вы даёте согласие на обработку персональных данных
Заказать консультацию
IT-архитектор подберет сервер под вашу задачу
Заказать сервер
Мы свяжемся с вами в течение 15 мин
Заявка на лизинг