Active Directory Grup İlkeleri: Ayarlar. Basit kelimelerle Active Directory (Temel)

Aktif Dizin

Aktif Dizin("Aktif dizinler", AD) - LDAP- kurumsal rehber hizmetinin uyumlu uygulanması Microsoft ailenin işletim sistemleri için Windows NT. Aktif Dizin Yöneticilerin, tutarlı bir kullanıcı deneyimi sağlamak için Grup İlkesi'ni kullanmasına, Grup İlkesi aracılığıyla birden çok bilgisayara yazılım dağıtmasına veya Sistem Merkezi Yapılandırma Yöneticisi(Önceden Microsoft Sistem Yönetim Sunucusu), Güncelleme Hizmetini kullanarak ağdaki tüm bilgisayarlara işletim sistemi, uygulama ve sunucu yazılımı güncellemelerini yükleyin. Windows Server . Aktif Dizin verileri ve ortam ayarlarını merkezi bir veritabanında saklar. ağlar Aktif Dizinçeşitli boyutlarda olabilir: birkaç on ila birkaç milyon nesne.

Verim Aktif Dizin 1999 yılında gerçekleşti, ürün ilk olarak Windows 2000 Sunucusu ve daha sonra piyasaya sürüldükten sonra değiştirildi ve geliştirildi Windows Sunucusu 2003... daha sonra Aktif Dizin iyileştirildi Windows Server 2003 R2, Windows Sunucusu 2008 ve Windows Server 2008 R2 ve yeniden adlandırıldı Active Directory Etki Alanı Hizmetleri... Daha önce, dizin hizmeti çağrılmıştı. NT Dizin Hizmeti (NTDS), bu ad hala bazı yürütülebilir dosyalarda bulunabilir.

sürümlerin aksine pencerelerönce Windows 2000 esas olarak protokolü kim kullandı NetBIOS ağ, hizmet için Aktif Dizin ile entegre DNS ve TCP / IP... Varsayılan kimlik doğrulama protokolü Kerberos... İstemci veya uygulama kimlik doğrulamasını desteklemiyorsa Kerberos, protokol kullanılır NTLM .

Cihaz

nesneler

Aktif Dizin nesnelerden oluşan hiyerarşik bir yapıya sahiptir. Nesneler üç ana kategoriye ayrılır: kaynaklar (yazıcılar gibi), hizmetler (e-posta gibi) ve kullanıcı ve bilgisayar hesapları. Aktif Dizin nesneler hakkında bilgi sağlar, nesneleri düzenlemenize, onlara erişimi kontrol etmenize ve ayrıca güvenlik kuralları belirlemenize olanak tanır.

Nesneler, diğer nesneler (güvenlik ve dağıtım grupları) için kaplar olabilir. Bir nesne, adıyla benzersiz bir şekilde tanımlanır ve bir dizi özniteliğe sahiptir - içerebileceği özellikler ve veriler; ikincisi, sırayla, nesnenin türüne bağlıdır. Nitelikler, nesne yapısının kurucu temelidir ve şemada tanımlanır. Şema, ne tür nesnelerin var olabileceğini belirler.

Şemanın kendisi iki tür nesneden oluşur: şema sınıfı nesneleri ve şema özniteliği nesneleri. Bir şema sınıfı nesnesi, bir nesne türünü tanımlar Aktif Dizin(örneğin, bir Kullanıcı nesnesi) ve bir şema öznitelik nesnesi, nesnenin sahip olabileceği özniteliği tanımlar.

Her öznitelik nesnesi, şema sınıfının birkaç farklı nesnesinde kullanılabilir. Bu nesnelere şema nesneleri (veya meta veriler) denir ve şemayı gerektiği gibi değiştirmenize ve tamamlamanıza izin verir. Ancak, her şema nesnesi, nesne tanımlarının bir parçasıdır. Aktif Dizin bu nedenle, bu nesnelerin devre dışı bırakılması veya değiştirilmesi ciddi sonuçlara yol açabilir, çünkü bu eylemlerin bir sonucu olarak yapı değişecektir. Aktif Dizin... Şema nesnesi değişikliği otomatik olarak Aktif Dizin... Bir şema nesnesi oluşturulduktan sonra silinemez, yalnızca devre dışı bırakılabilir. Genellikle, tüm şema değişiklikleri dikkatlice planlanır.

konteyner benzer nesne Aynı zamanda niteliklere sahip olması ve ad alanlı olması anlamında, ancak bir nesnenin aksine, bir kap belirli bir şey ifade etmez: bir grup nesneyi veya başka kapları içerebilir.

Yapı

Yapının üst seviyesi ormandır - içindeki tüm nesnelerin, niteliklerin ve kuralların (öznitelik sözdizimi) toplanması. Aktif Dizin... Orman, geçişli olarak birbirine bağlanan bir veya daha fazla ağaç içerir. güven ilişkileri ... Ağaç, geçişli güvenlerle hiyerarşik olarak bağlanan bir veya daha fazla etki alanı içerir. Etki alanları, DNS ad yapıları - ad alanları ile tanımlanır.

Bir etki alanındaki nesneler, kapsayıcılar - kuruluş birimleri olarak gruplandırılabilir. Alt bölümler, bir etki alanı içinde bir hiyerarşi oluşturmanıza, yönetimini basitleştirmenize ve bir şirketin organizasyonel ve / veya coğrafi yapısını şu şekilde modellemenize izin verir. Aktif Dizin... Alt bölümler diğer alt bölümleri içerebilir. şirket Microsoft mümkün olduğunca az alan adı kullanılmasını önerir. Aktif Dizin ve yapılandırma ve politikalar için bölümleri kullanın. Çoğu zaman, grup ilkeleri özel olarak kuruluş birimlerine uygulanır. Grup ilkelerinin kendileri nesnelerdir. Bir organizasyon birimi, idari yetkinin devredilebileceği en düşük seviyedir.

Bölmenin başka bir yolu Aktif Dizin NS Siteler ağ bölümlerine dayalı olarak fiziksel (mantıksal değil) gruplandırmanın bir yolu olan . Siteler, düşük hızlı kanallar üzerinden (örneğin, geniş alan ağları üzerinden, sanal özel ağlar kullanarak) ve yüksek hızlı kanallar üzerinden (örneğin, bir yerel alan ağı üzerinden) bağlantıya sahip olanlar olarak ikiye ayrılır. Bir site bir veya daha fazla alan içerebilir ve bir alan bir veya daha fazla site içerebilir. Tasarım yaparken Aktif Dizin siteler arasında veri senkronize edilerek oluşturulan ağ trafiğini dikkate almak önemlidir.

Önemli bir tasarım kararı Aktif Dizin bilgi altyapısını hiyerarşik alanlara ve üst düzey bölümlere ayırma kararıdır. Bu ayırma için kullanılan tipik modeller, şirketin işlevsel bölünmesine, coğrafi konuma ve şirketin bilgi altyapısındaki rolüne göre ayırma modelleridir. Bu kalıpların kombinasyonları sıklıkla kullanılır.

Fiziksel yapı ve replikasyon

Fiziksel olarak bilgi, kullanılanların yerini alan bir veya daha fazla eşdeğer etki alanı denetleyicisinde depolanır. Windows NT birincil ve yedek etki alanı denetleyicileri, ancak bazı işlemler için birincil etki alanı denetleyicisini taklit edebilen "tek ana işlemler" adı verilen bir sunucu tutulur. Her etki alanı denetleyicisi, verilerin bir okuma-yazma kopyasını tutar. Bir etki alanı denetleyicisinde yapılan değişiklikler, çoğaltma sırasında tüm etki alanı denetleyicilerine eşitlenir. Hizmetin kendisinin üzerinde bulunduğu sunucular Aktif Dizin yüklü değil, ancak etki alanına dahil olanlar Aktif Dizinüye sunucular denir.

çoğaltma Aktif Dizin istek üzerine gerçekleştirilir. Hizmet Bilgi Tutarlılığı Denetleyicisi trafiği yönlendirmek için sistemde tanımlanan siteleri kullanan bir çoğaltma topolojisi oluşturur. Site içi çoğaltma, tutarlılık denetleyicisi (değişikliklerin çoğaltma ortaklarına bildirilmesi) kullanılarak sık sık ve otomatik olarak gerçekleştirilir. Siteler arasında çoğaltma, her site kanalı için yapılandırılabilir (kanalın kalitesine bağlı olarak) - her kanala farklı bir "puan" (veya "maliyet") atanabilir (örneğin DS3, , ISDN vb.) ve çoğaltma trafiği, atanan bağlantı tahminine göre sınırlandırılacak, programlanacak ve yönlendirilecektir. "Puan" düşükse, çoğaltma verileri site bağlantı köprüleri arasında birden çok site arasında geçişli olarak aktarılabilir, ancak AD otomatik olarak siteden siteye bağlantılar için geçişli bağlantılardan daha düşük bir puan atar. Siteden siteye çoğaltma, her sitedeki köprü sunucuları tarafından gerçekleştirilir ve ardından değişiklikleri sitelerindeki her etki alanı denetleyicisine kopyalar. Etki alanı içi çoğaltma protokolü izler RPC protokol ile IP, etki alanları arası - protokolü de kullanabilir SMTP.

eğer yapı Aktif Dizin birkaç etki alanı içerir, nesneleri arama problemini çözmek için kullanılır küresel katalog: Ormandaki tüm nesneleri içeren, ancak sınırlı bir öznitelik kümesine (kısmi çoğaltma) sahip bir etki alanı denetleyicisi. Katalog, belirtilen genel katalog sunucularında depolanır ve etki alanları arası isteklere hizmet eder.

Tek ana bilgisayar özelliği, çok ana bilgisayarlı çoğaltma kabul edilemez olduğunda istekleri işlemenize olanak tanır. Bu tür işlemlerin beş türü vardır: PDC Öykünmesi, Göreli Kimlik Yöneticisi (Göreceli Kimlik Yöneticisi veya RID Yöneticisi), Altyapı Yöneticisi (Alt Yapı Yöneticisi), Şema Yöneticisi (Şema Yöneticisi) ve Etki Alanı Adlandırma Yöneticisi (Etki Alanı Adlandırma Sihirbazı). İlk üç rol bir etki alanı içinde benzersizdir, son ikisi ise tüm ormanda benzersizdir.

Temel Aktif Dizinüç mantıksal depoya veya "bölümlere" ayrılabilir. Şema için bir şablondur Aktif Dizin ve her tür nesneyi, sınıflarını ve özniteliklerini, öznitelik sözdizimini tanımlar (tüm ağaçlar aynı ormandadır, çünkü aynı şemaya sahiptirler). Yapılandırma, orman ve ağaçların yapısıdır. Aktif Dizin... Bir etki alanı, bu etki alanında oluşturulan nesneler hakkındaki tüm bilgileri depolar. İlk iki depo, ormandaki tüm etki alanı denetleyicilerine çoğaltılır, üçüncü bölüm, her etki alanındaki denetleyicilerin kopyaları arasında ve kısmen genel katalog sunucularına çoğaltılır.

adlandırma

Aktif Dizin aşağıdaki nesne adlandırma biçimlerini destekler: genel tür adları UNC, URL'si ve LDAP URL'si... sürüm LDAP Dahili olarak kullanılan X.500 adlandırma biçimi Aktif Dizin.

Her nesne vardır Ayırt edici adı (İng. Ayırt edici adı, DN). Örneğin, adlı bir yazıcı nesnesi HPLaser3 Marketing'de ve foo.org etki alanında şu ayırt edici ada sahip olacaktır: CN = HPLaser3, OU = Marketing, DC = foo, DC = org, burada CN ortak addır, OU bölümdür ve DC, etki alanı nesnesi. Seçkin isimler, bu örnekteki dört bölümden çok daha fazla bölüme sahip olabilir. Nesnelerin ayrıca kurallı adları vardır. Bunlar, tanımlayıcıları olmayan ve ayırıcı olarak eğik çizgi kullanan, ters sırada yazılan ayırt edici adlardır: foo.org/Marketing/HPLaser3. Kapsayıcısının içindeki bir nesneyi tanımlamak için şunu kullanın: göreceli ayırt edici isim : CN = HPLaser3. Her nesnenin ayrıca global olarak benzersiz bir tanımlayıcısı vardır ( GUID) kullanılan benzersiz ve değişmeyen 128 bitlik bir dizedir. Aktif Dizin arama ve çoğaltma için. Bazı nesnelerin bir UPN'si de vardır ( UPN, uyarınca RFC 822) nesne @ etki alanı biçiminde.

UNIX ile entegrasyon

ile farklı etkileşim seviyeleri Aktif Dizinçoğunda uygulanabilir UNIX-Standartlara uygun olarak işletim sistemlerine benzer LDAP istemciler, ancak bu tür sistemler, kural olarak, bileşenlerle ilişkili özelliklerin çoğunu algılamaz. pencereler Grup İlkesi ve tek yönlü vekaletname desteği gibi.

Üçüncü taraf satıcılar entegrasyon sunar Aktif Dizin platformlarda UNIX dahil olmak üzere UNIX, Linux, Mac OS X ve bir dizi uygulamaya dayalı Java, bir ürün paketi ile:

Birlikte verilen şema eklentileri Windows Server 2003 R2 genel olarak kullanılacak RFC 2307 ile yakından ilgili özellikleri içerir. Önerildiği gibi temel RFC 2307 uygulamaları, nss_ldap ve pam_ldap PADL.com, bu özellikleri doğrudan destekler. Grup üyeliği için standart şema, RFC 2307bis'e (önerilen) uygundur. Windows Server 2003 R2öznitelikleri oluşturmak ve düzenlemek için Microsoft Yönetim Konsolu'nu içerir.

Bir alternatif, aşağıdaki gibi farklı bir dizin hizmeti kullanmaktır. 389 Dizin Sunucusu(Önceden Fedora Dizin Sunucusu, FDS), eB2Bcom ViewDS v7.1 XML Etkin Dizin veya Sun Java Sistem Dizini Sunucusu itibaren Güneş Mikrosistemleri ile iki yönlü senkronizasyon gerçekleştirme Aktif Dizin böylece istemciler ne zaman "yansıtılmış" entegrasyonu gerçekleştirir UNIX ve Linux kimliği doğrulanmış FDS ve müşteriler pencereler kimliği doğrulanmış Aktif Dizin... Başka bir seçenek kullanmaktır OpenLDAP uzak sunucunun öğelerini genişleten yarı saydam bir örtüşme olasılığı ile LDAP yerel veritabanında depolanan ek özellikler.

Aktif Dizin tarafından otomatik Güç kalkanı .

Edebiyat

• Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Sunucusu 2003... Tam Kılavuz = Microsoft Exchange Server 2003 Serbest Bırakıldı... - E.: "Williams", 2006. - S. 1024. - ISBN 0-672-32581-0

Ayrıca bakınız

Bağlantılar

Notlar (düzenle)

Microsoft Windows Bileşenleri
Ana
Hizmetler yönetmek
Uygulamalar	Kişiler DVD Oluşturucu Faks ve Tarama Internet Explorer dergi Ekran büyüteci Medya Merkezi Windows Medya Oynatıcı işbirliği programı Windows Mobil Cihaz Merkezi Hareketlilik Merkezi Anlatıcı Boyası Kişisel sembol editörü Uzaktan Asistan Konuşma tanıma WordPad Not defteri Yan panel Ses kaydı Takvim Hesap makinesi Makas posta semboller tablosu Tarihi: Film yapıcı NetMeeting Outlook Ekspres Program Yöneticisi Dosya Yöneticisi fotoğraf albümü
Oyunlar
işletim sistemi çekirdeği
Hizmetler
Dosya sistemler
sunucu	Aktif Dizin Dağıtım Hizmetleri Dosya Çoğaltma Hizmeti DNS Etki Alanları klasör yeniden yönlendirme Hyper-V IIS Medya Hizmetleri MSMQ Ağ erişim koruması (NAP) UNIX için Yazdırma Hizmetleri Uzaktan Diferansiyel Sıkıştırma Uzaktan Kurulum Hizmetleri Hak Yönetimi Hizmeti Gezici kullanıcı profilleri Paylaşım Noktası Sistem kaynağı yöneticisi Uzak Masaüstü WSUS Grup ilkesi Dağıtılmış İşlem Koordinatörü
Mimari
Güvenlik
uyumluluk

Microsoft
ÜZERİNDE
sunucu yazılımı
teknolojiler
internet
Oyunlar
Donanım güvenlik
Eğitim
lisanslama
alt bölümler

nasıl yardımcı olacak Aktif Dizin uzmanlar?

Active Directory'yi dağıtarak elde edilebilecek küçük bir "güzellikler" listesi vereceğim:

• bir veya birkaç sunucuda merkezi olarak depolanan birleşik bir kullanıcı kayıt veritabanı; bu nedenle, ofiste yeni bir çalışan göründüğünde, onun için sunucuda bir hesap oluşturmanız ve hangi iş istasyonlarına erişebileceğini belirtmeniz yeterlidir;
• tüm alan kaynakları dizine eklendiğinden, bu, kullanıcıların arama yapmasını kolay ve hızlı hale getirir; örneğin bir departmanda renkli yazıcı bulmanız gerekiyorsa;
• NTFS izinlerinin uygulanmasının, grup ilkelerinin ve denetim delegasyonunun birleşimi, etki alanı üyeleri arasında ince ayar yapmanıza ve hakları dağıtmanıza olanak tanır;
• gezici kullanıcı profilleri, önemli bilgileri ve yapılandırma ayarlarını sunucuda saklamayı mümkün kılar; aslında domain'de roaming profili olan bir kullanıcı başka bir bilgisayara oturup kullanıcı adı ve şifresini girerse, masaüstünü normal ayarları ile görecektir;
• grup ilkelerini kullanarak, kullanıcının masaüstünde duvar kağıdı ayarlamasına izin vermekten güvenlik ayarlarına ve ayrıca yazılımı ağ üzerinden, örneğin, Birim Gölge Kopyası istemcisi, vb. dağıtmasına izin vermekten, kullanıcıların işletim sistemlerinin ayarlarını değiştirebilirsiniz;
• sadece Microsoft tarafından yapılmayan birçok program (proxy sunucuları, veritabanı sunucuları vb.) bugün etki alanı kimlik doğrulamasını kullanmayı öğrendi, bu nedenle başka bir kullanıcı veritabanı oluşturmanız gerekmez, ancak mevcut bir veritabanını kullanabilirsiniz;
• Uzaktan Yükleme Hizmetlerinin kullanılması, sistemlerin iş istasyonlarına dağıtılmasını kolaylaştırır, ancak sırayla yalnızca bir dizin hizmeti dağıtıldığında çalışır.

Ve bu tam bir özellikler listesi değil, daha sonra daha fazlası. Şimdi size inşaatın tam mantığını anlatmaya çalışacağım Aktif Dizin, ama yine de oğlanlarımızın neyden yapıldığını bulmaya değer. Aktif Dizin- Bunlar Etki Alanları, Ağaçlar, Ormanlar, Organizasyon Birimleri, Kullanıcı Grupları ve Bilgisayarlardır.

Alanlar - Temel mantıksal yapı birimidir. Çalışma gruplarıyla karşılaştırıldığında AD alanları Güvenlik grupları, tek bir kayıt tabanına sahipken, çalışma grupları yalnızca mantıksal bir makine grubudur. AD, adlandırma ve arama hizmetleri için NT'nin önceki sürümlerinde olduğu gibi Windows İnternet Ad Hizmeti (WINS) yerine Etki Alanı Adı Sunucusu'nu (DNS) kullanır. Bu nedenle, etki alanındaki bilgisayarların adları, örneğin buh.work.com biçimindedir; burada buh, work.com etki alanındaki bilgisayarın adıdır (bu her zaman böyle olmasa da).

Çalışma grupları NetBIOS adlarını kullanır. Etki alanı yapısını barındırmak için AD muhtemelen Microsoft dışı bir DNS sunucusu kullanıyor. Ancak BIND 8.1.2 veya üstü uyumlu olmalı ve dinamik kayıt protokolünün (RFC 2136) yanı sıra SRV () kayıtlarını desteklemelidir. Her etki alanı, merkezi veritabanını barındıran en az bir etki alanı denetleyicisine sahiptir.

Ağaçlar - Bunlar çok alanlı yapılardır. Bu yapının kökü, çocukları yarattığınız ana etki alanıdır. Aslında Active Directory, DNS'deki etki alanı yapısına benzer hiyerarşik bir yapı kullanır.

Bir work.com (birinci düzey etki alanı) alanımız varsa ve bunun için iki alt etki alanı oluşturursak first.work.com ve second.work.com (burada birinci ve ikinci, etki alanındaki bir bilgisayar değil, ikinci düzey etki alanlarıdır) , yukarıda açıklanan durumda olduğu gibi), bir etki alanı ağacıyla sonuçlanırız.

Bir şirketin şubelerini örneğin coğrafyaya göre veya diğer bazı organizasyonel nedenlerle bölmeniz gerektiğinde, ağaçlar mantıksal bir yapı olarak kullanılır.

AD her etki alanı ve alt etki alanları arasında otomatik olarak güven ilişkileri oluşturmaya yardımcı olur.

Böylece, first.work.com etki alanının oluşturulması, ana work.com ile alt first.work.com (benzer şekilde second.work.com için) arasında iki yönlü bir güven ilişkisinin otomatik olarak kurulmasına yol açar. Bu nedenle, alt etki alanı izinleri üst etki alanından uygulanabilir ve bunun tersi de geçerlidir. Alt etki alanları için de güven ilişkilerinin olacağını varsaymak zor değil.

Güven ilişkilerinin bir başka özelliği de geçişliliktir. Alırız - net.first.work.com etki alanı için work.com etki alanıyla bir güven ilişkisi oluşturulur.

Orman - Tıpkı ağaçlar gibi, çok alanlı yapılardır. Fakat Orman Farklı kök etki alanlarına sahip ağaçların birleşimidir.

Diyelim ki work.com ve home.net adlarıyla birden fazla etki alanına sahip olmaya karar verdiniz ve bunlar için alt etki alanları oluşturdunuz, ancak tld (üst düzey etki alanı) sizin kontrolünüzde olmadığından, bu durumda ormanı bir tane seçerek düzenleyebilirsiniz. birinci düzey kök etki alanları. Bu durumda bir orman oluşturmanın güzelliği, iki etki alanı ile alt etki alanları arasındaki iki yönlü güven ilişkisidir.

Ancak, ormanlar ve ağaçlarla çalışırken aşağıdakileri aklınızda bulundurun:

• ağaca mevcut bir etki alanı ekleyemezsiniz
• mevcut bir ağaç ormana dahil edilemez
• etki alanları bir ormana yerleştirilmişse, başka bir ormana taşınamazlar.
• alt alanları olan bir alanı silemezsiniz

Kuruluş birimleri - prensipte alt alanlar olarak adlandırılabilir. bir etki alanındaki kullanıcı hesaplarını, kullanıcı gruplarını, bilgisayarları, paylaşılan kaynakları, yazıcıları ve diğer OU'ları (Kuruluş Birimleri) gruplandırmanıza olanak tanır. Kullanımlarının pratik faydası, bu birimlerin yönetimi için hakların devredilebilmesidir.

Basit bir ifadeyle, etki alanında kuruluş birimini yönetebilecek ancak tüm etki alanını yönetme haklarına sahip olmayan bir yönetici atayabilirsiniz.

OU'ların önemli bir özelliği, grupların aksine, onlara grup ilkeleri uygulama yeteneğidir. "Neden bir OU kullanmak yerine orijinal etki alanını birden çok etki alanına bölemiyorsunuz?" - sen sor.

Birçok uzman, mümkün olduğunda tek bir alana sahip olmanızı önerir. Bunun nedeni, ek bir etki alanı oluştururken yönetimin ademi merkeziyetçi olmasıdır, çünkü bu tür her etki alanının yöneticileri sınırsız kontrole sahiptir (kuruluş birimi yöneticilerine haklar verirken, işlevlerini sınırlayabileceğinizi unutmayın).

Ayrıca, yeni bir etki alanı (hatta bir alt etki alanı) oluşturmak için başka bir denetleyiciye ihtiyacınız olacak. Yavaş bir bağlantı ile birbirine bağlı iki ayrı bölümünüz varsa, çoğaltma sorunları ortaya çıkabilir. Bu durumda, iki etki alanına sahip olmak daha uygun olacaktır.

Grup ilkelerini uygulamanın bir nüansı daha vardır: parola ve hesap kilitleme ayarlarını tanımlayan ilkeler yalnızca etki alanlarına uygulanabilir. OU için bu ilke ayarları yoksayılır.

Siteler - Bu, dizin hizmetini fiziksel olarak ayırmanın bir yoludur. Tanım olarak site, hızlı veri iletim kanallarıyla birbirine bağlanan bir grup bilgisayardır.

Ülkenin farklı bölgelerinde düşük hızlı iletişim hatlarıyla birbirine bağlı birkaç şubeniz varsa, her şube için kendi web sitenizi oluşturabilirsiniz. Bu, dizin çoğaltmanın güvenilirliğini artırmak için yapılır.

AD'nin bu bölümü, mantıksal yapı ilkelerini etkilemez, bu nedenle, bir site birkaç etki alanı içerebilir ve bunun tersi de, bir etki alanı birkaç site içerebilir. Ancak bu dizin hizmeti topolojisi bir yakalama ile doludur. Tipik olarak, İnternet şubelerle iletişim kurmak için kullanılır - çok güvensiz bir ortam. Birçok şirket güvenlik duvarları gibi güvenlik özelliklerini kullanır. Dizin hizmeti, çalışmasında yaklaşık bir düzine bağlantı noktası ve hizmet kullanır; bu, AD trafiğinin güvenlik duvarından geçmesi için açılması, onu gerçekten "dışarıya" çıkaracaktır. Çözüm, AD istemci isteklerinin işlenmesini hızlandırmak için tünel teknolojisini kullanmak ve her sitede bir etki alanı denetleyicisine sahip olmaktır.

Bir dizin hizmetinin bileşenlerinin iç içe geçme mantığı sunulur. Ormanın, ağacın kök etki alanının sırasıyla kuruluş birimlerini ve nesne gruplarını ve ayrıca alt etki alanlarına sahip olabileceği (bu durumda, her birinin bunlardan birine sahip olduğu) iki etki alanı ağacı içerdiği görülebilir. Alt etki alanları ayrıca nesne grupları ve kuruluş birimleri içerebilir ve alt etki alanlarına sahip olabilir (şekilde gösterilmemiştir). Vesaire. OU'ların OU'ları, nesneleri ve nesne gruplarını ve grupların diğer grupları içerebileceğini hatırlatmama izin verin.

Kullanıcı ve bilgisayar grupları - idari amaçlar için kullanılır ve bir ağdaki yerel makinelerde kullanıldığındakiyle aynı anlama sahiptir. OU'lardan farklı olarak, gruplara Grup İlkesi uygulayamazsınız, ancak kontrolü onlara devredebilirsiniz. Active Directory şeması çerçevesinde, iki tür grup ayırt edilir: güvenlik grupları (ağ nesnelerine erişim haklarını ayırt etmek için kullanılır) ve dağıtım grupları (esas olarak, örneğin Microsoft Exchange Server'da posta mesajları göndermek için kullanılır).

Kapsamlarına göre sınıflandırılırlar:

• evrensel gruplar ormandaki kullanıcıları ve ormandaki herhangi bir etki alanının diğer evrensel gruplarını veya genel gruplarını içerebilir
• etki alanı küresel grupları aynı etki alanındaki etki alanı kullanıcılarını ve diğer küresel grupları içerebilir
• etki alanı yerel grupları erişim haklarını ayırt etmek için kullanılır, etki alanı kullanıcılarını ve ormandaki herhangi bir etki alanının evrensel gruplarını ve genel gruplarını içerebilir.
• yerel bilgisayar grupları- yerel makinenin SAM'ının (güvenlik hesabı yöneticisi) içerdiği gruplar. Yalnızca belirli bir makineyle sınırlıdırlar, ancak bilgisayarın bulunduğu etki alanı için yerel grupların yanı sıra etki alanları için evrensel ve küresel grupları veya güvendikleri başka bir grubu içerebilirler. Örneğin, Kullanıcılar etki alanı yerel grubundan bir kullanıcıyı yerel makinenin Yöneticiler grubuna dahil edebilir, böylece ona yalnızca bu bilgisayar için yönetici hakları verebilirsiniz.

Temel Active Directory Kavramları

Hizmet Aktif Dizin

Genişletilebilir ve ölçeklenebilir dizin hizmeti Aktif dizin ağ kaynaklarını etkin bir şekilde yönetmenize olanak tanır.

Aktif Dizin, bu verileri bulmak ve kullanmak için uygun araçlar sağlayan ağ nesneleri hakkında hiyerarşik olarak düzenlenmiş bir veri deposudur.... Aktif çalışan bilgisayar denilen dizin etki alanı denetleyicisi . İLE BİRLİKTE Aktif Dizinneredeyse tüm idari görevler birbiriyle ilişkilidir.

Active Directory teknolojisi standart İnternet protokolleri ve ağın yapısını net bir şekilde tanımlamaya yardımcı olur.

Aktif Dizin ve DNS

V Aktif Müdüryalan adı sistemi kullanılmaktadır.

kubbeİsim System, (DNS), bilgisayar gruplarını etki alanlarına göre düzenleyen standart bir İnternet hizmetidir.DNS etki alanları, İnternet'in temelini oluşturan hiyerarşik bir yapıya sahiptir. Bu hiyerarşinin farklı seviyeleri, bilgisayarları, organizasyonel etki alanlarını ve üst düzey etki alanlarını tanımlar. DNS ayrıca ana bilgisayar adlarını çözmek için de kullanılır, örneğin z eta.webatwork.com, 192.168.19.2 gibi sayısal IP adreslerine. DNS araçlarını kullanarak, Active Directory etki alanı hiyerarşisi İnternet alanına entegre edilebilir veya bağımsız ve harici erişimden izole edilebilir.

Kaynaklara erişmek için etki alanı, zeta.webatwork.com gibi tam nitelikli ana bilgisayar adı kullanılır. Burayazetabireysel bilgisayarın adıdır, webatwork kuruluşun etki alanıdır ve com üst düzey etki alanıdır. Üst düzey etki alanları, DNS hiyerarşisinin temelini oluşturur ve bu nedenle kök etki alanları (kök etki alanları). Adları iki harfli ülke kodlarına göre (ruRusya için), kuruluş türüne göre (bal peteği ticari kuruluşlar için) ve randevu ile ( mil askeri kuruluşlar için).

microsoft.com gibi normal alan adları, arandı ebeveyn (ana alan) organizasyon yapısının omurgasını oluşturdukları için. Ana etki alanları, farklı departmanlar veya uzak şubeler için alt etki alanlarına bölünebilir. Örneğin, Microsoft Seattle ofisinin tam bilgisayar adı jacob.seattle.microsoft.com olabilir. , nerede Jahır- bilgisayar adı, sealtal - alt etki alanı ve microsoft.com ana etki alanıdır. Alt etki alanı için başka bir isim alt etki alanı (alt alan).

Bileşenler Aktif dizin

Active Directory, ağ bileşenleri için fiziksel ve mantıksal yapıyı bir araya getirir. Active Directory mantıksal yapıları, dizin nesnelerini düzenlemenize ve ağ hesaplarını ve paylaşımlarını yönetmenize yardımcı olur. Mantıksal yapı aşağıdaki öğeleri içerir:

kuruluş birimi - genellikle şirketin yapısını yansıtan bir bilgisayar alt grubu;

ihtisas ( ihtisas) - ortak bir katalog veritabanını paylaşan bir grup bilgisayar;

etki alanı ağacı (ihtisas ağaç) - bitişik bir ad alanını paylaşan bir veya daha fazla alan;

etki alanı ormanı - dizin bilgilerini paylaşan bir veya daha fazla ağaç.

Fiziksel unsurlar, ağın gerçek yapısını planlamaya yardımcı olur. Fiziksel yapılarına göre ağ bağlantıları ve ağ kaynaklarının fiziksel sınırları oluşturulur. Fiziksel yapı aşağıdaki unsurları içerir:

alt ağ ( alt ağ) - belirli bir IP adresi aralığına ve bir ağ maskesine sahip bir ağ grubu;

alan ( alan) - bir veya daha fazla alt ağ. Site, dizin erişimini ve çoğaltmayı yapılandırmak için kullanılır.

kuruluş birimleri

Kuruluş birimleri (OU'lar), genellikle bir kuruluşun işlevsel yapısını yansıtan etki alanları içindeki alt gruplardır. OP'ler, hesapları, paylaşımları ve diğer OP'leri barındıran bir tür mantıksal kapsayıcıdır. Örneğin, etki alanında oluşturabilirsiniz mikrosofT. com alt bölümler Kaynaklar, O, Pazarlama... Bu şema daha sonra alt bölümleri içerecek şekilde genişletilebilir.

OP'nin yalnızca ana etki alanından nesneler yerleştirmesine izin verilir. Örneğin, Seattle.microsoft.com etki alanındaki OP'ler yalnızca o etki alanındaki nesneleri içerir. Oradan nesneler eklemy. microsoft.com'a izin verilmiyor. OP, işlevsel veya iş yapıları kuruluşlar. Ancak bu, kullanımlarının tek nedeni değildir.

OP'ler, etki alanının tamamına uygulamadan bir etki alanındaki küçük bir kaynak kümesi için Grup İlkesi tanımlamanıza olanak tanır. OP, kaynakları daha verimli yönetmenize yardımcı olmak için etki alanındaki dizin nesnelerinin daha yalın ve daha yönetilebilir görünümlerini oluşturur.

OP'ler, etki alanındaki yöneticilerin yetki sınırlarını belirlemeye yardımcı olan etki alanı kaynaklarına yetki atamanıza ve yönetim erişimini kontrol etmenize olanak tanır. Etki alanındaki tüm PO'lar için A kullanıcısına yalnızca bir PO için yönetici ayrıcalıkları delege etmek ve aynı zamanda B kullanıcısına yönetici ayrıcalıkları aktarmak mümkündür.

Etki Alanları

İhtisas Active Directory, ortak bir katalog veritabanını paylaşan bir bilgisayar grubudur. Active Directory alan adları benzersiz olmalıdır. Örneğin, iki etki alanı olamaz microsoft.com, ancak seattle.microsoft.com ve alt etki alanları olan bir üst microsoft.com etki alanı olabilir ve my.microsoft.com. Etki alanı kapalı bir ağın parçasıysa, yeni etki alanına atanan ad, o ağdaki mevcut alan adlarından herhangi biriyle çakışmamalıdır. Alan adı küresel İnternet'in bir parçasıysa, adı İnternet'teki mevcut alan adlarının hiçbiriyle çakışmamalıdır. Adların İnternette benzersiz olmasını sağlamak için, ana alan adı herhangi bir yetkili kayıt kuruluşu aracılığıyla kaydedilmelidir.

Her etki alanının kendi güvenlik ilkeleri vardır ve diğer etki alanlarına güvenir. Etki alanları genellikle birden çok fiziksel konuma dağıtılır, yani birden çok siteden oluşur ve siteler birden çok alt ağa yayılır. Etki alanı dizini veritabanı, kullanıcılar, gruplar ve bilgisayarlar için hesapları tanımlayan nesnelerin yanı sıra yazıcılar ve klasörler gibi paylaşılan kaynakları depolar.

Etki alanı işlevleri, işleyişinin modu tarafından sınırlandırılır ve düzenlenir. Dört işlevsel etki alanı modu vardır:

Windows 2000 karma modu - Windows çalıştıran etki alanı denetleyicilerini destekler NT 4.0, Wi ndows 2000 ve pencereler sunucu 2003;

Windows 2000 yerel modu - Windows 2000 çalıştıran etki alanı denetleyicilerini destekler ve pencereler sunucu 2003;

ara mod pencereler sunucu 2003 ( geçici mod) - çalışan etki alanı denetleyicilerini destekler pencereler NT 4.0 ve pencereler sunucu 2003;

mod Windows Sunucusu 2003 - Windows Server 2003 çalıştıran etki alanı denetleyicilerini destekler.

Ormanlar ve ağaçlar

Her etki alanı Aktif dizin sahip DNS-tür adı microsoft.com. Dizin verilerini paylaşan etki alanları bir orman oluşturur. DNS ad hiyerarşisindeki ormanın etki alanı adları şunlardır: bitişik olmayan(bitişik olmayan) veya bitişik(bitişik).

Bitişik adlandırma yapısına sahip etki alanlarına etki alanı ağacı denir. Bir ormandaki etki alanlarının bitişik olmayan DNS adları varsa, bunlar ormanda ayrı etki alanı ağaçları oluşturur. Bir ormana bir veya daha fazla ağaç dahil edilebilir. Etki alanı yapılarına erişmek için konsolu kullanınAktif dizin- etki alanları ve güven (Aktifdizin Etki Alanlarıve Güvenler).

Ormanların işlevleri, ormanın işlevsel rejimi tarafından sınırlandırılır ve düzenlenir. Bu tür üç mod vardır:

Windows 2000 - Windows NT 4.0, Windows 2000 ve Windows çalıştıran etki alanı denetleyicilerini destekler sunucu 2003;

orta düzey ( geçici) pencereler sunucu 2003 - Windows NT 4.0 ve Windows Server 2003 çalıştıran etki alanı denetleyicilerini destekler;

Windows Sunucusu 2003 - Windows Server 2003 çalıştıran etki alanı denetleyicilerini destekler.

En gelişmiş Active Directory özellikleri Windows Server 2003 modunda mevcuttur. Ormandaki tüm etki alanları bu modda çalışıyorsa, geliştirilmiş genel katalog çoğaltmasından (çoğaltma) ve Active Directory verilerinin daha verimli çoğaltılmasından yararlanabilirsiniz. Ayrıca şema sınıflarını ve özniteliklerini devre dışı bırakabilir, dinamik yardımcı sınıfları kullanabilir, etki alanlarını yeniden adlandırabilir ve ormanda tek yönlü, iki yönlü ve geçişli güvenler oluşturabilirsiniz.

Web siteleri ve alt ağlar

Alan bir ağın fiziksel yapısını planlamak için kullanılan bir veya daha fazla IP alt ağındaki bir grup bilgisayardır. Site planlaması, etki alanının mantıksal yapısından bağımsız olarak gerçekleşir. Active Directory, tek bir etki alanında birden çok site veya birden çok etki alanına yayılan tek bir site oluşturmanıza olanak tanır.

Birden çok IP adresi alanına yayılabilen sitelerin aksine, alt ağların belirli bir IP adresi alanı ve ağ maskesi vardır. Alt ağ adları şu biçimdedir: ağ / bit maskesi, örneğin 192.168.19.0/24 burada ağ adresi 192.168.19.0 ve ağ maskesi 255.255.255.0, 192.168.19.0/24 alt ağ adıyla birleştirilir.

Bilgisayarlar, bir alt ağdaki veya bir alt ağ kümesindeki konumlarına göre sitelere atanır. Alt ağlardaki bilgisayarlar yeterince yüksek hızlarda iletişim kurabiliyorsa, bunlara denir. iyi bağlanmış (iyi bağlanmış).

İdeal olarak, siteler iyi bağlanmış alt ağlardan ve bilgisayarlardan oluşur.Alt ağlar ve bilgisayarlar arasındaki iletişim hızı yavaşsa, birden çok site oluşturmak gerekebilir. İyi bir bağlantı, web sitelerine bazı avantajlar sağlar.

Bir istemci bir etki alanına katıldığında, kimlik doğrulama işlemi önce istemcinin sitesinde yerel bir etki alanı denetleyicisi arar, yani mümkünse önce yerel denetleyiciler sorgulanır, bu da ağ trafiğini sınırlar ve kimlik doğrulamasını hızlandırır.

Dizin bilgileri daha sık çoğaltılır içeri siteler daha arasında Siteler. Bu, çoğaltma kaynaklı ağlar arası trafiği azaltır ve yerel etki alanı denetleyicilerinin güncellenmiş bilgileri hızla almasını sağlar.

Dizin verilerinin çoğaltılma sırasını kullanarak özelleştirebilirsiniz. site bağlantıları (site bağlantıları). Örneğin, tanımlayın köprü sunucusu (köprü başı) siteler arasında çoğaltma için.

Siteler arasındaki çoğaltma yükünün büyük kısmı, kullanılabilir herhangi bir site sunucusu yerine bu özel sunucuya düşer. web siteleri ve alt ağlar konsolda yapılandırılır Aktif Dizin - siteler ve hizmetler(Active Directory Siteleri ve Hizmetleri).

Alanlarla çalışma Aktif Dizin

İnternet üzerinden pencereler sunucu 2003 hizmet Aktifdizinile aynı anda yapılandırılmışDNS... Ancak, Active Directory etki alanları ve DNS etki alanları farklı amaçlara sahiptir. Active Directory etki alanları, hesapları, kaynakları ve güvenliği yönetmenize yardımcı olur.

DNS etki alanı hiyerarşisi öncelikle ad çözümlemesi içindir.

Windows XP Professional ve Windows 2000 çalıştıran bilgisayarlar Active Directory'den tam olarak yararlanabilirler.Ağ üzerinde Active Directory istemcileri olarak çalışırlar ve etki alanı ağacında veya ormanında bulunan geçişli güvenlere erişimleri vardır. Bu ilişkiler, yetkili kullanıcıların ormandaki herhangi bir etki alanındaki kaynaklara erişmesine izin verir.

sistem Windows Server 2003, bir etki alanı denetleyicisi veya üye sunucu olarak işlev görür. Üye sunucular, Active Directory yüklendikten sonra denetleyici olur; Active Directory kaldırıldıktan sonra denetleyiciler üye sunuculara indirgenir.

Her iki işlem de gerçekleştirir Active Directory Kurulum Sihirbazı. Bir etki alanının birden çok denetleyicisi olabilir. Her bir denetleyicinin dizin değişikliklerini işlemesine ve ardından bunları diğer denetleyicilere yaymasına olanak tanıyan çok yöneticili bir çoğaltma modelinde dizin verilerini kendi aralarında çoğaltırlar. Çoklu yönetici yapısı ile tüm kontrolörler varsayılan olarak eşit sorumluluklara sahiptir. Ancak, dizin verilerini diğer sitelere çoğaltırken öncelikli olan bir köprübaşı sunucusu oluşturmak gibi belirli görevler için bazı etki alanı denetleyicilerine diğerlerine göre öncelik verebilirsiniz.

Ayrıca, bazı görevler en iyi şekilde özel bir sunucuda yapılır. Belirli bir görev türünü işleyen sunucuya denir. operasyon ustası (operasyon yöneticisi).

Windows 2000, Windows XP Professional ve Windows Server 2003 çalıştıran ve bir etki alanına katılan ve diğer kaynaklar gibi Active Directory nesneleri olarak depolanan tüm bilgisayarlar için hesaplar oluşturulur. Bilgisayar hesapları, ağa ve kaynaklarına erişimi kontrol etmek için kullanılır.Bir bilgisayar, hesabını kullanarak etki alanına erişmeden önce, kimlik doğrulama prosedürünü geçmelidir.

dizin yapısı

Katalog verileri, kullanıcılara ve bilgisayarlara şu yollarla sağlanır: Bilgi deposu (veri depoları) ve küresel kataloglar (küreselkataloglar). Fonksiyonların çoğuAktifdizingenel kataloglar (GC'ler) oturum açmak ve bilgi bulmak için kullanıldıkları için aynı derecede önemlidir. GL mevcut değilse, normal kullanıcılar etki alanında oturum açamaz. Bu durumu aşmanın tek yolu, üyeliği yerel olarak önbelleğe almaktır. evrensel gruplar

Active Directory verilerine erişim ve dağıtımı şu yollarla sağlanır: dizin erişim protokolleri (dizin erişimprotokoller) ve çoğaltma (çoğaltma).

Güncellenen verileri denetleyicilere dağıtmak için çoğaltma gereklidir. Güncellemeleri dağıtmanın ana yöntemi çok yöneticili çoğaltmadır, ancak bazı değişiklikler yalnızca özel denetleyiciler tarafından işlenir - operasyon ustaları (operasyon ustaları).

Windows Server 2003'te çok yöneticili çoğaltmanın gerçekleştirilme şekli de, Windows Server 2003'ün piyasaya sürülmesiyle birlikte değişti. dizin bölümleri uygulamalar (başvurudizinbölümler). Bunlar aracılığıyla, sistem yöneticileri bir etki alanı ormanında çoğaltmayı yönetmek için kullanılan mantıksal yapılar olan çoğaltma bölümleri oluşturabilir. Örneğin, bir etki alanı içinde DNS bilgilerini çoğaltan bir bölüm oluşturabilirsiniz. DNS bilgilerinin etki alanındaki diğer sistemlere kopyalanması yasaktır.

Uygulama dizini bölümleri, bir etki alanının alt öğesi, başka bir uygulama bölümünün alt öğesi veya bir etki alanı ormanındaki yeni bir ağaç olabilir. Bölüm çoğaltmaları, genel kataloglar dahil olmak üzere herhangi bir Active Directory etki alanı denetleyicisinde barındırılabilir. Uygulama kataloğu bölümleri, büyük etki alanlarında ve ormanlarda kullanışlı olsa da, planlama, yönetim ve bakım ek yüküne katkıda bulunurlar.

Bilgi deposu

Mağaza, Active Directory dizin hizmetindeki en önemli nesneler hakkında bilgiler içerir - hesaplar, paylaşımlar, işletim sistemi ve grup ilkeleri. Veri ambarına bazen basitçe şu şekilde atıfta bulunulur: katalog (dizin). Etki alanı denetleyicisinde dizin, konumu Active Directory kurulumu sırasında belirlenen NTDS.DIT ​​dosyasında saklanır (bu bir NTFS sürücüsü olmalıdır). Grup ilkeleri, komut dosyaları ve SYSVOL sistem paylaşımına yazılan diğer bilgiler gibi bazı dizin verileri de ana depodan ayrı tutulabilir.

Dizin bilgilerinin paylaşılmasına denir yayınlayarak (Yayınla). Örneğin, bir ağda kullanım için bir yazıcı açıldığında, yayınlanır; paylaşılan bir klasör hakkındaki bilgiler yayınlanır vb. Etki alanı denetleyicileri, çok yöneticili bir şemada depodaki çoğu değişikliği çoğaltır. Küçük ve orta ölçekli bir kuruluştaki bir yönetici, otomatik olduğu için depolama çoğaltmasını nadiren yönetir, ancak ağ mimarisinin özelliklerine göre yapılandırılabilir.

Tüm katalog verileri çoğaltılmaz, ancak yalnızca:

Etki alanı verileri - hesap nesneleri, paylaşılan kaynaklar, işletim sistemi ve grup ilkeleri dahil olmak üzere etki alanındaki nesneler hakkında bilgiler;

Yapılandırma Verileri — Dizin topolojisi hakkında bilgiler: tüm etki alanlarının, ağaçların ve ormanların listesi ve ana denetleyicilerin ve sunucuların konumu;

Şema verileri - dizinde saklanabilecek tüm nesneler ve veri türleri hakkında bilgi; Windows Server 2003 standart şeması, hesap nesnelerini, paylaşım nesnelerini ve daha fazlasını açıklar ve yeni nesneler ve öznitelikler tanımlanarak veya mevcut nesnelere öznitelikler eklenerek genişletilebilir.

Genel katalog

Üyeliğin yerel olarak önbelleğe alınması durumunda evrensel grup yoktur, ağda oturum açma, GC tarafından sağlanan evrensel grup üyelik bilgilerine dayanır.

Ayrıca ormandaki tüm etki alanlarında dizin aramaları sağlar. kontrolör, oyunculuk rolü sunucu defteri, kendi etki alanındaki dizinindeki tüm nesnelerin tam bir kopyasını ve ormandaki diğer etki alanlarının nesnelerinin kısmi bir kopyasını saklar.

Oturum açma ve arama için yalnızca birkaç nesne özelliği gereklidir, bu nedenle kısmi kopyalar kullanılabilir. Çoğaltma, ağ trafiğini azaltan kısmi bir çoğaltma oluşturmak için daha az veri aktarımı gerektirir.

Varsayılan olarak, ilk etki alanı denetleyicisi GC sunucusu olur. Bu nedenle, etki alanında yalnızca bir etki alanı denetleyicisi varsa, GC sunucusu ve etki alanı denetleyicisi aynı sunucudur. Oturum açma zaman aşımını kısaltmak ve aramayı hızlandırmak için GL'yi farklı bir denetleyiciye yerleştirebilirsiniz. Alanın her sitesinde bir defter oluşturmanız önerilir.

Bu sorunu çözmenin birkaç yolu vardır. Elbette, uzak ofisteki etki alanı denetleyicilerinden birinde bir GC sunucusu oluşturabilirsiniz. Bu yöntemin dezavantajı, GC sunucusu üzerindeki yükün artmasıdır, bu da ek kaynaklar ve bu sunucunun çalışma süresinin dikkatli bir şekilde planlanmasını gerektirebilir.

Başka bir geçici çözüm, evrensel grup üyeliğini yerel olarak önbelleğe almaktır. Ancak, herhangi bir etki alanı denetleyicisi, GC sunucusuna gitmeden yerel olarak oturum açma istekleri sunabilir. Bu, oturum açma prosedürünü hızlandırır ve bir GK sunucusu kesintisi durumunda durumu kolaylaştırır. Ayrıca çoğaltma trafiğini azaltır.

Tüm defteri ağ üzerinden periyodik olarak güncellemek yerine, evrensel grup üyeliği önbelleğini güncellemek yeterlidir. Varsayılan olarak güncellemeler, evrensel grup üyeliğinin yerel önbelleğe alınmasını kullanan her etki alanı denetleyicisinde sekiz saatte bir gerçekleşir.

üyelik her site için ayrı ayrı evrensel bir grup. Bir sitenin, ayrı bir IP adresi kümesi ve bir ağ maskesi ile bir veya daha fazla alt ağdan oluşan fiziksel bir yapı olduğunu hatırlayın. Etki alanı denetleyicileri pencereler Server 2003 ve eriştikleri defter aynı sitede olmalıdır. Birden fazla site varsa, her sitede yerel önbelleğe almayı yapılandırmanız gerekir. Ayrıca, sitede oturum açan kullanıcılar, Windows Server 2003 orman modunda çalışan bir Windows Server 2003 etki alanının parçası olmalıdır.

Active Directory'de çoğaltma

Dizin üç tür bilgiyi depolar: etki alanı verileri, şema verileri ve yapılandırma verileri. Etki alanı verileri, tüm etki alanı denetleyicilerine çoğaltılır. Tüm etki alanı denetleyicileri eşittir, yani. herhangi bir etki alanı denetleyicisinden yapılan tüm değişiklikler, diğer tüm etki alanı denetleyicilerine çoğaltılacaktır.Şema ve yapılandırma verileri, ağaç veya ormandaki tüm etki alanlarına çoğaltılır. Ayrıca, tek bir etki alanının tüm nesneleri ve orman nesnelerinin bazı özellikleri genel muhasebe defterinde çoğaltılır. Bu, etki alanı denetleyicisinin ağaç veya orman için şemayı, ağaç veya ormandaki tüm etki alanları için yapılandırma bilgilerini ve kendi etki alanı için tüm dizin nesnelerini ve özelliklerini depoladığı ve çoğalttığı anlamına gelir.

Defteri barındıran etki alanı denetleyicisi, orman için şema bilgilerini, ormandaki tüm etki alanları için yapılandırma bilgilerini ve ormandaki tüm dizin nesneleri için sınırlı bir özellik kümesini içerir ve çoğaltır (yalnızca defter sunucuları arasında çoğaltır) etki alanınız için tüm dizin nesneleri ve özellikleri olarak.

Çoğaltmanın özünü anlamak için, yeni bir ağ kurmak için bu senaryoyu düşünün.

1. Etki alanında Ve ilk kontrolör kurulur. Bu sunucu tek etki alanı denetleyicisidir. Aynı zamanda GC'nin sunucusudur. Başka denetleyici olmadığı için böyle bir ağda çoğaltma gerçekleşmez.

2. Etki alanında İkinci bir denetleyici kurulur ve çoğaltma başlar. Bir denetleyiciyi altyapı yöneticisi, diğerini ana sunucu olarak atayabilirsiniz. Altyapı Sahibi, genel muhasebe güncellemelerini izler ve değiştirilen nesneler için onlardan talep eder. Bu denetleyicilerin her ikisi de şema ve yapılandırma verilerini çoğaltır.

3. Etki alanında Ve üzerinde GK bulunmayan üçüncü bir kontrolör kurulur. Altyapı yöneticisi, GL güncellemelerini izler, değiştirilen nesneler için bunları sorgular ve ardından değişiklikleri üçüncü bir etki alanı denetleyicisine çoğaltır. Her üç denetleyici de şema ve yapılandırma verilerini çoğaltır.

4. Yeni bir B etki alanı oluşturulur, buna denetleyiciler eklenir. Etki alanı A ve etki alanı B'deki defter sunucuları, tüm şema ve yapılandırma verilerinin yanı sıra her etki alanındaki etki alanı verilerinin bir alt kümesini çoğaltır. Etki Alanı A'daki çoğaltma, yukarıda açıklandığı gibi devam eder, ayrıca Etki Alanı B içindeki çoğaltma başlar.

Aktifdizin ve LDAP

Basit Dizin Erişim Protokolü (LDAP), TCP / IP ağları için standart bir İnternet protokolüdür. LDAP, dizin hizmetlerine minimum ek yük ile erişmek için özel olarak tasarlanmıştır. LDAP, dizin bilgilerini sorgulamak ve değiştirmek için kullanılan işlemleri de tanımlar.

müşteriler Active Directory, ağda her oturum açtıklarında veya paylaşılan kaynakları aradıklarında Active Directory çalıştıran bilgisayarlarla iletişim kurmak için LDAP'yi kullanır. LDAP, dizin ara bağlantısını ve diğer dizin hizmetlerinden Active Directory'ye geçişi basitleştirir. Uyumluluğu iyileştirmek için Active Directory Hizmet Arayüzlerini (Aktifdizin Hizmet- Arayüzler, ADSI).

Operasyon Yöneticisi Rolleri

İşlem yöneticisi, çok yöneticili çoğaltma modelinde uygun olmayan görevleri çözer. Bir veya daha fazla etki alanı denetleyicisine atayabileceğiniz beş işlem yöneticisi rolü vardır. Bazı roller orman düzeyinde benzersiz olmalıdır; diğerleri için etki alanı düzeyi yeterlidir. Her Active Directory ormanında aşağıdaki roller bulunmalıdır:

Şema yöneticisi) - Dizin şemasındaki güncellemeleri ve değişiklikleri yönetir. Katalog şemasını güncellemek için şema yöneticisine erişiminiz olmalıdır. Şu anda etki alanındaki şemanın yöneticisi olan sunucuyu belirlemek için, bir komut istemi penceresi açıp şunu girin: dsquery server -vardırFsigara şema.

Etki alanı adlandırma yöneticisi - ormandaki etki alanlarının eklenmesini ve kaldırılmasını yönetir. Bir etki alanı eklemek veya kaldırmak için etki alanı adlandırma yöneticisine erişiminiz olmalıdır. Şu anda hangi sunucunun etki alanı adlandırma yöneticisi olduğunu belirlemek için komut istemi penceresine dsquery sunucusunu girmeniz yeterlidir:vardırFsigara isim.

Bir bütün olarak tüm orman için ortak olan bu roller, orman içinde benzersiz olmalıdır.

Her Active Directory etki alanında aşağıdaki roller bulunmalıdır.

Göreli kimlik yöneticisi - göreli tanımlayıcıları etki alanı denetleyicilerine tahsis eder. Her kullanıcı nesnesi oluşturduğunuzda, grup veya bilgisayar, denetleyiciler nesneye, bir etki alanı SID'sinden ve ilgili kimlik yöneticisi tarafından tahsis edilmiş benzersiz bir tanımlayıcıdan oluşan benzersiz bir SID atar. Şu anda hangi sunucunun etki alanındaki ilgili tanımlayıcıların yöneticisi olduğunu belirlemek için komut istemi penceresine girmeniz yeterlidir: dsquerysunucu -vardırFsigarakurtulmak.

PDC öykünücüsü (PDC öykünücüsü) - Karma veya aşamalı etki alanı modunda, Windows NT ana etki alanı denetleyicisi olarak işlev görür. Windows NT oturumlarının kimliğini doğrular, parola değişikliklerini yönetir ve güncellemeleri P DC'ye kopyalar. Etki alanında şu anda hangi sunucunun PDC öykünücüsü olduğunu belirlemek için şunu girin: dsquery sunucu - hasfsmo pdc.

altyapı ustası usta ) - katalog verilerini defter verileriyle karşılaştırarak nesnelerin bağlantılarını günceller. Veriler güncel değilse, GC'den güncellemeler ister ve bunları etki alanındaki diğer denetleyicilere çoğaltır. Hangi sunucunun etki alanındaki altyapının yöneticisi olduğunu belirlemek için, sadece komut istemi penceresine girin ve dsquerysunucu -hasfsmo infr.

Tüm etki alanı için ortak olan bu roller, etki alanı içinde benzersiz olmalıdır. Başka bir deyişle, her etki alanı için yalnızca bir göreli kimlik yöneticisi, bir PDC öykünücüsü ve bir altyapı yöneticisi yapılandırabilirsiniz.

İşlem yöneticisi rolleri genellikle otomatik olarak atanır, ancak bunları yeniden atayabilirsiniz. Yeni bir ağ kurulduğunda, ilk etki alanındaki ilk denetleyici tüm işlem yöneticisi rollerini üstlenir. Yeni ağaçta daha sonra yeni bir alt etki alanı veya kök etki alanı oluşturulursa, işlem yöneticisi rolleri de otomatik olarak ilk etki alanı denetleyicisine atanır. Yeni etki alanı ormanında, etki alanı denetleyicisine tüm işlem yöneticisi rolleri atanır. Aynı ormanda yeni bir etki alanı oluşturulursa, denetleyicisine göreli tanımlayıcıların yöneticisi, öykünücü P rolü atanır.NSC ve altyapının sahibi. Şema yöneticisi ve etki alanı adlandırma yöneticisi rolleri, ormandaki ilk etki alanında kalır.

Etki alanında yalnızca bir etki alanı denetleyicisi varsa, tüm işlem yöneticisi rollerini devralır. Ağda tek bir site varsa, operasyon yöneticileri için varsayılan konum en uygunudur. Ancak, etki alanı denetleyicileri ve etki alanları ekledikçe, bazen işlem yöneticisi rollerini diğer etki alanı denetleyicilerine taşımanız gerekir.

Bir etki alanında iki veya daha fazla etki alanı denetleyicisi varsa, iki etki alanı denetleyicisini işlem yöneticisi rollerini üstlenecek şekilde yapılandırmanızı öneririz. Örneğin, bir etki alanı denetleyicisini birincil işlem yöneticisi ve diğerini de birincil denetleyicinin başarısız olması durumunda gerekli olacak yedek olarak atayın.

Yönetim Aktif Dizin

CActive Directory bilgisayar hesapları oluşturur, onları etki alanına bağlar ve bilgisayarları, etki alanı denetleyicilerini ve kuruluş birimlerini (OU'lar) yönetir.

Active Directory'yi yönetmek için yönetim ve destek araçları sağlanır. Aşağıda listelenen araçlar, MMC konsolunun ek bileşenleri biçiminde uygulanır (Microsoft YönetmekKonsol):

Active Directory Kullanıcıları ve Bilgisayarları (Active Directory Kullanıcılar ve bilgisayarlar) kullanıcıları, grupları, bilgisayarları ve kuruluş birimlerini (OP) yönetmenize olanak tanır;

Aktif dizin- etki alanları ve güven ( Aktif dizin Etki Alanlarıve güven ) etki alanları, etki alanı ağaçları ve etki alanı ormanları ile çalışmaya hizmet eder;

Aktif Dizin - Siteler vehizmet (Active Directory Siteleri ve Hizmetleri) siteleri ve alt ağları yönetmenize olanak tanır;

Sonuç siyaset (Ortaya Çıkan Politika Seti) geçerli kullanıcı veya sistem politikasını görüntülemek ve politikadaki değişiklikleri planlamak için kullanılır.

V Microsoft Windows 2003 Server, bu ek bileşenlere doğrudan Yönetimsel Araçlar menüsünden erişebilir.

Başka bir yönetim aracı ek bileşendir şema Aktifdizin (Aktif dizin Şema) - dizin şemasını yönetmenizi ve değiştirmenizi sağlar.

Komut satırı yardımcı programları Aktif dizin

Nesneleri yönetmek için Aktif dizinÇok çeşitli yönetim görevlerini gerçekleştirmenize izin veren komut satırı araçları vardır:

DSADD - ekler Aktif dizin bilgisayarlar, kişiler, gruplar, PO'lar ve kullanıcılar.

DSGET - kayıtlı bilgisayarların, kişilerin, grupların, işletim sisteminin, kullanıcıların, sitelerin, alt ağların ve sunucuların özelliklerini görüntüler. Aktif dizin.

DSMOD - kayıtlı bilgisayarların, kişilerin, grupların, OP'lerin, kullanıcıların ve sunucuların özelliklerini değiştirir Aktif dizin.

DSMOVE - tek bir nesneyi etki alanı içinde yeni bir konuma taşır veya bir nesneyi hareket etmeden yeniden adlandırır.

DSQXJERY - içindeki bilgisayarları, kişileri, grupları, OP'leri, kullanıcıları, siteleri, alt ağları ve sunucuları arar Aktif dizin belirtilen kriterlere göre.

DSRM - bir nesneyi kaldırır Aktif dizin.

NTDSUTIL - bir site, etki alanı veya sunucu hakkındaki bilgileri görüntülemenize, yönetmenize olanak tanır operasyon ustaları (operasyonlar ustalar) ve veritabanını korumakAktif dizin.

Active Directory bir sistem yönetim hizmetidir. Yerel gruplara çok daha iyi bir alternatiftirler ve verimli yönetim ve güvenilir veri koruması ile bilgisayar ağları oluşturmanıza olanak tanırlar.

Active Directory kavramıyla daha önce karşılaşmadıysanız ve bu tür servislerin nasıl çalıştığını bilmiyorsanız bu makale tam size göre. Bu kavramın ne anlama geldiğini, bu tür veritabanlarının avantajlarının neler olduğunu ve bunları ilk kullanım için nasıl oluşturup yapılandıracağımızı anlayalım.

Active Directory çok uygun bir sistem yönetim yöntemidir. Active Directory ile verilerinizi verimli bir şekilde yönetebilirsiniz.

Bu hizmetler, etki alanı denetleyicileri tarafından yönetilen tek bir veritabanı oluşturmanıza olanak tanır. Bir girişiminiz varsa, bir ofis işletiyorsanız, genel olarak, birleşmesi gereken birçok kişinin faaliyetlerini kontrol edin, böyle bir alan sizin için kullanışlı olacaktır.

Tüm nesneleri içerir - bilgisayarlar, yazıcılar, fakslar, kullanıcı hesapları ve daha fazlası. Verilerin bulunduğu alanların toplamına "orman" denir. Active Directory tabanı, nesne sayısının 2 milyara kadar çıkabileceği etki alanı tabanlı bir ortamdır. Bu ölçeği hayal edebiliyor musunuz?

Yani, böyle bir "orman" veya veritabanı yardımıyla, ofiste çok sayıda çalışanı ve ekipmanı bağlamak mümkündür ve yere atıfta bulunmadan - diğer kullanıcılar da hizmetlere bağlanabilir, örneğin , başka bir şehirde bir şirketin ofisinden.

Ek olarak, Active Directory çerçevesinde birkaç alan oluşturulur ve birleştirilir - şirket ne kadar büyükse, teknolojisini veritabanı içinde kontrol etmek için o kadar fazla araca ihtiyaç duyulur.

Ayrıca, böyle bir ağ oluştururken, bir kontrol alanı belirlenir ve daha sonra diğer alanların varlığında bile, orijinal olan hala "ebeveyn" olarak kalır - yani, bilgi yönetimine yalnızca tam erişime sahiptir.

Bu veriler nerede saklanıyor ve etki alanları nasıl var? Denetleyiciler, Active Directory oluşturmak için kullanılır. Genellikle iki tane vardır - birine bir şey olursa, bilgi ikinci denetleyiciye kaydedilir.

Veritabanını kullanmak için başka bir seçenek, örneğin şirketiniz başka bir şirketle işbirliği yapıyorsa ve ortak bir projeyi tamamlamanız gerekiyorsa. Bu durumda, yetkisiz kişilerin etki alanı dosyalarına erişimi gerekebilir ve burada iki farklı "orman" arasında bir tür "ilişki" kurabilir, geri kalanın güvenliğini riske atmadan gerekli bilgilere açık erişim sağlayabilirsiniz. veri.

Genel olarak Active Directory, boyutundan bağımsız olarak belirli bir yapı içinde bir veritabanı oluşturmaya yarayan bir araçtır. Kullanıcılar ve tüm ekipman tek bir "ormanda" birleştirilir, denetleyicilerde bulunan etki alanları oluşturulur.

Hizmetlerin yalnızca Windows sunucu sistemlerine sahip cihazlarda çalışabileceğinin açıklığa kavuşturulması da önerilir. Ayrıca kontrolörler üzerinde 3-4 DNS sunucusu oluşturulur. Etki alanının ana bölgesine hizmet ederler ve bunlardan birinin arızalanması durumunda diğer sunucular onun yerini alır.

Aptallar için Active Directory'ye kısa bir genel bakışın ardından, doğal olarak şu soruyla ilgileniyorsunuz: yerel bir grubu neden bütün bir veritabanıyla değiştirelim? Doğal olarak, burada olasılıklar alanı birçok kez daha geniştir ve sistem yönetimi için bu hizmetler arasındaki diğer farklılıkları bulmak için avantajlarına daha yakından bakalım.

Active Directory Avantajları

Active Directory'nin avantajları aşağıdaki gibidir:

1. Kimlik doğrulama için bir kaynak kullanma. Bu durumda, genel bilgilere erişim gerektiren tüm hesapları her PC'ye eklemeniz gerekir. Ne kadar çok kullanıcı ve teknisyen olursa, bu verileri aralarında senkronize etmek o kadar zor olur.

Ve böylece, bir veritabanı ile servisleri kullanırken, hesaplar bir noktada saklanır ve değişiklikler tüm bilgisayarlarda hemen yürürlüğe girer.

Nasıl çalışır? Ofise gelen her çalışan sistemi başlatır ve hesabına giriş yapar. Oturum açma isteği sunucuya otomatik olarak gönderilecek ve kimlik doğrulama bunun üzerinden gerçekleşecek.

Kayıt tutmada belirli bir sıraya gelince, kullanıcıları her zaman "İnsan Kaynakları" veya "Muhasebe" olarak gruplara ayırabilirsiniz.

Bu durumda bilgiye erişim sağlamak daha da kolaydır - bir departmandan çalışanlar için bir klasör açmanız gerekiyorsa, bunu veritabanı üzerinden yaparsınız. Belgelerin geri kalanı kapalı kalırken, birlikte gerekli veri klasörüne erişirler.

1. Veritabanının her üyesi üzerinde kontrol.

Yerel bir grupta her üye bağımsızsa, onu başka bir bilgisayardan kontrol etmek zorsa, şirket politikasına uygun olarak etki alanlarında belirli kurallar belirlenebilir.

Sistem yöneticisi olarak, erişim ayarlarını ve güvenlik ayarlarını yapılandırabilir ve ardından bunları her kullanıcı grubu için uygulayabilirsiniz. Doğal olarak, hiyerarşiye bağlı olarak, bir grup daha katı ayarlar tanımlayabilirken, diğerlerine sistemdeki diğer dosyalara ve eylemlere erişim izni verilebilir.

Ek olarak, şirkete yeni bir kişi katıldığında, bilgisayarı, iş bileşenlerinin dahil olduğu gerekli ayar setini hemen alacaktır.

1. Yazılım kurulumunda çok yönlülük.

Bu arada, bileşenler hakkında - Active Directory'nin yardımıyla yazıcılar atayabilir, tüm çalışanlar için gerekli programları bir kerede kurabilir, gizlilik parametrelerini ayarlayabilirsiniz. Genel olarak, bir veri tabanının oluşturulması işi önemli ölçüde optimize edecek, güvenliği izleyecek ve kullanıcıları maksimum verimlilik için birleştirecektir.

Ve bir şirket ayrı bir yardımcı program veya özel hizmetler işletiyorsa, bunlar alan adlarıyla senkronize edilebilir ve bunlara basitleştirilmiş erişim sağlanabilir. Nasıl? Şirkette kullanılan tüm ürünleri birleştirirseniz, çalışanın her programa giriş yapmak için farklı kullanıcı adı ve şifre girmesine gerek kalmayacak - bu bilgiler paylaşılacaktır.

Artık Active Directory kullanmanın yararlarını ve sonuçlarını anladığınıza göre, bu hizmetleri yükleme sürecini gözden geçirelim.

Windows Server 2012'de bir veritabanı kullanma

Active Directory'yi kurmak ve yapılandırmak zor değildir ve aynı zamanda ilk bakışta göründüğünden daha kolaydır.

Hizmetleri yüklemek için önce aşağıdakileri yapmanız gerekir:

1. Bilgisayarın adını değiştirin: "Başlat" a tıklayın, Denetim Masası'nı açın, "Sistem" öğesini açın. "Parametreleri değiştir"i seçin ve "Bilgisayar adı" satırının karşısındaki Özellikler'de "Değiştir"e tıklayın, ana bilgisayar için yeni bir değer girin.
2. PC'nin isteği üzerine yeniden başlatın.
3. Ağ ayarlarınızı şu şekilde yapın:
   • Kontrol panelinden Ağlar ve Paylaşım menüsünü açın.
   • Doğru adaptör ayarları. Özellikler'e sağ tıklayın ve Ağ sekmesine tıklayın.
   • Listedeki pencerede, 4 numaralı İnternet protokolüne tıklayın, tekrar "Özellikler" e tıklayın.
   • Gerekli ayarları girin, örneğin: IP adresi - 192.168.10.252, alt ağ maskesi - 255.255.255.0, ana alt ağ geçidi - 192.168.10.1.
   • "Tercih edilen DNS sunucusu" satırında, "Alternatif ..." bölümünde yerel sunucunun adresini belirtin - DNS sunucularının diğer adresleri.
   • Değişiklikleri kaydedin ve pencereleri kapatın.

Active Directory rollerini şu şekilde yükleyin:

1. Başlangıç ​​boyunca "Sunucu Yöneticisi"ni açın.
2. Menüden Rol ve Özellik Ekle'yi seçin.
3. Sihirbaz başlayacaktır, ancak ilk açıklama penceresini atlayabilirsiniz.
4. "Rolleri ve özellikleri yükleme" satırını kontrol edin, devam edin.
5. Active Directory'yi yüklemek için bilgisayarınızı seçin.
6. Listeden yüklemek istediğiniz rolü işaretleyin - sizin durumunuz için bu "Active Directory Etki Alanı Hizmetleri"dir.
7. Hizmetler için gerekli bileşenleri indirmenizi isteyen küçük bir pencere görünecektir - kabul edin.
8. Ardından, diğer bileşenleri yüklemeniz istenecektir - bunlara ihtiyacınız yoksa, "İleri" düğmesine tıklayarak bu adımı atlayın.
9. Kurulum sihirbazı, kurduğunuz hizmetlerin açıklamalarını içeren bir pencere görüntüler - okumaya devam edin ve devam edin.
10. Kuracağımız bileşenlerin bir listesi görünecektir - her şeyin doğru olup olmadığını kontrol edin ve doğruysa uygun düğmeye basın.
11. İşlem tamamlandığında pencereyi kapatın.
12. İşte bu - hizmetler bilgisayarınıza yüklenir.

Active Directory'yi Yapılandırma

Bir etki alanı hizmeti kurmak için aşağıdakileri yapmanız gerekir:

• Aynı ada sahip yapılandırma sihirbazını çalıştırın.
• Pencerenin üstündeki sarı işaretçiye tıklayın ve Sunucu Rolünü Etki Alanı Denetleyicisine Yükselt'i seçin.
• Yeni bir "orman" ekle'yi tıklayın ve kök etki alanı için bir ad oluşturun, ardından "İleri"yi tıklayın.
• Orman ve etki alanı işlevsel düzeylerini belirtin - çoğu zaman aynıdır.
• Bir şifre ile gelin, ancak hatırladığınızdan emin olun. Devam edin.
• Bundan sonra, alan adının yetkilendirilmediğine dair bir uyarı ve alan adını kontrol etmek için bir teklif görebilirsiniz; bu adımları atlayabilirsiniz.
• Bir sonraki pencerede, veritabanı dizinlerinin yolunu değiştirebilirsiniz - size uymuyorlarsa bunu yapın.
• Şimdi ayarlayacağınız tüm parametreleri göreceksiniz - bunları doğru seçip seçmediğinize bakın ve devam edin.
• Uygulama ön koşulların karşılanıp karşılanmadığını kontrol edecek ve herhangi bir yorum yoksa veya kritik değilse "Yükle" ye tıklayın.
• Kurulum tamamlandıktan sonra bilgisayar kendini yeniden başlatacaktır.

Ayrıca veritabanına nasıl kullanıcı ekleneceğini merak ediyor olabilirsiniz. Bunu yapmak için kontrol panelinin "Yönetim" bölümünde bulacağınız "Active Directory Kullanıcıları veya Bilgisayarları" menüsünü kullanın veya veritabanı ayarları menüsünü kullanın.

Yeni bir kullanıcı eklemek için alan adına sağ tıklayın, “Alt Bölüm”den sonra “Oluştur”u seçin. Yeni departmanın adını girmeniz gereken bir pencere göreceksiniz - farklı departmanlardan kullanıcıları toplayabileceğiniz bir klasör görevi görür. Aynı şekilde daha sonra birkaç bölüm daha oluşturacak ve tüm çalışanları doğru şekilde yerleştireceksiniz.

Ardından, departmanın adını oluşturduğunuzda, üzerine sağ tıklayın ve "Kullanıcı" dan sonra "Yeni" yi seçin. Artık geriye sadece gerekli verileri girmek ve kullanıcı için erişim ayarlarını yapmak kalıyor.

Yeni bir profil oluşturulduğunda, içerik menüsünü seçerek üzerine tıklayın ve "Özellikler"i açın. "Hesap" sekmesinde, "Engelle..." seçeneğinin yanındaki onay işaretini kaldırın. Bu kadar.

Genel sonuç, Active Directory'nin tüm çalışan bilgisayarlarını tek bir takımda birleştirmeye yardımcı olacak güçlü ve kullanışlı bir sistem yönetim aracı olduğudur. Hizmetlerin yardımıyla güvenli bir veritabanı oluşturabilir ve tüm kullanıcılar arasında çalışmayı ve bilgi senkronizasyonunu önemli ölçüde optimize edebilirsiniz. Şirketiniz ve başka herhangi bir iş yeri bilgisayarlar ve ağ ile bağlantılıysa, hesapları birleştirmeniz ve iş ve gizliliği izlemeniz gerekir, Active Directory tabanlı bir veritabanı kurmak harika bir çözüm olacaktır.

Uzun zamandır ağ altyapısının mantıksal inşasının muhafazakar ilkeleri kategorisine dahil edilmiştir. Ancak birçok yönetici, çalışmalarında Windows NT çalışma gruplarını ve etki alanlarını kullanmaya devam ediyor. Bir dizin hizmeti uygulamak, hem acemi hem de deneyimli yöneticiler için ağ yönetimini merkezileştirmek ve yeterli düzeyde güvenlik sağlamak için ilginç ve yararlı olacaktır.

Altı yıl önce Win2K sistemlerinde ortaya çıkan bir teknoloji olan Active Directory, devrim niteliğinde olarak tanımlanabilir. Çalışma grubu ağlarından bahsetmeye gerek yok, esneklik ve ölçeklenebilirlik açısından NT 4 etki alanlarından çok daha iyi performans gösteriyor.

Kapsamlarına göre sınıflandırılırlar:

• Evrensel gruplar, ormandaki kullanıcıları ve ormandaki herhangi bir etki alanından diğer evrensel grupları veya genel grupları içerebilir.
• etki alanı global grupları, aynı etki alanındaki etki alanı kullanıcılarını ve diğer global grupları içerebilir;
• Etki alanı yerel grupları, erişim haklarını ayırt etmek için kullanılır; bunlar, etki alanı kullanıcılarını ve ayrıca ormandaki herhangi bir etki alanının evrensel gruplarını ve genel gruplarını içerebilir;
• yerel bilgisayar grupları - yerel makinenin SAM'ını (güvenlik hesabı yöneticisi) içeren gruplar. Yalnızca belirli bir makineyle sınırlıdırlar, ancak bilgisayarın bulunduğu etki alanı için yerel grupların yanı sıra etki alanları için evrensel ve küresel grupları veya güvendikleri başka bir grubu içerebilirler. Örneğin, yerel makinenin Yöneticiler grubuna Kullanıcılar etki alanı yerel grubundan bir kullanıcı ekleyebilir, böylece ona yalnızca bu bilgisayar için yönetici hakları verebilirsiniz.

web siteleri

Bu, dizin hizmetini fiziksel olarak ayırmanın bir yoludur. Tanım olarak site, hızlı veri iletim kanallarıyla birbirine bağlanan bir grup bilgisayardır.

Örneğin, ülkenin farklı yerlerinde düşük hızlı iletişim hatlarıyla bağlı birkaç şubeniz varsa, her şube için kendi web sitenizi oluşturabilirsiniz. Bu, dizin çoğaltmanın güvenilirliğini artırmak için yapılır.

AD'nin bu bölümü, mantıksal yapı ilkelerini etkilemez, bu nedenle, bir site birkaç etki alanı içerebilir ve bunun tersi de, bir etki alanı birkaç site içerebilir. Ancak bu dizin hizmeti topolojisi bir yakalama ile doludur. Tipik olarak, İnternet şubelerle iletişim kurmak için kullanılır - çok güvensiz bir ortam. Birçok şirket güvenlik duvarları gibi güvenlik özelliklerini kullanır. Dizin hizmeti, çalışmasında yaklaşık bir düzine bağlantı noktası ve hizmet kullanır; bu, AD trafiğinin güvenlik duvarından geçmesi için açılması, onu gerçekten "dışarıya" çıkaracaktır. Çözüm, AD istemci isteklerinin işlenmesini hızlandırmak için tünel teknolojisini kullanmak ve her sitede bir etki alanı denetleyicisine sahip olmaktır.

Dizin Hizmet Varlığı

Bir düzeyde güvenlik sağlamak için, herhangi bir işletim sistemi, bir kullanıcı veritabanı içeren dosyalara sahip olmalıdır. Windows NT'nin önceki sürümleri bunun için bir SAM (Güvenlik Hesapları Yöneticisi) dosyası kullanıyordu. Kullanıcı kimlik bilgilerini içeriyordu ve şifreliydi. SAM, günümüzde NT 5 işletim sistemleri ailesinde de kullanılmaktadır (Windows 2000 ve üstü).

DCPROMO komutunu (ki aslında Dizin Hizmeti Yükleme Sihirbazını başlatır) kullanarak bir üye sunucuyu etki alanı denetleyicisine yükselttiğinizde, Windows Server 2000/2003 güvenlik motoru merkezi AD veritabanını kullanmaya başlar. Bunu kolayca kontrol edebilirsiniz - etki alanını oluşturduktan sonra, denetleyicide Bilgisayar Yönetimi ek bileşenini açmayı deneyin ve orada "Yerel Kullanıcılar ve Gruplar" öğesini bulun. Ayrıca, bu sunucuya yerel bir hesapla giriş yapmayı deneyin. Başarılı olmanız pek olası değildir.

Çoğu kullanıcı verisi NTDS.DIT ​​(Dizin Bilgi Ağacı) dosyasında saklanır. NTDS.DIT, değiştirilmiş bir veritabanıdır. Microsoft Access veritabanıyla aynı teknoloji kullanılarak oluşturulmuştur. Etki alanı denetleyicisi algoritmaları, Access veritabanı JET motorunun ESE (Genişletilebilir Depolama Motoru) adlı bir türevini içerir. NTDS.DIT ​​ve bu dosya ile etkileşime giren servisler aslında bir dizin servisidir.

AD istemcileri ile ana veri deposu arasındaki etkileşimin yapısı, dizin hizmetinin ad alanına benzer şekilde makalede sunulmaktadır. Bütünlük için, küresel tanımlayıcıların kullanımından söz edilmelidir. Global Benzersiz Tanımlayıcı (GUID), benzersizliği sağlamak için oluşturulduğunda her nesneye atanan 128 bitlik bir sayıdır. AD nesne adı değiştirilebilir, ancak GUID değişmeden kalır.

Genel katalog

AD'nin yapısının çok karmaşık olabileceğini ve çok sayıda nesne içerdiğini muhtemelen fark etmişsinizdir. Bir AD etki alanının 1,5 milyona kadar nesne içerebileceği gerçeğini alın. Ancak bu, işlemleri gerçekleştirirken performans sorunlarına neden olabilir. Bu sorun, Genel Katalog (,) kullanılarak çözülür. Nesne aramalarını hızlandırmaya yardımcı olmak için tüm AD ormanının küçültülmüş bir sürümünü içerir. Genel bir katalog, özel olarak belirlenmiş etki alanı denetleyicilerine ait olabilir.

Roller

AD'de, yürütülmesi yalnızca bir denetleyiciye atanabilecek belirli bir işlem listesi vardır. rol denir FSMO (Esnek Tek Ana İşlemler)... AD'de 5 FSMO rolü vardır. Onları daha ayrıntılı olarak ele alalım.

Orman içinde, etki alanları ormanına yeni bir etki alanı eklerken, etki alanı adlarının benzersizliğinin garantisi olmalıdır. Böyle bir garanti, etki alanı adlandırma işleminin sahibinin rolünün icracı tarafından sağlanır ( Alan Adlandırma Yöneticisi) Şema sahibi rolünün aktörü ( Şema Ustası) dizin şemasındaki tüm değişiklikleri yapar. Etki alanı adı sahibi ve şema sahibi rolleri, etki alanı ormanında benzersiz olmalıdır.

Daha önce de söylediğim gibi, bir nesne oluşturulduğunda, ona benzersizliğini garanti eden global bir tanımlayıcı atanır. Bu nedenle GUID'ler oluşturmaktan ve ilgili tanımlayıcıların sahibi olarak hareket etmekten sorumlu denetleyici ( Göreli Kimlik Ana) etki alanındaki tek kişi olmalıdır.

NT etki alanlarından farklı olarak, AD'nin PDC ve BDC (birincil ve yedek etki alanı denetleyicileri) kavramı yoktur. FSMO'nun rollerinden biri, PDC Emülatörü(PDC öykünücüsü). Windows NT Server çalıştıran bir sunucu, AD'de bir yedek etki alanı denetleyicisi olarak işlev görebilir. Ancak, NT etki alanlarında yalnızca bir birincil denetleyicinin kullanılabileceği bilinmektedir. Bu nedenle Microsoft, bir AD etki alanı içinde tek bir sunucu - PDC Öykünücü rolünün taşıyıcısı - atayabilmemiz için yapmıştır. Böylece terminolojiden saparak, FSMO rolünün sahibi anlamına gelen ana ve yedek etki alanı denetleyicilerinin varlığından bahsedebiliriz.

Nesneleri silerken ve taşırken, denetleyicilerden biri çoğaltma tamamlanana kadar o nesneye bir referans sağlamalıdır. Bu rol, dizin altyapısının sahibi tarafından oynanır ( Altyapı Ustası).

Son üç rol, icracının etki alanı içindeki benzersizliğini gerektirir. Tüm roller, ormanda oluşturulan ilk denetleyiciye atanır. Çatallı bir AD altyapısı oluşturduğunuzda, bu rolleri diğer denetleyicilere devredebilirsiniz. Durumlar, rollerden birinin sahibinin müsait olmadığı (sunucu kapalı) olduğunda da ortaya çıkabilir. Bu durumda, yardımcı programı kullanarak FSMO rolünü ele geçirme işlemini gerçekleştirmelisiniz. NTDSUTIL(kullanımından sonraki yazılarda bahsedeceğiz). Ancak dikkatli olun, çünkü dizin hizmeti önceki sahibin var olmadığını varsayar ve bir rol aldığında ona hiç başvurmaz. Rolün önceki icracısının ağına dönüşü, işleyişinin bozulmasına yol açabilir. Bu, özellikle şema sahibi, alan adı sahibi ve tanımlayıcı sahibi için kritiktir.

Performansa gelince: birincil etki alanı denetleyici öykünücüsünün rolü, bilgisayar kaynaklarının kaynağı üzerinde en çok talep edilen şeydir, bu nedenle başka bir denetleyiciye atanabilir. Rollerin geri kalanı çok zorlayıcı değildir, bu nedenle onları tahsis ederken AD şemanızın mantıksal yapısının nüansları size rehberlik edebilir.
Teorisyenin son adımı

Makaleyi okumak sizi hiçbir şekilde teorisyenlerden pratiğe geçirmemelidir. Çünkü ana bilgisayarların fiziksel yerleşiminden tüm dizinin mantıksal yapısına kadar tüm faktörleri hesaba katmadan, işe koyulmamalı ve AD kurulum sihirbazının sorularına basit yanıtlarla bir etki alanı oluşturmamalısınız. Etki alanınızın nasıl çağrılacağını ve bunun için alt etki alanları oluşturacaksanız bunların nasıl adlandırılacağını düşünün. Ağınızda güvenilmez bağlantılarla birbirine bağlı birden fazla segmentiniz varsa, siteleri kullanmayı düşünün.

AD yükleme kılavuzu olarak, Microsoft bilgi tabanının yanı sıra makaleleri kullanmanızı tavsiye edebilirim.

Son olarak, birkaç ipucu:

• Mümkünse PDC Emulator ve proxy sunucusunun rollerini aynı makinede birleştirmemeye çalışın. İlk olarak, ağdaki çok sayıda makine ve İnternet kullanıcıları ile sunucudaki yük artar ve ikincisi, proxy'nize başarılı bir saldırı ile yalnızca İnternet değil, aynı zamanda ana etki alanı denetleyicisi de "düşecek" ve bu, tüm ağın yanlış çalışmasıyla doludur.
• Yerel ağınızı günlük olarak yönetiyorsanız ve müşterileriniz için Active Directory'yi uygulamak istemiyorsanız, etki alanına yavaş yavaş, örneğin günde dört ila beş makine ekleyin. Ağda çok sayıda makineniz varsa (50 veya daha fazla) ve tek başınıza yönetiyorsanız, o zaman hafta sonu bile yönetmeniz olası değildir ve yaparsanız, her şeyin ne kadar doğru olacağı bilinmemektedir. Ek olarak, ağ içinde belge alışverişi yapmak için bir dosya veya dahili posta sunucusu kullanabilirsiniz (bu benim tarafımdan # 11, 2006'da açıklanmıştır). Bu durumda tek şey, dosya sunucusuna erişmek için kullanıcı haklarının nasıl yapılandırılacağını doğru bir şekilde bulmaktır. Çünkü örneğin etki alanına dahil değilse, yerel SAM veritabanının kayıtlarına dayalı olarak kullanıcı kimlik doğrulaması gerçekleştirilecektir. Etki alanı kullanıcıları hakkında veri yok. Ancak, dosya sunucunuz AD'ye dahil edilen ilk makineler arasındaysa ve bir etki alanı denetleyicisi değilse, hem yerel SAM hem de AD hesabını kullanarak kimlik doğrulaması yapmak mümkün olacaktır. Ancak ikinci seçenek için, yerel güvenlik ayarlarında hem etki alanı üyeleri hem de yerel hesaplar için ağ üzerinden dosya sunucusuna erişime (önceden yapılmadıysa) izin vermeniz gerekir.

Dizin hizmetinin daha fazla yapılandırılması hakkında (hesap oluşturma ve yönetme, grup ilkeleri atama vb.) sonraki makalede okuyun.

Başvuru

Windows Server 2003'te Active Directory'deki Yenilikler

Windows Server 2003'ün piyasaya sürülmesiyle, Active Directory'de aşağıdaki değişiklikler ortaya çıktı:

• Oluşturulduktan sonra bir etki alanını yeniden adlandırmak mümkün oldu.
• Yönetim kullanıcı arayüzü iyileştirildi. Örneğin, aynı anda birkaç nesnenin niteliklerini değiştirebilirsiniz.
• Grup ilkelerini yönetmek için iyi bir araç ortaya çıktı - Grup İlkesi Yönetim Konsolu (gpmc.msc, Microsoft web sitesinden indirmeniz gerekir).
• Etki alanı ve ormanın işlevsel düzeyleri değişti.

Son değişikliğin daha ayrıntılı olarak söylenmesi gerekiyor. Windows Server 2003'te bir AD etki alanı, artan işlevsellik sırasına göre listelenen aşağıdaki düzeylerden birinde olabilir:

• Windows 2000 Karışık (karışık Windows 2000). Hem Windows NT hem de Windows 2000/2003 olmak üzere farklı sürümlerin denetleyicilerine sahip olmasına izin verilir. Ayrıca, Windows 2000/2003 sunucuları eşitse, daha önce belirtildiği gibi NT sunucusu yalnızca bir yedek etki alanı denetleyicisi olarak görev yapabilir.
• Windows 2000 Yerel (yerel Windows 2000). Windows Server 2000/2003 çalıştıran denetleyicilere izin verilir. Bu seviye daha işlevseldir, ancak kendi sınırlamaları vardır. Örneğin, etki alanı denetleyicilerini yeniden adlandıramazsınız.
• Windows Server 2003 Interim (orta seviye Windows Server 2003). Windows Server 2003'ün yanı sıra Windows NT çalıştıran denetleyicilere sahip olmasına izin verilir. Örneğin, bir Windows NT sunucusu çalıştıran bir ana etki alanı denetleyicisi W2K3'e yükseltildiğinde kullanılır. Düzey, Windows 2000 Yerel düzeyinden biraz daha fazla işlevselliğe sahiptir.
• Windows Server 2003. Etki alanında yalnızca Windows Server 2003 denetleyicilerine izin verilir. Bu düzeyde, Windows Server 2003 dizin hizmetinden tam olarak yararlanabilirsiniz.

Etki alanlarının orman işlevsel düzeyleri, etki alanlarınınkiyle hemen hemen aynıdır. Tek istisna, Windows NT ve Windows Server 2000/2003 denetleyicilerinin bir ormanda kullanılabileceği yalnızca bir Windows 2000 katmanı olmasıdır.

Etki alanı ve ormanın işlevsel düzeyini değiştirmenin geri dönüşü olmayan bir işlem olduğuna dikkat edilmelidir. Yani geriye dönük uyumluluk yoktur.

1. Korobko I. Active Directory - inşaat teorisi. // "Sistem Yöneticisi", No. 1, 2004 - C. 90-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=1.2004;a=11).

2. Markov R. Windows 2000/2003 alan adları - çalışma grubundan reddediyoruz. // "Sistem Yöneticisi", No. 9, 2005 - C. 8-11. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005; a = 01).

3. Markov R. Windows 2K Sunucusunu yükleme ve yapılandırma. // "Sistem Yöneticisi", No. 10, 2004 - C. 88-94. (http://www.samag.ru/cgi-bin/go.pl? q = makaleler; n = 10.2004; a = 12).

Alexander Emelyanov