Základné pojmy Active Directory. Active Directory doména - čo to je jednoduchými slovami, popisom a recenziami

Ako pomôže Aktívny adresáršpecialistov?

Uvediem malý zoznam „dobrôt“, ktoré možno získať nasadením služby Active Directory:

• jednotná registračná databáza používateľov, ktorá je uložená centrálne na jednom alebo viacerých serveroch; teda, keď sa v kancelárii objaví nový zamestnanec, budete mu musieť vytvoriť účet na serveri a uviesť, ku ktorým pracovným staniciam má prístup;
• keďže všetky zdroje domény sú indexované, používateľom to uľahčuje a zrýchľuje vyhľadávanie; napríklad, ak potrebujete nájsť farebnú tlačiareň v oddelení;
• kombinácia aplikácie povolení NTFS, skupinových zásad a delegovania kontroly vám umožní doladiť a rozdeliť práva medzi členmi domény;
• roamingové užívateľské profily umožňujú ukladať dôležité informácie a konfiguračné nastavenia na serveri; v skutočnosti, ak si používateľ s roamingovým profilom v doméne sadne k inému počítaču a zadá svoje používateľské meno a heslo, zobrazí sa mu pracovná plocha so svojimi obvyklými nastaveniami;
• pomocou skupinových zásad môžete zmeniť nastavenia operačných systémov používateľov, od umožnenia používateľovi nastaviť tapetu na pracovnej ploche až po nastavenia zabezpečenia, ako aj distribúciu softvéru cez sieť, napríklad klienta Volume Shadow Copy atď.;
• mnohé programy (proxy servery, databázové servery atď.) nielen od spoločnosti Microsoft sa dnes naučili používať doménovú autentifikáciu, takže nemusíte vytvárať ďalšiu databázu používateľov, ale môžete použiť existujúcu;
• používanie Služieb vzdialenej inštalácie uľahčuje nasadenie systémov na pracovné stanice, no funguje len vtedy, keď je nasadená adresárová služba.

A toto nie je úplný zoznam funkcií, ale o tom neskôr. Teraz sa vám pokúsim priblížiť samotnú logiku konštrukcie Aktívny adresár, ale opäť stojí za to prísť na to, z čoho sú naši chlapci. Aktívny adresár- Sú to domény, stromy, lesy, organizačné jednotky, skupiny používateľov a počítače.

Domény - Je to základná logická stavebná jednotka. V porovnaní s pracovnými skupinami AD domény Sú to bezpečnostné skupiny, ktoré majú jedinú registračnú základňu, zatiaľ čo pracovné skupiny sú len logickým zoskupením strojov. AD používa na svoje pomenovanie a vyhľadávacie služby Domain Name Server (DNS), a nie Windows Internet Name Service (WINS), ako to bolo v starších verziách NT. Názvy počítačov v doméne sú teda v tvare napríklad buh.work.com, kde buh je názov počítača v doméne work.com (hoci nie vždy to tak je).

Pracovné skupiny používajú názvy NetBIOS. Hostiť štruktúru domény AD možno pomocou servera DNS od inej spoločnosti ako Microsoft. Musí však byť v súlade s BIND 8.1.2 alebo vyšším a podporovať záznamy SRV (), ako aj protokol dynamickej registrácie (RFC 2136). Každá doména má aspoň jeden radič domény, ktorý je hostiteľom centrálnej databázy.

stromy - Ide o multidoménové štruktúry. Koreň tejto štruktúry je hlavnou doménou, pre ktorú vytvárate deti. V skutočnosti Active Directory používa hierarchickú štruktúru podobnú štruktúre domény v DNS.

Ak máme doménu work.com (doména prvej úrovne) a vytvoríme pre ňu dve podriadené domény first.work.com a second.work.com (tu prvá a druhá sú domény druhej úrovne a nie počítač v doméne , ako v prípade opísanom vyššie), skončíme so stromom domén.

Stromy sa používajú ako logická štruktúra, keď potrebujete rozdeliť pobočky spoločnosti, napríklad podľa geografie alebo z iných organizačných dôvodov.

AD pomáha automaticky vytvárať dôveryhodné vzťahy medzi každou doménou a jej dcérskymi doménami.

Vytvorenie domény first.work.com teda vedie k automatickému nadviazaniu obojsmerného dôveryhodného vzťahu medzi rodičom work.com a dieťaťom first.work.com (podobne ako pre second.work.com). Povolenia podriadenej domény je preto možné použiť z nadradenej domény a naopak. Nie je ťažké predpokladať, že dôveryhodné vzťahy budú existovať aj pre podriadené domény.

Ďalšou vlastnosťou dôveryhodných vzťahov je tranzitivita. Dostávame - pre doménu net.first.work.com sa vytvorí dôveryhodný vzťah s doménou work.com.

Les - Rovnako ako stromy sú to štruktúry s viacerými doménami. ale les Ide o spojenie stromov s rôznymi koreňovými doménami.

Predpokladajme, že sa rozhodnete mať niekoľko domén s názvami work.com a home.net a vytvoríte pre ne podriadené domény, ale pretože tld (doména najvyššej úrovne) nemáte pod kontrolou, v tomto prípade môžete usporiadať les výberom jednej domény. koreňových domén prvej úrovne. Krása vytvorenia lesa je v tomto prípade obojsmerný vzťah dôvery medzi dvoma doménami a ich podriadenými doménami.

Pri práci s lesmi a stromami však pamätajte na nasledovné:

• do stromu nemôžete pridať existujúcu doménu
• existujúci strom nemôže byť zahrnutý do lesa
• ak sú domény umiestnené v lese, nemožno ich presunúť do iného lesa
• nemôžete odstrániť doménu, ktorá má dcérske domény

Organizačné jednotky - v zásade možno nazvať subdomény. vám umožňujú zoskupiť používateľské účty, skupiny používateľov, počítače, zdieľané zdroje, tlačiarne a iné OU (organizačné jednotky) v doméne. Praktickou výhodou ich použitia je možnosť delegovať práva na správu týchto jednotiek.

Zjednodušene povedané, v doméne môžete určiť správcu, ktorý môže spravovať OU, ale nemá práva na správu celej domény.

Dôležitou vlastnosťou OU je na rozdiel od skupín možnosť aplikovať na ne skupinové politiky. "Prečo nemôžete rozdeliť pôvodnú doménu na viacero domén namiesto použitia OU?" - pýtaš sa.

Mnoho odborníkov odporúča mať jednu doménu, kedykoľvek je to možné. Dôvodom je decentralizácia správy pri vytváraní ďalšej domény, keďže správcovia každej takejto domény majú neobmedzenú kontrolu (nezabudnite, že pri delegovaní práv na správcov OU môžete obmedziť ich funkčnosť).

Okrem toho budete na vytvorenie novej domény (dokonca aj podradenej domény) potrebovať ďalší radič. Ak máte dve samostatné divízie spojené pomalým spojením, môžu nastať problémy s replikáciou. V tomto prípade by bolo vhodnejšie mať dve domény.

Aplikovanie skupinových zásad má ešte jednu nuanciu: zásady, ktoré definujú nastavenia hesla a uzamknutia účtu, možno použiť iba na domény. V prípade OU sa tieto nastavenia politiky ignorujú.

Stránky - Toto je spôsob fyzického oddelenia adresárovej služby. Podľa definície je stránka skupina počítačov prepojených kanálmi rýchleho prenosu údajov.

Ak máte niekoľko pobočiek v rôznych častiach krajiny, prepojených nízkorýchlostnými komunikačnými linkami, tak si pre každú pobočku môžete vytvoriť vlastnú webovú stránku. Toto sa robí s cieľom zlepšiť spoľahlivosť replikácie adresárov.

Toto rozdelenie AD nemá vplyv na princípy logickej konštrukcie, preto keďže stránka môže obsahovať viacero domén a naopak doména môže obsahovať viacero lokalít. Táto topológia adresárovej služby je však plná háčika. Internet sa zvyčajne používa na komunikáciu s pobočkami - veľmi neisté prostredie. Mnoho spoločností používa bezpečnostné funkcie, ako sú brány firewall. Adresárová služba vo svojej práci využíva asi tucet portov a služieb, ktorých otvorením, aby AD prevádzka prešla cez firewall, ju vlastne odkryje „von“. Riešením je použiť technológiu tunelovania a mať v každej lokalite doménový radič na urýchlenie spracovania požiadaviek AD klientov.

Je prezentovaná logika vnorenia komponentov adresárovej služby. Je vidieť, že les obsahuje dva stromy domén, v ktorých koreňová doména stromu môže obsahovať organizačné jednotky a skupiny objektov, ako aj podradené domény (v tomto prípade má každá jednu z nich). Podriadené domény môžu obsahovať aj skupiny objektov a organizačné jednotky a mať podriadené domény (na obrázku nie sú zobrazené). Atď. Dovoľte mi pripomenúť, že OU môžu obsahovať OU, objekty a skupiny objektov a skupiny môžu obsahovať iné skupiny.

Skupiny používateľov a počítačov - sa používajú na administratívne účely a majú rovnaký význam ako pri použití na lokálnych počítačoch v sieti. Na rozdiel od organizačných jednotiek nemôžete na skupiny aplikovať skupinovú politiku, ale môžete im delegovať kontrolu. V rámci schémy Active Directory sa rozlišujú dva typy skupín: bezpečnostné skupiny (používané na rozlíšenie prístupových práv k sieťovým objektom) a distribučné skupiny (používané najmä na odosielanie poštových správ napr. na Microsoft Exchange Server).

Sú rozdelené podľa rozsahu:

• univerzálne skupiny môže zahŕňať používateľov v rámci lesa, ako aj iné univerzálne skupiny alebo globálne skupiny ľubovoľnej domény v lese
• doménové globálne skupiny môže zahŕňať používateľov domény a iné globálne skupiny v rovnakej doméne
• lokálne skupiny domény sa používajú na rozlíšenie prístupových práv, môžu zahŕňať používateľov domény, ako aj univerzálne skupiny a globálne skupiny ľubovoľnej domény v lese
• lokálne počítačové skupiny- skupiny, ktoré obsahuje SAM (správca bezpečnostných účtov) lokálneho počítača. Sú obmedzené len na daný počítač, ale môžu zahŕňať lokálne skupiny pre doménu, v ktorej sa počítač nachádza, ako aj univerzálne a globálne skupiny pre vlastnú doménu alebo inú doménu, ktorej dôverujú. Môžete napríklad zahrnúť používateľa z lokálnej skupiny domény Users do skupiny Administrators na lokálnom počítači, čím mu udelíte práva správcu, ale iba pre tento počítač.

Active Directory je adresárová služba od spoločnosti Microsoft pre operačné systémy rodiny Windows NT.

Táto služba umožňuje správcom používať skupinovú politiku na zabezpečenie konzistentnosti nastavení používateľského prostredia, inštalácie softvéru, aktualizácií a podobne.

Čo je podstatou Active Directory a aké úlohy rieši? Pokračuj v čítaní.

Princípy peer-to-peer a multi-rank siete

Vyvstáva však ďalší problém, čo ak sa používateľ2 na PC2 rozhodne zmeniť svoje heslo? Potom, ak používateľ1 zmení heslo účtu, používateľ2 nebude môcť pristupovať k prostriedku na PC1.

Ďalší príklad: máme 20 pracovných staníc s 20 účtami, ku ktorým chceme niektorým udeliť prístup, na to musíme vytvoriť 20 účtov na súborovom serveri a poskytnúť prístup k požadovanému zdroju.

A ak ich nie je 20, ale 200?

Ako ste pochopili, správa siete sa týmto prístupom mení na totálne peklo.

Preto je prístup pracovnej skupiny vhodný pre malé kancelárske siete s maximálne 10 počítačmi.

Ak je v gride viac ako 10 pracovných staníc, stáva sa racionálne opodstatnený prístup, v ktorom má jeden sieťový uzol delegované práva na vykonávanie autentifikácie a autorizácie.

Táto stránka je radič domény – Active Directory.

Radič domény

Prevádzkovateľ vedie databázu účtov, t.j. vedie evidenciu pre PC1 aj PC2.

Teraz sú všetky účty zaregistrované v ovládači raz a potreba lokálnych účtov stráca zmysel.

Teraz, keď sa používateľ prihlási do počítača zadaním svojho používateľského mena a hesla, tieto údaje sa v uzavretej forme prenesú do radiča domény, ktorý vykoná overenie a autorizáciu.

Potom správca dá používateľovi, ktorý sa prihlásil, niečo ako pas, s ktorým ďalej pracuje v sieti a ktorý na žiadosť iných počítačov v sieti predkladá, servery, ku ktorým sa chce pripojiť.

Dôležité! Radič domény je počítač so službou Active Directory, ktorý riadi prístup používateľov k sieťovým prostriedkom. Ukladá zdroje (napríklad tlačiarne, zdieľané priečinky), služby (napríklad e-mail), ľudí (účty používateľov a skupín používateľov), počítače (počítačové účty).

Počet takto ušetrených zdrojov môže dosiahnuť milióny objektov.

Nasledujúce verzie MS Windows môžu fungovať ako doménový radič: Windows Server 2000/2003/2008/2012 okrem Web-Editions.

Radič domény, okrem toho, že je centrom sieťovej autentifikácie, je aj riadiacim centrom pre všetky počítače.

Ihneď po zapnutí začne počítač kontaktovať radič domény, dlho predtým, ako sa zobrazí okno overenia.

Overí sa teda nielen používateľ zadávajúci prihlasovacie meno a heslo, ale aj klientsky počítač.

Inštalácia Active Directory

Pozrime sa na príklad inštalácie služby Active Directory v systéme Windows Server 2008 R2. Ak chcete nainštalovať rolu Active Directory, prejdite do „Správcu servera“:

Pridajte rolu „Pridať roly“:

Vyberte rolu Active Directory Domain Services:

A pokračujeme v inštalácii:

Potom dostaneme okno s upozornením o nainštalovanej role:

Po nainštalovaní role radiča domény pokračujte v inštalácii samotného radiča domény.

Kliknite na „Štart“ vo vyhľadávacom poli programu, zadajte názov sprievodcu DCPromo, spustite ho a začiarknite políčko pre rozšírené nastavenia inštalácie:

Kliknite na „Ďalej“ z navrhovaných možností, vyberte vytvorenie novej domény a lesa.

Zadajte názov domény, napríklad example.net.

Zapíšeme názov domény NetBIOS bez zóny:

Vyberáme funkčnú úroveň našej domény:

Kvôli zvláštnostiam fungovania doménového radiča inštalujeme aj DNS server.

Skupinová politika je hierarchická infraštruktúra, ktorá umožňuje správcovi siete zodpovednému za Microsoft Active Directory implementovať špecifické konfigurácie pre používateľov a počítače. Zásady skupiny možno použiť aj na definovanie používateľských, bezpečnostných a sieťových zásad na úrovni počítača.

Definícia

Skupiny Active Directory pomáhajú správcom definovať nastavenia toho, čo môžu používatelia robiť v sieti, vrátane súborov, priečinkov a aplikácií, ku ktorým majú prístup. Kolekcie používateľských a počítačových nastavení sa nazývajú GPO a sú spravované z centrálneho rozhrania nazývaného Operačná konzola. Skupinovú politiku je možné ovládať aj pomocou nástrojov príkazového riadka, ako sú gpresult a gpupdate.

Služba Active Directory je novinkou v systéme Windows 2000 Server av roku 2003 bola vylepšená, aby sa stala ešte dôležitejšou súčasťou operačného systému. Windows Server 2003 AD poskytuje jediné prepojenie, nazývané adresárová služba, pre všetky objekty v sieti vrátane používateľov, skupín, počítačov, tlačiarní, politík a povolení.

Pre používateľa alebo správcu poskytuje konfigurácia služby Active Directory jediný hierarchický pohľad, z ktorého možno spravovať všetky sieťové zdroje.

Prečo implementovať Active Directory

Existuje mnoho dôvodov na implementáciu tohto systému. Po prvé, Microsoft Active Directory sa vo všeobecnosti považuje za významné zlepšenie oproti doménam Windows NT Server 4.0 alebo dokonca samostatným serverovým sieťam. AD má centralizovaný mechanizmus správy v celej sieti. Poskytuje tiež redundanciu a odolnosť voči chybám pri nasadzovaní dvoch alebo viacerých radičov domény v doméne.

Služba automaticky riadi komunikáciu medzi radičmi domény, aby bola sieť životaschopná. Používatelia majú prístup ku všetkým zdrojom v sieti, pre ktoré sú autorizovaní, pomocou jednotného prihlásenia. Všetky prostriedky v sieti sú chránené robustným bezpečnostným mechanizmom, ktorý overuje identitu užívateľa a oprávnenie na prostriedky pre každý prístup.

Dokonca aj so zlepšeným zabezpečením a ovládaním Active Directory je väčšina jeho funkcií pre koncových používateľov neviditeľná. Migrácia používateľov do siete AD ako taká vyžaduje trochu preškolenia. Služba ponúka prostriedky na rýchlu propagáciu a zrušenie hodnotenia radičov domény a členských serverov. Systém je možné spravovať a chrániť pomocou zásad skupiny Active Directory. Ide o flexibilný hierarchický organizačný model, ktorý vám umožňuje jednoducho spravovať a podrobne špecifikovať delegovanie administratívnych povinností. AD dokáže spravovať milióny objektov v rámci jednej domény.

Hlavné sekcie

Knihy zásad skupiny služby Active Directory sú usporiadané pomocou štyroch typov oddielov alebo štruktúr kontajnerov. Tieto štyri organizačné jednotky sú lesy, domény, organizačné jednotky a lokality:

Les je zbierka každého objektu, jeho atribútov a syntaxe.

Doména je množina počítačov, ktoré zdieľajú spoločnú sadu zásad, mená a databázu svojich členov.

Organizačné jednotky sú kontajnery, v ktorých je možné zoskupovať domény. Vytvárajú hierarchiu pre doménu a vytvárajú štruktúru spoločnosti v geografickom alebo organizačnom prostredí.

Lokality sú fyzické zoskupenia, ktoré sú nezávislé od rozsahu a štruktúry organizačných jednotiek. Lokality rozlišujú medzi miestami spojenými nízkorýchlostným a vysokorýchlostným pripojením a sú identifikované jednou alebo viacerými podsieťami IP.

Lesy nie sú obmedzené geografiou ani topológiou siete. Jeden les môže obsahovať viacero domén, pričom každá má spoločnú schému. Členovia domény v rovnakej doménovej štruktúre dokonca nepotrebujú vyhradené pripojenie k sieti LAN alebo WAN. Jedna sieť môže byť aj domovom niekoľkých nezávislých lesov. Vo všeobecnosti by sa mal pre každú právnickú osobu využívať jeden les. Na testovacie a výskumné účely mimo produkčného lesa však môžu byť potrebné ďalšie lešenia.

domény

Domény Active Directory slúžia ako kontajnery pre bezpečnostné politiky a administratívne priradenia. V predvolenom nastavení sa na všetky objekty v nich vzťahuje skupinová politika. Podobne môže každý správca spravovať všetky objekty v rámci domény. Každá doména má navyše svoju jedinečnú databázu. Autentifikácia sa teda vykonáva na základe domény. Po overení používateľského účtu je tomuto účtu udelený prístup k zdrojom.

Na konfiguráciu skupinovej politiky v Active Directory je potrebná jedna alebo viacero domén. Ako už bolo spomenuté, doména AD je kolekcia počítačov, ktoré zdieľajú spoločnú sadu politík, názov a databázu svojich členov. Doména musí mať jeden alebo viac serverov, ktoré slúžia ako radiče domény (DC) a ukladajú databázu, udržiavajú politiky a poskytujú autentifikáciu pre prihlásenia.

Radiče domén

V systéme Windows NT boli základný radič domény (PDC) a záložný radič domény (BDC) roly, ktoré bolo možné priradiť k serveru v sieti počítačov s operačným systémom Windows. Systém Windows použil myšlienku domény na riadenie prístupu k skupine sieťových zdrojov (aplikácie, tlačiarne atď.) pre skupinu používateľov. Používateľ sa potrebuje iba prihlásiť do domény, aby získal prístup k prostriedkom, ktoré môžu byť umiestnené na niekoľkých rôznych serveroch v sieti.

Jeden server, známy ako primárny radič domény, spravoval databázu primárnych užívateľov pre doménu. Jeden alebo viac serverov bolo určených ako záložné radiče domény. Primárny radič pravidelne odosielal kópie databázy do záložných radičov domény. Pohotovostný radič domény sa môže prihlásiť ako primárny radič domény v prípade, že server PDC zlyhá, a môže tiež pomôcť vyrovnať pracovné zaťaženie, ak je sieť dostatočne vyťažená.

Delegovanie a konfigurácia Active Directory

V systéme Windows 2000 Server, zatiaľ čo radiče domény boli zachované, roly servera PDC a BDC boli z veľkej časti nahradené službou Active Directory. Na oddelenie administrátorských práv už nie je potrebné vytvárať samostatné domény. V rámci AD môžete delegovať oprávnenia správcu na základe organizačných jednotiek. Domény už nie sú obmedzené na 40 000 používateľov. AD domény môžu spravovať milióny objektov. Keďže už neexistujú žiadne PDC a BDC, konfigurácia skupinovej politiky služby Active Directory používa replikáciu viacerých hlavných serverov a všetky radiče domény sú typu peer-to-peer.

Organizačná štruktúra

Organizačné jednotky sú oveľa flexibilnejšie a ľahšie spravovateľné ako domény. Organizačné jednotky vám poskytujú takmer neobmedzenú flexibilitu, pretože ich môžete presúvať, mazať a vytvárať nové jednotky podľa potreby. Domény sú však v nastaveniach štruktúry oveľa reštriktívnejšie. Domény je možné vymazať a znova vytvoriť, ale tento proces destabilizuje prostredie a je potrebné sa mu vyhnúť vždy, keď je to možné.

Lokality sú kolekcie IP podsietí, ktoré majú rýchlu a spoľahlivú komunikáciu medzi všetkými hostiteľmi. Ďalším spôsobom vytvorenia lokality je pripojenie k sieti LAN, ale nie pripojenie k sieti WAN, pretože pripojenia WAN sú výrazne pomalšie a menej spoľahlivé ako pripojenia k sieti LAN. Pomocou stránok môžete kontrolovať a znižovať objem prevádzky, ktorá prechádza cez vaše pomalé linky WAN. Výsledkom môže byť efektívnejší prevádzkový tok pre výkonové úlohy. Môže tiež znížiť náklady na WAN za služby s platbou za bit.

Sprievodca infraštruktúrou a globálny katalóg

Medzi ďalšie kľúčové komponenty Windows Server v Active Directory patrí Sprievodca infraštruktúrou (IM), čo je plne funkčná služba FSMO (Flexible Single Operations Wizard) zodpovedná za automatický proces, ktorý zachytáva zastarané prepojenia, známe ako fantómy, v databáze Active Directory.

Fantómy sa vytvárajú na DC, ktoré vyžadujú krížové odkazovanie medzi objektom v rámci vlastnej databázy a objektom z inej domény v lese. Stane sa to napríklad vtedy, keď pridáte používateľa z jednej domény do skupiny v inej doméne v rovnakej doméne. Fantómy sa považujú za zastarané, keď už neobsahujú aktualizované údaje, ktoré sú výsledkom zmien vykonaných v cudzom objekte, ktorý fantóm predstavuje. Napríklad, keď je cieľ premenovaný, presunutý, prenesený medzi doménami alebo vymazaný. Za nájdenie a opravu zastaraných fantómov je výlučne zodpovedný vedúci infraštruktúry. Všetky zmeny vykonané ako výsledok procesu "opravy" sa potom musia replikovať do iných radičov domény.

Sprievodca infraštruktúrou je niekedy zamieňaný s globálnym katalógom (GC), ktorý uchováva čiastočnú kópiu len na čítanie každej domény v lese a okrem iného sa používa na všeobecné ukladanie skupín a spracovanie prihlasovania. Keďže GC uchovávajú čiastočnú kópiu všetkých objektov, môžu vytvárať medzidoménové referencie bez potreby fantómov.

Active Directory a LDAP

Spoločnosť Microsoft zahŕňa protokol LDAP (Lightweight Directory Access Protocol) ako integrálnu súčasť služby Active Directory. LDAP je softvérový protokol, ktorý umožňuje komukoľvek nájsť organizácie, jednotlivcov a iné zdroje, ako sú súbory a zariadenia v sieti, či už na verejnom internete alebo na podnikovom intranete.

V sieťach TCP / IP (vrátane internetu) je systém názvov domén (DNS) adresárový systém používaný na mapovanie názvu domény ku konkrétnej sieťovej adrese (jedinečné umiestnenie v sieti). Možno však nepoznáte názov domény. LDAP vám umožňuje vyhľadávať ľudí bez toho, aby ste vedeli, kde sa nachádzajú (hoci vám pri hľadaní pomôže viac informácií).

Adresár LDAP je usporiadaný v jednoduchej hierarchickej hierarchii s nasledujúcimi úrovňami:

Koreňový adresár (umiestnenie zdroja alebo zdroj stromu).

• organizácie.

  Organizačné zložky (oddelenia).

  Jednotlivci (vrátane ľudí, súborov a zdieľaných zdrojov, ako sú tlačiarne).

Adresár LDAP môže byť distribuovaný na mnoho serverov. Každý server môže mať replikovanú verziu zdieľaného adresára, ktorý sa pravidelne synchronizuje.

Pre každého správcu je dôležité pochopiť, čo je LDAP. Pretože vyhľadávanie informácií v Active Directory a možnosť vytvárať LDAP dotazy sú užitočné najmä pri hľadaní informácií uložených v databáze AD. Z tohto dôvodu mnohí správcovia kladú veľký dôraz na zvládnutie filtra vyhľadávania LDAP.

Skupinová politika a správa Active Directory

Je ťažké diskutovať o AD bez spomenutia skupinovej politiky. Správcovia môžu použiť skupinovú politiku v službe Microsoft Active Directory na definovanie nastavení pre používateľov a počítače v sieti. Tieto nastavenia sú nakonfigurované a uložené v takzvaných objektoch skupinovej politiky (GPO), ktoré sú potom prepojené s objektmi služby Active Directory vrátane domén a lokalít. Toto je hlavný mechanizmus uplatňovania zmien na počítačoch pre používateľov v prostredí Windows.

Vďaka Group Policy Management môžu správcovia globálne konfigurovať nastavenia pracovnej plochy na používateľských počítačoch, obmedziť/povoliť prístup k určitým súborom a priečinkom v sieti.

Aplikácia skupinových zásad

Je dôležité pochopiť, ako sa GPO používajú a aplikujú. Pre nich je prijateľné nasledovné poradie: najprv sa aplikujú politiky miestnych počítačov, potom politiky lokality, potom politiky domény a potom politiky aplikované na jednotlivé organizačné jednotky. Používateľ alebo počítačový objekt môže súčasne patriť iba do jednej lokality a jednej domény, takže dostanú iba objekty GPO, ktoré sú priradené k danej lokalite alebo doméne.

Objektová štruktúra

GPO sú rozdelené do dvoch odlišných častí: šablóna skupinovej politiky (GPT) a kontajner zásad skupiny (GPC). Šablóna GPO je zodpovedná za ukladanie určitých nastavení vytvorených v GPO a je nevyhnutná pre jej úspech. Tieto nastavenia ukladá do veľkej štruktúry priečinkov a súborov. Aby sa nastavenia úspešne aplikovali na všetky objekty používateľa a počítača, GPT sa musí replikovať na všetky radiče v doméne.

Kontajner skupinovej politiky je súčasťou objektu GPO uloženého v službe Active Directory, ktorý sa nachádza na každom radiči domény v doméne. GPC je zodpovedná za udržiavanie odkazov na rozšírenia klienta (CSE), cesty GPT, ciest k inštalačným balíkom softvéru a ďalších odkazovaných aspektov GPO. GPC neobsahuje veľa informácií súvisiacich s príslušným GPO, ale je to potrebné pre funkčnosť GPO. Keď sú nakonfigurované zásady inštalácie softvéru, GPC pomáha udržiavať prepojenia spojené s GPO a ukladá ďalšie relačné prepojenia a cesty uložené v atribútoch objektu. Poznať štruktúru GPC a spôsob prístupu k skrytým informáciám uloženým v atribútoch sa oplatí, keď potrebujete identifikovať problém so skupinovou politikou.

V systéme Windows Server 2003 spoločnosť Microsoft vydala svoje riešenie Group Policy Management ako nástroj na federáciu údajov vo forme modulu snap-in známeho ako Group Policy Management Console (GPMC). GPMC poskytuje rozhranie správy zamerané na GPO, ktoré výrazne zjednodušuje správu, správu a umiestnenie GPO. Prostredníctvom GPMC môžete vytvárať nové objekty GPO, upravovať a upravovať objekty, vystrihovať/kopírovať/vkladať objekty GPO, zálohovať objekty a vykonávať výsledný súbor politík.

Optimalizácia

So zvyšujúcim sa počtom riadených objektov GPO výkon ovplyvňuje počítače v sieti. Tip: Ak sa výkon zníži, obmedzte sieťové nastavenia objektu. Čas spracovania sa zvyšuje priamoúmerne s počtom jednotlivých nastavení. Relatívne jednoduché konfigurácie, ako sú nastavenia pracovnej plochy alebo zásady programu Internet Explorer, nemusia trvať dlho, zatiaľ čo presmerovania softvérových priečinkov môžu značne zaťažiť sieť, najmä počas špičiek.

Rozdeľte vlastné objekty GPO a potom zakážte nepoužívanú časť. Jedným z najlepších postupov na zvýšenie produktivity a zníženie zmätku v správe je vytvorenie samostatných objektov pre parametre, ktoré sa budú vzťahovať na počítače a samostatné na používateľov.

Active Directory je služba správy systému. Sú oveľa lepšou alternatívou k lokálnym skupinám a umožňujú vytvárať počítačové siete s efektívnou správou a spoľahlivou ochranou dát.

Ak ste sa ešte nestretli s konceptom Active Directory a neviete, ako takéto služby fungujú, tento článok je určený práve vám. Poďme zistiť, čo tento koncept znamená, aké sú výhody takýchto databáz a ako ich vytvoriť a nakonfigurovať na prvé použitie.

Active Directory je veľmi pohodlný spôsob správy systému. Pomocou služby Active Directory môžete efektívne spravovať svoje údaje.

Tieto služby vám umožňujú vytvoriť jednu databázu spravovanú radičmi domény. Ak vlastníte podnik, prevádzkujete kanceláriu, celkovo ovládate činnosť mnohých ľudí, ktorí sa potrebujú zjednotiť, takáto doména sa vám bude hodiť.

Zahŕňa všetky objekty – počítače, tlačiarne, faxy, používateľské účty a ďalšie. Súčet domén, na ktorých sa údaje nachádzajú, sa nazýva „les“. Základňa Active Directory je doménové prostredie, v ktorom môže byť počet objektov až 2 miliardy. Viete si predstaviť túto škálu?

To znamená, že pomocou takéhoto „lesa“ alebo databázy je možné pripojiť veľké množstvo zamestnancov a zariadení v kancelárii a bez odkazu na miesto – v službách sa môžu pripojiť aj ďalší používatelia, napr. , z kancelárie firmy v inom meste.

Okrem toho sa v rámci Active Directory vytvára a spája niekoľko domén – čím väčšia spoločnosť, tým viac nástrojov je potrebných na ovládanie jej technológie v rámci databázy.

Ďalej pri vytváraní takejto siete je určená jedna kontrolná doména a aj pri následnej prítomnosti ďalších domén zostáva tá pôvodná stále „rodičovská“ – teda len on má plný prístup k správe informácií.

Kde sú tieto údaje uložené a ako existujú domény? Radiče sa používajú na vytváranie Active Directory. Väčšinou sú dve – ak sa jednému niečo stane, informácia sa uloží na druhý ovládač.

Ďalšou možnosťou využitia databázy je, ak napríklad vaša spoločnosť spolupracuje s inou a vy musíte dokončiť spoločný projekt. V tomto prípade môže byť potrebný prístup neoprávnených osôb k súborom domény a tu môžete nastaviť akýsi „vzťah“ medzi dvoma rôznymi „lesmi“, otvoriť prístup k požadovaným informáciám bez toho, aby ste riskovali bezpečnosť zvyšku údajov.

Vo všeobecnosti je Active Directory nástroj na vytváranie databázy v rámci určitej štruktúry bez ohľadu na jej veľkosť. Používatelia a všetky zariadenia sú zjednotené do jedného „lesa“, vytvárajú sa domény, ktoré sú umiestnené na radičoch.

Je tiež vhodné objasniť, že služby môžu fungovať iba na zariadeniach so serverovými systémami Windows. Okrem toho sú na radičoch vytvorené 3-4 servery DNS. Obsluhujú hlavnú zónu domény av prípade, že jedna z nich zlyhá, nahradia ju iné servery.

Po krátkom prehľade Active Directory pre figuríny vás prirodzene zaujíma otázka – prečo meniť lokálnu skupinu na celú databázu? Prirodzene, tu je pole možností mnohonásobne širšie a aby sme zistili ďalšie rozdiely medzi týmito službami pre správu systému, pozrime sa bližšie na ich výhody.

Výhody služby Active Directory

Výhody Active Directory sú nasledovné:

1. Použitie jedného zdroja na autentifikáciu. V takejto situácii musíte na každý počítač pridať všetky účty, ktoré vyžadujú prístup k všeobecným informáciám. Čím viac používateľov a technikov, tým ťažšie je synchronizovať tieto údaje medzi nimi.

A tak pri používaní služieb s databázou sú účty uložené v jednom bode a zmeny sa prejavia okamžite na všetkých počítačoch.

Ako to funguje? Každý zamestnanec, ktorý príde do kancelárie, spustí systém a prihlási sa do svojho účtu. Požiadavka na prihlásenie sa automaticky odošle na server a cez ňu prebehne autentifikácia.

Čo sa týka určitého poriadku vo vedení evidencie, vždy môžete používateľov rozdeliť do skupín – „Ľudské zdroje“ alebo „Účtovníctvo“.

Ešte jednoduchšie je v tomto prípade poskytnúť prístup k informáciám – ak potrebujete otvoriť priečinok pre zamestnancov z jedného oddelenia, urobíte to cez databázu. Spoločne získajú prístup k požadovanému dátovému priečinku, zatiaľ čo ostatné dokumenty ostanú zatvorené.

1. Kontrola nad každým členom databázy.

Ak je v lokálnej skupine každý člen nezávislý, je ťažké ho ovládať z iného počítača, potom je možné v doménach nastaviť určité pravidlá v súlade s politikou spoločnosti.

Ako správca systému môžete nakonfigurovať nastavenia prístupu a nastavenia zabezpečenia a potom ich použiť pre každú skupinu používateľov. Prirodzene, v závislosti od hierarchie môže jedna skupina definovať prísnejšie nastavenia, zatiaľ čo iní môžu získať prístup k iným súborom a akciám v systéme.

Navyše, keď do firmy nastúpi nový človek, jeho počítač okamžite dostane potrebnú sadu nastavení, kde sú zahrnuté komponenty pre prácu.

1. Všestrannosť pri inštalácii softvéru.

Mimochodom, o komponentoch - pomocou Active Directory môžete priradiť tlačiarne, nainštalovať potrebné programy pre všetkých zamestnancov naraz, nastaviť parametre ochrany osobných údajov. Vo všeobecnosti vytvorenie databázy výrazne optimalizuje prácu, monitoruje bezpečnosť a spája používateľov pre maximálnu efektivitu.

A ak spoločnosť prevádzkuje samostatnú utilitu alebo špeciálne služby, je možné ich synchronizovať s doménami a zjednodušiť prístup k nim. ako? Ak skombinujete všetky produkty používané vo firme, zamestnanec nebude musieť zadávať rôzne prihlasovacie mená a heslá na prihlásenie do každého programu – tieto informácie budú zdieľané.

Teraz, keď ste pochopili výhody a dôsledky používania služby Active Directory, poďme sa prejsť procesom inštalácie týchto služieb.

Používanie databázy v systéme Windows Server 2012

Inštalácia a konfigurácia Active Directory nie je náročná a je tiež jednoduchšia, ako sa na prvý pohľad zdá.

Ak chcete načítať služby, musíte najprv urobiť nasledovné:

1. Zmeňte názov počítača: kliknite na "Štart", otvorte Ovládací panel, položku "Systém". Vyberte "Zmeniť parametre" a vo vlastnostiach oproti riadku "Názov počítača" kliknite na "Zmeniť", zadajte novú hodnotu pre hostiteľský počítač.
2. Reštartujte na žiadosť PC.
3. Nastavte sieťové nastavenia takto:
   • Na ovládacom paneli otvorte ponuku Siete a zdieľanie.
   • Správne nastavenie adaptéra. Kliknite pravým tlačidlom myši na Vlastnosti a kliknite na kartu Sieť.
   • V okne zo zoznamu kliknite na internetový protokol číslo 4, znova kliknite na „Vlastnosti“.
   • Zadajte požadované nastavenia, napríklad: IP adresa - 192.168.10.252, maska ​​podsiete - 255.255.255.0, hlavná podbrána - 192.168.10.1.
   • V riadku „Preferovaný server DNS“ zadajte adresu lokálneho servera, v časti „Alternatívny ...“ - iné adresy serverov DNS.
   • Uložte zmeny a zatvorte okná.

Nainštalujte roly Active Directory takto:

1. Otvorte "Správca servera" cez štart.
2. Z ponuky vyberte Pridať roly a funkcie.
3. Spustí sa sprievodca, ale prvé okno s popisom môžete preskočiť.
4. Začiarknite riadok „Inštalácia rolí a funkcií“, pokračujte.
5. Vyberte svoj počítač, do ktorého chcete nainštalovať Active Directory.
6. V zozname označte rolu, ktorú chcete načítať – pre váš prípad je to „Doménové služby Active Directory“.
7. Zobrazí sa malé okno s výzvou na stiahnutie komponentov potrebných pre služby - akceptujte to.
8. Potom budete vyzvaní na inštaláciu ďalších komponentov – ak ich nepotrebujete, jednoducho tento krok preskočte kliknutím na „Ďalej“.
9. Sprievodca nastavením zobrazí okno s popisom služieb, ktoré inštalujete – čítajte ďalej a pokračujte.
10. Objaví sa zoznam komponentov, ktoré ideme inštalovať – skontrolujte, či je všetko správne, a ak áno, stlačte príslušné tlačidlo.
11. Po dokončení procesu zatvorte okno.
12. To je všetko - služby sa načítajú do vášho počítača.

Konfigurácia služby Active Directory

Ak chcete nastaviť doménovú službu, musíte urobiť nasledovné:

• Spustite sprievodcu konfiguráciou s rovnakým názvom.
• Kliknite na žltý ukazovateľ v hornej časti okna a vyberte možnosť Povýšiť rolu servera na radič domény.
• Kliknite na pridať nový „les“ a vytvorte názov pre koreňovú doménu, potom kliknite na „Ďalej“.
• Zadajte funkčné úrovne lesa a domény – najčastejšie sú rovnaké.
• Vymyslite si heslo, ale nezabudnite si ho zapamätať. Pokračujte ďalej.
• Potom sa môže zobraziť upozornenie, že doména nie je delegovaná, a návrh na kontrolu názvu domény – tieto kroky môžete preskočiť.
• V ďalšom okne môžete zmeniť cestu k adresárom databáz - urobte to, ak vám nevyhovujú.
• Teraz sa vám zobrazia všetky parametre, ktoré sa chystáte nastaviť – skontrolujte, či ste ich zvolili správne a pokračujte ďalej.
• Aplikácia skontroluje, či sú splnené predpoklady, a ak nie sú žiadne komentáre alebo nie sú kritické, kliknite na „Inštalovať“.
• Po dokončení inštalácie sa počítač sám reštartuje.

Možno sa tiež pýtate, ako pridať používateľa do databázy. Na tento účel použite ponuku „Používatelia alebo počítače v Active Directory“, ktorú nájdete v ovládacom paneli v časti „Správa“, alebo použite ponuku nastavení databázy.

Ak chcete pridať nového používateľa, kliknite pravým tlačidlom myši na názov domény, vyberte „Vytvoriť“ po „Pododdiel“. Zobrazí sa okno, kde je potrebné zadať názov nového oddelenia – slúži ako priečinok, do ktorého môžete zhromažďovať používateľov z rôznych oddelení. Rovnakým spôsobom neskôr vytvoríte niekoľko ďalších divízií a správne umiestnite všetkých zamestnancov.

Potom, keď ste vytvorili názov oddelenia, kliknite naň pravým tlačidlom myši a vyberte "Nový", po - "Používateľ". Teraz už zostáva len zadať potrebné údaje a nastaviť nastavenia prístupu pre používateľa.

Po vytvorení nového profilu kliknite naň výberom kontextového menu a otvorte "Vlastnosti". Na karte "Účet" zrušte začiarknutie vedľa položky "Blokovať ...". To je všetko.

Všeobecným záverom je, že Active Directory je výkonný a užitočný nástroj na správu systému, ktorý pomôže zjednotiť všetky počítače zamestnancov do jedného tímu. Pomocou služieb môžete vytvoriť bezpečnú databázu a výrazne optimalizovať prácu a synchronizáciu informácií medzi všetkými používateľmi. Ak je vaša spoločnosť a akékoľvek iné pracovisko prepojené s počítačmi a sieťou, musíte kombinovať účty a monitorovať prácu a súkromie, inštalácia databázy založenej na Active Directory bude skvelým riešením.

Technológia Active Directory (AD) je adresárová služba vytvorená spoločnosťou Microsoft. Adresárová služba obsahuje dáta v organizovanom formáte a poskytuje k nim objednaný prístup. Active Directory nie je vynálezom Microsoftu, ale implementáciou existujúceho priemyselného modelu (konkrétne X.500), komunikačného protokolu (LDAP - Lightweight Directory Access Protocol) a technológie získavania údajov (služby DNS).

Svoj prieskum služby Active Directory by ste mali začať oboznámením sa s cieľom tejto technológie. Vo všeobecnosti je adresár úložný kontajner.

Telefónny zoznam je dobrým príkladom adresárovej služby, pretože obsahuje kolekciu informácií a poskytuje možnosť získať potrebné informácie z adresára. Zoznam obsahuje rôzne záznamy, z ktorých každý má svoj vlastný význam, napríklad mená / priezviská účastníkov, ich domáca adresa a v skutočnosti telefónne číslo. V rozšírenej referencii sú záznamy zoskupené podľa geografickej polohy, typu alebo oboch. Pre každú geografickú polohu je teda možné vygenerovať hierarchiu typov záznamov. Okrem toho telefónny operátor tiež zodpovedá definícii telefónnej služby, pretože má prístup k údajom. Ak teda zadáte požiadavku na získanie akýchkoľvek katalógových údajov, operátor vám na prijatú požiadavku dá požadovanú odpoveď.

Adresárová služba Active Directory je určená na ukladanie informácií o všetkých sieťových zdrojoch. Klienti majú možnosť odosielať dotazy do služby Active Directory, aby získali informácie o akomkoľvek objekte v sieti. Funkcie služby Active Directory zahŕňajú nasledujúce funkcie.

• Bezpečné ukladanie dát. Každý objekt v Active Directory má svoj vlastný zoznam riadenia prístupu (ACL), ktorý obsahuje zoznam prostriedkov, ktorým bol udelený prístup k objektu, ako aj preddefinovanú úroveň prístupu k tomuto objektu.
• Dotazovací nástroj s bohatými funkciami založený na globálnom katalógu (GC) generovanom službou Active Directory. Do tohto adresára majú prístup všetci klienti podporujúci Active Directory.
• Replikácia údajov adresára do všetkých radičov domény uľahčuje prístup k informáciám, zvyšuje dostupnosť a zvyšuje spoľahlivosť celej služby.
• Modulárny koncept rozšírenia, ktorý umožňuje pridávať nové typy objektov alebo dopĺňať existujúce objekty. K objektu používateľa môžete napríklad pridať atribút „plat“.
• Sieťovanie pomocou viacerých protokolov. Služba Active Directory je založená na modeli X.500, ktorý podporuje rôzne sieťové protokoly ako LDAP 2, LDAP 3 a HTTP.
• DNS sa používa namiesto NetBIOS na implementáciu služby názvu radiča domény a vyhľadávania sieťovej adresy.

Informácie o adresároch sú distribuované v celej doméne, čím sa predchádza nadmernej duplicite údajov.

Hoci služba Active Directory distribuuje informácie o adresároch v rôznych obchodoch, používatelia majú možnosť požiadať službu Active Directory o informácie o iných doménach. Globálny katalóg Obsahuje informácie o všetkých objektoch v podnikovom lese, čo vám pomôže nájsť údaje v celej doméne.

Keď spustíte DCPROMO (Regular Server to Domain Controller Promotion) na počítači so systémom Windows na vytvorenie novej domény, pomôcka vytvorí doménu na serveri DNS. Klient potom kontaktuje server DNS, aby získal informácie o svojej doméne. DNS server poskytuje informácie nielen o doméne, ale aj o najbližšom doménovom radiči. Klientsky systém sa zas pripojí k databáze domény Active Directory na najbližšom radiči domény, aby našiel potrebné objekty (tlačiarne, súborové servery, používateľov, skupiny, organizačné jednotky) zahrnuté v doméne. Pretože každý radič domény ukladá odkazy na iné domény v strome, klient môže prehľadávať celý strom domény.

Variant služby Active Directory, ktorý uvádza všetky objekty v doménovom lese, je k dispozícii, keď potrebujete nájsť údaje mimo stromu domény klienta. Táto verzia sa nazýva globálny katalóg. Globálny katalóg môže byť uložený na ľubovoľnom radiči domény v doméne AD.

Globálny katalóg poskytuje rýchly prístup ku každému objektu, ktorý sa nachádza v doménovom lese, ale obsahuje len niektoré parametre objektu. Ak chcete získať všetky atribúty, kontaktujte Active Directory cieľovej domény (radič domény, ktorý vás zaujíma). Globálny katalóg možno nakonfigurovať tak, aby poskytoval požadované vlastnosti pre objekty.

Aby sa zjednodušil proces vytvárania objektov služby Active Directory, radič domény udržiava hierarchiu kópií a tried pre celú doménu. Active Directory obsahuje štruktúry tried v rozšíriteľnej schéme, do ktorej je možné pridávať nové triedy.

Schéma je súčasťou priestoru názvov konfigurácie systému Windows, ktorý podporujú všetky radiče domény v lese. Priestor názvov konfigurácie systému Windows sa skladá z niekoľkých štrukturálnych prvkov, ako je fyzické umiestnenie, lokality systému Windows a podsiete.

stránky je obsiahnutý v lese a môže kombinovať počítače z ľubovoľnej domény a všetky počítače v lokalite musia mať rýchle a spoľahlivé sieťové pripojenia na zálohovanie údajov radiča domény.

Podsieť je skupina IP adries vyhradených pre stránku. Podsiete môžu urýchliť replikáciu údajov služby Active Directory medzi radičmi domény.