Mikä auttaa Active Directory asiantuntijat?

Annan pienen luettelon "hyödykkeistä", jotka voidaan saada ottamalla käyttöön Active Directory:

• yhden käyttäjän rekisteröintitietokanta, joka on tallennettu keskitetysti yhdelle tai useammalle palvelimelle; siten, kun uusi työntekijä ilmestyy toimistoon, sinun tarvitsee vain luoda tili palvelimelle ja määrittää, mitä työasemia hän voi käyttää;
• koska kaikki verkkotunnuksen resurssit on indeksoitu, tämä mahdollistaa yksinkertaisen ja nopean käyttäjien haun; esimerkiksi jos sinun on löydettävä väritulostin osastolta;
• NTFS-oikeuksien, ryhmäkäytäntöjen ja hallinnan delegoinnin yhdistelmä antaa sinun hienosäätää ja jakaa oikeuksia toimialueen jäsenten kesken;
• roaming-käyttäjäprofiilit tarjoavat mahdollisuuden tallentaa tärkeää tietoa ja konfigurointiasetukset palvelimella; itse asiassa, jos käyttäjä, jolla on verkkotunnuksen verkkovierailuprofiili, istuu työskentelemään toisella tietokoneella ja syöttää käyttäjätunnuksensa ja salasanansa, hän näkee työpöytänsä tavanomaisilla asetuksilla;
• ryhmäkäytäntöjen avulla voit muuttaa käyttäjien käyttöjärjestelmien asetuksia työpöydän taustakuvan asettamisesta suojausasetuksiin sekä jakaa ohjelmistoja verkon yli, esimerkiksi Volume Shadow Copy -asiakasohjelma jne.;
• monet Microsoftin nykyään valmistamat ohjelmat (välityspalvelimet, tietokantapalvelimet jne.) ovat oppineet käyttämään toimialueen todennusta, joten sinun ei tarvitse luoda toista käyttäjätietokantaa, vaan voit käyttää olemassa olevaa tietokantaa;
• Etäasennuspalvelujen käyttö helpottaa järjestelmien asentamista työasemille, mutta toimii puolestaan ​​vain sulautetun hakemistopalvelun kanssa.

Ja se on kaukana täydellinen lista mahdollisuuksia, mutta siitä lisää myöhemmin. Nyt yritän kertoa rakentamisen logiikan Active Directory, mutta taas kannattaa ottaa selvää siitä, mistä meidän pojat on tehty Active Directory ovat verkkotunnukset, puut, metsät, organisaatioyksiköt, käyttäjä- ja tietokoneryhmät.

Verkkotunnukset - Tämä on loogisen rakennuksen perusyksikkö. Työryhmiin verrattuna AD-verkkotunnukset ovat suojausryhmiä, joilla on yksi rekisteröintikanta, kun taas työryhmät ovat vain looginen ryhmittely koneita. AD käyttää DNS:ää (Domain Name Server) nimeämiseen ja hakupalveluihin, ei WINS:ää (Windows Internet Name Service), kuten tapahtui NT:n aiemmissa versioissa. Siten verkkotunnuksen tietokoneiden nimet ovat esimerkiksi buh.work.com, jossa buh on work.com-verkkotunnuksen tietokoneen nimi (vaikka näin ei aina ole).

Työryhmät käyttävät NetBIOS-nimiä. Toimialuerakenteen isännöinti ILMOITUS saatat käyttää muuta kuin Microsoftin DNS-palvelinta. Sen on kuitenkin oltava yhteensopiva BIND 8.1.2:n tai uudemman kanssa ja tuettava SRV()-tietueita sekä dynaamista rekisteröintiprotokollaa (RFC 2136). Jokaisella toimialueella on vähintään yksi toimialueen ohjain, joka isännöi keskustietokantaa.

Puut - Nämä ovat usean toimialueen rakenteita. Tämän rakenteen juuri on päätoimialue, jolle luot alatason verkkotunnuksia. Itse asiassa Active Directory käyttää hierarkkista rakennusjärjestelmää, joka on samanlainen kuin DNS:n verkkotunnusten rakenne.

Jos meillä on work.com-verkkotunnus (ensimmäisen tason verkkotunnus) ja luomme sille kaksi aliverkkotunnusta, first.work.com ja second.work.com (tässä ensimmäinen ja toinen ovat toisen tason verkkotunnuksia, eivät tietokonetta verkkotunnuksessa domain, kuten yllä kuvatussa tapauksessa), niin tuloksena saadaan verkkotunnuspuu.

Loogisena rakenteena puita käytetään, kun yrityksen toimialat on erotettava toisistaan ​​esimerkiksi maantieteellisten ominaisuuksien perusteella tai muista organisatorisista syistä.

ILMOITUS auttaa luomaan automaattisesti luottamussuhteita kunkin toimialueen ja sen alatason verkkotunnusten välille.

Siten first.work.com-verkkotunnuksen luominen johtaa kahdenvälisten toimien automaattiseen järjestämiseen luottamuksellinen suhde vanhemman work.com ja lapsen first.work.com välillä (samalla tavalla kuin second.work.com). Siksi käyttöoikeuksia voidaan soveltaa ylätason toimialueelta alatason toimialueelle ja päinvastoin. Ei ole vaikeaa olettaa, että luottamussuhteita on olemassa myös alatason verkkotunnuksissa.

Toinen luottamussuhteiden ominaisuus on transitiivisuus. Saamme - net.first.work.com-verkkotunnukselle luodaan luottamussuhde work.com-verkkotunnuksen kanssa.

Metsä - Aivan kuten puut, ne ovat monen alueen rakenteita. Mutta Metsä on liitto puita, joilla on erilaiset juurialueet.

Oletetaan, että päätät omistaa useita verkkotunnuksia nimeltä work.com ja home.net ja luot niille alatason verkkotunnuksia, mutta koska tld (ylitason verkkotunnus) ei ole sinun hallinnassasi, voit tässä tapauksessa järjestää metsän valitsemalla jonkin ensimmäisistä tason verkkotunnukset on juuri. Metsän luomisen kauneus tässä tapauksessa on kaksisuuntainen luottamussuhde näiden kahden toimialueen ja niiden alatason välillä.

Muista kuitenkin seuraavat asiat, kun työskentelet metsien ja puiden parissa:

• et voi lisätä olemassa olevaa verkkotunnusta puuhun
• et voi sisällyttää jo olemassa olevaa puuta metsään
• jos verkkotunnukset sijoitetaan metsään, niitä ei voi siirtää toiseen metsään
• et voi poistaa verkkotunnusta, jolla on alatason verkkotunnuksia

Organisaatioyksiköt - periaatteessa voidaan kutsua aliverkkotunnuksiksi. Voit ryhmitellä käyttäjätilejä, käyttäjäryhmiä, tietokoneita, jaettuja resursseja, tulostimia ja muita organisaatioyksiköitä (OU) toimialueeseen. Käytännön hyöty niiden käytöstä on mahdollisuus delegoida oikeuksia näiden yksiköiden hallinnointiin.

Yksinkertaisesti sanottuna toimialueelle on mahdollista nimetä järjestelmänvalvoja, joka voi hallita organisaatioyksikköä, mutta jolla ei ole oikeuksia hallita koko toimialuetta.

Yksi tärkeimmistä organisaatioyksiköistä, toisin kuin ryhmissä, on kyky soveltaa niihin ryhmäkäytäntöjä. "Miksi alkuperäistä verkkotunnusta ei voida jakaa useiksi verkkotunnuksiksi organisaatioyksikön käyttämisen sijaan?" - kysyt.

Monet asiantuntijat suosittelevat yhden verkkotunnuksen käyttöä aina kun mahdollista. Syynä tähän on hallinnon hajauttaminen lisäverkkotunnusta luotaessa, koska jokaisen tällaisen verkkotunnuksen ylläpitäjät saavat rajoittamattoman hallinnan (muistutan, että kun siirrät oikeuksia OU-järjestelmänvalvojille, voit rajoittaa niiden toimivuutta).

Tämän lisäksi uuden verkkotunnuksen (jopa alitason) luomiseen tarvitset toisen ohjaimen. Jos sinulla on kaksi erillistä osastoa, jotka on liitetty hitaaseen tietoliikennekanavaan, replikointiongelmia saattaa ilmetä. Tässä tapauksessa olisi tarkoituksenmukaisempaa käyttää kahta verkkotunnusta.

Ryhmäkäytäntöjen soveltamisessa on myös toinen vivahde: ​​salasana-asetukset ja tilien lukitukset määrittävät käytännöt voidaan soveltaa vain verkkotunnuksiin. Organisaatioyksiköissä nämä käytäntöasetukset ohitetaan.

Sivustot - Tämä on tapa erottaa hakemistopalvelu fyysisesti. Määritelmän mukaan sivusto on joukko tietokoneita, jotka on yhdistetty nopeilla datalinkeillä.

Jos sinulla on useita toimipisteitä eri puolilla maata, jotka on yhdistetty hitailla tietoliikennelinjoilla, voit luoda jokaiselle haaralle oman verkkosivustosi. Tämä tehdään hakemistojen replikoinnin luotettavuuden parantamiseksi.

Tällainen AD:n osio ei vaikuta loogisen rakentamisen periaatteisiin, joten aivan kuten sivusto voi sisältää useita toimialueita ja päinvastoin, toimialue voi sisältää useita sivustoja. Mutta tämä hakemistopalvelun topologia on täynnä saalis. Pääsääntöisesti Internetiä käytetään kommunikointiin sivukonttoreiden kanssa - erittäin epävarma ympäristö. Monet yritykset käyttävät turvatoimia, kuten palomuuria. Hakemistopalvelu käyttää työssään noin puolitoista tusinaa porttia ja palvelua, joiden avaaminen AD-liikenteelle palomuurin läpi paljastaa sen itse asiassa "ulkopuolelle". Ratkaisu ongelmaan on käyttää tunnelointitekniikkaa sekä toimialueen ohjaimen läsnäoloa jokaisessa paikassa AD-asiakkaiden pyyntöjen käsittelyn nopeuttamiseksi.

Hakemistopalvelukomponenttien sisäkkäisyyden logiikka esitetään. Voidaan nähdä, että metsä sisältää kaksi verkkoaluepuuta, joissa puun juuriverkko voi puolestaan ​​sisältää organisaatioyksiköitä ja objektiryhmiä sekä sisältää aliverkkotunnuksia (in Tämä tapaus yksi kullekin). Alatason verkkotunnukset voivat sisältää myös objektiryhmiä ja organisaatioyksiköitä, ja niillä voi olla aliverkkotunnuksia (niitä ei näytetä kuvassa). Jne. Haluan muistuttaa, että organisaatioyksiköt voivat sisältää organisaatioyksiköitä, objekteja ja objektiryhmiä, ja ryhmät voivat sisältää muita ryhmiä.

Käyttäjä- ja tietokoneryhmät - käytetään hallinnollisiin tarkoituksiin ja niillä on sama merkitys kuin käytettäessä verkon paikallisissa koneissa. Toisin kuin organisaatioyksiköt, ryhmäkäytäntöjä ei voi soveltaa ryhmiin, mutta ne voidaan delegoida hallintaan. Active Directory -skeeman puitteissa on kahdentyyppisiä ryhmiä: suojausryhmät (käytetään erottamaan verkkoobjektien käyttöoikeudet) ja jakeluryhmät (käytetään pääasiassa sähköpostiviestien lähettämiseen esimerkiksi Microsoft Exchange Serverissä).

Ne luokitellaan laajuuden mukaan:

• universaaleja ryhmiä voi sisältää käyttäjiä metsässä sekä muita universaaleja ryhmiä tai globaaleja ryhmiä mistä tahansa metsän toimialueesta
• verkkotunnuksen globaalit ryhmät voi sisältää verkkotunnuksen käyttäjiä ja muita saman toimialueen globaaleja ryhmiä
• verkkotunnuksen paikalliset ryhmät käyttöoikeuksien erottamiseen käytettynä, se voi sisältää verkkotunnuksen käyttäjiä sekä yleisiä ryhmiä ja globaaleja ryhmiä mistä tahansa metsässä olevasta toimialueesta
• paikalliset tietokoneryhmät– ryhmät, jotka paikallisen koneen SAM (security account manager) sisältää. Niiden soveltamisala on rajoitettu vain tähän koneeseen, mutta ne voivat sisältää paikallisia ryhmiä toimialueessa, jossa tietokone sijaitsee, sekä oman toimialueensa tai jonkin muun toimialueen yleisiä ja globaaleja ryhmiä, joihin he luottavat. Voit esimerkiksi sisällyttää käyttäjän verkkotunnuksen paikallisesta ryhmästä Users paikallisen koneen Järjestelmänvalvojat-ryhmään, jolloin hänelle annetaan järjestelmänvalvojan oikeudet, mutta vain tälle tietokoneelle.

Active Directory

Active Directory("Aktiiviset hakemistot", ILMOITUS) - LDAP-yhtymän hakemistopalvelun yhteensopiva toteutus Microsoft perheen käyttöjärjestelmille Windows NT. Active Directory antaa järjestelmänvalvojille mahdollisuuden käyttää ryhmäkäytäntöjä varmistaakseen yhtenäisen käyttökokemuksen, ottaa ohjelmiston käyttöön useille tietokoneille ryhmäkäytäntöjen tai kautta System Center Configuration Manager(aiemmin Microsoft Systems Management Server), Asenna päivitykset käyttöjärjestelmä, sovellus- ja palvelinohjelmistot kaikissa verkon tietokoneissa päivityspalvelun avulla Windows Server . Active Directory tallentaa ympäristötiedot ja asetukset keskitettyyn tietokantaan. verkkoja Active Directory voi olla erikokoisia: useista kymmenistä useisiin miljooniin esineisiin.

Edustus Active Directory tapahtui vuonna 1999, tuote julkaistiin ensimmäisen kerran Windows 2000 Server, ja sitä muutettiin ja parannettiin julkaisun yhteydessä Windows Server 2003. Myöhemmin Active Directory on parannettu vuonna Windows Server 2003 R2, Windows Server 2008 Ja Windows Server 2008 R2 ja nimettiin uudelleen Active Directory -verkkotunnuspalvelut. Hakemistopalvelua kutsuttiin aiemmin NT hakemistopalvelu (NTDS), tämä nimi löytyy edelleen joistakin suoritettavista tiedostoista.

Toisin kuin versiot Windows ennen Windows 2000 jotka käyttivät pääasiassa protokollaa NetBIOS verkottumista, palvelua varten Active Directory integroitu kanssa DNS Ja TCP/IP. Oletustodennusprotokolla on Kerberos. Jos asiakas tai sovellus ei tue todennusta Kerberos, protokollaa käytetään NTLM .

Laite

Objektit

Active Directory on hierarkkinen rakenne, joka koostuu objekteista. Objektit jaetaan kolmeen pääluokkaan: resurssit (kuten tulostimet), palvelut (kuten sähköposti) sekä käyttäjä- ja tietokonetilit. Active Directory tarjoaa tietoa objekteista, mahdollistaa objektien järjestämisen, pääsyn hallintaan ja myös turvasääntöjen luomisen.

Objektit voivat olla säiliöitä muille objekteille (turvallisuus- ja jakeluryhmät). Objekti tunnistetaan yksilöllisesti sen nimen perusteella ja sillä on joukko attribuutteja - ominaisuuksia ja tietoja, jotka se voi sisältää; jälkimmäiset puolestaan ​​riippuvat kohteen tyypistä. Attribuutit ovat objektin rakenteen perusta ja ne määritellään skeemassa. Kaava määrittää, minkä tyyppisiä objekteja voi olla olemassa.

Itse skeema koostuu kahdentyyppisistä objekteista: skeemaluokan objekteista ja skeeman attribuuttiobjekteista. Yksi skeemaluokan objekti määrittelee yhden objektityypin Active Directory(esimerkiksi User-objekti), ja yksi skeeman attribuuttiobjekti määrittää attribuutin, joka objektilla voi olla.

Jokaista attribuuttiobjektia voidaan käyttää useissa eri skeemaluokkaobjekteissa. Näitä objekteja kutsutaan skeemaobjekteiksi (tai metatiedoiksi), ja niiden avulla voit muokata ja lisätä skeemaa tarpeen mukaan. Jokainen skeemaobjekti on kuitenkin osa objektimäärityksiä Active Directory, joten näiden objektien poistaminen käytöstä tai muuttaminen voi aiheuttaa vakavia seurauksia, koska näiden toimien seurauksena rakenne muuttuu Active Directory. Muutos kaavaobjektiin siirretään automaattisesti kohteeseen Active Directory. Kun skeemaobjektia on luotu, sitä ei voi poistaa, se voidaan vain poistaa käytöstä. Yleensä kaikki skeeman muutokset suunnitellaan huolellisesti.

Säiliö samanlainen esine siinä mielessä, että sillä on myös attribuutteja ja se kuuluu nimiavaruuteen, mutta toisin kuin objekti, säiliö ei tarkoita mitään erityistä: se voi sisältää ryhmän objekteja tai muita säiliöitä.

Rakenne

Rakenteen ylin taso on metsä - kokoelma kaikki objektit, attribuutit ja säännöt (attribuuttisyntaksi) Active Directory. Metsässä on yksi tai useampia transitiivisesti yhdistettyjä puita luottamussuhteet . Puu sisältää yhden tai useamman toimialueen, jotka myös yhdistetään hierarkiassa transitiivisten luottamussuhteiden avulla. Verkkotunnukset tunnistetaan niiden DNS-nimirakenteiden - nimiavaruuksien - perusteella.

Toimialueen objektit voidaan ryhmitellä säilöihin - OU:ihin. Organisaatioyksiköiden avulla voit luoda verkkotunnuksen sisällä hierarkian, yksinkertaistaa sen hallintoa ja mallintaa yrityksen organisaatio- ja/tai maantieteellistä rakennetta. Active Directory. Jaot voivat sisältää muita divisioonoita. Yhtiö Microsoft suosittelee käyttämään mahdollisimman vähän verkkotunnuksia Active Directory ja käytä osastoja jäsentelyyn ja politiikkaan. Ryhmäpolitiikkaa sovelletaan usein nimenomaan organisaatioyksiköihin. Ryhmäkäytännöt ovat itsessään objekteja. Jaosto on alin taso, jolla hallintovaltaa voidaan siirtää.

Toinen tapa jakaa Active Directory ovat sivustoja , jotka ovat tapa fyysiseen (eikä loogiseen) ryhmittelyyn verkkosegmenttien perusteella. Sivustot jaetaan niihin, joissa on yhteydet hitaiden kanavien kautta (esimerkiksi globaalien verkkojen kautta, virtuaalisten yksityisverkkojen avulla) ja nopeiden kanavien kautta (esimerkiksi lähiverkon kautta). Sivusto voi sisältää yhden tai useamman verkkotunnuksen, ja verkkotunnus voi sisältää yhden tai useamman sivuston. Suunniteltaessa Active Directory On tärkeää ottaa huomioon verkkoliikenne, joka syntyy, kun tietoja synkronoidaan sivustojen välillä.

Keskeinen suunnittelupäätös Active Directory on päätös jakaa tietoinfrastruktuuri hierarkkisiin toimialueisiin ja huipputason osastoon. Tyypillisiä tähän jaotteluun käytettyjä malleja ovat jakautumismallit yrityksen toiminnallisten osastojen, maantieteellisen sijainnin ja roolien mukaan yrityksen tietoinfrastruktuurissa. Usein käytetään näiden mallien yhdistelmiä.

Fyysinen rakenne ja replikaatio

Fyysisesti tiedot tallennetaan yhteen tai useampaan vastaavaan toimialueen ohjauskoneeseen, joka on korvannut käytetyt Windows NT Ensisijaiset ja varatoimialueen ohjaimet, vaikkakin niin sanottu "yhden isäntäoperaatioiden" palvelin, joka voi emuloida ensisijaista toimialueen ohjauskonetta, säilytetään joissakin toiminnoissa. Jokainen toimialueen ohjain säilyttää luku-/kirjoituskopion tiedoista. Yhteen ohjaimeen tehdyt muutokset synkronoidaan kaikkiin toimialueen ohjauskoneisiin replikoinnin aikana. Palvelimet, joissa itse palvelu Active Directory ei asennettu, mutta jotka sisältyvät toimialueeseen Active Directory, kutsutaan jäsenpalvelimiksi.

replikointi Active Directory suoritettu pyynnöstä. Palvelu Tietojen johdonmukaisuuden tarkistus luo replikointitopologian, joka käyttää järjestelmässä määritettyjä sivustoja liikenteen hallintaan. Sivuston sisäinen replikointi suoritetaan usein ja automaattisesti johdonmukaisuuden tarkistuksella (ilmoittamalla replikointikumppaneille muutoksista). Sivustojen välinen replikointi voidaan määrittää jokaiselle sivuston kanavalle (riippuen kanavan laadusta) - jokaiselle kanavalle voidaan määrittää eri "hinta" (tai "kustannus") (esim. DS3, , ISDN jne.) ja replikointiliikenne rajoitetaan, ajoitetaan ja reititetään määritetyn linkkiarvion mukaisesti. Replikointitiedot voivat kulkea transitiivisesti useiden sivustojen poikki sivustolinkkisiltojen kautta, jos "pistemäärä" on alhainen, vaikka AD antaa automaattisesti alemman pistemäärän sivustojen välisille linkeille kuin transitiivisille linkeille. Jokaisen sivuston siltapääpalvelimet suorittavat sivustojen välisen replikoinnin, joka sitten replikoi muutokset sivustonsa kuhunkin toimialueen ohjaimeen. Intradomeenin replikointi tapahtuu protokollan mukaisesti RPC protokollaa IP, verkkotunnusten välinen - voi myös käyttää protokollaa SMTP.

Jos rakenne Active Directory sisältää useita verkkotunnuksia, sitä käytetään ratkaisemaan objektien löytämisen ongelma maailmanlaajuinen luettelo: Toimialueen ohjain, joka sisältää kaikki metsän objektit, mutta rajoitetulla attribuuttijoukolla (osittainen kopio). Luettelo tallennetaan määritetyille maailmanlaajuisille luettelopalvelimille, ja se palvelee verkkotunnusten välisiä pyyntöjä.

Yhden isännän ominaisuus mahdollistaa pyyntöjen käsittelyn, kun monipalvelinreplikointi ei ole sallittua. Tällaisia ​​toimintoja on viisi tyyppiä: Domain Controller Emulation (PDC-emulaattori), Relative Identifier Host (relative Identifier Master tai RID Master), Infrastructure Host (Infrastructure Master), Schema Host (Schema Master) ja Domain Naming Host (verkkotunnuksen nimeämisen isäntä). ). Kolme ensimmäistä roolia ovat ainutlaatuisia toimialueen sisällä, kaksi viimeistä ovat ainutlaatuisia koko metsässä.

pohja Active Directory voidaan jakaa kolmeen loogiseen varastoon tai "osioon". Kaava on malli Active Directory ja määrittää kaikki objektityypit, niiden luokat ja attribuutit, attribuuttisyntaksin (kaikki puut ovat samassa metsässä, koska niillä on sama skeema). Kokoonpano on metsän ja puiden rakenne Active Directory. Toimialue tallentaa kaikki tiedot kyseiselle toimialueelle luoduista objekteista. Ensimmäiset kaksi varastoa replikoidaan kaikkiin metsän toimialueen ohjauskoneisiin, kolmas osio replikoidaan täysin kunkin toimialueen replikaohjainten välillä ja osittain replikoidaan maailmanlaajuisiin luettelopalvelimiin.

nimeäminen

Active Directory tukee seuraavia objektien nimeämismuotoja: yleiset tyyppinimet UNC, URL-osoite Ja LDAP URL. Versio LDAP X.500-nimeämismuotoa käytetään sisäisesti Active Directory.

Jokaisella esineellä on erottuva nimi (Englanti) erottuva nimi, DN) . Esimerkiksi tulostinobjekti nimeltä HPLaser3 Marketing OU:ssa ja verkkotunnuksessa foo.org on seuraava DN: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , jossa CN on yleinen nimi, OU on osa ja DC on verkkotunnus objektiluokka. Erottuvilla nimillä voi olla paljon enemmän osia kuin tämän esimerkin neljä osaa. Objekteilla on myös kanonisia nimiä. Nämä ovat erottuvat nimet kirjoitettuna käänteisessä järjestyksessä, ilman tunnisteita ja käyttämällä vinoviivaa erottimina: foo.org/Marketing/HPLaser3 . Voit määrittää objektin sen säilössä käyttämällä suhteellinen erottuva nimi : CN=HPLaser3. Jokaisella objektilla on myös globaalisti yksilöllinen tunniste ( GUID) on ainutlaatuinen ja muuttumaton 128-bittinen merkkijono, jota käytetään Active Directory hakua ja replikointia varten. Tietyillä objekteilla on myös käyttäjän päänimi ( UPN, mukaisesti RFC 822) muodossa objekti@verkkotunnus.

Integrointi UNIXin kanssa

Eri tasoisia vuorovaikutusta Active Directory voidaan toteuttaa useimmissa UNIX-kuin käyttöjärjestelmät standardien kanssa LDAP asiakkaat, mutta tällaiset järjestelmät eivät yleensä ymmärrä useimpia komponentteihin liittyviä attribuutteja Windows kuten ryhmäkäytännöt ja tuki yksisuuntaisille rahastoille.

Kolmannen osapuolen toimittajat tarjoavat integroinnin Active Directory alustoilla UNIX, mukaan lukien UNIX, Linux, Mac-käyttöjärjestelmän kymmenes versio ja useisiin sovelluksiin perustuvia Java, tuotepaketin kanssa:

Mukana toimitetut kaaviolliset lisäosat Windows Server 2003 R2 sisältää attribuutteja, jotka liittyvät riittävän läheisesti RFC 2307:ään ollakseen yleiskäyttöisiä. RFC 2307 -perustoteutukset, nss_ldap ja pam_ldap, ehdotettu PADL.com, tukevat suoraan näitä määritteitä. Ryhmäjäsenyyden vakiojärjestelmä noudattaa RFC 2307bis -standardia (ehdotettu). Windows Server 2003 R2 sisältää Microsoft Management Console -konsolin attribuuttien luomista ja muokkaamista varten.

Vaihtoehtona on käyttää toista hakemistopalvelua, kuten 389 Hakemistopalvelin(aiemmin Fedora Directory Server, FDS), eB2Bcom ViewDS v7.1 XML käytössä oleva hakemisto tai Sun Java System Directory Server alkaen Sun Microsystems, joka suorittaa kaksisuuntaisen synkronoinnin kanssa Active Directory, mikä toteuttaa "heijastuneen" integraation asiakkaille UNIX Ja Linux ovat todennettuja FDS ja asiakkaita Windows ovat todennettuja Active Directory. Toinen vaihtoehto on käyttää OpenLDAP läpikuultavalla peittokuvalla, joka laajentaa etäpalvelimen elementtejä LDAP paikalliseen tietokantaan tallennettuja lisämääritteitä.

Active Directory automaattinen käyttö Powershell .

Kirjallisuus

• Pääosissa Rand Morimoto, Kenton Gardiner, Michael Noel, Joe Koka Microsoft Exchange Server 2003. Täydellinen opas = Microsoft Exchange Server 2003 valloilleen. - M .: "Williams", 2006. - S. 1024. - ISBN 0-672-32581-0

Katso myös

Linkit

Huomautuksia

Microsoft Windows -komponentit
Main
Palvelut hallinta
Sovellukset	Ota yhteyttä DVD-valmistajaan Faksi ja skannaus Internet Explorer Journal Suurennuslasi Mediakeskus Windows Media Player Yhteistyöohjelma Laitekeskus Windows Mobile Liikkumiskeskus Narrator Paint Henkilökohtainen hahmoeditori Etätuki Puheentunnistus sanalehtiö Muistikirja Sivupaneeli äänen tallennus Kalenteri Laskin Sakset postia symbolitaulukko historiallinen: Elokuvantekijä NetMeeting Outlook Express Ohjelmistopäällikkö Tiedostonhallinta valokuva-albumi
Pelit
OS-ydin
Palvelut
Tiedosto järjestelmät
Palvelin	Active Directory Käyttöönottopalvelut Tiedostojen replikointipalvelu DNS-verkkotunnukset Kansion uudelleenohjaus Hyper-V IIS Media Services MSMQ Network Access Protection (NAP) Tulostuspalvelut UNIXille Differentiaalin etäpakkaus Etäasennuspalvelut Oikeuksien hallintapalvelu Roaming-käyttäjäprofiilit SharePoint Järjestelmäresurssien hallinta Etätyöpöytä WSUS Ryhmäpolitiikka Hajautettu tapahtumakoordinaattori
Arkkitehtuuri
Turvallisuus
Yhteensopivuus

Microsoft
PÄÄLLÄ
Palvelinohjelmisto
Tekniikka
Internet
Pelit
Laitteisto turvallisuus
koulutus
Lisensointi
Alaosastot

Active Directory on järjestelmänhallintapalvelu. Ne ovat paljon parempi vaihtoehto paikallisille ryhmille ja niiden avulla voit luoda tietokoneverkkoja tehokkaalla hallinnalla ja luotettava suoja tiedot.

Jos et ole aiemmin törmännyt Active Directoryn käsitteeseen etkä tiedä, miten tällaiset palvelut toimivat, tämä artikkeli on sinua varten. Selvitetään mitä se tarkoittaa tämä käsite, mitkä ovat tällaisten tietokantojen edut ja kuinka ne luodaan ja konfiguroidaan ensimmäistä käyttöä varten.

Active Directory on erittäin kätevä tapa hallita järjestelmiä. Active Directoryn avulla voit hallita tietojasi tehokkaasti.

Näiden palveluiden avulla voit luoda yhden toimialueen ohjauskoneiden hallinnoiman tietokannan. Jos omistat yrityksen, hallinnoit toimistoa tai yleensä hallitset useiden ihmisten toimintaa, jotka on koottava yhteen, tarvitset tällaisen verkkotunnuksen.

Se sisältää kaikki objektit - tietokoneet, tulostimet, faksit, käyttäjätilit ja niin edelleen. Niiden verkkotunnusten summaa, joissa tiedot sijaitsevat, kutsutaan "metsäksi". Active Directory -kanta on toimialueympäristö, jossa objektien määrä voi olla jopa 2 miljardia. Voitko kuvitella näitä vaakoja?

Eli tällaisen ”metsän” tai tietokannan avulla voit liittää suuren määrän työntekijöitä ja laitteita toimistoon, ja ilman, että ole sidottu paikkaan - myös muita käyttäjiä voidaan yhdistää palveluissa, esim. yrityksen toimisto toisessa kaupungissa.

Lisäksi Active Directory -palveluiden puitteissa luodaan ja yhdistetään useita verkkotunnuksia - mitä suurempi yritys, sitä enemmän varoja tarvitaan sen teknologian ohjaamiseen tietokannassa.

Lisäksi luotaessa tällaista verkkoa määritetään yksi ohjaava verkkotunnus, ja jopa muiden verkkotunnusten myöhemmän läsnäolon jälkeen alkuperäinen pysyy edelleen "vanhempana" - eli vain sillä on täysi pääsy tiedonhallintaan.

Mihin nämä tiedot tallennetaan ja mikä takaa verkkotunnusten olemassaolon? Ohjainten avulla luodaan Active Directory. Yleensä niitä on kaksi - jos yhdelle tapahtuu jotain, tiedot tallennetaan toiseen ohjaimeen.

Toinen vaihtoehto tukikohdan käyttöön on, jos esimerkiksi yrityksesi tekee yhteistyötä toisen kanssa ja joudut tekemään yhteisen projektin. Tässä tapauksessa voi olla tarpeen, että luvattomat henkilöt pääsevät käsiksi verkkotunnuksen tiedostoihin, ja täällä voidaan luoda eräänlainen "suhde" kahden eri "metsän" välille, avoin pääsy vaadittuihin tietoihin vaarantamatta muiden turvallisuutta. tiedot.

Yleensä Active Directory on keino luoda tietokanta tietyssä rakenteessa sen koosta riippumatta. Käyttäjät ja kaikki laitteet yhdistetään yhdeksi "metsäksi", luodaan verkkotunnukset ja sijoitetaan ohjaimille.

On myös suositeltavaa selventää - palveluiden toiminta on mahdollista vain laitteissa, joissa on palvelin Windows-järjestelmät. Lisäksi ohjaimiin luodaan 3-4 DNS-palvelinta. Ne palvelevat verkkotunnuksen päävyöhykettä, ja jos jokin niistä epäonnistuu, se korvataan muilla palvelimilla.

Jälkeen yleiskatsaus Active Directory tuteille, olet luonnollisesti kiinnostunut kysymyksestä - miksi muuttaa paikallinen ryhmä koko tietokannaksi? Luonnollisesti mahdollisuudet ovat täällä paljon laajemmat, ja saadaksemme selville muita eroja näiden järjestelmien hallintaan liittyvissä palveluissa, katsotaanpa tarkemmin niiden etuja.

Active Directoryn edut

Active Directoryn edut ovat seuraavat:

1. Yhden resurssin käyttö todennukseen. Tässä skenaariossa sinun on lisättävä jokaiseen tietokoneeseen kaikki tilit, jotka vaativat pääsyn yleisiin tietoihin. Mitä enemmän käyttäjiä ja laitteita, sitä vaikeampaa on synkronoida nämä tiedot niiden välillä.

Ja niinpä tietokannan kanssa palveluita käytettäessä tilit tallentuvat yhteen pisteeseen ja muutokset tulevat voimaan välittömästi kaikissa tietokoneissa.

Kuinka se toimii? Jokainen toimistoon saapuva työntekijä käynnistää järjestelmän ja kirjautuu tililleen. Kirjautumispyyntö lähetetään automaattisesti palvelimelle ja todennus tapahtuu sen kautta.

Tietyn kirjanpidon järjestyksen osalta voit aina jakaa käyttäjät ryhmiin - "HR" tai "Kirjanpito".

Tietoihin pääsy on tässä tapauksessa vielä helpompaa - jos sinun on avattava kansio yhden osaston työntekijöille, teet sen tietokannan kautta. Yhdessä he pääsevät tarvittavaan tietokansioon, kun taas loput asiakirjat pysyvät suljettuina.

1. Hallitse tietokannan jokaista jäsentä.

Jos paikallisessa ryhmässä jokainen jäsen on itsenäinen, sitä on vaikea hallita toiselta tietokoneelta, niin tietyt säännöt voidaan asettaa toimialueille, jotka vastaavat yrityksen käytäntöä.

Järjestelmänvalvojana voit määrittää käyttöoikeus- ja suojausasetukset ja ottaa ne käyttöön jokaisessa käyttäjäryhmässä. Luonnollisesti hierarkiasta riippuen joillekin ryhmille voidaan määrittää tiukempia asetuksia, kun taas toisille voidaan myöntää pääsy muihin järjestelmän tiedostoihin ja toimiin.

Lisäksi kun uusi henkilö tulee yritykseen, hänen tietokoneensa saa välittömästi tarvittavat asetukset, joihin sisältyvät työhön tarvittavat komponentit.

1. Monipuolisuus asennuksessa ohjelmisto.

Muuten, komponenteista - Active Directoryn avulla voit määrittää tulostimia, asentaa tarvittavat ohjelmat heti kaikille työntekijöille, aseta tietosuoja-asetukset. Yleisesti ottaen tietokannan luominen optimoi työn merkittävästi, valvoo turvallisuutta ja yhdistää käyttäjät maksimaalisen tehokkuuden saavuttamiseksi.

Ja jos yrityksellä on erillinen apuohjelma tai erikoispalvelut, ne voidaan synkronoida verkkotunnusten kanssa ja helpottaa niiden käyttöä. Miten? Jos yhdistät kaikki yrityksessä käytetyt tuotteet, työntekijän ei tarvitse syöttää eri käyttäjätunnuksia ja salasanoja päästäkseen jokaiseen ohjelmaan - nämä tiedot ovat yleisiä.

Nyt kun Active Directoryn käytön edut ja merkitys ovat selvät, katsotaanpa näiden palveluiden asennusprosessia.

Tietokannan käyttäminen Windows Server 2012:ssa

Active Directoryn asentaminen ja määrittäminen ei ole vaikeaa, ja se on myös helpompaa kuin miltä ensi silmäyksellä näyttää.

Palveluiden lataamiseksi sinun on ensin tehtävä seuraavat:

1. Muuta tietokoneen nimeä: napsauta "Käynnistä", avaa Ohjauspaneeli, kohta "Järjestelmä". Valitse "Muuta asetuksia" ja napsauta "Tietokoneen nimi" -riviä vastapäätä olevaa Ominaisuudet -kohtaa "Muuta", kirjoita uusi arvo isäntätietokoneelle.
2. Käynnistä uudelleen tietokoneen vaatimalla tavalla.
3. Aseta verkkoasetukset seuraavasti:
   • Avaa ohjauspaneelin kautta verkkojen ja jakamisen valikko.
   • Oikeat sovittimen asetukset. Napsauta hiiren kakkospainikkeella "Ominaisuudet" ja avaa "Verkko"-välilehti.
   • Napsauta luettelon ikkunassa Internet-protokollaa numerossa 4, napsauta "Ominaisuudet" uudelleen.
   • Anna tarvittavat asetukset, esimerkiksi: IP-osoite - 192.168.10.252 , aliverkon peite - 255.255.255.0, pääaliyhdyskäytävä - 192.168.10.1.
   • Määritä rivillä "Preferred DNS server" paikallisen palvelimen osoite, kohdassa "Vaihtoehtoinen ..." - muut DNS-palvelimien osoitteet.
   • Tallenna muutokset ja sulje ikkunat.

Asenna Active Directory -roolit seuraavasti:

1. Avaa aluksi "Palvelinhallinta".
2. Valitse valikosta Lisää rooleja ja ominaisuuksia.
3. Ohjattu toiminto käynnistyy, mutta voit ohittaa ensimmäisen kuvausikkunan.
4. Tarkista rivi "Asenna roolit ja ominaisuudet", siirry eteenpäin.
5. Valitse tietokoneesi lisätäksesi siihen Active Directoryn.
6. Valitse luettelosta rooli, jonka haluat ladata - sinun tapauksessasi tämä on "Active Directory Domain Services".
7. Näkyviin tulee pieni ikkuna, jossa sinua pyydetään lataamaan palveluihin tarvittavat komponentit - hyväksy se.
8. Kun sinua kehotetaan asentamaan muut komponentit - jos et tarvitse niitä, ohita tämä vaihe napsauttamalla "Seuraava".
9. Ohjattu asennustoiminto näyttää ikkunan, jossa on kuvaukset asennettavista palveluista - lue ja siirry eteenpäin.
10. Näkyviin tulee luettelo komponenteista, jotka aiomme asentaa - tarkista, onko kaikki oikein, ja jos on, napsauta asianmukaista painiketta.
11. Sulje ikkuna, kun prosessi on valmis.
12. Siinä kaikki - palvelut ladataan tietokoneellesi.

Active Directoryn määrittäminen

Voit määrittää verkkotunnuksen palvelun seuraavasti:

• Käynnistä samanniminen ohjattu asennustoiminto.
• Napsauta keltaista osoitinta ikkunan yläosassa ja valitse "Promote the server to the domain controller".
• Napsauta Lisää uusi "metsä" ja luo nimi juuriverkkotunnukselle ja napsauta sitten "Seuraava".
• Määritä "metsän" ja toimialueen toimintatilat - useimmiten ne ovat samat.
• Luo salasana, mutta muista se muistaa. Jatka eteenpäin.
• Tämän jälkeen saatat nähdä varoituksen, että verkkotunnusta ei ole delegoitu, ja ehdotuksen tarkistaa verkkotunnuksen nimi – voit ohittaa nämä vaiheet.
• Seuraavassa ikkunassa voit muuttaa polkua tietokantahakemistoihin - tee tämä, jos ne eivät sovi sinulle.
• Nyt näet kaikki asettamasi vaihtoehdot - katso, oletko valinnut ne oikein ja siirry eteenpäin.
• Sovellus tarkistaa, täyttyvätkö edellytykset, ja jos kommentteja ei ole tai ne eivät ole kriittisiä, napsauta "Asenna".
• Kun asennus on valmis, tietokone käynnistyy uudelleen.

Saatat myös miettiä, kuinka lisätä käyttäjä tietokantaan. Voit tehdä tämän käyttämällä "Active Directory -käyttäjät tai -tietokoneet" -valikkoa, joka löytyy ohjauspaneelin "Hallinta"-osiosta, tai käyttämällä tietokannan asetusvalikkoa.

Voit lisätä uuden käyttäjän napsauttamalla verkkotunnuksen nimeä hiiren kakkospainikkeella ja valitsemalla "Alajako" jälkeen "Luo". Edessäsi tulee ikkuna, johon sinun on syötettävä uuden osaston nimi - se toimii kansiona, johon voit kerätä käyttäjiä eri osastoilta. Samalla tavalla luot myöhemmin useita divisioonaa ja sijoitat kaikki työntekijät oikein.

Seuraavaksi, kun olet luonut osaston nimen, napsauta sitä hiiren oikealla painikkeella ja valitse "Luo", jonka jälkeen - "Käyttäjä". Nyt on vain syötettävä tarvittavat tiedot ja määritettävä käyttäjän käyttöoikeusasetukset.

Kun uusi profiili on luotu, napsauta sitä valitsemalla kontekstivalikko ja avaa Ominaisuudet. Poista Tili-välilehdellä valinta Estä ... -kohdan vierestä. Siinä kaikki.

Yleinen johtopäätös on, että Active Directory on tehokas ja hyödyllinen työkalu järjestelmän hallintaan, joka auttaa yhdistämään kaikkien työntekijöiden tietokoneet yhdeksi tiimiksi. Palvelujen avulla voit luoda suojatun tietokannan ja merkittävästi optimoida työn ja tiedon synkronoinnin kaikkien käyttäjien välillä. Jos yrityksesi ja mikä tahansa muu työpaikka on kytketty sähköisiin tietokoneisiin ja verkkoon, sinun on yhdistettävä tilit ja pidettävä kirjaa työstä ja yksityisyydestä, Active Directory -pohjaisen tietokannan asentaminen on loistava ratkaisu.

Active Directory (AD) on Microsoft Server -käyttöjärjestelmälle suunniteltu apuohjelma. Se luotiin alun perin kevyeksi algoritmiksi käyttäjähakemistojen käyttämiseen. FROM Windows-versiot Server 2008 esitteli integraation valtuutuspalveluihin.

Antaa sinulle mahdollisuuden noudattaa ryhmäkäytäntöä, joka käyttää samantyyppisiä asetuksia ja ohjelmistoja kaikissa ohjatuissa tietokoneissa System Center Configuration Managerin avulla.

Yksinkertaisesti sanottuna aloittelijoille, tämä on palvelinrooli, jonka avulla voit hallita kaikkia paikallisverkon käyttöoikeuksia ja käyttöoikeuksia yhdestä paikasta

Toiminnot ja tarkoitukset

Microsoft Active Directory - (ns. hakemisto) työkalupaketti, jonka avulla voit käsitellä käyttäjiä ja verkkotietoja. päätavoite Luominen - Helpottaa järjestelmänvalvojien työtä laajoissa verkoissa.

Hakemistot sisältävät erilaisia ​​tietoja käyttäjistä, ryhmistä, verkkolaitteista, tiedostoresursseista - sanalla sanoen objekteista. Esimerkiksi hakemistoon tallennettujen käyttäjämääritteiden tulee olla seuraavat: osoite, sisäänkirjautuminen, salasana, numero kännykkä jne. Hakemistoa käytetään nimellä todennuspisteet, josta löydät tarvittavat tiedot käyttäjästä.

Työn aikana kohdatut peruskäsitteet

AD:n kanssa työskentelyyn sovelletaan useita erikoiskonsepteja:

1. Palvelin on tietokone, joka sisältää kaikki tiedot.
2. Ohjain on palvelin, jolla on AD-rooli ja joka käsittelee toimialuetta käyttävien ihmisten pyyntöjä.
3. AD-toimialue on kokoelma laitteita, jotka on yhdistetty yhden ainutlaatuisen nimen alle ja jotka käyttävät samanaikaisesti yhteistä hakemistotietokantaa.
4. Tietovarasto on se osa hakemistosta, joka vastaa tietojen tallentamisesta ja hakemisesta mistä tahansa toimialueen ohjaimesta.

Kuinka aktiiviset hakemistot toimivat

Työn pääperiaatteet ovat:

• Valtuutus, jonka avulla on mahdollista käyttää PC:tä verkossa yksinkertaisesti antamalla henkilökohtainen salasana. Kuitenkin kaikki tiedot tili siirretty.
• turvallisuus. Active Directory sisältää käyttäjän tunnistusominaisuuksia. Jokaiselle verkkoobjektille voit etäyhteydellä, yhdestä laitteesta, asettaa tarvittavat oikeudet, jotka riippuvat luokista ja tietyistä käyttäjistä.
• Verkonhallinta yhdestä pisteestä. Active Directoryn kanssa työskennellessään järjestelmänvalvojan ei tarvitse määrittää kaikkia tietokoneita uudelleen, jos sinun on muutettava käyttöoikeuksia esimerkiksi tulostimeen. Muutokset tehdään etänä ja globaalisti.
• Saattaa loppuun DNS-integraatio. Sen avulla AD:ssa ei ole hämmennystä, kaikki laitteet on merkitty samalla tavalla kuin World Wide Webissä.
• suuressa mittakaavassa. Joukkoa palvelimia voidaan hallita yhdellä Active Directorylla.
• Hae tehdään eri parametrien mukaan, esimerkiksi tietokoneen nimi, sisäänkirjautuminen.

Objektit ja attribuutit

Objekti - joukko attribuutteja, jotka on yhdistetty omaan nimeensä ja jotka edustavat verkkoresurssia.

Attribuutti - esineen ominaisuudet luettelossa. Näitä ovat esimerkiksi käyttäjän koko nimi, hänen kirjautumisensa. Mutta PC-tilin attribuutit voivat olla tämän tietokoneen nimi ja sen kuvaus.

"Työntekijä" on objekti, jolla on attribuutit "Nimi", "Asema" ja "TabN".

LDAP-säilö ja nimi

Säiliö on objektityyppi, joka voi koostuu muista esineistä. Esimerkiksi verkkotunnus voi sisältää tiliobjekteja.

Niiden päätarkoitus on esineiden tilaaminen merkkien tyypin mukaan. Useimmiten säiliöitä käytetään ryhmittelemään objekteja, joilla on samat attribuutit.

Melkein kaikki säilöt kartoitetaan objektikokoelmaan ja resurssit yksilölliseen Active Directory -objektiin. Yksi AD-säilöjen päätyypeistä on organisaatioyksikkö tai OU (organisaatioyksikkö). Tähän säilöön sijoitetut objektit kuuluvat vain verkkotunnukseen, johon ne on luotu.

Lightweight Directory Access Protocol (LDAP) on TCP/IP-yhteyksien perusalgoritmi. Se luotiin vähentämään vivahteita hakemistopalveluiden käytön aikana. LDAP määrittää myös toimet, joita käytetään hakemistotietojen kyselyyn ja muokkaamiseen.

Puu ja paikka

Verkkoaluepuu on rakenne, kokoelma toimialueita, joilla on yhteinen skeema ja konfiguraatio, jotka muodostavat yhteisen nimiavaruuden ja joita linkittävät luottamussuhteet.

Alueiden metsä on kokoelma puita, jotka on linkitetty toisiinsa.

Sivusto - IP-aliverkoissa olevien laitteiden kokoelma, joka edustaa verkon fyysistä mallia, jonka suunnittelu suoritetaan riippumatta sen rakenteen loogisesta esityksestä. Active Directorylla on mahdollisuus luoda n sivustoa tai yhdistää n verkkotunnusta yhden sivuston alle.

Active Directoryn asennus ja konfigurointi

Siirrytään nyt suoraan Active Directoryn määrittämiseen käyttämällä esimerkkinä Windows Server 2008:aa (muissa versioissa menettely on identtinen):

Napsauta "OK"-painiketta. Huomaa, että näitä arvoja ei vaadita. Voit käyttää verkkosi IP-osoitetta ja DNS-osoitetta.

• Seuraavaksi sinun on siirryttävä "Käynnistä" -valikkoon, valittava "Hallintatyökalut" ja "".
  
• Siirry kohtaan "Roolit" ja valitse " Lisää Rooleja”.
  
• Valitse "Active Directory Domain Services", napsauta "Seuraava" kahdesti ja sitten "Asenna".
  
• Odota asennuksen päättymistä.
  
• Avaa Käynnistä-valikko -" Juosta". Kirjoita kenttään dcpromo.exe.
  
• Napsauta "Seuraava".
  
• Valitse tavara " Luo uusi verkkotunnus uuteen metsään" ja napsauta "Seuraava" uudelleen.
  
• Kirjoita seuraavaan ikkunaan nimi ja napsauta "Seuraava".
  
• Valitse Yhteensopivuustila(Windows Server 2008).
  
• Jätä seuraavassa ikkunassa kaikki oletusarvoiksi.
  
• alkaa asetusikkunaDNS. Koska sitä ei käytetty palvelimella aiemmin, delegaatiota ei luotu.
  
• Valitse asennusta varten hakemisto.
  
• Tämän vaiheen jälkeen sinun on määritettävä järjestelmänvalvojan salasana.

Jotta salasana olisi turvallinen, sen on täytettävä seuraavat vaatimukset:

Kun AD on suorittanut komponenttien määritysprosessin, sinun on käynnistettävä palvelin uudelleen.

Konfigurointi on valmis, laajennus ja rooli on asennettu järjestelmään. Voit asentaa AD:n vain Server-perheen Windowsiin, tavalliset versiot, kuten 7 tai 10, voivat sallia vain hallintakonsolin asentamisen.

Hallinta Active Directoryssa

Oletusarvoisesti Windows Serverissä Active Directory -käyttäjät ja -tietokoneet -konsoli toimii sen toimialueen kanssa, johon tietokone kuuluu. Voit käyttää tämän toimialueen tietokone- ja käyttäjäobjekteja konsolipuun kautta tai muodostaa yhteyden toiseen ohjaimeen.

Samojen konsolityökalujen avulla voit katsella Lisävaihtoehdot objekteja ja etsiä niitä, voit luoda uusia käyttäjiä, ryhmiä ja muuttaa käyttöoikeuksia.

On muuten olemassa 2 tyyppiä ryhmää Active Directoryssa - turvallisuus ja jakelu. Suojausryhmät vastaavat kohteiden käyttöoikeuksien rajaamisesta, niitä voidaan käyttää jakeluryhminä.

Jakeluryhmät eivät voi erottaa oikeuksia, vaan niitä käytetään ensisijaisesti viestien jakeluun verkossa.

Mikä on AD-valtuuskunta

Delegaatio itsessään on osan käyttöoikeuksista ja hallinnasta siirtäminen vanhemmalta vastalauseelta toiselle vastuuhenkilölle.

Tiedetään, että jokaisella organisaatiolla on useita järjestelmänvalvojia päämajassaan. Erilaiset tehtävät tulisi antaa eri harteille. Muutosten toteuttaminen edellyttää oikeuksia ja käyttöoikeuksia, jotka on jaettu vakio- ja erityisiin. Erityinen - soveltuu tiettyyn kohteeseen ja standardi - joukko olemassa olevia käyttöoikeuksia, jotka tekevät tietyt toiminnot käytettävissä tai eivät ole käytettävissä.

Luottamussuhteiden luominen

AD:ssa on kahdenlaisia ​​luottamussuhteita: "yksisuuntainen" ja "kaksisuuntainen". Ensimmäisessä tapauksessa yksi toimialue luottaa toiseen, mutta ei päinvastoin, vastaavasti, ensimmäisellä on pääsy toisen resursseihin ja toisella ei ole pääsyä. Toisessa muodossa luottamus on "keskinäistä". On myös "lähteviä" ja "saapuvia" suhteita. Lähtevässä verkkotunnuksessa ensimmäinen toimialue luottaa toiseen, jolloin toisen verkkotunnuksen käyttäjät voivat käyttää ensimmäisen resursseja.

Asennuksen aikana on suoritettava seuraavat toimenpiteet:

• Vahvista verkkoyhteydet ohjainten välillä.
• Tarkista asetukset.
• Virittää nimien resoluutio ulkoisille verkkotunnuksille.
• Luo yhteys luottavalta verkkotunnukselta.
• Luo yhteys ohjaimen siltä puolelta, jolle luottamus on osoitettu.
• Tarkista luodut yksisuuntaiset suhteet.
• Jos on tarve kahdenvälisten suhteiden luomisessa - tehdä asennus.

Maailmanlaajuinen hakemisto

Tämä on toimialueen ohjain, joka säilyttää kopiot kaikista metsän objekteista. Se antaa käyttäjille ja ohjelmille mahdollisuuden etsiä objekteja mistä tahansa nykyisen metsän toimialueesta käyttämällä attribuuttien löytäjät sisältyy maailmanlaajuiseen luetteloon.

Global Catalog (GC) sisältää rajoitetun joukon attribuutteja jokaiselle metsäobjektille jokaisessa toimialueessa. Se vastaanottaa tiedot kaikista metsän toimialueen hakemistoosioista ja replikoi ne tavallisen Active Directoryn replikointiprosessin avulla.

Kaava määrittää, kopioidaanko attribuutti. Mahdollisuus on olemassa lisäominaisuuksien määrittäminen, joka luodaan uudelleen maailmanlaajuiseen luetteloon "Active Directory Schema" -ohjelman avulla. Jos haluat lisätä määritteen yleiseen luetteloon, sinun on valittava replikointimäärite ja käytettävä "Kopioi" -vaihtoehtoa. Tämä luo attribuutin replikoinnin yleiseen luetteloon. Attribuutin parametrin arvo isMemberOfPartialAttributeSet tulee todeksi.

Jotta selvitä sijainti maailmanlaajuinen luettelo, sinun täytyy komentorivi tulla sisään:

Dsquery-palvelin –isgc

Datan replikointi Active Directoryssa

Replikointi on kopiointitoimenpide, joka suoritetaan, kun on tarpeen tallentaa yhtä ajan tasalla olevaa tietoa, joka on olemassa missä tahansa ohjaimessa.

Sitä tuotetaan ilman operaattorin väliintuloa. Replikasisältöä on seuraavan tyyppisiä:

• Tietokopiot luodaan kaikista olemassa olevista verkkotunnuksista.
• Tietoskeeman jäljennökset. Koska dataskeema on sama kaikille Active Directory -metsän objekteille, sen replikat säilytetään kaikissa toimialueissa.
• konfigurointitiedot. Näyttää rakennuskopiot ohjainten kesken. Tiedot koskevat kaikkia metsän alueita.

Replikoiden päätyypit ovat solmun sisäinen ja solmun välinen.

Ensimmäisessä tapauksessa järjestelmä odottaa muutosten jälkeen ja pyytää sitten kumppania luomaan replikan muutosten viimeistelemiseksi. Jopa muutosten puuttuessa, replikointiprosessi tapahtuu tietyn ajan kuluttua automaattisesti. Kun hakemistoihin on tehty rikkovia muutoksia, replikointi tapahtuu välittömästi.

Replikointimenettely solmujen välillä tapahtuu välissä Verkon kuormitus on minimaalinen, tämä välttää tietojen menetyksen.

Windowsin verkonvalvojat eivät voi välttyä tutustumasta . Tämä yleiskatsausartikkeli on omistettu sille, mitä Active Directory on ja minkä kanssa niitä syödään.

Active Directory on siis Microsoftin toteuttama hakemistopalvelu. Hakemistopalvelu tarkoittaa tässä tapauksessa ohjelmistopakettia, joka auttaa Järjestelmänvalvoja käyttää verkkoresursseja, kuten jaettuja kansioita, palvelimia, työasemia, tulostimia, käyttäjiä ja ryhmiä.

Active Directorylla on objekteista koostuva hierarkkinen rakenne. Kaikki esineet on jaettu kolmeen pääluokkaan.

• Käyttäjä- ja tietokonetilit;
• Resurssit (esimerkiksi tulostimet);
• Palvelut (esim. Sähköposti).

Jokaisella esineellä on ainutlaatuinen nimi ja useita ominaisuuksia. Objektit voidaan ryhmitellä.

Käyttäjän ominaisuudet

Active Directorylla on metsärakenne. Metsässä on useita puita, jotka sisältävät alueita. Verkkotunnukset puolestaan ​​sisältävät yllä olevat objektit.

Active Directory -rakenne

Tyypillisesti toimialueen objektit ryhmitellään organisaatioyksiköiksi. Alaosastot muodostavat hierarkian toimialueen sisällä (organisaatiot, alueelliset alaosastot, osastot jne.). Tämä on erityisen tärkeää organisaatioille, jotka ovat maantieteellisesti hajallaan. Rakennetta rakennettaessa on suositeltavaa luoda mahdollisimman vähän domaineja, luomalla tarvittaessa erilliset jaot. Heihin on järkevää soveltaa ryhmäkäytäntöjä.

Työaseman ominaisuudet

Toinen tapa jäsentää Active Directory on sivustoja. Sivustot ovat pikemminkin fyysinen kuin looginen ryhmittelytapa verkkosegmenttien perusteella.

Kuten jo mainittiin, jokaisella Active Directoryn objektilla on yksilöllinen nimi. Esimerkiksi tulostin HPLaserJet4350dtn, joka sijaitsee divisioonassa Lakimiehet ja verkkotunnuksessa primer.ru tulee olemaan nimi CN=HPLaserJet4350dtn,OU=lakimiehet,DC=primer,DC=ru. CN on yleinen nimi ou- alajako DC— verkkotunnuksen objektiluokka. Objektin nimessä voi olla paljon enemmän osia kuin tässä esimerkissä.

Toinen objektin nimen muoto näyttää tältä: primer.ru/Lawyers/HPLaserJet4350dtn. Jokaisella objektilla on myös globaalisti yksilöllinen tunniste ( GUID) on ainutlaatuinen ja muuttumaton 128-bittinen merkkijono, jota Active Directory käyttää hakuun ja replikointiin. Joillakin objekteilla on myös käyttäjän päänimi ( UPN) muodossa objekti@verkkotunnus.

Tässä yleistä tietoa mitä Active Directory on ja miksi niitä tarvitaan paikalliset verkot päällä Windowsin pohja. Lopuksi on järkevää sanoa, että järjestelmänvalvojalla on mahdollisuus työskennellä Active Directoryn kanssa etäyhteyden kautta Palvelimen etähallintatyökalut Windows 7:lle (KB958830)(ladata) Ja Palvelimen etähallintatyökalut Windows 8.1:lle (KB2693643) (ladata).