Active Directory для Windows Server 2003
         

Реализация групповых политик, действующих в нескольких доменах и лесах


Вы можете использовать групповые политики Windows Server 2003 для предписания применения политик, действующих в нескольких доменах и доверенных лесах. В обоих случаях имеются некоторые проблемы, с которыми вы столкнетесь перед осуществлением такой групповой политики.

После создания объекта GPO в Active Directory Windows Server 2003 вы можете связать его с любым сайтом, доменом или OU. Основное ограничение состоит в том, что объекты GPO хранятся только на контроллерах домена в том домене, где был создан объект GPO. Если вы захотите связать объект GPO с контейнером, расположенным в другом домене, вы столкнетесь с проблемами защиты и использованием пропускной способности сети. К примеру, все компьютеры в OU должны иметь возмож-

ность соединяться с контроллером домена, расположенном в исходном домене GPO, для загрузки групповой политики. Если один из контроллеров домена находится в том же сайте, где и компьютеры-клиенты, это не очень сильно отразится на пропускной способности сети. Однако если все контроллеры домена, имеющие копию GPO объекта, находятся в другом сайте, соединенным медленным WAN-подключением, то применение групповой политики будет происходить очень медленно и может серьезно воздействовать на пропускную способность. Кроме того, если пользователи, принадлежащие одному домену, должны применять групповую политику, созданную в другом домене, то пользователи и компьютеры, принадлежащие домену-адресату, должны иметь разрешение Read к объектам GPC в Active Directory и к объектам GPT в папке Sysvol. В большинстве случаев наилучшей практикой является создание объектов GPO в каждом домене вместо совместного использования одного объекта GPO в нескольких доменах.

Те же проблемы возникают при использовании групповых политик, действующих в нескольких лесах. В Active Directory Windows Server 2003 имеется опция, предназначенная для совместного использования групповых политик доверенными лесами. Она полезна в том случае, когда пользователи путешествуют между различными офисами компании, находящимися в отдельных лесах. В этом случае к пользователю, вошедшему на компьютер в другом лесу, могут применяться групповые политики его домашнего домена. Другие функциональные возможности, доступные нескольким лесам, включают следующее.

  • Ресурсы, используемые для распределения программного обеспечения, могут находиться в различных лесах.

  • Сценарии входа в систему могут располагаться на контроллере домена другого леса и читаться оттуда.

  • Переадресованные папки и файлы профиля передвигающегося пользователя могут быть расположены на компьютере другого леса.

  • В каждом случае учет сетевой пропускной способности и проблемы защиты могут подразумевать, что вы предпочтете реализовать отдельные объекты GPO в каждом лесу.



    • Содержание раздела