Как ще помогне Активна директорияспециалисти?

Ето малък списък с „благини“, които можете да получите чрез внедряване на Active Directory:

• единична база данни за регистрация на потребители, която се съхранява централно на един или повече сървъри; по този начин, когато в офиса се появи нов служител, ще трябва само да създадете акаунт за него на сървъра и да посочите до кои работни станции има достъп;
• тъй като всички ресурси на домейна са индексирани, това дава възможност на потребителите да търсят лесно и бързо; например, ако трябва да намерите цветен принтер в отдел;
• комбинацията от прилагане на NTFS разрешения, групови политики и делегиране на контрол ще ви позволи да прецизирате и разпределите правата между членовете на домейна;
• роуминг потребителските профили дават възможност за съхраняване на важна информация и конфигурационни настройки на сървъра; всъщност, ако потребител с роуминг профил в домейн седне да работи на друг компютър и въведе своето потребителско име и парола, той ще види своя работен плот с настройките, с които е запознат;
• с помощта на групови правила можете да промените настройките на потребителските операционни системи, от позволяване на потребителя да зададе тапет на работния плот до настройки за сигурност, както и да разпространявате софтуер по мрежата, например клиент за копиране в сянка на том и т.н.;
• Много програми (прокси сървъри, сървъри за бази данни и т.н.), не само произведени от Microsoft днес, са се научили да използват удостоверяване на домейн, така че не е необходимо да създавате друга потребителска база данни, но можете да използвате съществуваща;
• Използването на услуги за отдалечено инсталиране улеснява инсталирането на системи на работни станции, но от своя страна работи само ако е внедрена директорийната услуга.

И това не е пълен списък с възможности, но повече за това по-късно. Сега ще се опитам да ви кажа логиката на строителството Активна директория, но отново си струва да разберем от какво са направени нашите момчета Активна директория- това са домейни, дървета, гори, организационни единици, потребителски и компютърни групи.

Домейни -Това е основната логическа единица на конструкцията. В сравнение с работните групи AD домейниса групи за сигурност, които имат единна регистрационна база, докато работните групи са просто логическа асоциация на машини. AD използва DNS (Domain Name Server) за услуги за именуване и търсене, вместо WINS (Windows Internet Name Service), както беше в по-ранните версии на NT. Така имената на компютрите в домейна изглеждат като например buh.work.com, където buh е името на компютъра в домейна work.com (въпреки че това не винаги е така).

Работните групи използват NetBIOS имена. За хостване на домейн структура ADВъзможно е да използвате DNS сървър, който не е на Microsoft. Но трябва да е съвместим с BIND 8.1.2 или по-нова версия и да поддържа SRV() записи, както и протокола за динамична регистрация (RFC 2136). Всеки домейн има поне един домейн контролер, който хоства централната база данни.

дървета -Това са многодомейнни структури. Коренът на тази структура е основният домейн, за който създавате дъщерни домейни. Всъщност Active Directory използва йерархична структура, подобна на структурата на домейна в DNS.

Ако имаме домейн work.com (домейн от първо ниво) и създадем два дъщерни домейна за него first.work.com и second.work.com (тук първият и вторият са домейни от второ ниво, а не компютър в домейна , както в случая, описан по-горе), завършваме с дърво на домейна.

Дърветата като логическа структура се използват, когато трябва да разделите клоновете на компанията, например по география или по някакви други организационни причини.

ADпомага за автоматично създаване на доверителни отношения между всеки домейн и неговите дъщерни домейни.

По този начин създаването на домейна first.work.com води до автоматично установяване на двустранна връзка на доверие между родителя work.com и дъщерния домейн first.work.com (подобно за second.work.com). Следователно разрешенията могат да се прилагат от родителския домейн към дъщерния и обратно. Не е трудно да се предположи, че отношенията на доверие ще съществуват и за дъщерните домейни.

Друго свойство на доверителните отношения е преходността. Получаваме, че е създадена доверителна връзка за домейна net.first.work.com с домейна work.com.

гора -Точно като дърветата, те са многодомейн структури. Но горае обединение на дървета, които имат различни коренови домейни.

Да предположим, че решите да имате няколко домейна с имена work.com и home.net и да създадете дъщерни домейни за тях, но тъй като tld (домейнът от първо ниво) не е под ваш контрол, в този случай можете да организирате гора, като изберете един от основни домейни от първо ниво. Красотата на създаването на гора в този случай е двупосочната доверителна връзка между тези два домейна и техните дъщерни домейни.

Въпреки това, когато работите с гори и дървета, трябва да запомните следното:

• не можете да добавите съществуващ домейн към дървото
• Не можете да включите съществуващо дърво в гората
• След като домейните бъдат поставени в гора, те не могат да бъдат преместени в друга гора
• не можете да изтриете домейн, който има дъщерни домейни

Организационни единици -По принцип те могат да бъдат наречени поддомейни. ви позволяват да групирате потребителски акаунти, потребителски групи, компютри, споделени ресурси, принтери и други OU (организационни единици) в домейн. Практическата полза от използването им е възможността за делегиране на права за администриране на тези звена.

Просто казано, можете да назначите администратор в домейн, който може да управлява OU, но няма права да администрира целия домейн.

Важна характеристика на OU, за разлика от групите, е възможността за прилагане на групови политики към тях. „Защо не можете да разделите оригиналния домейн на няколко домейна, вместо да използвате OU?“ - ти питаш.

Много експерти съветват да имате един домейн, ако е възможно. Причината за това е децентрализацията на администрацията при създаване на допълнителен домейн, тъй като администраторите на всеки такъв домейн получават неограничен контрол (нека ви напомня, че когато делегирате права на OU администратори, можете да ограничите тяхната функционалност).

В допълнение към това, за да създадете нов домейн (дори дъщерен), ще ви е необходим друг контролер. Ако имате два отделни отдела, свързани чрез бавен комуникационен канал, може да възникнат проблеми с репликацията. В този случай би било по-подходящо да има два домейна.

Има и още един нюанс при използването на групови правила: правилата, които определят настройките на паролата и блокирането на акаунти, могат да се прилагат само към домейни. За OU тези настройки на правилата се игнорират.

уебсайтове -Това е начин за физическо отделяне на справочна услуга. По дефиниция сайтът е група от компютри, свързани чрез канали за бърз трансфер на данни.

Ако имате няколко клона в различни части на страната, свързани с нискоскоростни комуникационни линии, тогава за всеки клон можете да създадете собствен уебсайт. Това се прави, за да се увеличи надеждността на репликацията на директорията.

Това разделение на AD не засяга принципите на логическа конструкция, следователно, точно както един сайт може да съдържа няколко домейна, и обратното, един домейн може да съдържа няколко сайта. Но има уловка в тази топология на директорийната услуга. По правило интернет се използва за комуникация с клонове - много несигурна среда. Много компании използват мерки за сигурност като защитни стени. Справочната услуга използва около дузина и половина портове и услуги в работата си, чието отваряне, за да позволи на AD трафика да премине през защитната стена, всъщност ще го изложи „навън“. Решението на проблема е използването на технологията за тунелиране, както и наличието на домейн контролер във всеки сайт за ускоряване на обработката на клиентските заявки на AD.

Представена е логиката на влагане на компонентите на справочната услуга. Може да се види, че гората съдържа две дървета на домейни, в които коренният домейн на дървото от своя страна може да съдържа OU и групи от обекти, а също така да има дъщерни домейни (в този случай по един за всеки). Дъщерните домейни могат също да съдържат групи обекти и OU и да имат дъщерни домейни (не са показани на фигурата). И така нататък. Нека ви напомня, че OU могат да съдържат OU, обекти и групи от обекти, а групите могат да съдържат други групи.

Потребителски и компютърни групи -се използват за административни цели и имат същото значение, както когато се използват на локални машини в мрежата. За разлика от OU, груповите политики не могат да се прилагат към групи, но управлението може да бъде делегирано за тях. В схемата на Active Directory има два типа групи: групи за сигурност (използвани за разграничаване на правата за достъп до мрежови обекти) и групи за разпространение (използвани главно за разпространение на имейл съобщения, например в Microsoft Exchange Server).

Те са разделени по обхват:

• универсални групиможе да включва потребители в гората, както и други универсални групи или глобални групи от всеки домейн в гората
• глобални домейн групиможе да включва потребители на домейн и други глобални групи от същия домейн
• локални групи на домейнаизползвани за разграничаване на правата за достъп, могат да включват потребители на домейн, както и универсални групи и глобални групи на всеки домейн в гората
• локални компютърни групи– групи, които съдържат SAM (мениджър на акаунти за сигурност) на локалната машина. Техният обхват е ограничен само до дадена машина, но могат да включват локални групи от домейна, в който се намира компютърът, както и универсални и глобални групи от техния собствен домейн или друг, на който имат доверие. Например, можете да включите потребител от групата local Users на домейна в групата Administrators на локалната машина, като по този начин му дадете администраторски права, но само за този компютър

Active Directory е директорийна услуга на Microsoft за семейството операционни системи Windows NT.

Тази услуга позволява на администраторите да използват групови правила, за да осигурят еднаквост на настройките на потребителската работна среда, софтуерни инсталации, актуализации и т.н.

Каква е същността на Active Directory и какви проблеми решава? Прочетете.

Принципи на организиране на peer-to-peer и multi-peer мрежи

Но възниква друг проблем, какво ще стане, ако user2 на PC2 реши да промени паролата си? След това, ако user1 промени паролата на акаунта, user2 на PC1 няма да може да получи достъп до ресурса.

Друг пример: имаме 20 работни станции с 20 акаунта, на които искаме да предоставим достъп до определен .За целта трябва да създадем 20 акаунта на файловия сървър и да предоставим достъп до необходимия ресурс.

Ами ако не са 20, а 200?

Както разбирате, мрежовата администрация с този подход се превръща в абсолютен ад.

Следователно подходът на работната група е подходящ за малки офис мрежи с не повече от 10 компютъра.

Ако в мрежата има повече от 10 работни станции, подходът, при който на един мрежов възел се делегират правата за извършване на удостоверяване и оторизация, става рационално оправдан.

Този възел е домейн контролерът - Active Directory.

Домейн контролер

Контролерът съхранява база данни от сметки, т.е. той съхранява акаунти както за PC1, така и за PC2.

Сега всички акаунти се регистрират веднъж на контролера и нуждата от локални акаунти става безсмислена.

Сега, когато потребител влезе в компютър, като въведе своето потребителско име и парола, тези данни се предават в лична форма на домейн контролера, който извършва процедури за удостоверяване и оторизация.

След това контролерът издава на влезлия потребител нещо като паспорт, с който впоследствие работи в мрежата и който представя при поискване от други мрежови компютри, сървъри, към чиито ресурси иска да се свърже.

важно! Домейн контролерът е компютър, работещ с Active Directory, който контролира достъпа на потребителите до мрежовите ресурси. Съхранява ресурси (напр. принтери, споделени папки), услуги (напр. имейл), хора (потребителски акаунти и потребителски групови акаунти), компютри (компютърни акаунти).

Броят на такива съхранявани ресурси може да достигне милиони обекти.

Следните версии на MS Windows могат да действат като домейн контролер: Windows Server 2000/2003/2008/2012 с изключение на Web-Edition.

Домейн контролерът, освен център за удостоверяване на мрежата, е и контролен център за всички компютри.

Веднага след включване компютърът започва да се свързва с домейн контролера, много преди да се появи прозорецът за удостоверяване.

По този начин се удостоверява не само потребителят, който въвежда данните за вход и паролата, но и клиентският компютър.

Инсталиране на Active Directory

Нека да разгледаме пример за инсталиране на Active Directory на Windows Server 2008 R2. И така, за да инсталирате ролята на Active Directory, отидете на „Server Manager“:

Добавете ролята „Добавяне на роли“:

Изберете ролята на Active Directory Domain Services:

И да започнем инсталацията:

След което получаваме прозорец с известия за инсталираната роля:

След като инсталираме ролята на домейн контролера, нека да продължим към инсталирането на самия контролер.

Щракнете върху „Старт“ в полето за търсене на програма, въведете името на съветника DCPromo, стартирайте го и поставете отметка в квадратчето за разширени настройки за инсталиране:

Щракнете върху „Напред“ и изберете да създадете нов домейн и гора от предложените опции.

Въведете името на домейна, например example.net.

Пишем NetBIOS име на домейн, без зона:

Изберете функционалното ниво на нашия домейн:

Поради особеностите на функциониране на домейн контролера инсталираме и DNS сървър.

Местоположението на базата данни, регистрационния файл и системния том остават непроменени:

Въведете администраторската парола на домейна:

Проверяваме правилността на попълването и ако всичко е наред, щракнете върху „Напред“.

След това ще започне процесът на инсталиране, в края на който ще се появи прозорец, който ви информира, че инсталацията е успешна:

Въведение в Active Directory

Докладът обсъжда два вида компютърни мрежи, които могат да бъдат създадени с помощта на операционни системи на Microsoft: работна група и домейн на Active Directory.

Active Directory предоставя услуги за управление на системи. Те са много по-добра алтернатива на локалните групи и ви позволяват да създавате компютърни мрежи с ефективно управление и надеждна защита на данните.

Ако досега не сте срещали концепцията за Active Directory и не знаете как работят подобни услуги, тази статия е за вас. Нека да разберем какво означава тази концепция, какви са предимствата на такива бази данни и как да ги създадете и конфигурирате за първоначална употреба.

Active Directory е много удобен начин за управление на системата. С помощта на Active Directory можете ефективно да управлявате вашите данни.

Тези услуги ви позволяват да създадете единна база данни, управлявана от домейн контролери. Ако имате бизнес, управлявате офис или като цяло контролирате дейността на много хора, които трябва да бъдат обединени, такъв домейн ще ви бъде полезен.

Включва всички обекти - компютри, принтери, факсове, потребителски акаунти и др. Сумата от домейни, в които се намират данните, се нарича „гора“. Базата данни на Active Directory е домейн среда, където броят на обектите може да бъде до 2 милиарда. Можете ли да си представите тези везни?

Тоест с помощта на такава „гора“ или база данни можете да свържете голям брой служители и оборудване в офис и без да сте обвързани с местоположение - други потребители също могат да бъдат свързани в услугите, напр. от офис на фирмата в друг град.

Освен това в рамките на услугите на Active Directory се създават и комбинират няколко домейна - колкото по-голяма е компанията, толкова повече инструменти са необходими за контрол на нейното оборудване в базата данни.

Освен това, когато се създаде такава мрежа, се определя един контролиращ домейн и дори при последващо присъствие на други домейни, оригиналният все още остава „родител“ - тоест само той има пълен достъп до управление на информацията.

Къде се съхраняват тези данни и какво гарантира съществуването на домейни? За създаване на Active Directory се използват контролери. Обикновено те са два - ако нещо се случи с единия, информацията ще бъде запазена на втория контролер.

Друг вариант за използване на базата данни е, ако например вашата фирма си сътрудничи с друга и трябва да изпълните общ проект. В този случай неупълномощени лица може да се нуждаят от достъп до файловете на домейна и тук можете да настроите нещо като „връзка“ между две различни „гори“, позволявайки достъп до необходимата информация, без да рискувате сигурността на останалите данни.

Като цяло Active Directory е инструмент за създаване на база данни в рамките на определена структура, независимо от нейния размер. Потребителите и цялото оборудване са обединени в една „гора“, създават се домейни и се поставят на контролери.

Също така е препоръчително да се изясни, че услугите могат да работят само на устройства с Windows сървърни системи. Освен това на контролерите се създават 3-4 DNS сървъра. Те обслужват основната зона на домейна и ако някой от тях откаже, други сървъри го заместват.

След кратък преглед на Active Directory for Dummies, естествено се интересувате от въпроса - защо да променяте локална група за цяла база данни? Естествено, полето от възможности тук е многократно по-широко и за да разберете други разлики между тези услуги за управление на системата, нека разгледаме по-отблизо техните предимства.

Предимства на Active Directory

Предимствата на Active Directory са:

1. Използване на един единствен ресурс за удостоверяване. В тази ситуация трябва да добавите на всеки компютър всички акаунти, които изискват достъп до обща информация. Колкото повече потребители и оборудване има, толкова по-трудно е да се синхронизират тези данни между тях.

И така, когато използвате услуги с база данни, акаунтите се съхраняват в една точка и промените влизат в сила веднага на всички компютри.

Как работи? Всеки служител, идвайки в офиса, стартира системата и влиза в своя акаунт. Заявката за влизане ще бъде изпратена автоматично до сървъра и чрез нея ще се извърши удостоверяване.

Що се отнася до определен ред при водене на записи, винаги можете да разделите потребителите на групи - „Човешки отдел“ или „Счетоводство“.

В този случай е още по-лесно да осигурите достъп до информация - ако трябва да отворите папка за служители от един отдел, това се прави през базата данни. Заедно те получават достъп до необходимата папка с данни, докато за други документите остават затворени.

1. Контрол върху всеки участник в базата данни.

Ако в локална група всеки член е независим и трудно се контролира от друг компютър, тогава в домейни можете да зададете определени правила, които са в съответствие с фирмената политика.

Като системен администратор можете да зададете настройки за достъп и настройки за сигурност и след това да ги приложите към всяка потребителска група. Естествено, в зависимост от йерархията, някои групи могат да получат по-строги настройки, докато други могат да получат достъп до други файлове и действия в системата.

Освен това, когато нов човек се присъедини към компанията, неговият компютър веднага ще получи необходимия набор от настройки, който включва компоненти за работа.

1. Гъвкавост при инсталиране на софтуер.

Говорейки за компоненти, с помощта на Active Directory можете да задавате принтери, да инсталирате необходимите програми за всички служители наведнъж и да задавате настройки за поверителност. Като цяло създаването на база данни значително ще оптимизира работата, ще следи сигурността и ще обедини потребителите за максимална ефективност на работата.

И ако една компания управлява отделна помощна програма или специални услуги, те могат да бъдат синхронизирани с домейни и опростен достъп до тях. как? Ако комбинирате всички продукти, използвани в компанията, служителят няма да трябва да въвежда различни потребителски имена и пароли, за да влезе във всяка програма - тази информация ще бъде обща.

Сега, когато предимствата и значението на използването на Active Directory станаха ясни, нека да разгледаме процеса на инсталиране на тези услуги.

Ние използваме база данни на Windows Server 2012

Инсталирането и конфигурирането на Active Directory не е трудна задача и е по-лесно, отколкото изглежда на пръв поглед.

За да заредите услуги, първо трябва да направите следното:

1. Променете името на компютъра: щракнете върху „Старт“, отворете контролния панел, изберете „Система“. Изберете „Промяна на настройките“ и в „Свойства“, срещу реда „Име на компютър“, щракнете върху „Промяна“, въведете нова стойност за основния компютър.
2. Рестартирайте вашия компютър, както е необходимо.
3. Задайте мрежовите настройки по следния начин:
   • През контролния панел отворете менюто с мрежи и споделяне.
   • Регулирайте настройките на адаптера. Щракнете с десния бутон върху „Свойства“ и отворете раздела „Мрежа“.
   • В прозореца от списъка щракнете върху Интернет протокол номер 4, отново щракнете върху „Свойства“.
   • Въведете необходимите настройки, например: IP адрес - 192.168.10.252, подмрежова маска - 255.255.255.0, главен шлюз - 192.168.10.1.
   • В реда „Предпочитан DNS сървър“ посочете адреса на локалния сървър, в „Алтернатива...“ - други адреси на DNS сървъри.
   • Запазете промените и затворете прозорците.

Настройте роли в Active Directory по следния начин:

1. Чрез Start отворете Server Manager.
2. От менюто изберете Добавяне на роли и функции.
3. Помощникът ще се стартира, но можете да пропуснете първия прозорец с описание.
4. Поставете отметка в реда „Инсталиране на роли и компоненти“, продължете напред.
5. Изберете вашия компютър, за да инсталирате Active Directory на него.
6. От списъка изберете ролята, която трябва да се зареди - във вашия случай това е „Active Directory Domain Services“.
7. Ще се появи малък прозорец с молба да изтеглите компонентите, необходими за услугите - приемете го.
8. След това ще бъдете подканени да инсталирате други компоненти - ако не ви трябват, просто пропуснете тази стъпка, като щракнете върху „Напред“.
9. Помощникът за настройка ще покаже прозорец с описания на услугите, които инсталирате - прочетете и продължете нататък.
10. Ще се появи списък с компоненти, които ще инсталираме - проверете дали всичко е правилно и ако е така, натиснете съответния бутон.
11. Когато процесът приключи, затворете прозореца.
12. Това е всичко - услугите се изтеглят на вашия компютър.

Настройка на Active Directory

За да конфигурирате услуга за домейн, трябва да направите следното:

• Стартирайте съветника за настройка със същото име.
• Кликнете върху жълтия показалец в горната част на прозореца и изберете „Повишаване на сървъра до домейн контролер“.
• Кликнете върху добавяне на нова гора и създайте име за основния домейн, след което щракнете върху Напред.
• Посочете режимите на работа на „гората“ и домейна - най-често те съвпадат.
• Създайте парола, но не забравяйте да я запомните. Продължете по-нататък.
• След това може да видите предупреждение, че домейнът не е делегиран и подкана да проверите името на домейна - можете да пропуснете тези стъпки.
• В следващия прозорец можете да промените пътя до директориите на базата данни - направете това, ако не ви подхождат.
• Сега ще видите всички опции, които ще зададете - проверете дали сте ги избрали правилно и продължете напред.
• Приложението ще провери дали са изпълнени предпоставките и ако няма коментари или не са критични, щракнете върху „Инсталиране“.
• След като инсталацията приключи, компютърът ще се рестартира сам.

Може също да се чудите как да добавите потребител към базата данни. За да направите това, използвайте менюто „Потребители или компютри на Active Directory“, което ще намерите в секцията „Администриране“ в контролния панел, или използвайте менюто с настройки на базата данни.

За да добавите нов потребител, щракнете с десния бутон върху името на домейна, изберете „Създаване“, след това „Разделение“. Пред вас ще се появи прозорец, в който трябва да въведете името на новия отдел - той служи като папка, в която можете да събирате потребители от различни отдели. По същия начин по-късно ще създадете още няколко отдела и ще поставите правилно всички служители.

След това, когато сте създали име на отдел, щракнете с десния бутон върху него и изберете „Създаване“, след това „Потребител“. Сега остава само да въведете необходимите данни и да зададете настройките за достъп за потребителя.

Когато новият профил е създаден, щракнете върху него, като изберете контекстното меню и отворете „Свойства“. В раздела „Акаунт“ премахнете отметката от квадратчето до „Блокиране...“. Това е всичко.

Общото заключение е, че Active Directory е мощен и полезен инструмент за управление на системата, който ще помогне за обединяването на всички компютри на служителите в един екип. Използвайки услугите, можете да създадете защитена база данни и значително да оптимизирате работата и синхронизирането на информацията между всички потребители. Ако вашата компания или друго място на дейност е свързано с електронни компютри и мрежи, трябва да консолидирате акаунти и да наблюдавате работата и поверителността, инсталирането на базирана на Active Directory база данни ще бъде отлично решение.

Всеки начинаещ потребител, изправен пред съкращението AD, се чуди какво е Active Directory? Active Directory е директорийна услуга, разработена от Microsoft за домейн мрежи на Windows. Включен в повечето операционни системи Windows Server като набор от процеси и услуги. Първоначално услугата се занимаваше само с домейни. Въпреки това, започвайки с Windows Server 2008, AD се превърна в името на широк набор от услуги за идентичност, базирани на директории. Това прави Active Directory за начинаещи по-добро учебно изживяване.

Основна дефиниция

Сървърът, който изпълнява Active Directory Domain Directory Services, се нарича домейн контролер. Той удостоверява и упълномощава всички потребители и компютри в мрежов домейн на Windows, задавайки и налагайки политики за сигурност за всички компютри и инсталирайки или актуализирайки софтуер. Например, когато потребител влезе в компютър, който е присъединен към домейн на Windows, Active Directory проверява предоставената парола и определя дали субектът е системен администратор или стандартен потребител. Той също така позволява управление и съхранение на информация, предоставя механизми за удостоверяване и оторизация и установява рамка за внедряване на други свързани услуги: сертификатни услуги, обединени и олекотени справочни услуги и управление на права.

Active Directory използва LDAP версии 2 и 3, версията на Kerberos на Microsoft и DNS.

Active Directory - какво е това? С прости думи за комплекса

Наблюдението на мрежовите данни е задача, която отнема много време. Дори в малки мрежи потребителите обикновено срещат трудности при намирането на мрежови файлове и принтери. Без някакъв вид директория средните до големите мрежи не могат да бъдат управлявани и често срещат трудности при намирането на ресурси.

Предишните версии на Microsoft Windows включваха услуги, които помагаха на потребителите и администраторите да намират информация. Мрежовото съседство е полезно в много среди, но очевидният недостатък е тромавият интерфейс и неговата непредсказуемост. WINS Manager и Server Manager могат да се използват за преглед на списък със системи, но те не са били достъпни за крайните потребители. Администраторите използваха User Manager, за да добавят и премахват данни от съвсем различен тип мрежов обект. Тези приложения се оказаха неефективни за големи мрежи и повдигнаха въпроса защо компаниите се нуждаят от Active Directory?

Директория, в най-общ смисъл, е пълен списък от обекти. Телефонният указател е вид указател, който съхранява информация за хора, фирми и държавни организации, иТе обикновено записват имена, адреси и телефонни номера.Чудя се Active Directory - какво е това, с прости думи можем да кажем, че тази технология е подобна на директорията, но е много по-гъвкава. AD съхранява информация за организации, сайтове, системи, потребители, споделяния и всяка друга мрежова единица.

Въведение в концепциите на Active Directory

Защо една организация се нуждае от Active Directory? Както бе споменато във въведението към Active Directory, услугата съхранява информация за мрежовите компоненти.Ръководството за Active Directory за начинаещи обяснява, че това Позволява на клиентите да намират обекти в тяхното пространство от имена.Това t Терминът (наричан още дърво на конзолата) се отнася до областта, в която може да бъде разположен мрежов компонент. Например, съдържанието на книга създава пространство от имена, в което главите могат да бъдат присвоени на номера на страници.

DNS е конзолно дърво, което преобразува имената на хостове в IP адреси, като напрТелефонните указатели предоставят пространство от имена за разрешаване на имена за телефонни номера.Как става това в Active Directory? AD предоставя конзолно дърво за разрешаване на имена на мрежови обекти към самите обекти иможе да разрешава широк набор от обекти, включително потребители, системи и услуги в мрежа.

Обекти и атрибути

Всичко, което Active Directory проследява, се счита за обект.Можем да кажем с прости думи, че това е в Active Directory е всеки потребител, система, ресурс или услуга. Използва се общ термин обект, защото AD може да проследява много елементи и много обекти могат да споделят общи атрибути. Какво означава?

Атрибутите описват обекти в Active Directory, например всички потребителски обекти споделят атрибути за съхраняване на потребителското име. Това важи и за техните описания. Системите също са обекти, но имат отделен набор от атрибути, които включват име на хост, IP адрес и местоположение.

Наборът от атрибути, налични за всеки отделен тип обект, се нарича схема. Това прави класовете обекти различни един от друг. Информацията за схемата всъщност се съхранява в Active Directory. Че това поведение на протокола за сигурност е много важно, се демонстрира от факта, че дизайнът позволява на администраторите да добавят атрибути към класове обекти и да ги разпространяват в мрежата до всички краища на домейна, без да рестартират домейн контролери.

LDAP контейнер и име

Контейнерът е специален тип обект, който се използва за организиране на работата на услуга. Той не представлява физическа единица като потребител или система. Вместо това се използва за групиране на други елементи. Контейнерните обекти могат да бъдат вложени в други контейнери.

Всеки елемент в AD има име. Това не са тези, с които сте свикнали, например Иван или Олга. Това са LDAP отличителни имена. LDAP отличителните имена са сложни, но ви позволяват да идентифицирате уникално всеки обект в директория, независимо от неговия тип.

Дърво на термини и уебсайт

Дървото на термините се използва за описание на набор от обекти в Active Directory. Какво е това? С прости думи това може да се обясни с помощта на дървовидна асоциация. Когато контейнерите и обектите се комбинират йерархично, те са склонни да образуват разклонения - оттук и името. Свързан термин е непрекъснато поддърво, което се отнася до непрекъснатия основен ствол на дърво.

Продължавайки метафората, терминът "гора" описва колекция, която не е част от едно и също пространство от имена, но споделя обща схема, конфигурация и глобална директория. Обектите в тези структури са достъпни за всички потребители, ако сигурността позволява. Организациите, разделени на множество домейни, трябва да групират дървета в една гора.

Сайтът е географско местоположение, дефинирано в Active Directory. Сайтовете съответстват на логически IP подмрежи и като такива могат да се използват от приложенията за намиране на най-близкия сървър в мрежата. Използването на информация за сайта от Active Directory може значително да намали трафика в WAN.

Управление на Active Directory

Компонент за добавяне на потребители на Active Directory. Това е най-удобният инструмент за администриране на Active Directory. Той е достъпен директно от програмната група Административни инструменти в менюто Старт. Той замества и подобрява Server Manager и User Manager от Windows NT 4.0.

Безопасност

Active Directory играе важна роля в бъдещето на Windows мрежите. Администраторите трябва да могат да защитят своята директория от нападатели и потребители, докато делегират задачи на други администратори. Всичко това е възможно с помощта на модела за сигурност на Active Directory, който свързва списък за контрол на достъпа (ACL) с всеки контейнер и атрибут на обект в директорията.

Високото ниво на контрол позволява на администратора да предоставя на отделни потребители и групи различни нива на разрешения за обекти и техните свойства. Те дори могат да добавят атрибути към обекти и да скриват тези атрибути от определени потребителски групи. Например, можете да зададете ACL, така че само мениджърите да могат да виждат домашните телефони на други потребители.

Делегирана администрация

Нова концепция за Windows 2000 Server е делегираната администрация. Това ви позволява да възлагате задачи на други потребители, без да предоставяте допълнителни права за достъп. Делегираната администрация може да бъде възложена чрез конкретни обекти или поддървета на съседни директории. Това е много по-ефективен метод за предоставяне на правомощия в мрежите.

IN мястото, където на някого се присвояват всички администраторски права на глобален домейн, потребителят може да получи разрешения само в рамките на конкретно поддърво. Active Directory поддържа наследяване, така че всички нови обекти наследяват ACL на своя контейнер.

Терминът "доверително отношение"

Терминът „доверително отношение“ все още се използва, но има различна функционалност. Няма разлика между еднопосочни и двупосочни тръстове. В края на краищата всички доверителни отношения на Active Directory са двупосочни. Освен това всички те са преходни. Така че, ако домейн A се доверява на домейн B, а B се доверява на C, тогава има автоматична имплицитна връзка на доверие между домейн A и домейн C.

Одит в Active Directory - какво е това с прости думи? Това е защитна функция, която ви позволява да определите кой се опитва да получи достъп до обекти и колко успешен е опитът.

Използване на DNS (система за имена на домейни)

Системата, известна още като DNS, е необходима за всяка организация, свързана с интернет. DNS осигурява разделяне на имена между общи имена, като mspress.microsoft.com, и необработени IP адреси, които компонентите на мрежовия слой използват за комуникация.

Active Directory широко използва DNS технологията за търсене на обекти. Това е значителна промяна от предишните операционни системи Windows, които изискват NetBIOS имена да се разрешават чрез IP адреси и разчитат на WINS или други техники за разрешаване на имена на NetBIOS.

Active Directory работи най-добре, когато се използва с DNS сървъри, работещи под Windows 2000. Microsoft улесни мигрирането на администраторите към DNS сървъри, базирани на Windows 2000, като предостави съветници за мигриране, които насочват администратора през процеса.

Могат да се използват други DNS сървъри. Това обаче ще изисква администраторите да отделят повече време за управление на DNS бази данни. Какви са нюансите? Ако решите да не използвате DNS сървъри, работещи под Windows 2000, трябва да се уверите, че вашите DNS сървъри отговарят на новия DNS протокол за динамично актуализиране. Сървърите разчитат на динамично актуализиране на своите записи, за да намерят домейн контролери. Не е удобно. В края на краищата, eАко динамичното актуализиране не се поддържа, трябва да актуализирате базите данни ръчно.

Домейните на Windows и интернет домейните вече са напълно съвместими. Например име като mspress.microsoft.com ще идентифицира домейн контролерите на Active Directory, отговорни за домейна, така че всеки клиент с DNS достъп може да намери домейн контролера.Клиентите могат да използват DNS резолюция, за да търсят произволен брой услуги, тъй като сървърите на Active Directory публикуват списък с адреси в DNS, използвайки нови динамични функции за актуализиране. Тези данни се дефинират като домейн и се публикуват чрез записи на ресурсни услуги. SRV RR следвайте формата service.protocol.domain.

Сървърите на Active Directory предоставят услугата LDAP за хостинг на обекти, а LDAP използва TCP като основен протокол на транспортния слой. Следователно, клиент, който търси сървър на Active Directory в домейна mspress.microsoft.com, ще търси DNS записа за ldap.tcp.mspress.microsoft.com.

Глобален каталог

Active Directory предоставя глобален каталог (GC) ипредоставя един източник за търсене на всеки обект в мрежата на организацията.

Глобалният каталог е услуга в Windows 2000 Server, която позволява на потребителите да намират всички обекти, които са били споделени. Тази функционалност е много по-добра от приложението Find Computer, включено в предишните версии на Windows. В крайна сметка потребителите могат да търсят всеки обект в Active Directory: сървъри, принтери, потребители и приложения.

Тъй като познавам добре малкия бизнес отвътре, винаги съм се интересувал от следните въпроси. Обяснете защо един служител трябва да използва браузъра, който системният администратор харесва на работния си компютър? Или вземете всеки друг софтуер, например същия архиватор, имейл клиент, клиент за незабавни съобщения ... Леко намеквам за стандартизация и не въз основа на личната симпатия на системния администратор, а въз основа на достатъчността на функционалността , разходи за поддръжка и поддръжка на тези софтуерни продукти. Да започнем да разглеждаме ИТ като точна наука, а не като занаят, когато всеки прави каквото си иска. Отново има много проблеми с това в малкия бизнес. Представете си, че една компания в труден момент на криза смени няколко от тези администратори, какво трябва да направят бедните потребители в такава ситуация? Постоянно да се преквалифицирате?

Да погледнем от другата страна. Всеки мениджър трябва да разбира какво се случва в момента в неговата компания (включително в ИТ). Това е необходимо, за да се следи текущата ситуация и да се реагира своевременно при възникване на различни видове проблеми. Но това разбиране е по-важно за стратегическото планиране. В крайна сметка, имайки здрава и надеждна основа, можем да построим къща на 3 или 5 етажа, да направим покрив с различни форми, да направим балкони или зимна градина. По подобен начин в ИТ имаме надеждна основа - можем допълнително да използваме по-сложни продукти и технологии за решаване на бизнес проблеми.

Първата статия ще говори за такава основа - услугите на Active Directory. Те са предназначени да станат здрава основа за ИТ инфраструктурата на компания от всякакъв размер и сфера на дейност. Какво е? Така че нека поговорим за това...

Нека започнем разговора с прости понятия - домейн и услуги на Active Directory.

Домейне основната административна единица в мрежовата инфраструктура на предприятието, която включва всички мрежови обекти като потребители, компютри, принтери, споделяния и др. Колекцията от такива домейни се нарича гора.

Услуги на Active Directory (Услуги на Active Directory) са разпределена база данни, която съдържа всички обекти на домейна. Домейн средата на Active Directory осигурява единна точка за удостоверяване и оторизация за потребителите и приложенията в цялото предприятие. Именно с организирането на домейн и внедряването на услугите на Active Directory започва изграждането на корпоративна ИТ инфраструктура.

Базата данни на Active Directory се съхранява на специални сървъри – домейн контролери. Услугите на Active Directory са роля на сървърните операционни системи Microsoft Windows Server. Услугите на Active Directory са силно мащабируеми. Повече от 2 милиарда обекта могат да бъдат създадени в гора на Active Directory, което позволява услугата директория да бъде внедрена в компании със стотици хиляди компютри и потребители. Йерархичната структура на домейните ви позволява гъвкаво да мащабирате ИТ инфраструктурата към всички клонове и регионални подразделения на компании. За всеки клон или подразделение на компания може да се създаде отделен домейн със собствени политики, свои потребители и групи. За всеки дъщерен домейн административните права могат да бъдат делегирани на локалните системни администратори. В същото време дъщерните домейни все още са подчинени на своите родители.

Освен това услугите на Active Directory ви позволяват да конфигурирате доверителни отношения между гори на домейни. Всяка компания има собствена гора от домейни, всяка със собствени ресурси. Но понякога трябва да предоставите достъп до вашите корпоративни ресурси на служители на друга компания - работа с общи документи и приложения като част от съвместен проект. За да направите това, между организационните гори могат да бъдат установени доверителни отношения, които ще позволят на служителите на една организация да влизат в домейна на друга.

За да осигурите устойчивост на грешки за услугите на Active Directory, трябва да разположите два или повече домейн контролера във всеки домейн. Всички промени се репликират автоматично между домейн контролерите. Ако един от домейн контролерите се повреди, функционалността на мрежата не се засяга, тъй като останалите продължават да работят. Допълнително ниво на устойчивост се осигурява чрез поставяне на DNS сървъри на домейн контролери в Active Directory, което позволява на всеки домейн да има множество DNS сървъри, обслужващи основната зона на домейна. И ако един от DNS сървърите се повреди, останалите ще продължат да работят. За ролята и значението на DNS сървърите в ИТ инфраструктурата ще говорим в една от статиите от поредицата.

Но това са всички технически аспекти на внедряването и поддържането на услугите на Active Directory. Нека поговорим за ползите, които една компания получава, като се отдалечи от peer-to-peer мрежи и използва работни групи.

1. Единична точка за удостоверяване

В работна група, на всеки компютър или сървър, ще трябва ръчно да добавите пълен списък с потребители, които изискват достъп до мрежата. Ако внезапно някой от служителите иска да промени паролата си, тогава тя ще трябва да бъде променена на всички компютри и сървъри. Добре е мрежата да се състои от 10 компютъра, но ако има повече? Когато използвате домейн на Active Directory, всички потребителски акаунти се съхраняват в една база данни и всички компютри търсят от нея разрешение. Всички потребители на домейна са включени в съответните групи, например „Счетоводство“, „Финансов отдел“. Достатъчно е да зададете разрешения за определени групи веднъж и всички потребители ще имат подходящ достъп до документи и приложения. Ако нов служител се присъедини към компанията, за него се създава акаунт, който се включва в съответната група - служителят получава достъп до всички мрежови ресурси, до които трябва да има достъп. Ако служител напусне, просто го блокирайте и той веднага ще загуби достъп до всички ресурси (компютри, документи, приложения).

2. Единна точка на управление на политиката

В една работна група всички компютри имат равни права. Нито един от компютрите не може да контролира другия; невъзможно е да се следи спазването на единни политики и правила за сигурност. Когато се използва една Active Directory, всички потребители и компютри са йерархично разпределени между организационни единици, всяка от които е обект на едни и същи групови правила. Политиките ви позволяват да зададете еднакви настройки и настройки за сигурност за група компютри и потребители. Когато към домейн се добави нов компютър или потребител, той автоматично получава настройки, които отговарят на приетите корпоративни стандарти. С помощта на политики можете централно да назначавате мрежови принтери на потребителите, да инсталирате необходимите приложения, да задавате настройки за защита на браузъра и да конфигурирате приложения на Microsoft Office.

3. Повишено ниво на информационна сигурност

Използването на услугите на Active Directory значително повишава нивото на мрежова сигурност. Първо, това е едно и сигурно съхранение на акаунти. В среда на домейн всички потребителски пароли на домейн се съхраняват на специални сървъри на домейн контролери, които обикновено са защитени от външен достъп. Второ, когато се използва среда на домейн, за удостоверяване се използва протоколът Kerberos, който е много по-сигурен от NTLM, който се използва в работни групи.

4. Интеграция с корпоративни приложения и оборудване

Голямо предимство на услугите на Active Directory е съответствието им със стандарта LDAP, който се поддържа от други системи, например пощенски сървъри (Exchange Server), прокси сървъри (ISA Server, TMG). И това не е задължително само продуктите на Microsoft. Предимството на такава интеграция е, че потребителят не трябва да помни голям брой потребителски имена и пароли за достъп до определено приложение; във всички приложения потребителят има едни и същи идентификационни данни - неговото удостоверяване се извършва в една Active Directory. Windows Server предоставя RADIUS протокола за интеграция с Active Directory, който се поддържа от голям брой мрежово оборудване. По този начин е възможно например да се осигури удостоверяването на потребителите на домейна при свързване чрез VPN отвън или използването на Wi-Fi точки за достъп в компанията.

5. Унифицирано съхранение на конфигурацията на приложението

Някои приложения съхраняват конфигурацията си в Active Directory, като Exchange Server. Внедряването на услугата директория на Active Directory е предпоставка за работата на тези приложения. Съхраняването на конфигурацията на приложението в директорийна услуга предлага предимства за гъвкавост и надеждност. Например, в случай на пълна повреда на сървъра на Exchange, цялата му конфигурация ще остане непокътната. За да възстановите функционалността на корпоративната поща, ще бъде достатъчно да преинсталирате Exchange Server в режим на възстановяване.

За да обобщя, бих искал още веднъж да подчертая, че услугите на Active Directory са сърцето на ИТ инфраструктурата на предприятието. В случай на повреда цялата мрежа, всички сървъри и работата на всички потребители ще бъдат парализирани. Никой няма да може да влезе в компютъра или да получи достъп до техните документи и приложения. Следователно справочната услуга трябва да бъде внимателно проектирана и внедрена, като се вземат предвид всички възможни нюанси, например честотната лента на каналите между клонове или офиси на компанията (скоростта на потребителско влизане в системата, както и обмен на данни между домейна контролери, пряко зависи от това).