IMHO.WS - Security Configuration and Analysis MMC

NarcomBAT
Так как Групповые Политики могут быть применены на различных уровнях, есть возможность того, что политика, примененная на каком-то уровне (сайт), будет конфликтовать с установленной на другом уровне (например, OU). А раз так, то очень важно понимать порядок, в котором Групповые Политики применяются. Он таков:

Local Policy – Site – Domain – OU

Значение этого очень важно и вы должны понимать это. Представьте, что вы являетесь членом OU называемой «Продажи», расположенной на сайте, называемом Таллинн. Все Групповые Политики сливаются вместе. Так, если политика на уровне сайта говорит, чтобы обои рабочего стола были зелеными, а политика уровня OU удаляет команду Run, в результате вы получите зеленые обои и отсутствие команды Run. Однако, если здесь будут противоречивые требования, то настройки действуют по старшинству. Представьте, что политика сайта удаляет команду Run, а политика OU устанавливает ее – вы получите присутствующую команду Run, так как политика на уровне OU применяется после политики на уровне сайта. Заметьте, что нет необходимости выхода из системы и возврата в нее для обновления большинства основных установок Групповых Политик в Windows 2000. Установки Групповых Политик автоматически обновляются на клиентской системе каждые 90 минут по умолчанию (с 30-минутным сдвигом).

Домены

Домен в Windows 2000 очень напоминает домен в Windows NT. Для различных намерений и целей, домен является логической группой пользователей и компьютеров (объектов), которые связаны как единица для администрирования и репликации. Прежде всего домен –это административная единица. Следовательно, администратор этого домена может его администрировать и для этого не нужен никто другой. Кроме того, все контроллеры одного домена должны осуществлять репликацию друг с другом. Мы ссылаемся на это как на топологию репликации. В Windows 2000 домены именуются в соответствии с соглашением об именовании DNS, а не именовании NetBIOS. Примером имени домена в Active Directory может быть 2000trainers.com. В Windows NT имели ограничения по величине, до которой они могли увеличиваться и этот размер ограничивался допустимым размером базы данных SAM (40 Мб или около того). Поэтому приходилось создавать множества доменов в компании, в которой действовали тысячи пользователей и компьютеров. Теперь же множество доменов не являются необходимостью в подобном сценарии под Windows 2000, так как Active Directory может вместить в себя многие миллионы объектов. Учетные записи пользователей в Windows 2000 существуют так же как и в Windows NT.

Контроллеры доменов

Конечно, у вас не может быть домена без по крайней мере одного контроллера домена, ведь где-то же должна храниться база данных Active Directory. В отличие от Windows NT, где была только одна копия базы, позволяющая делать запись (хранящаяся на PDC; копии, хранящиеся на BDC имели атрибут «только для чтения»), в Windows 2000 каждый контроллер домена имеет копию базы данных Active Directory, в которую можно производить запись. Поэтому все контроллеры домена в среде Active Directory достаточно равноправны. Однако, это усложняет картину, так как теперь каждый контроллер домена может делать записи в базу данных. Как и в NT 4, у вас должно быть как минимум два контроллера в домене для целей избыточности, а, как правило, и гораздо больше, в зависимости от размера организации.

Раздел «домен» реплицируется между контроллерами только внутри одного домена, в то время как разделы «конфигурация» и «схема» реплицируются в каждый из доменов, расположенных в лесу.