Yerel alan adı. Active Directory etki alanlarını adlandırma hakkında birkaç kelime. Windows XP Professional ve Sonrası Windows için Etki Alanı Denetleyici Konumlandırıcıyı Yapılandırma

04.03.2020

İyi günler, sevgili okuyucular ve aboneler, size uzun zamandır Windows etki alanlarından bahsetmedim, bugün bunu düzelteceğim ve böyle bir temel konuyu analiz edeceğiz, bir aktif dizin etki alanını nasıl doğru bir şekilde adlandıracağız, çünkü bu sonuçlanacaktır. ayrıca, hizmetlerinizin doğru işleyişini ve alan adı hizmetleri adının yanlış olması durumunda ortaya çıkabilecek sorunların sayısını azaltmış olursunuz.

Active Directory adını seçerken hatalar

Blogumu uzun süredir okuyorsanız veya yeni katıldıysanız, size AD'nin ne olduğunu ve nasıl çalıştığını ve en önemlisi hangi bileşenleri olduğunu anlatmaya çalıştığım Active Directory'ye Giriş tanıtım makalesini hatırlatacağım. içerir. Dikkatlice okursanız, Active Directory'nin DNS sunucuları olmadan çalışamayacağını bilirsiniz.

İnternetteki DNS isimlerinin belirli bir prensibe göre kurulduğunu, sadece rakamlardan, harflerden, noktalardan ve tirelerden oluştuğunu eminim çoğunuz biliyorsunuzdur (farklı DNS kayıtlarından bahsetmiyorum) .. com. RFC 1123 belgesinden alan adlandırmayla ilgili bir standart vardır ve burada siyah beyaz olarak aşağıdaki özel karakterlerin isimlerde bulunmaması gerekir: köpek işareti @, tilde ~, sayı işareti #, eğik çizgi / ve \ , alt çizgi, eğer bilmeden bir alan adı olarak alt çizgi içeren bir şey seçtiyseniz, örneğin MS Exchange posta sunucusunda büyük sorunlar yaşarsınız. Standartlar olmasaydı, kaos olurdu.
Active Directory için yerel adlar olarak, insanlar harici adresleri, daha doğrusu ikinci düzey adları seçerler. Basit bir örnek, diyelim ki bir Pyatilistnik.inc girişimim var ve yönetici bir Active Directory denetleyicisi kurmaya ve bir etki alanı yapısı oluşturmaya karar verdi, ancak bunun için yerel ad olarak pyatilistnik'i aldı.. İnsanlar ihtiyaç duyduğunda nasıl bir kaos başlayacak bir düşünün. ona yerel ağdan ulaşın, AD adıyla bir çakışma olacak, sorunu çözmek için hem harici DNS bölgesini hem de dahili DNS bölgesini tutmanız gerekecek, bu da elverişsiz ve hatalara yol açacaktır. Aşağıda size bir aktif dizin alanını nasıl doğru bir şekilde adlandıracağınızı anlatacağım.
Küresel resmi olarak kayıtlı kayıt defterine dahil edilmeyen bölge adları ICANN.Örnekler .local veya örneğin .nn bölgeleridir, ancak standardın onlara ulaşacağından eminim, çünkü bu kuruluş için şu anda bulamayacağınız adları satarak havadan para kazanmak karlı, ancak bu bugün konuştuğumuz şey değil. Bu isimleri Activer Dizininde kullanmak doğru değildir çünkü ofisinizin dışında kullanılamazlar, bir domain için ssl sertifikası veremezsiniz.

Bunu bir test ortamında yapıyorsanız da,

Ayrık Ad Alanı>, bir etki alanı denetleyicisinin veya bilgisayarın DNS adının NETBIOS adıyla eşleşmediği durumlar vardır; örneğin, denetleyicimin bir NETBIOS adı dc6 ve bir etki alanı dc sitesi varsa. Bu tür yapılar uygulanabilir ve işletmelerin birleşmesinde olabilir, ancak Ayrık Ad Alanında aynı MS Değişimi ile bir komisyon olabilir. Aşağıda hem NETBIOS hem de DNS adlarının eşleştirilmesine bir örnek verilmiştir.

Bir aktif dizin alanı nasıl doğru şekilde adlandırılır

Nasıl yanlış yapılacağını anladık ve biliyoruz artık her şeyi güzelce yapacağız, hemen tekrar edeceğim ki bir test ortamınız varsa AD'yi istediğiniz gibi arayabilirsiniz, hatta microsoft.com'u. Ama cidden, şirketimize dönelim Pyatilistnik.inc. Active Directory etki alanı bölgesi için üçüncü düzey bölge olan ad.site'yi seçerdim. Şirketin web sitesi mantıklı bir siteye asılacaktı. Bu sayede MS Exchange sunucusunda herhangi bir sorun olmayacaktı. Birkaç şubeniz varsa, o zaman bir orman kullanmanızı tavsiye ederim, örneğin Nizhny Novgorod ve Moskova, Moskova için ad..ad.site seçiyorum. Umarım şimdi Active Directory etki alanını nasıl daha iyi ve daha doğru bir şekilde çağıracağınızı anlamışsınızdır.

Etki alanı denetleyicisi nedir

Etki alanı denetleyicisi, ağ cihazlarının, yani etki alanlarının merkezi yönetimini sağlar. Denetleyici, ağ kullanıcılarının hesaplarından ve parametrelerinden tüm bilgileri depolar. Bunlar güvenlik ayarları, yerel politika ve diğerleridir. Belirli bir ağı veya ağ grubunu tamamen kontrol eden bir tür sunucudur. Etki alanı denetleyicisi, çeşitli Active Directory hizmetlerini başlatan bir tür özel yazılım kümesidir. Denetleyiciler, Windows server 2003 gibi belirli işletim sistemlerini çalıştırır. Active Drive kurulum sihirbazı, etki alanı denetleyicileri oluşturmanıza olanak tanır.

Windows NT işletim sistemi, birincil sunucu olarak birincil etki alanı denetleyicisini kullanır. Kullanılan diğer sunucular, yedekleme denetleyicileri olarak kullanılır. Temel PDC denetleyicileri, kullanıcı grubu üyeliği, parola oluşturma ve değiştirme, kullanıcı ekleme ve diğer pek çok işlemle ilgili çeşitli görevleri çözebilir. Veriler daha sonra ek BDC kontrolörlerine aktarılır.

Samba 4 yazılımı, işletim sistemi Unix ise etki alanı denetleyicisi olarak kullanılabilir. Bu yazılım ayrıca Windows 2003, 2008, 2003 R2 ve 2008 R2 gibi diğer işletim sistemlerini de destekler. İşletim sistemlerinin her biri, gerekirse özel gereksinimlere ve parametrelere bağlı olarak genişletilebilir.

Etki alanı denetleyicilerini kullanma

Etki alanı denetleyicileri, birbirine ve ağa bağlı bilgisayarların bulunduğu birçok kuruluş tarafından kullanılır. Kontrolörler, dizin verilerini depolar ve kullanıcıların sisteme girişini ve çıkışını kontrol etmenin yanı sıra, aralarındaki etkileşimi de yönetir.

Etki alanı denetleyicisi kullanan kuruluşların, kaç tane kullanacağına karar vermesi, veri arşivleme, fiziksel güvenlik, sunucu yükseltmeleri ve diğer gerekli görevleri planlaması gerekir.

Şirket veya kuruluş küçükse ve içinde yalnızca bir etki alanı ağı kullanılıyorsa, yüksek kararlılık, hata toleransı ve yüksek düzeyde ağ kullanılabilirliği sağlayabilen iki denetleyici kullanmak yeterlidir. Belirli sayıda siteye bölünmüş ağlarda, her birine bir denetleyici kurulur, bu da gerekli performans ve güvenilirliğin elde edilmesini mümkün kılar. Her sitede denetleyiciler kullanarak, kullanıcı oturum açma işlemini önemli ölçüde basitleştirmek ve daha hızlı hale getirmek mümkündür.

Ağ trafiği optimize edilebilir, bunun için ağdaki yükün minimum olacağı replikasyon güncelleme süresini ayarlamanız gerekir. Çoğaltmayı ayarlamak, işinizi büyük ölçüde basitleştirecek ve daha üretken hale getirecektir.

Etki alanı, herhangi bir nesneyi belirli bir ağırlığa göre sorgulamanıza olanak tanıyan bir genel katalog ise, denetleyicinin çalışmasında maksimum performans elde edebilirsiniz. Ancak, genel kataloğu etkinleştirmenin çoğaltma trafiğinde önemli bir artış gerektirdiğini unutmamak önemlidir.

Birden fazla etki alanı denetleyicisi kullanıyorsanız, ana bilgisayar etki alanı denetleyicisini açmamak en iyisidir. Etki alanı denetleyicisi kullanırken güvenliğe dikkat etmek çok önemlidir, çünkü aldatmak için ihtiyaç duydukları verileri ele geçirmek isteyen saldırganlar için yeterince erişilebilir hale gelir.

Ek etki alanı denetleyicileri yüklemeye ilişkin hususlar

Gerekli ağ hizmetlerinin çalışmasında daha yüksek güvenilirlik elde etmek için ek etki alanı denetleyicilerinin kurulması gerekir. Sonuç olarak, önemli ölçüde daha yüksek stabilite, güvenilirlik ve operasyonel güvenlik sağlanabilir. Bu durumda ağ performansı çok daha yüksek olacaktır ki bu da domain controller kullanan kuruluşlar için çok önemli bir parametredir.

Etki alanı denetleyicisinin düzgün çalışması için bazı hazırlık çalışmaları gereklidir. Yapılması gereken ilk şey TCP/IP parametrelerini kontrol etmektir, sunucu için doğru ayarlanmış olmaları gerekir. En önemli şey, eşlemeler için DNS adlarını kontrol etmektir.

Etki alanı denetleyicisinin güvenli çalışması için FAT 32 dosya sistemlerine göre daha yüksek güvenlik sağlayan NTFS dosya sisteminin kullanılması gerekmektedir.Sunucuya kurulum için NTFS dosya sisteminde bir bölüm oluşturmanız gerekmektedir. sistem hacmini içerecektir. Ayrıca sunucudan DNS sunucusuna erişiminiz olması gerekir. DNS buna veya kaynak kayıtlarını desteklemesi gereken ek bir sunucuya kurulur.

Etki alanı denetleyicisini doğru şekilde yapılandırmak için, belirli rollerin yürütülmesini ekleyebileceğiniz Yapılandırma Sihirbazı'nı kullanabilirsiniz. Bunu yapmak için, kontrol panelinden yönetim bölümüne gitmeniz gerekecek. Sunucu rolü olarak bir etki alanı denetleyicisi belirtmelisiniz.

Günümüzde etki alanı denetleyicisi, çeşitli kuruluşlar, kurumlar ve şirketler tarafından insan faaliyetinin tüm alanlarında kullanılan ağlar ve siteler için vazgeçilmezdir. Onun sayesinde, bilgisayar ağlarında özellikle önemli olan yüksek verimlilik ve güvenlik sağlanır. Bir etki alanı denetleyicisinin rolü, bilgisayar ağlarında yerleşik etki alanı kapsamlarını yönetmenize olanak tanıdığı için çok önemlidir. Her işletim sisteminin etki alanı denetleyicilerinin çalışmasıyla ilgili belirli nüansları vardır, ancak ilke ve amacı her yerde aynıdır, bu nedenle ayarları bulmak en başta göründüğü kadar zor değildir. Ancak, çalışma sırasında nihai olarak yüksek performans ve güvenlik elde etmek için etki alanı denetleyicilerinin uzmanlar tarafından ayarlanması çok önemlidir.

Bahar geldi ve onunla birlikte - bariz gibi görünen, ancak aynı zamanda tasarımda kritik öneme sahip bir soruyu yanıtlayan temel materyali doğurma arzusu arttı: Active Directory etki alanına ne ad vermelisiniz, böylece daha sonra dayanılmaz derecede acı verici olmaz mıydı?

Bu yazıda, sizi olabilecek en kötü Active Directory alan adlarından en iyi olduğuna inandığım alanlara yönlendirmeye ve üstesinden gelinmesi gereken tuzaklara işaret etmeye çalışacağım.

Tek etiketli bir alan adı üretim ortamında kullanılamaz ve tek doğru yol bundan bir an önce kurtulmaktır.

Alan adında geçersiz karakterler

Örneğin, bir alt çizgi. Windows Server'ın önceki sürümlerinde bir DNS etki alanı adı seçerken bu karaktere izin verilirken, DNS için RFC 1123 standardı ile uyumlu değildir. Windows Server'ın daha yeni sürümleri artık etki alanlarının standarda aykırı olarak adlandırılmasına izin vermemektedir. Alt çizgi içeren bir ada sahip bir etki alanı devralınmışsa, büyük bir sorun olması beklenir. Örneğin, Exchange 2007 ve üstünü yükleyemezsiniz. Tek bir çözüm var - başka bir etki alanına geçerek (tercih edilen) veya etki alanını yeniden adlandırarak (güvenli olmayan) etki alanı adındaki geçersiz karakterlerden kurtulun.

ayrık ad alanı

Ayrık ad alanının özel durumlarından biri, Netbios alan adının DNS alan adının en sol kısmından farklı olmasıdır.

Netbios Adı = TEST
DNS Adı = lab.site

İşlevsellik açısından, bu yapılandırma tam olarak desteklenmektedir. Ama yine de kafa karışıklığı ve belirsizliğe yol açmamak için bundan kaçınmayı öneriyorum.

.local veya ICANN

Birçok eğitimde company.local gibi alan adlarını göreceksiniz. Gerçekten de bu tür isimlerin eğitim ve deneme amaçlı kullanılmasında bir suç yoktur. Gerçek alan adları aynı şemaya göre adlandırıldığında daha kötüdür:

Ad, küresel DNS ideolojisiyle çelişir: aynı türdeki diğer alanlarla çakışma olmadığını garanti etmez (güven ilişkileri kurma zamanı geldiğinde)
Global ağdan erişim için bu ismi kullanmak mümkün değildir (yayınlanma zamanı geldiğinde)
Doğrulanamayan bir alan, genel bir SSL sertifikası alamaz. Bu sınırlama, özellikle şirket içi ve bulut hizmetleri arasındaki sınırların bulanık olduğu durumlarda bulut hizmetlerinin geliştirilmesiyle ilgilidir. Yalnızca bir örnek: Office 365 hizmetleriyle Tek Oturum Açma ile çalışmak için genel sertifikaya sahip AD Federasyon Hizmetleri gereklidir

Bu nedenle, bir etki alanını adlandırırken, her zaman yukarıda açıklanan dezavantajları ortadan kaldırması garanti edilen ICANN hiyerarşisinde (Internet Tahsisli Adlar ve Numaralar Kurumu) resmi olarak kayıtlı küresel adı kullanmanızı öneririm.

alan
argon.com.ru
irom.info

Seçin veya birleştirin

Diyelim ki kendi bünyesinde sitesi olan ve aynı domain içerisinde e-posta adreslerini kullanan Argon isimli bir firma için domain yapısı tasarlıyoruz. Ancak bunu aşağıdaki nedenlerle yapmamak daha iyidir:

Tarayıcıya böyle bir kuruluşun ağının içinde http: // site / adresini girerseniz, şirketin web sitesine değil, karşısına çıkan ilk etki alanı denetleyicisine gideceğiz.
Genel ve dahili DNS kayıtlarının yönetimi zordur: site bölgesindeki dahili ağdan kullanılan tüm genel DNS kayıtlarının dahili DNS bölgesinde çoğaltılması gerekir. Bu kayıtların senkronizasyonunu bir şekilde sağlamak da gereklidir.

Örneğin internette www.site diye bir site var. Dahili ağdaki kullanıcıların buna ulaşabilmesi için dahili DNS bölgesinde benzer bir kayıt oluşturmanız gerekir.

Dahili ve harici kaynak adları arasında çakışma olasılığı vardır.

Örneğin intranette ftp sunucusu yaygın olarak kullanılmaktadır. Birdenbire İnternet kullanıcılarına aynı ftp.sitesinde bir dosya hizmeti sağlama ihtiyacı doğdu. Ne oldu? Dahili kullanıcılar, belirtilen adı kullanarak harici bir hizmete bağlanamaz...

Bu nedenle, Active Directory etki alanının, İnternet'teki ad alanından (şirket web sitesi, vb.) farklı olarak ayrılmış bir ad alanına (ad alanına) sahip olması daha iyidir. Ve burada da bir seçim var:

AD için tamamen farklı bir ad kullanın (site için site, AD için argon.com.ru)
AD için alt ad kullan (site için site, AD için laboratuvar sitesi)

Her iki seçenek de DNS ideolojisini karşılar ve yukarıdaki dezavantajlardan muaftır, ancak alt etki alanına sahip ikinci seçenek, bakış açısından daha uygun olabilir:

kayıtlı alan adları için destek (kayıt için ödeme ve yalnızca bir alan adının DNS barındırması)
kayıt için güzel isimlerin mevcudiyeti (kaydolmaya gerek yok)
genel SSL sertifikalarının alınması (hem şirketin web sitesi için hem de dahili ağ kaynakları yayınlanırken yalnızca bir joker sertifika kullanılabilir)

Bu nedenle, AD için ayrılmış bir etki alanı, ancak kuruluşun sitesine bağlı bir etki alanı seçmeyi öneriyorum.

laboratuvar.site
corp.microsoft.com

Bölünmüş beyin

Bölünmüş beyin DNS, kaynakları hem dahili ağda hem de İnternette yayınlamak için tek bir alan adı kullanmak anlamına gelir. Bu durumda, dahili ağın DNS sunucuları portal.lab.Site formunun adreslerini sırasıyla dahili IP adreslerine ve İnternet'teki genel DNS sunucuları harici IP adreslerine çözer. Örnek:

DNS adı	Dahili ağda	İnternette
portal.lab.site	10.18.0.20	77.37.182.47
smtp.lab sitesi	10.18.0.40	78.107.236.18

Bölünmüş beyin sayesinde, hem dahili ağdan hem de İnternet'ten kaynaklara erişmek için tek tip adresler gibi faydalı şeyler elde edilir. Kullanıcının yalnızca bir adresi, portal.lab'ı, belgelerine ulaşabileceği siteyi bilmesi gerekir ve nerede olduğu önemli değildir: şirketin ofisinde veya otelde.

Altyapı açısından bakıldığında, dahili CA'lar tarafından verilen SSL sertifikalarında aynı CRL veya OCSP adresine sahip olmak uygundur.

Bölünmüş bir beynin yokluğunda, dahili DNS sunucularında sözde nokta belirleme bölgeleri oluşturmak gerekli olabilir, bu tür “nokta” bölgeleri yalnızca “genel” değerlerin “özel” ile değiştirilmesi gereken kayıtları içerecektir. ” dahili ağın karakteristik özellikleri ("Seç veya Eşleştir" başlığı altında açıklanana benzer durum).

Nokta atışı bölgesine bir örnek:

DNS adı	Dahili ağda	İnternette
_sipinternaltls._tcp.lab.site	yudum.lab.sitesi	lync.argon.com.ru

Netleştirin veya özetleyin

Literatürde, Bank, Company veya Corp gibi genel bir kelimeyle etki alanlarını (özellikle kökü) çağırmak için tavsiyeler bulabilirsiniz. Bunun iyi nedenleri var, çünkü zamanımızda şirketler düzenli olarak birleşme ve satın almalar, marka değişiklikleri yaşayabilirler. Ve bildiğiniz gibi alan adını değiştirmek çok zordur.

Öte yandan, aynı birleşme ve satın almalarla, kullanıcıların bir alandan diğerine geçme olasılığı yüksektir. Uygulamada, aynı Banka adına sahip bir düzine etki alanından kullanıcıları taşımam gereken bir durumla karşılaştım. Bildiğiniz gibi aynı isimli domainler arasında (ister DNS ister Netbios olsun) güven ilişkisi kurmak mümkün değil. Bu alan adlarını yeniden adlandırmanız veya üçüncü bir alan aracılığıyla verileri iki aşamada taşımanız gerekecektir.

Alan adını özel olarak adlandırmanın ve şirketi yeniden adlandırdıktan sonra eski adı tolere etmenin, genel olarak adlandırmaktan ve göç etmeniz veya bir güven ilişkisi kurmanız gerektiğinde ciddi teknik sorunlarla karşılaşmaktan daha iyi olduğuna inanmaya meyilliyim.

Mükemmelliğe giden yolda son rötuşlar

küresel olarak kayıtlı
adanmış (şirketin web sitesi alanının alt öğesi)
özel
bölünmüş beyin kullan

laboratuvar.site
corp.microsoft.com

Ancak Lync'te e-posta ve SIP adresleri için daha kısa adresler kullanmak daha iyi olurdu. [e-posta korumalı] alan . Hiçbir şey bizi bunu yapmaktan alıkoyamaz, ancak rahatsızlıklar ortaya çıkacaktır.

Kullanıcının e-posta adresi = [e-posta korumalı] site, oturum açma oturum açma = laboratuvar \ kullanıcı, kullanıcı asıl adı = [e-posta korumalı] alan . Burada sadece kullanıcı için değil, Outlook ve Lync gibi programlar için de kafa karıştırmak kolaydır.

Hesaplarda yapılan küçük değişikliklerden sonra, kullanıcıların e-posta adreslerine eşit bir kullanıcı asıl adı olacaktır. Daha az kafa karışıklığı olacak ve Lync ve Outlook gibi programlar kullanıcı adı sormayı bırakacak, sadece e-posta veya SIP adresini bilmeleri gerekecek.

Temel çalışmalarım:

Diğer kaynaklarla ilgili makaleler:

Active Directory Etki Alanı Adlandırma Konuları - ve işte Microsoft'tan kuru bir kılavuz
Bilgisayarlar, etki alanları, siteler ve kuruluş birimleri için Active Directory'deki adlandırma kuralları - alt bölüme bakın İnternete bağlı ormanlar
Active Directory alan adınızda neden .local kullanmamalısınız - yabancı bir meslektaşınızdan benzer makale

Tarafından yayınlandı
başlık
Etiketler

Nadir durumlarda, etki alanı hizmetleri yöneticisi, geçerli etki alanını yeniden adlandırma göreviyle karşı karşıya kalabilir. Sebepler farklı olabilir, ancak böyle bir durum oldukça mümkündür. Bu görevin önemsiz olarak adlandırılamamasına rağmen, bazen bununla yüzleşmeniz gerekir, her şeyi doğru yapmak son derece önemlidir, çünkü aksi takdirde olayların sonucu tamamen çalışmayan bir kurumsal altyapıya kadar kritik derecede tehlikeli olabilir. Bu nedenle, bu makalenin ilerleyen bölümlerinde, bu işlemi gerçekleştirmek için ön koşulları, bazı kısıtlamaları ve etki alanınızı nasıl yeniden adlandırabileceğinizi öğreneceksiniz. Başlamadan önce, bir laboratuvar ortamında test etki alanınızı başarıyla yeniden adlandırana kadar lütfen bu adımları üretim ortamında gerçekleştirmeyin. Hadi başlayalım.

Önkoşullar

Alanınızı yeniden adlandırmaya başlamadan önce aşağıdaki bilgileri dikkate aldığınızdan emin olun:

Active Directory orman işlev düzeyi... Etki alanı yeniden adlandırma görevlerini yalnızca ormandaki tüm etki alanları en az Windows Server 2003 ile donatılmışsa gerçekleştirebilirsiniz (bu durumda, sürüm kısıtlaması yoktur). Ayrıca, işlev düzeyi en azından Windows Server 2003 düzeyine yükseltilmelidir. Yani, ormanda Windows Server 2000'in işlevsel düzeyini seçtiyseniz, aşağıdaki işlem basitçe imkansız hale gelecektir;
Alan konumu... Bir Active Directory ormanında farklı düzeylerde etki alanları olabilir. Yani ayrı bir etki alanı olabilir veya orman alt etki alanları içerebilir. Etki alanı denetleyicisinin orman içindeki konumunu değiştirmeniz durumunda, bir güven ilişkisi oluşturmanız gerekecektir;
DNS bölgesi... Etki alanı yeniden adlandırma işlemini gerçekleştirmeden önce yeni bir DNS bölgesi oluşturmanız gerekir;
İdari kimlik bilgileri... Etki alanı yeniden adlandırma işlemini gerçekleştirmek için, Enterprise Admins grubunun üyesi olan bir yönetici hesabıyla sistemde oturum açmanız gerekir;
Dağıtılmış Dosya Sistemi (DFS) sunucuları... Kurumsal ortamınızda DFS dağıtılmış veya yapılandırılmış dolaşım profilleri varsa, lütfen DFS kök sunucularının en az Windows Server 2000 Service Pack 3 veya sonraki işletim sistemlerini çalıştırması gerektiğini unutmayın;
Microsoft Exchange sunucularıyla uyumsuzluk... En tatsız nokta, Microsoft Exchange Server 2003 Service Pack 1 posta sunucusu Active Directory ormanınızda kuruluysa, etki alanı yeniden adlandırma sorunsuz bir şekilde gerçekleştirilecektir, ancak etki alanı yeniden adlandırma işleminin gerçekleştirileceği kullanıcı hesabı, bir Full Exchange Administrator grubunun üyesi. Tüm yeni posta sunucuları (Exchange Server 2016 dahil), etki alanı yeniden adlandırma işlemleriyle uyumlu değildir.

Ayrıca, etki alanı yeniden adlandırılırken yaklaşan tüm Active Directory orman yapılandırmalarını dondurmanız gerektiğini unutmayın. Başka bir deyişle, etki alanı yeniden adlandırma işlemi tamamlanana kadar orman yapılandırmanızın değişmediğinden emin olmalısınız (bu adımı nasıl tamamlayacağınızla ilgili ayrıntılar için aşağıya bakın). Bu işlemler şunları içerir: Active Directory ormanınızda etki alanları oluşturma veya kaldırma, uygulama dizini bölümleri oluşturma veya kaldırma, ormanda etki alanı denetleyicileri ekleme veya kaldırma, doğrudan kurulmuş bir güven oluşturma veya kaldırma ve genele çoğaltılacak öznitelikleri ekleme veya kaldırma. katalog.

Her ihtimale karşı, Active Directory ormanınızdaki her etki alanı denetleyicisinde tam sistem durumu yedeklemesi yapmanızı da öneririm. Bu görevi tamamlarsanız, bu önlem kesinlikle gereksiz olmayacaktır.

Alt yapınızın yukarıda belirtilen gereksinimleri karşılaması ve gerekli tüm yedeklemelerin yapılmış olması durumunda domain adını değiştirme işlemine geçebilirsiniz.

Active Directory Etki Alanı Yeniden Adlandırma İşlemi

İlk olarak alan adınızın orijinal adını kontrol etmek için sistem özellikleri penceresini açabilirsiniz. Ekteki resimde görebileceğiniz gibi, etki alanım "Biopharmaceutic.local" olarak adlandırılıyor:

Pirinç. 1. Orijinal Active Directory alan adının kontrol edilmesi

Başarılı bir alan adının ardından üye sunucularınızın ve istemcilerinizin yeni alan adına kolayca katılabilmesi için şimdi yeni bir DNS bölgesi "biopharm.local" oluşturmalısınız. Bunu yapmak için " DNS Yöneticisi» ( DNS Yöneticisi) ve içinde olmak" Canlı görüntü alanı» ( İleriye Doğru Arama Bölgesi) yeni bir bölge oluşturma seçeneğini seçin. Temel olarak, bölge her zamanki gibi oluşturulur: Yeni bir bölge oluşturmak için sihirbazın ilk sayfasında, tanıtım bilgilerini okumalı ve ikinci sayfaya gitmelisiniz. Bölge türü sayfasında ana bölgeyi seçin ( Birincil Bölge) ve bölgeyi Active Directory'ye kaydetme seçeneğinin etkinleştirildiğinden emin olun. Bölge çoğaltma kapsamı sayfasında varsayılan seçeneği bırakın - " Bu etki alanındaki etki alanı denetleyicilerinde çalışan tüm DNS sunucuları için: Biopharmaceutic.local» ( Bu etki alanındaki etki alanı denetleyicilerinde çalışan tüm DNS sunucularına: Biopharmaceutic.local). Bölge adı sayfasında yeni etki alanı adını (biopharm.local) belirtin ve dinamik güncelleme sayfasında da “ seçeneğini bırakın. Yalnızca güvenli dinamik güncellemelere izin ver (Active Directory için önerilir)» ( Yalnızca güvenli dinamik güncellemelere izin ver (Active Directory için önerilir)) varsayılan olarak seçilidir. Aşağıda yeni bir bölge oluşturmanın birkaç aşamasını görebilirsiniz:

Pirinç. 2. Yeni bir DNS bölgesi oluşturun

Etki alanı yeniden adlandırmadaki bir sonraki adım, ormanın mevcut durumunun bir tanımını oluşturmaktır. Temel olarak, bu, komut satırı yardımcı programını kullanacak ilk etki alanı yeniden adlandırma işlemidir. randevu... Bu yardımcı program, Domainlist.xml adlı bir XML dosyası olarak geçerli orman yapınızın metinsel bir açıklamasını oluşturacaktır. Bu dosya, Active Directory ormanınızda bulunan uygulama dizini bölümlerinin yanı sıra tüm etki alanı dizini bölümlerinin bir listesini içerir. Her etki alanı ve uygulama dizini bölümü için her giriş, XML etiketleriyle sınırlandırılır ve... Ayrıca, her kayıt, kök bölüm nesnesinin genel benzersiz nesne tanımlayıcısını (GUID), etki alanının veya uygulama dizininin DNS adını ve etki alanı için NetBIOS adını içeren verileri içerir.

Böyle bir dosya oluşturmak için uygun hesabın altında bir komut satırı açın ve “ rastgele / liste". Oluşturulan dosya, kullanıcı hesabınızın kök dizinine kaydedilecektir. Ardından, herhangi bir metin düzenleyiciyi kullanarak bu dosyayı açmanız gerekecek.

Bu dosyanın içinde, etiketlerle ayrılmış bölümün içindeki alan adını değiştirmeniz gerekir. ve ve etiketlerin içindeki NetBIOS adı ve). GUID'i ilgili etiketler içinde değiştirmemeniz gerektiğini unutmayın.

Aşağıdaki çizimde yukarıdaki komutun çalıştırılma sürecini, Domainlist.xml dosyasının konumunu ve bu dosyanın ilk bölümü için yapılan değişiklikleri göreceksiniz. Benim durumumda, bu yapılandırmadaki alan adı 4 kez değiştirilecek:

Pirinç. 3. Domainlist.xml dosyasının oluşturulması ve değiştirilmesi

İlgili dosyada gerekli değişiklikleri yaptığınızdan emin olmak için “ komutunu çalıştırabilirsiniz. rendom / gösteri ormanı". Aşağıdaki resimde görebileceğiniz gibi, tüm girişlerim "Bopharm" olarak değişti:

Pirinç. 4. Olası değişiklikleri görüntüleyin

Aşağıdaki komutu çalıştırdığınızda ( yeniden düzenle / yükle) Rendom yardımcı programı, düzenlenen dosyada belirtilen yeni orman yapısını, ormandaki her etki alanı denetleyicisinde yerel olarak ve uzaktan çalışacak bir dizi dizin güncelleme yönergesine dönüştürür. Genel anlamda bu noktada, Active Directory etki alanını yeniden adlandırmak için Etki Alanı Adlandırma Sihirbazı'nın yapılandırma dizini bölümünde değişiklikler yapılacaktır. Ayrıca, bir Dclist.xml dosyası oluşturulacak ve etki alanı yeniden adlandırma işlemi için ormandaki her etki alanı denetleyicisinin ilerlemesini ve durumunu izlemek için kullanılacaktır. Bu arada, bu noktada Rendom, Active Directory ormanınızın herhangi bir yapılandırma değişikliği yapmasını engeller. Bu komutu yürütme süreci aşağıda görülmektedir:

Pirinç. 5. Rendom / upload komutunun çalıştırılması

Etki alanı yeniden adlandırma işleminden önce etki alanı denetleyicilerinin hazır olup olmadığını kontrol etmek için aşağıdaki komut çalıştırılır. Bu adım sırasında, üzerinde hazırlık kontrol komutunu çalıştırmalısınız. ormandaki her etki alanı denetleyicisi... Bu, ormandaki her etki alanı denetleyicisindeki Active Directory veritabanının doğru durumda ve etki alanınızı yeniden adlandıracak değişiklikleri yapmaya hazır olmasını sağlamak içindir. Bu nedenle, komutu çalıştırın " rendom / hazırlamak", Aşağıdaki resimde gösterildiği gibi:

Pirinç. 6. Etki alanını yeniden adlandırma için hazırlama

En önemli an. Komutun yürütülmesi " yeniden düzenlemek / yürütmek". Bu komutu çalıştırdığınızda, etki alanında etki alanını yeniden adlandırma talimatları izlenir. Esasen, şu anda, ormandaki her etki alanı denetleyicisine ayrı ayrı erişiliyor ve her etki alanı denetleyicisi, etki alanını yeniden adlandırma talimatlarını izlemeye zorluyor. Bu işlemin tamamlanmasının ardından, her etki alanı denetleyicisi yeniden başlatılacaktır. Etki alanı yeniden adlandırma işlemi için aşağıdaki resme bakın:

Pirinç. 7. Alan Adı Yeniden Adlandırma İşlemi

Ama hepsi bu kadar değil. Etki alanınız zaten yeniden adlandırılmış olsa da, etki alanı yeniden adlandırma işlemi tamamlandıktan sonra GPO'ları ve referanslarını düzeltme göreviniz yine de vardır. Yeniden adlandırılan her etki alanındaki GPO'ları ve GPO'ları geri yüklemek için komut satırı yardımcı programını kullanın gpfixup.exe... Bu prosedür, kullanılmadan, yeni bir ormandaki bir etki alanını yeniden adlandırma işlemi tamamlandıktan sonra Grup İlkesi'nin doğru şekilde çalışmaması nedeniyle ihmal edilemez. Lütfen bu komutun yeniden adlandırılan etki alanı başına bir kez çalıştırılması gerektiğini unutmayın. Bu nedenle, komutu bir kez çalıştırın gpfixup parametrelerle /olddns:Biyofarmasötik.local(adını değiştirdiğiniz alanın eski adı) ve /newdns:Biopharm.local(yeni yeniden adlandırılan etki alanı adı) ve ardından komut gpfixup parametrelerle / oldnb: Biyofarmasötik ve / newnb: Biopharm(sırasıyla, etki alanınızın eski ve yeni NETBIOS adı). Bu prosedür aşağıda görülebilir:

Pirinç. 8. Grup İlkesi Nesnelerini Düzeltme

Yürütülecek yalnızca iki komut kaldı: " rendom / temiz", Active Directory'nizdeki eski alan adlarına yapılan tüm referansları ve ayrıca komutu kaldırmanıza izin verir" rendom / son", Aslında, Active Directory ormanını yapılandırmasında değişiklik yapmaktan kurtarmak. Bu komutların yürütülme sürecini aşağıdaki çizimde görebilirsiniz:

Pirinç. 9. Active Directory etki alanının yeniden adlandırılmasının tamamlanması

Değişikliklerin üye sunuculara ve son istemcilere uygulanabilmesi için bilgisayarlarını iki kez yeniden başlatmanız gerekecektir. Ancak, etki alanı denetleyicilerini manuel olarak yeniden adlandırmanız gerekecektir. Aşağıdaki çizimde görebileceğiniz gibi, etki alanı denetleyicimin adı aynı kalıyor.

Kısacası AD, yayınlanan tüm kaynaklarınız için tek bir yönetim noktasına sahip olmanızı sağlar. AD, konum için Etki Alanı Adı Sistemi (DNS) olan X.500 adlandırma standardını temel alır ve birincil protokolü olarak Basit Dizin Erişim Protokolü'nü (LDAP) kullanır.

AD, ağın mantıksal ve fiziksel yapısını bütünleştirir. AD'nin mantıksal yapısı aşağıdaki unsurlardan oluşur:

kuruluş birimi - genellikle şirketin yapısını yansıtan bir bilgisayar alt grubu;
ihtisas - ortak bir katalog veritabanını paylaşan bir grup bilgisayar;
etki alanı ağacı - bitişik bir ad alanını paylaşan bir veya daha fazla alan;
etki alanı ormanı - dizin bilgilerini paylaşan bir veya daha fazla ağaç.

Fiziksel yapı aşağıdaki unsurları içerir:

alt ağ - belirli bir IP adresi ve ağ maskesi aralığına sahip bir ağ grubu;
alan - bir veya daha fazla alt ağ. Site, dizin erişimini yapılandırmak ve çoğaltma için kullanılır.

Dizin üç tür bilgiyi depolar: etki alanı verileri, şema verileri ve yapılandırma verileri. AD yalnızca etki alanı denetleyicilerini kullanır. Etki alanı verileri, tüm etki alanı denetleyicilerine çoğaltılır. Tüm etki alanı denetleyicileri eşittir, yani. herhangi bir etki alanı denetleyicisinden yapılan herhangi bir değişiklik, diğer tüm etki alanı denetleyicilerine çoğaltılacaktır. Şema ve yapılandırma verileri, ağaç veya ormandaki tüm etki alanlarına çoğaltılır. Ayrıca, bireysel etki alanındaki tüm nesneler ve orman nesnelerinin bazı özellikleri genel kataloğa (GC) çoğaltılır. Bu, etki alanı denetleyicisinin ağaç veya orman şemasını, ağaç veya ormandaki tüm etki alanları için yapılandırma bilgilerini ve kendi etki alanı için tüm dizin nesnelerini ve özelliklerini depoladığı ve çoğalttığı anlamına gelir.

GC'yi depolayan etki alanı denetleyicisi, orman için şema bilgilerini, ormandaki tüm etki alanları için yapılandırma bilgilerini ve ormandaki (yalnızca GC sunucuları arasında çoğaltılan) tüm dizin nesneleri için sınırlı bir özellik kümesini içerir ve çoğaltır. etki alanınız için tüm dizin nesneleri ve özellikleri olarak.

Etki alanı denetleyicilerinin farklı işlem yöneticisi rolleri olabilir. İşlem yöneticisi, çok yöneticili çoğaltma modelinde uygun olmayan görevleri çözer.

Bir veya daha fazla etki alanı denetleyicisine atanabilecek beş işlem yöneticisi rolü vardır. Bazı roller orman düzeyinde benzersiz, diğerleri ise etki alanı düzeyinde olmalıdır.

Her AD ormanı aşağıdaki rollere sahiptir:

Şema yöneticisi - Dizin şemasındaki güncellemeleri ve değişiklikleri yönetir. Katalog şemasını güncellemek için şema yöneticisine erişiminiz olmalıdır. Şu anda etki alanındaki şemanın yöneticisi olan sunucuyu belirlemek için, komut istemi penceresine komutu yazmanız gerekir. dsquery sunucusu -hasfsmo şeması
Etki alanı adlandırma yöneticisi - ormandaki etki alanlarının eklenmesini ve kaldırılmasını yönetir. Bir etki alanı eklemek veya kaldırmak için etki alanı adlandırma yöneticisine erişiminiz olmalıdır. Şu anda hangi sunucunun etki alanı adlandırma yöneticisi olduğunu belirlemek için komut isteminde dsquery server -hasismo adını girin

Bu roller tüm orman için ortaktır ve ormanda benzersizdir.

Her AD etki alanında aşağıdaki roller bulunmalıdır:

Göreli kimlik yöneticisi - göreli tanımlayıcıları etki alanı denetleyicilerine tahsis eder. Bir kullanıcı, grup veya bilgisayar nesnesi her oluşturulduğunda, denetleyiciler nesneye bir etki alanı SID'sinden ve ilgili kimlik yöneticisi tarafından tahsis edilen benzersiz bir kimlikten oluşan benzersiz bir SID atar. Şu anda hangi sunucunun ilgili etki alanı kimliklerinin yöneticisi olduğunu belirlemek için komut isteminde dsquery server -hasfsmo rid girin
PDC öykünücüsü (PDC öykünücüsü) - Karma veya aşamalı etki alanı modunda, Windows NT ana etki alanı denetleyicisi olarak işlev görür. Windows oturum açma kimliğini doğrular, parola değişikliklerini işler ve varsa güncellemeleri BDC'ye kopyalar. Şu anda hangi sunucunun etki alanı PDC öykünücüsü olduğunu belirlemek için komut isteminde dsquery server -hasfsmo pdc girin
altyapı ustası - Kataloğunun verilerini GC verileriyle karşılaştırarak nesne referanslarını günceller. Veriler güncel değilse, GC'den güncellemeler ister ve bunları diğer etki alanı denetleyicilerine çoğaltır. Şu anda hangi sunucunun etki alanı altyapısı yöneticisi olduğunu belirlemek için komut isteminde dsquery server -hasfsmo infr girin

Bu roller tüm etki alanı için ortaktır ve içinde benzersiz olmalıdır.

İşlem yöneticisi rolleri, etki alanındaki ilk etki alanı denetleyicisine otomatik olarak atanır, ancak daha sonra sizin tarafınızdan yeniden atanabilir. Etki alanında yalnızca bir denetleyici varsa, işlem yöneticisinin tüm rollerini aynı anda gerçekleştirir.

Şema yöneticisi ve etki alanı adlandırma yöneticisi rollerinin ayrılması önerilmez. Mümkün olduğunda, bunları tek bir etki alanı denetleyicisine atayın. En yüksek verimlilik için, gerektiğinde bu roller ayrılabilse de, ilgili tanımlayıcıların yöneticisinin ve PDC öykünücüsünün de aynı denetleyicide olması istenir. Ağır yüklerin performansı yavaşlattığı büyük bir ağda, RID yöneticisi ve PDC öykünücüsü ayrı denetleyicilere yerleştirilmelidir. Ayrıca, genel kataloğu depolayan etki alanı denetleyicisinde altyapı yöneticisinin barındırılması önerilmez.

Active Directory Kurulum Sihirbazını Kullanarak Windows Server 2003 Etki Alanı Denetleyicisi (DC) Yükleme

Etki alanı denetleyicisi, Active Directory Kurulum Sihirbazı kullanılarak yüklenir. Sunucu durumunu bir etki alanı denetleyicisine yükseltmek için, bunun için gerekli tüm gereksinimlerin karşılandığından emin olmalısınız:

SYSVOL sistem birimini tutmak için sunucunun en az bir NTFS bölümü olması gerekir.
Sunucunun DNS sunucusuna erişimi olmalıdır. DNS hizmetini aynı sunucuya kurmanız önerilir. Ayrı bir sunucu kullanıyorsanız, Hizmet Konumu kaynak kayıtlarını (RFC 2052) ve Dinamik Güncelleştirmeler protokolünü (RFC 2136) desteklediğinden emin olmalısınız.
Sunucuda yerel yönetici haklarına sahip bir hesabınız olmalıdır.

Adımlarda bir sunucu rolünü bir Active Directory etki alanı denetleyicisine yükseltmeye daha yakından bakalım:

Active Directory Etki Alanı Yönetimi Temelleri

Microsoft Yönetim Konsolu (MMC) ek bileşenlerindeki bir dizi araç, Active Directory ile çalışmayı kolaylaştırır.

(Active Directory Kullanıcıları ve Bilgisayarları) ek bileşeni, dizine bilgi yönetmek ve yayımlamak için kullanabileceğiniz bir MMC'dir. Active Directory için ana yönetim aracıdır ve kullanıcılar, gruplar ve bilgisayarlarla ilgili tüm görevlerin yerine getirilmesinin yanı sıra kuruluş birimlerini yönetmek için kullanılır.

Ek bileşeni (Active Directory Kullanıcıları ve Bilgisayarları) başlatmak için Yönetimsel Araçlar menüsünde aynı adlı komutu seçin.

Varsayılan olarak, Active Directory Kullanıcıları ve Bilgisayarları konsolu, bilgisayarınızın ait olduğu etki alanıyla çalışır. Bu etki alanındaki bilgisayar ve kullanıcı nesnelerine konsol ağacı aracılığıyla erişebilir veya başka bir etki alanına bağlanabilirsiniz. Aynı konsolun araçları, nesnelerin ek parametrelerini görüntülemenize ve bunları aramanıza olanak tanır.

Etki alanına eriştikten sonra standart bir klasör kümesi göreceksiniz:

Kayıtlı Sorgular (Kayıtlı Sorgular) - Active Directory'de daha önce gerçekleştirilen bir aramayı hızlı bir şekilde tekrarlamanızı sağlayan kayıtlı arama kriterleri;
yerleşik - yerleşik kullanıcı hesaplarının bir listesi;
bilgisayarlar - bilgisayar hesapları için varsayılan kapsayıcı;
Etki Alanı Denetleyicileri - etki alanı denetleyicileri için varsayılan kapsayıcı;
DışGüvenlikPrensipleri - güvenilir bir dış etki alanındaki nesneler hakkında bilgi içerir. Tipik olarak, bu nesneler, geçerli etki alanı grubuna harici bir etki alanından bir nesne eklendiğinde oluşturulur;
Kullanıcılar Kullanıcılar için varsayılan kapsayıcıdır.

Bazı konsol klasörleri varsayılan olarak görüntülenmez. Bunları görüntülemek için Görünüm menüsünden Gelişmiş Özellikler'i seçin. Bu ek klasörler şunlardır:

Kayıp eşya bürosu - sahibini, katalog nesnelerini kaybetti;
NTDS Kotaları - rehber hizmeti için kota verileri;
Program verisi - Microsoft uygulamaları için dizin hizmetinde depolanan veriler;
sistem - yerleşik sistem parametreleri.

AD ağacına kuruluş birimleri için klasörleri kendiniz ekleyebilirsiniz.

Etki alanı kullanıcı hesabı oluşturmaya ilişkin bir örneğe bakalım. Bir kullanıcı hesabı oluşturmak için, kullanıcı hesabını yerleştirmek istediğiniz kapsayıcıya sağ tıklayın, içerik menüsünden Yeni'yi ve ardından Kullanıcı'yı seçin. Yeni Nesne - Kullanıcı sihirbazı açılır:

Kullanıcının adını, adını ve soyadını uygun alanlara girin. Görünen adınızı oluşturmak için bu bilgilere ihtiyacınız olacak.
Tam adı düzenleyin. Alan adında benzersiz olmalı ve uzunluğu 64 karakterden fazla olmamalıdır.
Oturum açma adınızı girin. Hesabın ilişkilendirileceği etki alanını seçmek için açılır listeyi kullanın.
Gerekirse, Windows NT 4.0 veya önceki sürümlere sahip sistemlerde oturum açmak için kullanıcı adını değiştirin. Varsayılan olarak, kullanıcının tam adının ilk 20 karakteri, Windows'un önceki sürümlerinde oturum açma adı olarak kullanılır. Bu ad, alan genelinde de benzersiz olmalıdır.
Tıklamak Sonraki. Kullanıcı için bir şifre sağlayın. Parametreleri, parola politikanızla tutarlı olmalıdır;
Parolayı Onayla - girilen parolanın doğru olduğunu onaylamak için kullanılan alan;
Kullanıcı bir sonraki oturum açışında parolayı değiştirmeli(Bir sonraki oturum açmada parola değişikliği gerektir) - bu onay kutusu seçilirse, kullanıcının bir sonraki oturum açmada parolayı değiştirmesi gerekir;
Kullanıcı parolayı değiştiremez - İşaretlenirse, kullanıcı parolayı değiştiremez.
Parolanın süresi asla dolmaz - Seçilirse, bu hesabın parolasının süresi dolmaz (bu ayar Etki Alanı Hesabı İlkesi'ni geçersiz kılar).
Hesap devre dışı - seçilirse hesap devre dışı bırakılır (bu seçenek, birinin bu hesabı kullanmasını geçici olarak devre dışı bırakmak için kullanışlıdır).

Hesaplar, kullanıcıların iletişim bilgilerinin yanı sıra çeşitli etki alanı gruplarına katılım, profile giden yol, oturum açma komut dosyası, ana klasörün yolu, kullanıcının girmesine izin verilen bilgisayarların listesi hakkında bilgileri saklamanıza izin verir. etki alanı vb.

Oturum açma komut dosyaları, her oturum açmada yürütülen komutları tanımlar. Sistem zamanını, ağ yazıcılarını, ağ sürücülerine giden yolları vb. yapılandırmanıza izin verirler. Komut dosyaları, komutları bir kez çalıştırmak için kullanılır ve komut dosyaları tarafından belirlenen ortam ayarları daha sonra kullanılmak üzere kaydedilmez. Oturum açma komut dosyaları, .VBS, .JS ve diğer uzantılara sahip Windows Komut Dosyası Ana Bilgisayarı dosyaları, .BAT uzantılı toplu iş dosyaları, .CMD uzantılı toplu iş dosyaları, .EXE uzantılı programlar olabilir.

Kullanıcı dosyalarını depolamak ve geri yüklemek için her hesaba kendi ana klasörünü atayabilirsiniz. Çoğu uygulama, dosyaları açmak ve kaydetmek için varsayılan olarak ana klasörlerini açarak kullanıcıların verilerini bulmasını kolaylaştırır. Komut satırında, ana klasör ilk geçerli dizindir. Ana klasör, hem kullanıcının yerel sabit sürücüsünde hem de genel ağ sürücüsünde bulunabilir.

Grup ilkeleri, etki alanı bilgisayarına ve kullanıcı hesaplarına uygulanabilir. Grup İlkesi, yöneticilere kullanıcıların ve bilgisayarların ayrıcalıkları, izinleri ve yetenekleri üzerinde merkezi denetim vererek yönetimi basitleştirir. Grup İlkesi şunları yapmanızı sağlar:

Belgelerim gibi merkezi olarak yönetilen özel klasörler oluşturun
Windows bileşenlerine, sistem ve ağ kaynaklarına, kontrol paneli araçlarına, masaüstüne ve Başlat menüsüne erişimi kontrol edin;
belirli bir zamanda bir görevi gerçekleştirmek için kullanıcılar ve bilgisayarlar için komut dosyaları yapılandırın;
parolalar ve hesap kilitlemeleri, denetleme, kullanıcı haklarının atanması ve güvenlik için ilkeleri yapılandırın.

Kullanıcı hesaplarını ve gruplarını yönetme görevlerine ek olarak, bir etki alanını yönetmek için başka birçok görev vardır. Bunun için başka ek bileşenler ve uygulamalar kullanılır.

Arma Active Directory Etki Alanları ve Güvenleri(Active Directory - Etki Alanları ve Güvenler) etki alanları, etki alanı ağaçları ve etki alanı ormanlarıyla çalışmak için kullanılır.

Arma Active Directory Siteleri ve Hizmetleri(Active Directory - Siteler ve Hizmetler), siteler arası çoğaltmanın yanı sıra siteleri ve alt ağları yönetmenize olanak tanır.

AD nesnelerini yönetmek için çok çeşitli yönetim görevlerini gerçekleştirmenize izin veren komut satırı araçları vardır:

dsadd - Active Directory'ye bilgisayarlar, kişiler, gruplar, kuruluş birimleri ve kullanıcılar ekler. Yardım için dsadd /? örneğin dsadd bilgisayar /?
Dsmod - Active Directory'de kayıtlı bilgisayarların, kişilerin, grupların, kuruluş birimlerinin, kullanıcıların ve sunucuların özelliklerini değiştirir. Yardım için dsmod /? örneğin dsmod sunucusu /?
Dsmove - tek bir nesneyi etki alanı içinde yeni bir konuma taşır veya bir nesneyi hareket etmeden yeniden adlandırır.
Dsget - Active Directory'de kayıtlı bilgisayarların, kişilerin, grupların, kuruluş birimlerinin, kullanıcıların, sitelerin, alt ağların ve sunucuların özelliklerini görüntüler. Yardım için dsget /? örneğin dsget alt ağı /?
Dsquery - Active Directory'deki bilgisayarları, kişileri, grupları, kuruluş birimlerini, kullanıcıları, siteleri, alt ağları ve sunucuları belirtilen kriterlere göre arar.
dsrm - Active Directory'den bir nesneyi kaldırır.
Ntdsutil - Bir site, etki alanı veya sunucu hakkındaki bilgileri görüntülemenize, işlem yöneticilerini yönetmenize ve Active Directory veritabanını korumanıza olanak tanır.

Active Directory destek araçları da vardır:

ldp - Active Directory Yönetiminde LDAP işlemlerini gerçekleştirir.
tekrar - Çoğaltmayı yönetir ve sonuçlarını bir grafik arayüzde görüntüler.
Dsacl'ler - Active Directory nesneleri için ACL'leri (Erişim Kontrol Listeleri) yönetir.
Dfsutil - Dağıtılmış Dosya Sistemini (DFS) yönetir ve çalışmasıyla ilgili bilgileri görüntüler.
Dnscmd - DNS sunucularının, bölgelerin ve kaynak kayıtlarının özelliklerini yönetir.
hareket ağacı - Nesneleri bir etki alanından diğerine taşır.
tekrar yönetici - Çoğaltmayı yönetir ve sonuçlarını komut satırı penceresinde görüntüler.
Sdcbeck - ACL'lerin dağıtımını, replikasyonunu ve kalıtımını analiz eder.
Sidwalker - Daha önce taşınan, silinen veya yetim hesaplara ait olan nesneler için EKL'leri belirtir.
ağ - Etki alanlarını ve güvenleri komut satırından yönetmenize olanak tanır.

Bu makaleden de görebileceğiniz gibi, bilgisayar gruplarını Active Directory tabanlı etki alanlarında birleştirmek, bilgisayarların ve kullanıcıların etki alanı hesaplarının yönetimini merkezileştirerek yönetim görevlerinin maliyetini önemli ölçüde azaltabilir ve ayrıca kullanıcı haklarını, güvenliği ve kullanıcı haklarını esnek bir şekilde yönetmenize olanak tanır. bir dizi başka parametre. Alanların düzenlenmesiyle ilgili daha ayrıntılı materyal ilgili literatürde bulunabilir.

En son makaleler

2021-11-26 15:06:42
Xiaomi, LeEco, Meizu ve OnePlus'tan Çinli iPhone "katilleri" hakkındaki tüm gerçek
2021-11-21 15:28:14
Samsung Galaxy cep telefonlarının aşırı ısınma nedenleri
2021-11-21 15:28:14
Samsung Galaxy S5 akıllı telefon incelemesi: seri katil

Popüler Makaleler

Editörün Seçimi

2021-11-16 12:29:16

Öğeler etikete göre görüntüleniyor: samsung galaxy a8 firmware
Virüsler tarafından saldırıya uğradı ve cihaz yavaş ve zar zor yükleniyor mu? Ayarlarınızı sıfırladınız ve akıllı telefonunuzda oturum açamıyorsunuz - bir Google hesabına ihtiyacınız var mı? NS...
2021-11-16 12:29:16

Sony Ericsson Xperia Arc Akıllı Telefon Arc kullanım kılavuzu
Arc Extended Kullanım kılavuzu ... Sony Ericsson Xperia Arc - sayfa 2 İçindekiler Önemli bilgiler ...
2021-11-16 12:29:16

1440x900 en boy oranı
Aşağıdaki durumla hiç karşılaştınız mı? Patron veya müşteri, tasarımınızın hangi boyutta basılacağını bilmek istiyor, ancak monitör ...
2021-11-16 12:29:16

Ekran çözünürlüklerini izleyin
Bu makale, monitörler veya TV'ler için en popüler biçimleri ve bunlara karşılık gelen ekran çözünürlüklerini içerir. Hadi başlayalım ...
2021-11-16 12:29:16

Donanım yazılımını ne zaman güncellemem gerekir
Bu sayfa, mobil cihaz hakkında bilgiler içerir. Buradan HTC Desire 820G + dual için en son Android aygıt yazılımını indirebilir ve ...