Конфигурации настольных систем для той или иной группы пользователей создаются в виде объектов групповой политики (Group Policy Objects, GPOs). GPO — это совокупность настроек групповой политики. На каждом компьютере, управляемом Windows Server 2003, присутствует по одному GPO; кроме того, компьютер может подчиняться нелокальным (относящимся к Active Directory) GPO в произвольном количестве. Нужно учитывать, что локальные GPO переопределяются нелокальными. Нелокальные GPO связываются с такими объектами Active Directory, как сайты, домены и подразделения. Нелокальные GPO применяются как к пользователям (вне зависимости от компьютера, на котором они зарегистрированы), так и к компьютерам (вне зависимости от того, какие пользователи на них регистрируются). Согласно свойствам наследования Active Directory, нелокальные GPO задействуются в иерархическом порядке — от наименее ограничительной группы (сайта) к наиболее ограничительной (подразделению).
МеханизмактивацииGPO
Поскольку нелокальные GPO активируются в иерархическом порядке, конфигурация пользователя или компьютера являет собой результат привязки GPO к соответствующему сайту, домену и подразделению. GPO активируются в следующем порядке:
1. Локальный GPO. На каждом сервере, управляемом Windows Server 2003, хранится один локальный GPO.
2. GPO, привязанные к сайтам. Во вторую очередь активируются GPO, привязанные к тому или иному сайту. Происходит это синхронно; порядок привязки объектов GPO к сайту определяется администратором.
3. GPO, привязанные к доменам. GPO, привязанные к доменам, активируются синхронно; порядок привязки объектов к домену устанавливается администратором.
4. GPO, привязанные к подразделениям. Объекты GPO, привязанные
к высшим подразделениям в иерархии Active Directory, активируются в первую очередь; затем
происходит активация GPO, привязанных
к дочерним подразделениям, и т. д. В конце
активируются GPO, которые привязаны непосредственно к
содержащему данного
пользователя или компьютер подразделению. На каждом уровне иерархии Active
Directory возможна привязка к одному или нескольким
объектам GPO; кроме того,
ее вообще может не быть. Если к подразделению привязано сразу несколько
групповых политик, они активируются синхронно — в порядке, установленном
администратором.
На рис. 6 изображена активация групповой политики в отношении подразделений Marketingи Servers.
Принятый по умолчанию порядок обработки настроек групповых политик в ряде исключительных случаев может изменяться: во-первых, так происходит в случае членства компьютера в рабочей группе, а, во-вторых, при установке в GPO настроек Не перекрывать (NoOverride), Блокировать наследование политики (BlockPolicyInheritance)или Замыкание на себя (Loopback).
 |
Рисунок 6. Активация групповой политики
Упростить реализацию политик и поиск неисправностей в них помогает мастер Результирующая политика (ResultantSetofPolicy, RSoP). Он представляет собой процессор запросов, работающий либо в режиме входа (logging mode), либо в режиме планирования. В режиме входа мастер сначала опрашивает существующие политики и все ассоциированные с конкретным пользователем или компьютером приложения, а затем сообщает результаты обработки запроса. В режиме планирования, прежде чем сообщить результаты обработки запроса, мастер задает вопросы о планируемой реализации политики.
Для того чтобы гарантировать возможность обращения пользователей ко всем необходимым ресурсам, администратору предстоит решить задачу администрирования групповых политик.
DNS
DNS — это служба, применяемая в сетях TCP/IP — в частности, в Интернете, — и предназначенная для обнаружения компьютеров и служб через присваиваемые им удобочитаемые имена. Согласно методу DNS, компьютеры и сетевые службы именуются в рамках иерархии доменов. После того как пользователь вводит в приложении имя DNS, служба разрешает его в связанные с этим именем данные — например, в IP-адрес. Как правило, для пользователей не составляет труда запомнить имя наподобие example.microsoft.com, идентифицирующее компьютер или сеть. Что же касается компьютеров, то они в процессе взаимодействия в сети идентифицируют друг друга по числовым адресам. DNS отображает удобочитаемое имя компьютера или службы на его (ее) числовой адрес.
Уважаемый посетитель!
Чтобы распечатать файл, скачайте его (в формате Word).
Ссылка на скачивание - внизу страницы.