[ Pobierz całość w formacie PDF ]
.Proszê miwierzyæ, przed zablokowaniem pulpitu u¿ytkowników zawsze warto upewniæ siê, czyustawienia zosta³y skonfigurowane poprawnie, o ile nie chcemy ryzykowaætotalnej klêski w ci¹gu kilku minut, nieumyœlnie uniemo¿liwiaj¹c pracêwszystkim u¿ytkownikom.Podobnie nale¿y zawsze preferowaæ przydzielanie Konfiguracji u¿ytkowników dou¿ytkowników, a nie komputerów, poza wyj¹tkowymi sytuacjami, gdzie stosowanyjest tryb przetwarzania sprzê¿enia zwrotnego — poniewa¿ warto mieæ kontrolê nadtym, co mog¹ zrobiæ u¿ytkownicy, niezale¿nie od komputera przy którym pracuj¹.UwagaProszê pamiêtaæ, i¿ ustawienia przydzielone u¿ytkownikowi w Konfiguracjiu¿ytkownika maj¹ zawsze wy¿szy priorytet ni¿ przydzielone do komputera.Na koniec, nale¿y pamiêtaæ by w pe³ni wykorzystaæ okreœlanie priorytetów Zasadgrup.W wielu przypadkach kontrola kolejnoœci stosowania zasad pozwala naograniczenie z³o¿onoœci poszczególnych Zasad grup, poniewa¿ mo¿na wtedyspe³niaæ zapotrzebowanie na wyj¹tki bez koniecznoœci tworzenia nowych Zasadgrup — inaczej mówi¹c, mo¿na „zerowaæ” szkody dokonane przez wczeœniejszeZasady grup, które zazwyczaj stosowane s¹ do wiêkszoœci u¿ytkowników ikomputerów.UwagaProszê uwa¿aæ na sposób, w jaki Zasady grup s¹ zarz¹dzane.Jeœli nie uda siêwpoiæ administratorom pewnych zdroworozs¹dkowych metod zarz¹dzania Zasadamigrup, mo¿liwe jest ryzyko spowodowania przez jednego administratoranieumyœlnych zmian w ustawieniach wprowadzonych przez innego, z powodu prostejmetody „ostatni zapis wygrywa” stosowanej do Zasad grup.Na przyk³ad, jeœli dana osoba otwiera w celu edycji Zasady grup, nad którymiinna osoba w³aœnie pracuje, powy¿szy problem pojawi siê, gdy obie osoby zapisz¹wyniki swojej pracy.Podobna sytuacja mo¿e zdarzyæ siê, jeœli administratorzynie pozwol¹ systemowi na pobranie Zasad grup z kontrolera domeny obecniegraj¹cego rolê wzorca operacji PDC, lecz po prostu za¿¹daj¹ pobrania ich znajbli¿szego DC.Najwa¿niejsze wskazówkiMam nadziejê, i¿ Czytelnik znalaz³ sporo wa¿nych lekcji w tym rozdziale,szczególnie dotycz¹cych Zasad grup.Chcia³bym po³o¿yæ szczególny nacisk nakoniecznoœæ rozwi¹zania na skalê globaln¹ zagadnieñ wymienionych w tabeli 10.2przed podjêciem siê wdro¿enia Active Directory.Tabela 10.2Podsumowanie najwa¿niejszych wskazówekZadanieZagadnienia do wziêcia po uwagêOpracowanie planu rozmieszczenia u¿ytkowników i komputerów w strukturze OU.Ma g³êboki wp³yw na sposób przedstawienia u¿ytkownika w komputerze, jeœliu¿ywane s¹ Zasady grup.Delegowanie administracjiW celu szczegó³owego delegowania administracji mo¿na skorzystaæ z hierarchiiActive Directory.Mo¿e okazaæ siê to nieocenionym narzêdziem dla organizacji,aby ograniczyæ precyzyjnie zarz¹dzanie elementami zabezpieczeñ do zakresuodpowiedzialnoœci ka¿dej osoby.Przy delegowaniu administracji najlepiej jest:Przydzielaæ zarz¹dzanie na poziomie OU zawsze, gdy to mo¿liwe.Œledzenieprzydzia³u uprawnieñ staje siê bardziej z³o¿one w przypadku przyznawaniauprawnieñ do okreœlonych obiektów i atrybutów zamiast OU.Korzystaæ z Kreatora delegowania kontroli.Kreator ten przydziela uprawnieniajedynie na poziomie OU i upraszcza proces przydzia³u uprawnieñ do obiektów,poprzez prowadzenie go krok po kroku.Œledziæ delegowanie uprawnieñ.Pozwala to na utrzymywanie zapisów historii wcelu przegl¹dania ustawieñ zabezpieczeñ.Okreœlenie w³aœciwego modelu grupNale¿y dla prostoty d¹¿yæ do pe³nego wykorzystania Zasad domen Active Directoryi struktury OU.Jeœli sprawia to k³opot, mo¿na wróciæ do etapu projektowaniaActive Directory i uporaæ siê z przyczynami wystêpowania k³opotów.Wdro¿enie struktury Zasad grupPrzyczyny tworzenia Zasad grup s¹ nastêpuj¹ce:Automatyzacja instalacji oprogramowaniaZarz¹dzanie ustawieniami zabezpieczeñDostosowywanie ustawieñ RejestruPrzekierowanie folderów do serweraImplementacja skryptówGPO s¹ powi¹zane z kontenerami Active Directory, przy czym mo¿liwe s¹wielokrotne relacje i nadawanie priorytetów.Typowe zastosowania GPO:Organizacje o p³askiej strukturze Active Directory mog¹ stosowaæ rozdrobnioneGPO korzystaj¹c z mo¿liwoœci filtrowania wed³ug grup zabezpieczeñ.Organizacje o g³êbokiej strukturze Active Directory powinny byæ w staniewykorzystaæ swoj¹ hierarchiê do przydzia³u GPO i mog¹ u¿ywaæ grup zabezpieczeñdo obs³ugi wyj¹tków — to znaczy, bardziej szczegó³owego przydzia³u GPO.Okreœlenie zakresu zarz¹dzania Zasadami grupDelegowanie pe³nomocnictw, rozdzia³ obowi¹zków administracyjnych, zarz¹dzaniecentralne kontra rozproszone i elastycznoœæ projektu to wa¿ne czynniki, którenale¿y wzi¹æ pod uwagê projektuj¹c szkielet struktury Zasad grup i wybieraj¹c,jaki scenariusz zastosowaæ w danej organizacji.To, czy Zasady grup maj¹ byæwdro¿one w sposób modu³owy czy strukturalny, okreœlone bêdzie przez wymogiadministracyjne i role w przedsiêbiorstwie.Zachowanie prostoty projektuW przypadku wiêcej ni¿ jednej domeny nale¿y okreœliæ, czy mo¿na zastosowaæ têsam¹ strukturê GPO i strukturê ogóln¹ dla wszystkich domen.Jeœli nie, wartoprzeprojektowaæ strukturê Active Directory lub GPO.Nale¿y te¿ unikaænadpisywania domyœlnych zachowañ GPO, korzystaæ z funkcji dziedziczenia iminimalizowaæ iloœæ GPO stosowanych do jednego u¿ytkownika lub komputera.Optymalne wykorzystanie Zasad grupNa „dzieñ dobry” dostêpne jest kilkaset Zasad grup i wiele jeszcze zostaniedodane w przypadku korzystania z Microsoft Office lub innych aplikacji, którymimo¿na zarz¹dzaæ przez zasady.Jedynym sposobem zapoznania siê z Zasadami grupjest mozolne zapoznanie siê z ka¿dym ustawieniem Zasad grup! Oznacza to, i¿ domistrzowskiego opanowania tego tematu trzeba poœwiêciæ sporo czasu.Optymalizacja szybkoœciNale¿y zawsze usuwaæ uprawnienia do odczytu dla Zasad grup, które nie stosuj¹siê do okreœlonych kont komputerów, u¿ytkowników czy grup, poniewa¿ w tensposób czas uruchamiania komputera i logowania u¿ytkownika zostaniezminimalizowany.Wolno podobnie wy³¹czaæ nieu¿ywane czêœci Zasad grup (toznaczy, wêze³ Konfiguracja u¿ytkownika lub Konfiguracja komputera), co równie¿przyspieszy logowanie u¿ytkowników i komputerów.U³atwienie zarz¹dzania Zasadami grupAby unikn¹æ kompletnego ba³aganu w Zasadach grup, nale¿y:Ograniczyæ stosowanie blokowania, wymuszania i miedzydomenowych powi¹zañ GPO.Ka¿da z tych funkcji wprowadza dodatkowy poziom z³o¿onoœci.Grupowaæ powi¹zane ze sob¹ ustawienia w pojedynczym GPO
[ Pobierz całość w formacie PDF ]