Ce va ajuta Director activ specialisti?

Voi oferi o mică listă de „bunătăți” care pot fi obținute prin implementarea Active Directory:

• o bază de date de înregistrare a utilizatorului unic, care este stocată central pe unul sau mai multe servere; astfel, atunci când în birou apare un nou angajat, va trebui doar să-i creați un cont pe server și să specificați ce stații de lucru poate accesa;
• deoarece toate resursele domeniului sunt indexate, acest lucru permite căutarea simplă și rapidă pentru utilizatori; de exemplu, dacă trebuie să găsiți o imprimantă color într-un departament;
• combinația dintre aplicarea permisiunilor NTFS, politicile de grup și delegarea controlului vă va permite să ajustați și să distribuiți drepturile între membrii domeniului;
• profilurile de utilizator în roaming oferă posibilitatea de a stoca Informații importanteși setările de configurare pe server; de fapt, dacă un utilizator cu profil de roaming în domeniu se așează să lucreze pe alt computer și își introduce numele de utilizator și parola, acesta își va vedea desktopul cu setările sale obișnuite;
• folosind politicile de grup, puteți modifica setările sistemelor de operare ale utilizatorului, de la a permite utilizatorului să seteze imagini de fundal pe desktop la setări de securitate, precum și să distribuiți software prin rețea, de exemplu, client Volume Shadow Copy etc.;
• multe programe (servere proxy, servere de baze de date etc.) nu doar fabricate de Microsoft astăzi au învățat să folosească autentificarea domeniului, deci nu trebuie să creați o altă bază de date de utilizatori, dar puteți utiliza una existentă;
• utilizarea Serviciilor de instalare la distanță facilitează instalarea sistemelor pe stațiile de lucru, dar, la rândul său, funcționează doar cu serviciul de director încorporat.

Și e departe de lista plina posibilități, dar mai multe despre asta mai târziu. Acum voi încerca să spun însăși logica construcției Director activ, dar din nou merită să aflăm din ce sunt făcuți băieții noștri din ce sunt construiți băieții noștri Director activ sunt Domenii, Arbori, Păduri, Unități Organizaționale, Utilizatori și Grupuri de Calculatoare.

Domenii - Aceasta este unitatea de bază de construcție logică. Comparativ cu grupurile de lucru domenii AD sunt grupuri de securitate care au o singură bază de înregistrare, în timp ce grupurile de lucru sunt doar o grupare logică de mașini. AD folosește DNS (Domain Name Server) pentru servicii de denumire și căutare, nu WINS (Windows Internet Name Service), așa cum era cazul în versiunile anterioare ale NT. Astfel, numele computerelor dintr-un domeniu sunt, de exemplu, buh.work.com, unde buh este numele unui computer din domeniul work.com (deși nu este întotdeauna cazul).

Grupurile de lucru folosesc nume NetBIOS. Pentru a găzdui o structură de domeniu ANUNȚ este posibil să utilizați un server DNS non-Microsoft. Dar trebuie să fie compatibil cu BIND 8.1.2 sau o versiune ulterioară și să accepte înregistrări SRV() precum și protocolul de înregistrare dinamică (RFC 2136). Fiecare domeniu are cel puțin un controler de domeniu care găzduiește baza de date centrală.

Copaci - Acestea sunt structuri cu mai multe domenii. Rădăcina acestei structuri este domeniul principal pentru care creați domenii secundare. De fapt, Active Directory folosește un sistem de construcție ierarhic similar cu structura domeniilor din DNS.

Dacă avem un domeniu work.com (un domeniu de nivel întâi) și creăm două domenii secundare pentru acesta, first.work.com și second.work.com (aici, primul și al doilea sunt domenii de nivel al doilea, nu un computer în domeniul, ca în cazul descris mai sus), apoi ca rezultat obținem un arbore de domenii.

Arborele ca structură logică sunt utilizați atunci când trebuie să separați ramurile companiei, de exemplu, după caracteristici geografice sau din alte motive organizaționale.

ANUNȚ ajută la crearea automată a relațiilor de încredere între fiecare domeniu și domeniile sale secundare.

Astfel, crearea domeniului first.work.com duce la organizarea automată a bilaterală relație de încredereîntre parent work.com și child first.work.com (în mod similar pentru second.work.com). Prin urmare, permisiunile pot fi aplicate de la domeniul părinte la domeniul secundar și invers. Nu este dificil să presupunem că vor exista relații de încredere și pentru domeniile copil.

O altă proprietate a relațiilor de încredere este tranzitivitatea. Obținem - o relație de încredere cu domeniul work.com este creată pentru domeniul net.first.work.com.

Pădure - La fel ca copacii, ei sunt structuri cu mai multe domenii. Dar pădure este o uniune de arbori care au domenii diferite de rădăcină.

Să presupunem că decideți să aveți mai multe domenii numite work.com și home.net și să creați domenii copil pentru ele, dar pentru că tld (domeniul de nivel superior) nu este sub controlul dvs., în acest caz puteți organiza o pădure selectând unul dintre primele domeniile de nivel este rădăcina. Frumusețea creării unei păduri în acest caz este relația de încredere bidirecțională dintre aceste două domenii și domeniile lor secundare.

Cu toate acestea, atunci când lucrați cu păduri și copaci, rețineți următoarele:

• nu puteți adăuga un domeniu existent în arbore
• nu puteți include un copac deja existent în pădure
• dacă domeniile sunt plasate într-o pădure, acestea nu pot fi mutate în altă pădure
• nu puteți șterge un domeniu care are domenii secundare

unitati organizatorice -în principiu pot fi numite subdomenii. vă permit să grupați conturi de utilizatori, grupuri de utilizatori, computere, resurse partajate, imprimante și alte OU (Unități organizaționale) într-un domeniu. Avantajul practic al utilizării acestora este abilitatea de a delega drepturi de administrare a acestor unități.

Mai simplu spus, este posibil să desemnezi un administrator într-un domeniu care poate administra OU, dar nu are drepturi de administrare a întregului domeniu.

O caracteristică importantă a OU-urilor, spre deosebire de grupuri, este capacitatea de a le aplica politici de grup. „De ce nu poate fi împărțit domeniul inițial în mai multe domenii în loc să utilizeze o organizație organizatorică?” - tu intrebi.

Mulți experți recomandă să aveți un singur domeniu ori de câte ori este posibil. Motivul pentru aceasta este descentralizarea administrației la crearea unui domeniu suplimentar, deoarece administratorii fiecărui astfel de domeniu primesc control nelimitat (vă reamintesc că atunci când delegați drepturi administratorilor OU, puteți limita funcționalitatea acestora).

În plus, pentru a crea un domeniu nou (chiar și unul copil) veți avea nevoie de un alt controler. Dacă aveți două divizii separate conectate printr-un canal de comunicare lent, pot apărea probleme de replicare. În acest caz, ar fi mai potrivit să existe două domenii.

Există, de asemenea, o altă nuanță în aplicarea politicilor de grup: politicile care definesc setările de parole și blocarea conturilor pot fi aplicate numai domeniilor. Pentru OU, aceste setări de politică sunt ignorate.

Site-uri - Aceasta este o modalitate de a separa fizic serviciul de director. Prin definiție, un site este un grup de computere conectate prin legături rapide de date.

Dacă aveți mai multe sucursale în diferite părți ale țării, conectate prin linii de comunicație de mică viteză, atunci vă puteți crea propriul site web pentru fiecare sucursală. Acest lucru se face pentru a îmbunătăți fiabilitatea replicării directoarelor.

O astfel de partiție a AD nu afectează principiile construcției logice, prin urmare, așa cum un site poate conține mai multe domenii și invers, un domeniu poate conține mai multe site-uri. Dar această topologie a serviciului de directoare este plină de probleme. De regulă, internetul este folosit pentru a comunica cu filialele - un mediu foarte nesigur. Multe companii folosesc măsuri de securitate, cum ar fi firewall-uri. Serviciul de director în activitatea sa folosește aproximativ o duzină și jumătate de porturi și servicii, a căror deschidere pentru ca traficul AD să treacă prin firewall-ul va stinge efectiv. Soluția problemei este utilizarea tehnologiei de tunel, precum și prezența unui controler de domeniu în fiecare site pentru a accelera procesarea cererilor de la clienții AD.

Este prezentată logica componentelor serviciului de director de imbricare. Se poate observa că pădurea conține doi arbori de domenii, în care domeniul rădăcină al arborelui, la rândul său, poate conține OU-uri și grupuri de obiecte și are, de asemenea, domenii copil (în acest caz unul pentru fiecare). Domeniile copil pot conține, de asemenea, grupuri de obiecte și OU-uri și au domenii copil (acestea nu sunt prezentate în figură). etc. Permiteți-mi să vă reamintesc că OU-urile pot conține OU-uri, obiecte și grupuri de obiecte, iar grupurile pot conține alte grupuri.

Grupuri de utilizatori și computere - sunt utilizate în scopuri administrative și au același înțeles ca atunci când sunt utilizate pe mașinile locale dintr-o rețea. Spre deosebire de OU, politicile de grup nu pot fi aplicate grupurilor, dar pot fi delegat control. În cadrul schemei Active Directory, există două tipuri de grupuri: grupuri de securitate (folosite pentru a diferenția drepturile de acces la obiectele din rețea) și grupuri de distribuție (folosite în principal pentru trimiterea de mesaje e-mail, de exemplu, în Microsoft Exchange Server).

Acestea sunt clasificate în funcție de domeniul lor:

• grupuri universale poate include utilizatori din pădure, precum și alte grupuri universale sau grupuri globale din orice domeniu din pădure
• grupuri globale de domenii poate include utilizatori de domeniu și alte grupuri globale ale aceluiași domeniu
• grupuri locale de domeniu folosit pentru a diferenția drepturile de acces, poate include utilizatori de domeniu, precum și grupuri universale și grupuri globale ale oricărui domeniu din pădure
• grupuri locale de calculatoare– grupuri pe care le conține SAM (security account manager) al mașinii locale. Domeniul lor de aplicare este limitat doar la această mașină, dar pot include grupuri locale ale domeniului în care se află computerul, precum și grupuri universale și globale ale domeniului propriu sau altul în care au încredere. De exemplu, puteți include un utilizator din grupul local de domeniu Utilizatori în grupul Administratori al mașinii locale, oferindu-i astfel drepturi de administrator, dar numai pentru acest computer

Director activ

Director activ(„Directoare active”, ANUNȚ) - LDAP-implementarea compatibilă a serviciului de directoare al unei corporații Microsoft pentru sistemele de operare ale familiei Windows NT. Director activ permite administratorilor să utilizeze politici de grup pentru a asigura o setare consecventă a experienței utilizatorului, să implementeze software pe mai multe computere prin politici de grup sau prin intermediul Manager de configurare System Center(anterior Microsoft Systems Management Server), instalați actualizări sistem de operare, aplicații și software de server pe toate computerele din rețea care utilizează Serviciul de actualizare Windows Server . Director activ stochează datele de mediu și setările într-o bază de date centralizată. retelelor Director activ pot fi de diferite dimensiuni: de la câteva zeci la câteva milioane de obiecte.

Performanţă Director activ a avut loc în 1999, produsul a fost lansat pentru prima dată cu Windows 2000 Server, iar apoi a fost modificat și îmbunătățit la lansare Windows Server 2003. Ulterior Director activ a fost îmbunătățită în Windows Server 2003 R2, Windows Server 2008și Windows Server 2008 R2și redenumit în Servicii de domeniu Active Directory. Serviciul de directoare era numit anterior Serviciul de director NT (NTDS), acest nume mai poate fi găsit în unele fișiere executabile.

Spre deosebire de versiuni Windows inainte de Windows 2000 care a folosit în principal protocolul NetBIOS pentru networking, service Director activ integrat cu DNSși TCP/IP. Protocolul de autentificare implicit este Kerberos. Dacă clientul sau aplicația nu acceptă autentificare Kerberos, se folosește protocolul NTLM .

Dispozitiv

Obiecte

Director activ are o structură ierarhică formată din obiecte. Obiectele se împart în trei categorii principale: resurse (cum ar fi imprimante), servicii (cum ar fi e-mail) și conturi de utilizator și computer. Director activ oferă informații despre obiecte, vă permite să organizați obiecte, să controlați accesul la acestea și să stabilească reguli de securitate.

Obiectele pot fi containere pentru alte obiecte (grupuri de securitate și distribuție). Un obiect este identificat în mod unic prin numele său și are un set de atribute - caracteristici și date pe care le poate conține; acestea din urmă, la rândul lor, depind de tipul obiectului. Atributele sunt baza constitutivă a structurii unui obiect și sunt definite în schemă. Schema definește ce tipuri de obiecte pot exista.

Schema în sine constă din două tipuri de obiecte: obiecte de clasă de schemă și obiecte de atribute de schemă. Un obiect de clasă de schemă definește un tip de obiect Director activ(de exemplu, un obiect User) și un obiect atribut schemă definește un atribut pe care un obiect îl poate avea.

Fiecare obiect de atribut poate fi utilizat în mai multe obiecte de clasă de schemă diferite. Aceste obiecte sunt numite obiecte schema (sau metadate) și vă permit să modificați și să adăugați la schemă după cum este necesar. Cu toate acestea, fiecare obiect de schemă face parte din definițiile obiectului Director activ, deci dezactivarea sau modificarea acestor obiecte poate avea consecințe grave, deoarece în urma acestor acțiuni structura va fi modificată Director activ. Modificarea obiectului schema este propagată automat către Director activ. Odată creat, un obiect de schemă nu poate fi șters, poate fi doar dezactivat. De obicei, toate modificările schemei sunt planificate cu atenție.

Container asemănătoare obiectîn sensul că are și atribute și aparține spațiului de nume , dar spre deosebire de un obiect, un container nu reprezintă nimic anume: poate conține un grup de obiecte sau alte containere.

Structura

Nivelul superior al structurii este pădurea - colecția tuturor obiectelor, atributelor și regulilor (sintaxa atributelor) în Director activ. Pădurea conține unul sau mai mulți copaci legați prin tranzitiv relații de încredere . Arborele conține unul sau mai multe domenii, de asemenea conectate într-o ierarhie prin relații de încredere tranzitive. Domeniile sunt identificate prin structurile lor de nume DNS - spații de nume.

Obiectele dintr-un domeniu pot fi grupate în containere - OU-uri. Unitățile organizaționale vă permit să creați o ierarhie în cadrul unui domeniu, să simplificați administrarea acestuia și să modelați structura organizatorică și/sau geografică a unei companii în Director activ. Diviziunile pot conține alte diviziuni. corporație Microsoft recomandă utilizarea a cât mai puține domenii posibil în Director activși folosiți diviziunile pentru structurare și politici. Politicile de grup sunt adesea aplicate în mod specific unităților organizaționale. Politicile de grup sunt ele însele obiecte. O diviziune este cel mai de jos nivel la care poate fi delegată autoritatea administrativă.

Un alt mod de a împărți Director activ sunteți site-uri , care sunt o modalitate de grupare fizică (mai degrabă decât logică) bazată pe segmente de rețea. Site-urile sunt împărțite în cele cu conexiuni prin canale de viteză redusă (de exemplu, prin rețele globale, folosind rețele private virtuale) și prin canale de mare viteză (de exemplu, printr-o rețea locală). Un site poate conține unul sau mai multe domenii, iar un domeniu poate conține unul sau mai multe site-uri. La proiectare Director activ este important să se ia în considerare traficul de rețea generat atunci când datele sunt sincronizate între site-uri.

Decizia cheie de proiectare Director activ este decizia de a împărți infrastructura informațională în domenii ierarhice și diviziuni de nivel superior. Modelele tipice utilizate pentru această separare sunt modelele de diviziune pe divizii funcționale ale companiei, pe locație geografică și pe roluri în infrastructura informațională a companiei. Combinațiile acestor modele sunt adesea folosite.

Structura fizică și replicare

Din punct de vedere fizic, informațiile sunt stocate pe unul sau mai multe controlere de domeniu echivalente care le-au înlocuit pe cele utilizate în Windows NT controlere de domeniu primare și de rezervă, deși un așa-numit server de „operațiuni master unic”, care poate emula un controler de domeniu primar, este păstrat pentru unele operațiuni. Fiecare controler de domeniu păstrează o copie de citire/scriere a datelor. Modificările efectuate pe un controler sunt sincronizate cu toate controlerele de domeniu în timpul replicării. Servere unde serviciul în sine Director activ nu sunt instalate, dar care sunt incluse în domeniu Director activ, sunt numite servere membre.

replicare Director activ efectuate la cerere. Serviciu Verificator de consistență a cunoștințelor creează o topologie de replicare care utilizează site-urile definite în sistem pentru a gestiona traficul. Replicarea intrasite este efectuată frecvent și automat de un verificator de consistență (prin notificarea partenerilor de replicare cu privire la modificări). Replicarea între site-uri poate fi configurată pentru fiecare canal al unui site (în funcție de calitatea canalului) - o „rată” (sau „cost”) diferită poate fi atribuită fiecărui canal (de exemplu DS3, , ISDN etc.), iar traficul de replicare va fi limitat, programat și direcționat conform estimării legăturii atribuite. Datele de replicare pot călători în mod tranzitiv pe mai multe site-uri prin punți de link-uri de site-uri dacă „scorul” este scăzut, deși AD atribuie automat un scor mai mic pentru link-urile de la site la site decât pentru link-urile tranzitive. Replicarea de la site la site este efectuată de serverele cap de pod din fiecare site, care apoi reproducă modificările la fiecare controler de domeniu de pe site-ul lor. Replicarea intradomeniu are loc conform protocolului RPC protocol IP, cross-domain - poate folosi și protocolul SMTP.

Dacă structura Director activ conţine mai multe domenii, pentru a rezolva problema găsirii obiectelor, se foloseşte catalogul global: Un controler de domeniu care conține toate obiectele din pădure, dar cu un set limitat de atribute (o replică parțială). Catalogul este stocat pe serverele de catalog globale specificate și servește solicitări între domenii.

Capacitatea unică gazdă permite ca cererile să fie tratate atunci când replicarea multigazdă nu este permisă. Există cinci tipuri de astfel de operațiuni: Emulare controler de domeniu (Emulator PDC), Gazdă de identificare relativă (Master de identificare relativă sau Master RID), Gazdă de infrastructură (Master de infrastructură), Gazdă de schemă (Master Schema) și Gazdă de denumire de domeniu (Master de denumire a domeniului). ). Primele trei roluri sunt unice în domeniu, ultimele două sunt unice în întreaga pădure.

baza Director activ poate fi împărțit în trei depozite logice sau „partiții”. Schema este un șablon pentru Director activși definește toate tipurile de obiecte, clasele și atributele acestora, sintaxa atributelor (toți copacii sunt în aceeași pădure deoarece au aceeași schemă). Configurația este structura pădurii și a copacilor Director activ. Un domeniu stochează toate informațiile despre obiectele create în acel domeniu. Primele două magazine sunt replicate la toate controlerele de domeniu din pădure, a treia partiție este replicată complet între controlerele de replica din fiecare domeniu și parțial replicată pe serverele de catalog global.

denumire

Director activ acceptă următoarele formate de denumire a obiectelor: nume de tip generic UNC, URLși URL LDAP. Versiune LDAP Formatul de denumire X.500 este utilizat intern Director activ.

Fiecare obiect are nume distins (Engleză) nume distins, DN). De exemplu, un obiect imprimantă numit HPLaser3în OU Marketing și în domeniul foo.org va avea următorul DN: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , unde CN este numele comun, OU este secțiunea și DC este domeniul clasa de obiecte. Numele distinse pot avea mult mai multe părți decât cele patru părți din acest exemplu. Obiectele au, de asemenea, nume canonice. Acestea sunt numele distinctive scrise în ordine inversă, fără identificatori și folosind bare oblice drept delimitatori: foo.org/Marketing/HPLaser3 . Pentru a defini un obiect în containerul său, utilizați nume distinctiv relativ : CN=HPLaser3. Fiecare obiect are, de asemenea, un identificator unic la nivel global ( GUID) este un șir unic și imuabil de 128 de biți care este utilizat în Director activ pentru căutare și replicare. Anumite obiecte au, de asemenea, un nume principal de utilizator ( UPN, in conformitate cu RFC 822) în formatul obiect@domeniu.

Integrare cu UNIX

Diverse niveluri de interacțiune cu Director activ poate fi implementat în majoritatea UNIX-cum ar fi sistemele de operare prin conformitate cu standardele LDAP clienți, dar astfel de sisteme de obicei nu înțeleg majoritatea atributelor asociate componentelor Windows precum politicile de grup și sprijinul pentru trusturi unidirecționale.

Furnizorii terți oferă integrare Director activ pe platforme UNIX, inclusiv UNIX, linux, Mac OS Xși o serie de aplicații bazate Java, cu pachet de produs:

Suplimente schematice furnizate cu Windows Server 2003 R2 includeți atribute care sunt suficient de strâns legate de RFC 2307 pentru a fi de uz general. Implementări de bază RFC 2307, nss_ldap și pam_ldap , propuse PADL.com, susțin direct aceste atribute. Schema standard pentru apartenența la grup urmează RFC 2307bis (propus). Windows Server 2003 R2 include Microsoft Management Console pentru crearea și editarea atributelor.

O alternativă este să utilizați un alt serviciu de director, cum ar fi 389 Directory Server(anterior Fedora Directory Server, FDS), eB2Bcom ViewDS v7.1 Director cu XML activat sau Sun Java System Directory Server din Microsisteme solare, care realizează sincronizarea în două sensuri cu Director activ, implementând astfel integrarea „reflectată” atunci când clienții UNIXși linux sunt autentificate FDS, și clienți Windows sunt autentificate Director activ. O altă opțiune este utilizarea OpenLDAP cu posibilitatea suprapunerii translucide, extinzând elementele serverului la distanță LDAP atribute suplimentare stocate în baza de date locală.

Director activ utilizare automatizată Powershell .

Literatură

• Rand Morimoto, Kenton Gardiner, Michael Noel, Joe Koka Microsoft Exchange Server 2003. Ghid complet = Microsoft Exchange Server 2003 Unleashed. - M .: „Williams”, 2006. - S. 1024. - ISBN 0-672-32581-0

Vezi si

Legături

Note

Componente Microsoft Windows
Principal
Servicii management
Aplicații	Contactați DVD Maker Fax și scanare Internet Explorer Revistă Lupă centru media Windows Media Player Programul de colaborare Centrul de dispozitive Windows Mobile Centrul de mobilitate Narator Paint Editor personal de caractere Asistență de la distantă Recunoaștere a vorbirii bloc de cuvinte Caiet Panou lateral înregistrarea sunetului Calendar Calculator Foarfece Poștă tabelul de simboluri istoric: Movie Maker NetMeeting Outlook Express Manager de program Manager de fișiere album foto
Jocuri
Nucleul sistemului de operare
Servicii
Fişier sisteme
Server	Director activ Servicii de implementare Serviciul de replicare a fișierelor Domenii DNS Redirecționare folder Hyper-V IIS Media Services MSMQ Protecția accesului la rețea (NAP) Servicii de imprimare pentru UNIX Compresie diferențială de la distanță Servicii de instalare la distanță Serviciul de management al drepturilor Profiluri de utilizator în roaming SharePoint Manager de resurse de sistem Desktop la distanță WSUS Politica de grup Coordonator de tranzacții distribuite
Arhitectură
Securitate
Compatibilitate

Microsoft
PE
Software de server
Tehnologie
Internet
Jocuri
Hardware Securitate
Educaţie
Licențiere
Subdiviziuni

Active Directory este un serviciu de management al sistemului. Sunt o alternativă mult mai bună la grupurile locale și vă permit să creați rețele de calculatoare cu management eficient și protecţie fiabilă date.

Dacă nu ați întâlnit până acum conceptul de Active Directory și nu știți cum funcționează astfel de servicii, acest articol este pentru dvs. Să ne dăm seama ce înseamnă acest concept, care sunt avantajele unor astfel de baze de date și cum să le creați și să le configurați pentru utilizarea inițială.

Active Directory este o modalitate foarte convenabilă de a gestiona sisteme. Cu Active Directory, vă puteți gestiona eficient datele.

Aceste servicii vă permit să creați o singură bază de date gestionată de controlori de domeniu. Dacă dețineți o afacere, gestionați un birou sau, în general, controlați activitățile multor oameni care trebuie reuniți, acest domeniu vă va fi util.

Include toate obiectele - computere, imprimante, faxuri, conturi de utilizator și așa mai departe. Suma domeniilor în care se află datele este denumită „pădure”. O bază Active Directory este un mediu de domeniu în care numărul de obiecte poate fi de până la 2 miliarde. Vă puteți imagina aceste cântare?

Adică, cu ajutorul unei astfel de „păduri” sau baze de date, puteți conecta un număr mare de angajați și echipamente în birou și fără a fi legați de un loc - alți utilizatori pot fi, de asemenea, conectați în servicii, de exemplu, de la un birou al companiei în alt oraș.

În plus, în cadrul serviciilor Active Directory, sunt create și combinate mai multe domenii - cu cât compania este mai mare, cu atât sunt necesare mai multe fonduri pentru a-și controla tehnologia în baza de date.

În plus, atunci când se creează o astfel de rețea, se determină un domeniu de control și, chiar și cu prezența ulterioară a altor domenii, cel inițial rămâne în continuare „părinte” - adică doar acesta are acces deplin la gestionarea informațiilor.

Unde sunt stocate aceste date și ce asigură existența domeniilor? Controllerele sunt folosite pentru a crea un Active Directory. De obicei, sunt două dintre ele - dacă se întâmplă ceva cu unul, informațiile vor fi stocate pe al doilea controler.

O altă opțiune de utilizare a bazei este dacă, de exemplu, compania dvs. cooperează cu alta și trebuie să finalizați un proiect comun. În acest caz, poate fi necesar ca persoane neautorizate să acceseze fișierele domeniului, iar aici puteți stabili un fel de „relație” între două „păduri” diferite, accesul deschis la informațiile necesare fără a risca securitatea altora. date.

În general, Active Directory este un mijloc de creare a unei baze de date în cadrul unei anumite structuri, indiferent de dimensiunea acesteia. Utilizatorii și toate echipamentele sunt combinate într-o singură „pădure”, domeniile sunt create și plasate pe controlere.

De asemenea, este indicat să clarificăm - operarea serviciilor este posibilă numai pe dispozitivele cu server sisteme Windows. În plus, pe controlere sunt create 3-4 servere DNS. Acestea deservesc zona principală a domeniului, iar în cazul în care unul dintre ele eșuează, acesta este înlocuit cu alte servere.

După Prezentare generală Active Directory pentru manechini, sunteți în mod natural interesat de întrebarea - de ce să schimbați grupul local în întreaga bază de date? Desigur, domeniul posibilităților este mult mai larg aici, iar pentru a afla și alte diferențe între aceste servicii pentru managementul sistemului, să aruncăm o privire mai atentă asupra avantajelor acestora.

Beneficiile Active Directory

Avantajele Active Directory sunt următoarele:

1. Utilizarea unei singure resurse pentru autentificare. În acest scenariu, trebuie să adăugați pe fiecare PC toate conturile care necesită acces la informații generale. Cu cât sunt mai mulți utilizatori și echipamente, cu atât este mai dificilă sincronizarea acestor date între ei.

Astfel, atunci când utilizați servicii cu o bază de date, conturile sunt stocate la un moment dat, iar modificările intră în vigoare imediat pe toate computerele.

Cum functioneaza? Fiecare angajat, venind la birou, lansează sistemul și se loghează în contul său. Solicitarea de autentificare va fi transmisă automat la server, iar autentificarea se va face prin intermediul acestuia.

În ceea ce privește o anumită ordine în păstrarea evidențelor, puteți oricând împărți utilizatorii în grupuri - „HR” sau „Contabilitate”.

Este și mai ușor în acest caz să oferiți acces la informații - dacă trebuie să deschideți un folder pentru angajații dintr-un departament, o faceți prin baza de date. Împreună au acces la folderul de date solicitat, în timp ce în rest documentele rămân închise.

1. Control asupra fiecărui membru al bazei de date.

Dacă într-un grup local fiecare membru este independent, este dificil să îl controlezi de pe alt computer, atunci anumite reguli pot fi stabilite în domenii care corespund politicii companiei.

În calitate de administrator de sistem, puteți seta setările de acces și securitate, apoi le puteți aplica pentru fiecare grup de utilizatori. Desigur, în funcție de ierarhie, unor grupuri li se pot defini setări mai stricte, în timp ce altora li se poate acorda acces la alte fișiere și acțiuni din sistem.

În plus, atunci când o persoană nouă intră în companie, computerul său va primi imediat setul necesar de setări, unde sunt incluse componentele pentru lucru.

1. Versatilitate în instalare software.

Apropo, despre componente - folosind Active Directory, puteți aloca imprimante, instalați programele necesare imediat tuturor angajaților, setați setările de confidențialitate. În general, crearea unei baze de date va optimiza semnificativ munca, va monitoriza securitatea și va uni utilizatorii pentru o eficiență maximă.

Iar dacă compania operează o utilitate separată sau servicii speciale, acestea pot fi sincronizate cu domenii și ușurează accesul la ele. Cum? Dacă combinați toate produsele utilizate în companie, angajatul nu va trebui să introducă diferite date de conectare și parole pentru a intra în fiecare program - aceste informații vor fi comune.

Acum că beneficiile și semnificația utilizării Active Directory sunt clare, să ne uităm la procesul de instalare a acestor servicii.

Utilizarea unei baze de date pe Windows Server 2012

Instalarea și configurarea Active Directory nu este dificilă și este, de asemenea, mai ușoară decât pare la prima vedere.

Pentru a încărca serviciile, mai întâi trebuie să faceți următoarele:

1. Schimbați numele computerului: faceți clic pe „Start”, deschideți Panoul de control, elementul „Sistem”. Selectați „Modificare setări” și în Proprietăți vizavi de linia „Nume computer”, faceți clic pe „Schimbare”, introduceți o nouă valoare pentru computerul gazdă.
2. Reporniți după cum cere computerul.
3. Setați setările de rețea astfel:
   • Prin panoul de control, deschideți meniul cu rețele și partajare.
   • Setări corecte ale adaptorului. Faceți clic dreapta pe „Proprietăți” și deschideți fila „Rețea”.
   • În fereastra din listă, faceți clic pe Protocolul Internet la numărul 4, faceți din nou clic pe „Proprietăți”.
   • Introduceți setările necesare, de exemplu: adresa IP - 192.168.10.252, masca de subrețea - 255.255.255.0, sub-gateway principal - 192.168.10.1.
   • În linia „Server DNS preferat” specificați adresa serverului local, în „Alternative...” - alte adrese ale serverelor DNS.
   • Salvați modificările și închideți ferestrele.

Instalați rolurile Active Directory astfel:

1. La început, deschideți „Manager server”.
2. Din meniu, selectați Adăugați roluri și funcții.
3. Vrăjitorul va porni, dar puteți sări peste prima fereastră de descriere.
4. Verificați linia „Instalați roluri și funcții”, continuați.
5. Selectați computerul pentru a pune Active Directory pe el.
6. Din listă, verificați rolul pe care doriți să îl încărcați - pentru cazul dvs., acesta este „Active Directory Domain Services”.
7. Va apărea o mică fereastră care vă va cere să descărcați componentele necesare pentru servicii - acceptați-o.
8. După ce vi se va solicita să instalați alte componente - dacă nu aveți nevoie de ele, săriți peste acest pas făcând clic pe „Următorul”.
9. Expertul de configurare va afișa o fereastră cu descrieri ale serviciilor pe care le instalați - citiți mai departe și continuați.
10. Va apărea o listă de componente pe care urmează să le instalăm - verificați dacă totul este corect și, dacă da, faceți clic pe butonul corespunzător.
11. Închideți fereastra când procesul este finalizat.
12. Asta este - serviciile sunt încărcate pe computer.

Configurarea Active Directory

Pentru a configura un serviciu de domeniu, trebuie să faceți următoarele:

• Lansați vrăjitorul de configurare cu același nume.
• Faceți clic pe indicatorul galben din partea de sus a ferestrei și selectați „Promovați serverul la un controler de domeniu”.
• Faceți clic pe adăugați o nouă „pădure” și creați un nume pentru domeniul rădăcină, apoi faceți clic pe „Următorul”.
• Specificați modurile de funcționare ale „pădurii” și domeniul - cel mai adesea acestea coincid.
• Creați o parolă, dar asigurați-vă că o amintiți. Mergi mai departe.
• După aceea, este posibil să vedeți un avertisment că domeniul nu este delegat și o sugestie de a verifica numele domeniului - puteți sări peste acești pași.
• În fereastra următoare, puteți schimba calea către directoarele bazei de date - faceți acest lucru dacă acestea nu vă convin.
• Acum veți vedea toate opțiunile pe care urmează să le setați - vedeți dacă le-ați ales corect și continuați.
• Aplicația va verifica dacă sunt îndeplinite condițiile preliminare, iar dacă nu există comentarii sau nu sunt critice, faceți clic pe „Instalare”.
• După finalizarea instalării, computerul se va reporni singur.

S-ar putea să vă întrebați, de asemenea, cum să adăugați un utilizator la baza de date. Pentru a face acest lucru, utilizați meniul „Utilizatori sau computere Active Directory”, pe care îl veți găsi în secțiunea „Administrare” din panoul de control, sau utilizați meniul de setări a bazei de date.

Pentru a adăuga un utilizator nou, faceți clic dreapta pe numele domeniului, selectați „Creare”, după „Subdiviziune”. În fața dvs. va apărea o fereastră în care trebuie să introduceți numele noului departament - servește ca dosar în care puteți colecta utilizatori din diferite departamente. În același mod, mai târziu vei crea mai multe divizii și vei plasa corect toți angajații.

Apoi, când ați creat numele departamentului, faceți clic dreapta pe el și selectați „Creare”, după - „Utilizator”. Acum rămâne doar să introduceți datele necesare și să setați setările de acces pentru utilizator.

Odată ce noul profil a fost creat, faceți clic pe el selectând meniul contextualși deschideți Proprietăți. În fila „Cont”, debifați caseta de lângă „Blocați...”. Asta e tot.

Concluzia generală este că Active Directory este un instrument puternic și util pentru managementul sistemului, care va ajuta la unirea computerelor tuturor angajaților într-o singură echipă. Cu ajutorul serviciilor, puteți crea o bază de date securizată și puteți optimiza semnificativ munca și sincronizarea informațiilor între toți utilizatorii. Dacă compania dvs. și orice alt loc de muncă este conectat la computere electronice și la rețea, trebuie să consolidați conturile și să urmăriți munca și confidențialitatea, instalarea unei baze de date bazate pe Active Directory va fi o soluție excelentă.

Active Directory (AD) este un utilitar conceput pentru sistemul de operare Microsoft Server. A fost creat inițial ca un algoritm ușor pentru accesarea directoarelor utilizatorilor. Cu versiuni Windows Server 2008 a introdus integrarea cu serviciile de autorizare.

Vă oferă posibilitatea de a respecta o politică de grup care aplică același tip de setări și software pe toate computerele controlate folosind System Center Configuration Manager.

Dacă în cuvinte simple pentru începători, acesta este un rol de server care vă permite să gestionați toate accesele și permisiunile din rețeaua locală dintr-un singur loc

Funcții și scopuri

Microsoft Active Directory - (așa-numitul director) un pachet de instrumente care vă permite să manipulați utilizatorii și datele din rețea. obiectivul principal Creare - Facilitează munca administratorilor de sistem în rețele extinse.

Directoarele conțin diverse informații legate de utilizatori, grupuri, dispozitive de rețea, resurse de fișiere - într-un cuvânt, obiecte. De exemplu, atributele utilizatorului care sunt stocate în director ar trebui să fie următoarele: adresă, autentificare, parolă, număr telefon mobil etc. Directorul este folosit ca puncte de autentificare, cu care puteți găsi informațiile necesare despre utilizator.

Concepte de bază întâlnite în cursul muncii

Există o serie de concepte specializate care se aplică atunci când lucrați cu AD:

1. Serverul este computerul care conține toate datele.
2. Controlerul este un server cu rol AD ​​care se ocupă de solicitările de la persoanele care folosesc domeniul.
3. Un domeniu AD este o colecție de dispozitive unite sub un nume unic care utilizează simultan o bază de date de directoare comună.
4. Magazinul de date este partea din director care este responsabilă pentru stocarea și preluarea datelor de la orice controler de domeniu.

Cum funcționează directoarele active

Principiile principale de lucru sunt:

• Autorizare, cu care devine posibilă utilizarea unui PC în rețea prin simpla introducere a unei parole personale. Cu toate acestea, toate informațiile de la cont transferat.
• Securitate. Active Directory conține caracteristici de recunoaștere a utilizatorilor. Pentru orice obiect de rețea, puteți seta de la distanță, de pe un singur dispozitiv, drepturile necesare, care vor depinde de categorii și utilizatori specifici.
• Administrarea rețelei dintr-un punct. În timp ce lucrează cu Active Directory, administratorul de sistem nu trebuie să reconfigureze toate PC-urile dacă trebuie să modificați drepturile de acces, de exemplu, la o imprimantă. Modificările se fac de la distanță și la nivel global.
• Complet Integrare DNS. Cu ajutorul lui, nu există confuzie în AD, toate dispozitivele sunt desemnate în același mod ca și în World Wide Web.
• scară largă. O colecție de servere poate fi controlată de un singur Active Directory.
• Căutare se realizează în funcție de diverși parametri, de exemplu, numele computerului, autentificare.

Obiecte și atribute

Obiect - un set de atribute, unite sub propriul nume, reprezentând o resursă de rețea.

Atribut - caracteristici ale obiectului din catalog. De exemplu, acestea includ numele complet al utilizatorului, datele de conectare ale acestuia. Dar atributele unui cont de PC pot fi numele acestui computer și descrierea acestuia.

„Angajat” este un obiect care are atributele „Nume”, „Poziție” și „TabN”.

Container LDAP și nume

Containerul este un tip de obiect care poate constau din alte obiecte. Un domeniu, de exemplu, poate include obiecte de cont.

Scopul lor principal este ordonarea obiectelor după tipul de semne. Cel mai adesea, containerele sunt folosite pentru a grupa obiecte cu aceleași atribute.

Aproape toate containerele se mapează la o colecție de obiecte, iar resursele se mapează la un obiect Active Directory unic. Unul dintre principalele tipuri de containere AD este unitatea organizațională sau OU (unitatea organizațională). Obiectele care sunt plasate în acest container aparțin numai domeniului în care sunt create.

Protocolul ușor de acces la director (LDAP) este algoritmul de bază pentru conexiunile TCP/IP. A fost creat pentru a reduce cantitatea de nuanță în timpul accesului la serviciile de director. De asemenea, LDAP definește acțiunile utilizate pentru a interoga și edita datele directorului.

Arborele și site-ul

Un arbore de domenii este o structură, o colecție de domenii care au o schemă și o configurație comune, care formează un spațiu de nume comun și sunt legate prin relații de încredere.

O pădure de domenii este o colecție de copaci legați între ele.

Site - o colecție de dispozitive în subrețele IP, reprezentând modelul fizic al rețelei, a cărui planificare se realizează indiferent de reprezentarea logică a construcției acesteia. Active Directory are capacitatea de a crea n site-uri sau de a combina n domenii sub un singur site.

Instalarea și configurarea Active Directory

Acum să trecem direct la configurarea Active Directory folosind Windows Server 2008 ca exemplu (la alte versiuni, procedura este identică):

Faceți clic pe butonul „OK”. Rețineți că aceste valori nu sunt necesare. Puteți utiliza adresa IP și DNS din rețeaua dvs.

• Apoi, trebuie să mergeți la meniul „Start”, selectați „Instrumente administrative” și „”.
  
• Accesați elementul „Roluri”, selectați „ Adăugați roluri”.
  
• Selectați „Active Directory Domain Services”, faceți clic pe „Next” de două ori, apoi pe „Install”.
  
• Așteptați ca instalarea să se termine.
  
• Deschideți meniul Start -“ Alerga". Introduceți dcpromo.exe în câmp.
  
• Faceți clic pe „Următorul”.
  
• Selectați elementul " Creați un domeniu nou într-o pădure nouă” și faceți clic din nou pe „Următorul”.
  
• În fereastra următoare, introduceți un nume, faceți clic pe „Următorul”.
  
• Alege Mod de compatibilitate(Windows Server 2008).
  
• În fereastra următoare, lăsați totul ca implicit.
  
• o sa inceapa fereastra de configurareDNS. Deoarece nu a fost folosit pe server înainte, delegația nu a fost creată.
  
• Selectați un director pentru instalare.
  
• După acest pas, trebuie să setați parola de administrare.

Pentru a fi sigură, parola trebuie să îndeplinească următoarele cerințe:

După ce AD ​​finalizează procesul de configurare a componentelor, trebuie să reporniți serverul.

Configurarea este completă, snap-in-ul și rolul sunt instalate în sistem. Puteți instala AD numai pe Windows din familia Server, versiunile obișnuite, precum 7 sau 10, vă pot permite doar să instalați consola de management.

Administrare în Active Directory

În mod implicit, în Windows Server, consola Active Directory Users and Computers funcționează cu domeniul căruia îi aparține computerul. Puteți accesa computer și obiecte utilizator din acest domeniu prin arborele consolei sau vă puteți conecta la un alt controler.

Aceleași instrumente de consolă vă permit să vizualizați Opțiuni suplimentare obiecte și căutați-le, puteți crea utilizatori noi, grupuri și puteți modifica permisiunile.

Apropo, există 2 tipuri de grupuriîn Active Directory - securitate și distribuție. Grupurile de securitate sunt responsabile pentru delimitarea drepturilor de acces la obiecte, acestea putând fi folosite ca grupuri de distribuție.

Grupurile de distribuție nu pot diferenția drepturile, dar sunt utilizate în principal pentru a distribui mesaje în rețea.

Ce este AD Delegation

Delegația în sine este transferul unei părți din permisiuni și control de la obiectul părinte la cealaltă parte responsabilă.

Se știe că fiecare organizație are mai mulți administratori de sistem în sediul său. Sarcini diferite ar trebui să fie atribuite umerilor diferiți. Pentru a aplica modificări, trebuie să aveți drepturi și permisiuni, care sunt împărțite în standard și speciale. Special - aplicabil unui obiect specific și standard - un set de permisiuni existente care fac anumite funcții disponibile sau indisponibile.

Stabilirea relațiilor de încredere

Există două tipuri de relații de încredere în AD: „unidirecționale” și „bidirecționale”. În primul caz, un domeniu are încredere în altul, dar nu invers, primul are acces la resursele celui de-al doilea, iar al doilea nu are acces. În a doua formă, încrederea este „reciprocă”. Există, de asemenea, relații de „ieșire” și „de intrare”. În ieșire, primul domeniu are încredere în al doilea, permițând astfel utilizatorilor celui de-al doilea să utilizeze resursele primului.

În timpul instalării, trebuie efectuate următoarele proceduri:

• Verifica conexiuni de rețea între controlere.
• Verificați setările.
• Ton rezoluție nume pentru domenii externe.
• Creați conexiune din domeniul de încredere.
• Creați o conexiune din partea controlerului căreia îi este adresată încrederea.
• Verificați relațiile unidirecționale create.
• În cazul în care un există o nevoieîn stabilirea relaţiilor bilaterale – să facă instalarea.

Director global

Acesta este controlerul de domeniu care păstrează copii ale tuturor obiectelor din pădure. Oferă utilizatorilor și programelor posibilitatea de a căuta obiecte în orice domeniu din pădurea curentă folosind descoperitori de atribute incluse în catalogul global.

Catalogul global (GC) include un set limitat de atribute pentru fiecare obiect forestier din fiecare domeniu. Primește date de la toate partițiile de director de domeniu din pădure și le replic folosind procesul standard de replicare Active Directory.

Schema determină dacă atributul va fi copiat. Există o posibilitate configurarea caracteristicilor suplimentare, care va fi re-creat în catalogul global folosind „Schema Active Directory”. Pentru a adăuga un atribut la catalogul global, trebuie să selectați atributul de replicare și să utilizați opțiunea „Copiere”. Aceasta va crea o replicare a atributului în catalogul global. Valoarea parametrului atribut isMemberOfPartialAttributeSet va deveni adevărat.

Pentru a afla locatia catalog global, trebuie Linie de comanda introduce:

Server Dsquery –isgc

Replicarea datelor în Active Directory

Replicarea este o procedură de copiere care se realizează atunci când este necesar să se stocheze informații la fel de actualizate care există pe orice controler.

Este produs fără intervenția operatorului. Există următoarele tipuri de conținut replicat:

• Replicile de date sunt create din toate domeniile existente.
• Replicile schemei de date. Deoarece schema de date este aceeași pentru toate obiectele din pădurea Active Directory, replicile sale sunt păstrate în toate domeniile.
• datele de configurare. Afișează construirea de copii între controlere. Informațiile se aplică tuturor domeniilor din pădure.

Principalele tipuri de replici sunt intra-nod și inter-nod.

În primul caz, după modificări, sistemul așteaptă, apoi notifică partenerul să creeze o replică pentru a finaliza modificările. Chiar și în absența modificărilor, procesul de replicare are loc automat după o anumită perioadă de timp. După aplicarea modificărilor rupturi la directoare, replicarea are loc imediat.

Procedura de replicare între noduri se întâmplă între ele sarcină minimă în rețea, aceasta evită pierderea de informații.

Administratorii de rețea Windows nu pot scăpa de familiarizarea cu . Acest articol de prezentare generală va fi dedicat ce este Active Directory și cu ce se mănâncă.

Deci, Active Directory este implementarea de către Microsoft a unui serviciu de directoare. Serviciul de director în acest caz înseamnă un pachet software care ajută administrator de sistem lucrați cu resurse de rețea, cum ar fi foldere partajate, servere, stații de lucru, imprimante, utilizatori și grupuri.

Active Directory are o structură ierarhică formată din obiecte. Toate obiectele sunt împărțite în trei categorii principale.

• Conturi de utilizator și computer;
• Resurse (de exemplu, imprimante);
• Servicii (ex. E-mail).

Fiecare obiect are un nume unic și are o serie de caracteristici. Obiectele pot fi grupate.

Proprietățile utilizatorului

Active Directory are o structură de pădure. Pădurea are mai mulți copaci care conțin domenii. Domeniile, la rândul lor, conțin obiectele de mai sus.

Structura Active Directory

De obicei, obiectele dintr-un domeniu sunt grupate în OU. Subdiviziunile servesc la construirea unei ierarhii în cadrul unui domeniu (organizații, subdiviziuni teritoriale, departamente etc.). Acest lucru este deosebit de important pentru organizațiile care sunt dispersate geografic. La construirea unei structuri, se recomandă crearea cât mai puține domenii, creând, dacă este necesar, diviziuni separate. Este logic să se aplice politicile de grup asupra lor.

Proprietățile stației de lucru

O altă modalitate de a structura Active Directory sunt site-uri. Site-urile sunt o modalitate de grupare fizică, mai degrabă decât logică, bazată pe segmente de rețea.

După cum sa menționat deja, fiecare obiect din Active Directory are un nume unic. De exemplu, o imprimantă HPLaserJet4350dtn, care se află în divizia Avocați si in domeniu primer.ru va avea un nume CN=HPLaserJet4350dtn,OU=Avocați,DC=primer,DC=ru. CN este un nume comun ou- compartimentare DC— clasa obiect de domeniu. Un nume de obiect poate avea mult mai multe părți decât în ​​acest exemplu.

O altă formă a numelui obiectului arată astfel: primer.ru/Lawyers/HPLaserJet4350dtn. Fiecare obiect are, de asemenea, un identificator unic la nivel global ( GUID) este un șir unic și imuabil de 128 de biți utilizat de Active Directory pentru căutare și replicare. Unele obiecte au și un nume principal de utilizator ( UPN) în format obiect@domeniu.

Aici informatii generale despre ce este Active Directory și de ce sunt necesare rețele locale pe Baza Windows. În cele din urmă, este logic să spunem că administratorul are capacitatea de a lucra cu Active Directory de la distanță Instrumente de administrare la distanță a serverului pentru Windows 7 (KB958830)(Descarca) și Instrumente de administrare la distanță a serverului pentru Windows 8.1 (KB2693643) (Descarca).