Znak sprawy: pg xf 292/25/12 Załącznik nr 4 do Umowy


Konwencja nazewnicza obiektów AD DS



Pobieranie 366.45 Kb.
Strona2/8
Data01.05.2016
Rozmiar366.45 Kb.
1   2   3   4   5   6   7   8

Konwencja nazewnicza obiektów AD DS


W ramach AD DS została przyjęta jednolita konwencja nazewnicza dla głównych typów obiektów tworzonych w ramach usługi katalogowej. Pozwala to na zachowanie spójności nazewniczej tworzonych obiektów, uniknięcie problemów wynikających z potencjalnych konfliktów oraz ułatwia administrację obiektami.

Szczegółowy opis przyjętej konwencji nazewniczej znajduje się w Załączniku nr 4.1 do umowy. Zawiera on konwencje nazewnicze dla kont użytkowników, grup, komputerów, lokacji (site) oraz obiektów polityk grupowych (GPO).


Logiczna struktura Active Directory


Projekt struktury logicznej katalogu Active Directory opisuje elementy składające się na schemat logiczny usług katalogu. W ramach tej części projektu zostaną przedstawione założenia dla struktury następujących elementów katalogu:

  • Las

  • Domeny

  • Jednostki organizacyjne

1.1Struktura lasu i domeny Active Directory


Active Directory zostanie oparte o strukturę pojedynczego lasu składającego się z jednej domeny pg.gov.pl.

1.2Nazwa domeny Active Directory


W pełni kwalifikowana nazwa domenowa (FQDN): pg.gov.pl.

Nazwa NetBIOS nie jest zgodna z pierwszą częścią nazwy pełnej: PG.





Rysunek 1 Struktura lasu

1.3Poziom funkcjonalny domeny i lasu


Docelowy poziom funkcjonalności lasu oraz domeny to Windows Server 2008 R2.

1.4Struktura jednostek organizacyjnych (Organizational Unit)


Podczas wyboru struktury jednostek organizacyjnych – OU Active Directory Domain Services, zostaną zastosowane następujące kryteria:

  • Preferencje administratorów

  • Bieżące praktyki administracyjne

  • Przygotowanie struktury która umożliwi ustawianie zabezpieczeń za pomocą mechanizmu GPO

  • Umożliwienie centralnej administracji domeną i lasem

Poniższa tabela oraz rysunek prezentują docelową strukturę OU.

Tabela 3 Struktura jednostek organizacyjnych

Nazwa

Lokacja

Organizacja



Grupy

\Organizacja

Kontakty

\Organizacja

Serwery

\Organizacja

StacjeRobocze

\Organizacja



\Organizacja\StacjeRobocze

Uzytkownicy

\Organizacja



\Organizacja\Uzytkownicy

UzytkownicyFunkcyjni

\Organizacja

Administracja



StacjeRobocze

\Administracja

Uzytkownicy

\Administracja

Grupy

\Administracja

Testy

\Administracja



Rysunek 2 Fragment struktury OU

W trakcie wdrożenia zostanie też ustawione przekierowanie domyślnych folderów:



  • Komputery do \Organizacja\StacjeRobocze

  • Użytkownicy do \Organizacja\Uzytkownicy

Nowotworzone obiekty będą automatycznie lokowane w przeznaczonych do tego jednostkach organizacyjnych.

1.4.1Domyślne jednostki organizacyjne i kontenery


Następujące reguły zostaną zastosowane względem domyślnych jednostek organizacyjnych i kontenerów:

  • Konta kontrolerów domeny są przechowywane w domyślnej jednostce organizacyjnej Domain Controllers

  • Kontener „Users” powinien zawierać jedynie konta predefiniowane – wszystkie konta powinny być tworzone w odpowiednich OU.

  • Kontener „Computers” powinien być pusty – wszystkie konta komputerów powinny trafiać do odpowiednich kontenerów w strukturze OU

1.5Obiekty Zasad Grupy (GPO)

1.5.1Nazewnictwo Obiektów Zasad Grupy


Dla Obiektów Zasad Grupy zostało zastosowane ustandaryzowane nazewnictwo zgodnie z opisem w  Załączniku nr 4.1 do umowy.

1.5.2Zakres


Ustawienia zdefiniowane w Obiektach Zasad Grupy (GPO) są domyślnie aplikowane na wszystkie obiekty (użytkownicy i/lub komputery) znajdujące się w obrębie obiektu do którego GPO zostało przypisane. GPO może być przypisywane do następujących obiektów:

  • Lokacje (Site)

  • Domeny

  • Jednostki organizacyjne (OU)

Należy pamiętać iż GPO nie może być przypisane do obiektu typu „container”. Przykładowym kontenerem jest domyślna lokalizacja dla komputerów w AD – Computers oraz kontener Users, który zawiera domyślnie tworzone konta użytkowników.

1.5.3Przypisywanie GPO


Ustawienia zawarte w GPO są nakładane na wszystkie komputery i użytkowników w poddrzewie obiektu, do którego GPO zostało przypisane o ile nie jest włączona opcja blokowania dziedziczenia. Możliwe jest przypisanie kilku różnych obiektów GPO do pojedynczego OU. W takiej sytuacji wszystkie ustawienia są wprowadzane o ile nie wystąpi konflikt ustawień. W przypadku konfliktu ustawień zostanie zastosowane ustawienie z GPO o najniższej wartości sortowania.

1.5.4Kolejność wdrażania ustawień


Ustawienia zdefiniowane w GPO są aplikowane w następującej kolejności:

  • Lokacja (Site)

  • Domena

  • Jednostka organizacyjna (począwszy od jednostki znajdującej się najwyżej w hierarchii do jednostki znajdującej się na samym dole drzewa OU przez wszystkie pośrednie OU)

Kolejność oraz poziom przypisania GPO ma wpływ na ustawienia jakie efektywnie zostaną nałożone na użytkowników i/lub komputery. W sytuacji gdy kilka obiektów GPO jest przypisanych na tym samym poziomie (np.: pojedyncze OU) kolejność wykonywania (przypisywania) GPO jest bezpośrednio definiowana przez administratora. Dodatkowo Zasady Grupy mogą być blokowane na poziomie lokacji, domeny lub jednostki organizacyjnej. Administrator może również ustawić parametr „Enforced” (parametr ustawiany na poziomie łącza między GPO a obiektem docelowym) który powoduje wymuszanie (najwyższy priorytet) wybranego GPO.

1.5.5Filtrowanie Obiektów Zasad Grupy


Za pomocą grup zabezpieczeń administrator może decydować o zakresie działania GPO. Filtrowanie Obiektów Zasad Grupy polega na nadaniu bądź odebraniu uprawnień Read oraz Apply Group Policy do obiektu GPO wybranym grupom zabezpieczeń.

1.5.6Group Policy Preferences


GPP wprowadza dodatkowe możliwości w zarządzaniu środowiskiem uzupełniając dotychczasowy mechanizm GPO o nowe elementy podlegające scentralizowanej konfiguracji. Preferencjami zarządza się za pomocą narzędzia Group Policy Management (GPM). Preferencje zostały podzielone podobnie jak ustawienia GPO na konfigurację użytkownika (User configuration) oraz konfigurację komputera (Computer configuration). Wszystkie ustawienia są zgrupowane tematycznie. Kompletna lista została opisana w poniższej tabeli.

Tabela 4 Lista preferencji GPP

Nazwa preferencji

Możliwości

Aplikacje

Konfigurowanie ustawień aplikacji. Preferencje należące do tej grupy nie posiadają gotowych ustawień dla aplikacji. Należy je traktować jako platformę do wykorzystania w przyszłości gdy pojawią się nowe rozszerzenia.

Mapowanie dysków

Tworzenie, usuwanie, modyfikowanie mapowanych dysków oraz konfigurowanie widoczności wszystkich dysków

Zmienne środowiskowe

Tworzenie, usuwanie i modyfikowanie zmiennych środowiskowych

Pliki INI

Tworzenie, usuwanie i modyfikowanie plików konfiguracyjnych ini oraz inf

Foldery

Tworzenie, usuwanie i modyfikowanie folderów

Pliki

Kopiowanie, usuwanie, modyfikacje i zamienianie plików oraz ich atrybutów

Udziały sieciowe

Udostępnianie, wyłączanie udostępniania i modyfikowanie udziałów

Skróty

Tworzenie, usuwanie i modyfikowanie skrótów

Rejestr

Tworzenie, usuwanie i modyfikacje ustawień rejestru

Źródła danych

Tworzenie, usuwanie i modyfikowanie źródeł danych ODBC

Urządzenia

Zarządzanie urządzeniami sprzętowymi. Włączanie, wyłączanie urządzeń i klas urządzeń.

Opcje folderów

Tworzenie, modyfikowanie lub usuwanie skojarzeń plików z akcjami (np.: Otwórz, edytuj)

Ustawienia internetowe

Modyfikowanie ustawień przeglądarek IE,5,6,7. Częściowo pokrywają się z możliwościami GPO. Jeśli wystąpi konflikt to ustawienia w GPO mają priorytet

Użytkownicy i grupy lokalne

Tworzenie, modyfikowanie i usuwanie grup i użytkowników lokalnych

Opcje sieciowe

Tworzenie, modyfikowanie i usuwanie połączeń (np.: VPN, dial-up)

Opcje zasilania

Zarządzanie opcjami zasilania za pomocą schematów

Drukarki

Tworzenie, modyfikowanie i usuwanie drukarek lokalnych, TCP/IP oraz udostępnionych

Opcje regionalne

Zarządzanie opcjami regionalnymi

Zaplanowane zadania

Tworzenie, modyfikowanie i usuwanie zadań zaplanowanych (Scheduler)

Usługi

Zarządzanie usługami

Menu Start

Zarządzanie opcjami menu start

1.5.7Domyślne Obiekty Zasad Grupy


Zmiany konfiguracji mogą być wykonywane poprzez modyfikację domyślnych Obiektów Zasad Grupy lub przez tworzenie nowych. Domyślne Obiekty Zasad Grupy: Default Domain Policy oraz Default Domain Controllers Policy zgodnie z dobrymi praktykami nie będą modyfikowane. Zostanie zachowany ich stan z momentu instalacji domeny pg.gov.pl. Wszystkie ustawienia zostaną zdefiniowane w specjalnie utworzonych obiektach GPO.

1.5.8Korzystanie z Zasad Grupy.

Grupy ustawień wprowadzane za pomocą GPO


Ustawienia GPO zostały podzielone na następujące grupy:

  • Szablony zabezpieczeń (Administrative templates) – Ta grupa zawiera ustawienia oparte na rejestrze, które mogą być wykorzystane do zmiany poszczególnych ustawień rejestru, które mają wpływ na zachowanie i wygląd środowiska pracy użytkownika (włączając w to Pulpit oraz ustawienia systemu operacyjnego i aplikacji)

  • Ustawienia zabezpieczeń (Security settings) – Ta grupa ustawień może być wykorzystywana do konfigurowania ustawień zabezpieczeń dla użytkowników oraz komputerów

  • Ustawienia oprogramowania (Software installation) – Grupa ustawień wykorzystywana do centralnego zarządzania oprogramowaniem.

  • Skrypty (Scripts) – Skrypty mogą być wykorzystywane do automatyzacji zadań podczas startu i wyłączania komputera oraz logowania i wylogowywana użytkownika. Mogą być pisane w dowolnym języku rozpoznawanym przez Windows Script Host. Do tych języków zalicza się: Microsoft Visual Basic Scripting Edition (VBScript), JavaScript, PERL, oraz MS-DOS ( pliki .bat oraz .cmd)

  • Remote Installation Services (RIS) – Ustawienia wykorzystywane do kontrolowania usługi RIS.

  • Konserwacja Programu Internet Explorer (Internet Explorer maintenance) – Umożliwia zarządzanie i dostosowywanie programu Microsoft Internet Explorer na systemach Windows 2000 lub nowszych.

  • Folder redirection – Wykorzystywane do przekierowania folderów specjalnych z ich domyślnych lokalizacji do lokalizacji alternatywnych (np.: udziały sieciowe). Lista folderów specjalnych przedstawia się następująco: Moje dokumenty, Dane aplikacji, Pulpit, Menu Start.

Wprowadzanie Obiektów Zasad Grupy w lesie AD


Do przypisywania Obiekty Zasad Grupy powinny być stosowane następujące reguły:

  • Aby skonfigurować ustawienia które mają wpływ na wszystkie obiekty w danej domenie – należy utworzyć obiekt Zasad Grupy i przypisać go na poziomie obiektu domeny.

  • Jeśli to możliwe należy przypisywać obiekty Zasad Grupy do obiektów o możliwie najwęższym zakresie. Przykładowo: Jeśli wprowadzana konfiguracja powinna zmieniać ustawienia komputerów w określonym oddziale należy przypisać stosowne GPO do kontenera zawierającego konta komputerów odpowiedniego dla omawianego oddziału.

  • Obiekt Zasad Grupy, który zawiera ustawienia dla użytkowników i/lub komputerów należących do określonego Oddziału powinien być przypisany do jednostki organizacyjnej tego oddziału.

  • Obiekt Zasad Grupy bez filtrowania ACL powinien być przypisany do jednostki organizacyjnej oddziału wyłącznie wtedy gdy dotyczy wszystkich obiektów lub/i wszystkich jednostek organizacyjnych należących do tego oddziału.

  • Obiekty Zasad Grupy powinny być przypisywana do obiektów Lokacji wyłącznie wtedy gdy zawierają ustawienia bezpośrednio związane z określoną lokalizacją (np.: lokalne ustawienia Proxy). Stosowanie tej reguły zapobiega sytuacjom w których użytkownik podróżujący między lokalizacjami traci ważne ustawienia konfiguracyjne.

1.5.9Zarządzanie obiektami Zasad Grupy


        1. Podstawowe zasady

Zalecane jest tworzenie możliwie prostej struktury obiektów Zasad Grupy gdyż zapobiega to ewentualnym problemom w obsłudze administracyjnej i zrozumieniu zależności pomiędzy obiektami. Ważne jest aby ograniczać korzystanie z parametrów: Enforced oraz Block Policy Inheritance, które modyfikują standardowy sposób dziedziczenia ustawień.

Zaleca się stosowanie do następujących zasad:



  • Konfiguruj ogólne ustawienia możliwie wysoko w hierarchii

  • Zapobiegaj tworzeniu głębokich hierarchii GPO. Zaleca się nie przekraczanie 2-3 poziomów

  • Jeśli to tylko możliwe nie definiuj tych samych ustawień w różnych obiektach Zasad Grupy, które są przypisane do tego samego obiektu (na tym samym poziomie)

  • Przypisuj więcej niż jeden obiekt GPO na jednym poziomie tylko wtedy gdy jest to uzasadnione

  • Nie nadużywaj mechanizmu filtracji za pomocą grup zabezpieczeń – używaj tego mechanizmu tylko wtedy gdy jest naprawdę konieczny

  • Staraj się nie blokować dziedziczenia (opcja Block Policy Inheritance)

  • W sytuacji, w której to samo ustawienie może być zdefiniowane dla obiektu komputera i dla obiektu użytkownika, używaj konfiguracji per komputer, o ile nie ma silnych powodów by robić to inaczej. Przyspieszy to proces logowania użytkownika w sytuacji, gdy wystąpi brak połączenia z kontrolerem domeny.

  • Jeśli GPO nie konfiguruje żadnych ustawień w sekcji użytkownika/komputera, wyłącz całą sekcję konfiguracji polityki użytkownika/komputera.

  • Obiekt GPO definiujący konfigurację specyficzną dla wybranej grupy obiektów w danej organizacji powinien być powiązany z konkretną jednostką organizacyjną wewnątrz poddrzewa danej organizacji (rejonu). Dla przykładu: jeśli pewne ustawienia konfiguracyjne są specyficzne wyłącznie dla obiektów komputerów w rejonie A, obiekt zasad grupowych powinien być podłączony do jednostki organizacyjnej, w której przechowywane są konta komputerów danego rejonu, a nie do głównej jednostki organizacyjnej rejonu A.

  • Do głównej jednostki organizacyjnej rejonu A powinny odwoływać się obiekty GPO definiujące konfigurację wszystkich obiektów znajdujących się wewnątrz poddrzewa danego rejonu (np. skrypt dołączający administratorów rejonowych do grupy administratorów lokalnych na wszystkich stacjach roboczych i serwerach w rejonie).

  • Jeśli nie ma takiej potrzeby, nie podłączać obiektów GPO do obiektu lokacji.

        1. Testowanie

Zadaniem Zasad Grupy jest zmiana ustawień dla wielu użytkowników i komputerów jednocześnie. Zakres działania GPO może być bardzo szeroki. W związku z tym jakikolwiek błąd popełniony podczas tworzenia GPO może spowodować bardzo poważne problemy. Niezwykle istotne jest aby przeprowadzić dokładne testy nowych obiektów GPO.

        1. Dokumentacja

Każdy obiekt Zasad Grupy powinien być dobrze udokumentowany. Dokumentacja musi zawierać:

  • Listę zmodyfikowanych ustawień i wszystkich skojarzonych parametrów

  • Opis powodu dla którego ustawienia są wprowadzane

  • Właściciela GPO – Osoba odpowiedzialna za tworzenie i konfiguracje tego obiektu

  • Testera GPO – Osoba przeprowadzająca testy

  • Rezultaty testów

        1. Narzędzia do zarządzania GPO

Najlepszym narzędziem do zarządzania Zasadami grupy jest Group Policy Management. Narzędzie to umożliwia pełne zarządzanie polisami włączając:

  • Tworzenie/usuwanie/modyfikacje GPO

  • Przypisywanie (linkowanie) GPO do jednostek organizacyjnych, lokacji, domen

  • Tworzenie i zarządzanie filtrami GPO

  • Tworzenie raportów

  • Archiwizacje i odtwarzanie GPO

  • Tworzenie raportów wynikowych i modelowych dla GPO



1   2   3   4   5   6   7   8


©absta.pl 2019
wyślij wiadomość

    Strona główna