Kako će to pomoći Aktivni direktorij specijalisti?

Evo male liste "dobrota" koje možete dobiti primjenom Active Directory:

• baza podataka registracije jednog korisnika, koja se centralno pohranjuje na jednom ili više servera; tako, kada se novi zaposlenik pojavi u kancelariji, samo ćete morati da kreirate nalog za njega na serveru i naznačite kojim radnim stanicama može da pristupi;
• budući da su svi resursi domene indeksirani, to korisnicima omogućava laku i brzu pretragu; na primjer, ako trebate pronaći štampač u boji u odjelu;
• kombinacija primjene NTFS dozvola, grupnih politika i delegiranja kontrole omogućit će vam da fino podesite i distribuirate prava između članova domena;
• roaming korisnički profili omogućavaju skladištenje važnih informacija i podešavanja konfiguracije na serveru; zapravo, ako korisnik sa roaming profilom u domenu sjedne da radi na drugom računaru i unese svoje korisničko ime i lozinku, vidjet će svoju radnu površinu sa postavkama koje su mu poznate;
• koristeći grupne politike, možete promijeniti postavke korisničkih operativnih sistema, od dopuštanja korisniku da postavi pozadinu na radnoj površini do sigurnosnih postavki, a također distribuira softver preko mreže, na primjer, Volume Shadow Copy klijent, itd.;
• Mnogi programi (proxy serveri, serveri baza podataka, itd.) ne samo da su danas proizvedeni od strane Microsofta naučili su koristiti autentifikaciju domena, tako da ne morate kreirati drugu korisničku bazu podataka, već možete koristiti postojeću;
• Korištenje usluga udaljene instalacije olakšava instalaciju sistema na radnim stanicama, ali, zauzvrat, radi samo ako je implementirana usluga direktorija.

I ovo nije potpuna lista mogućnosti, ali o tome kasnije. Sada ću pokušati da vam kažem logiku konstrukcije Aktivni direktorij, ali opet vrijedi saznati od čega su naši momci napravljeni Aktivni direktorij- to su domene, drveće, šume, organizacione jedinice, korisničke i računarske grupe.

domene - Ovo je osnovna logička jedinica konstrukcije. U poređenju sa radnim grupama AD domene su sigurnosne grupe koje imaju jednu bazu registracije, dok su radne grupe samo logična asocijacija mašina. AD koristi DNS (Domain Name Server) za imenovanje i usluge pretraživanja, umjesto WINS (Windows Internet Name Service), kao što je bio slučaj u ranijim verzijama NT-a. Dakle, imena računara u domeni izgledaju kao, na primjer, buh.work.com, gdje je buh ime računara u domeni work.com (iako to nije uvijek slučaj).

Radne grupe koriste NetBIOS imena. Za hostovanje strukture domena AD Moguće je koristiti DNS server koji nije Microsoftov. Ali mora biti kompatibilan sa BIND 8.1.2 ili novijim i podržavati SRV() zapise kao i Dynamic Registration Protocol (RFC 2136). Svaka domena ima barem jedan kontroler domene koji hostuje centralnu bazu podataka.

drveće - To su strukture sa više domena. Koren ove strukture je glavna domena za koju kreirate podređene domene. U stvari, Active Directory koristi hijerarhijsku strukturu sličnu strukturi domena u DNS-u.

Ako imamo domenu work.com (domen prvog nivoa) i kreiramo dvije podređene domene za nju first.work.com i second.work.com (ovdje su prva i druga domena drugog nivoa, a ne računar u domeni , kao u gore opisanom slučaju), završavamo sa stablom domena.

Stabla kao logička struktura koriste se kada je potrebno podijeliti grane kompanije, na primjer, po geografiji ili iz nekih drugih organizacijskih razloga.

AD pomaže da se automatski kreiraju odnosi povjerenja između svake domene i njenih podređenih domena.

Dakle, kreiranje domena first.work.com dovodi do automatskog uspostavljanja dvosmjernog odnosa povjerenja između nadređenog work.com i djeteta first.work.com (slično za second.work.com). Stoga se dozvole mogu primijeniti s nadređene domene na dijete i obrnuto. Nije teško pretpostaviti da će odnosi povjerenja postojati i za podređene domene.

Još jedno svojstvo odnosa povjerenja je tranzitivnost. Dobijamo da se stvara odnos povjerenja za domen net.first.work.com sa domenom work.com.

šuma - Baš kao i drveće, ona su strukture sa više domena. Ali šuma je unija stabala koja imaju različite korijenske domene.

Pretpostavimo da odlučite imati više domena pod nazivom work.com i home.net i kreirate podređene domene za njih, ali pošto tld (domen najvišeg nivoa) nije pod vašom kontrolom, u ovom slučaju možete organizirati šumu odabirom jednog od korijenski domeni prvog nivoa. Ljepota stvaranja šume u ovom slučaju je dvosmjerni odnos povjerenja između ova dva domena i njihovih podređenih domena.

Međutim, kada radite sa šumama i drvećem, morate zapamtiti sljedeće:

• ne možete dodati postojeću domenu stablu
• Ne možete uključiti postojeće drvo u šumu
• Jednom kada su domeni postavljeni u šumu, ne mogu se premjestiti u drugu šumu
• ne možete izbrisati domenu koja ima podređene domene

Organizacione jedinice - U principu, mogu se nazvati poddomeni. omogućavaju vam da grupišete korisničke naloge, korisničke grupe, računare, deljene resurse, štampače i druge OU (Organizacione jedinice) u domenu. Praktična korist od njihove upotrebe je mogućnost delegiranja prava za upravljanje ovim jedinicama.

Jednostavno rečeno, možete imenovati administratora u domenu koji može upravljati OU, ali nema prava da administrira cijeli domen.

Važna karakteristika OU-ova, za razliku od grupa, je mogućnost primjene grupnih politika na njih. “Zašto ne možete podijeliti originalnu domenu na više domena umjesto da koristite OU?” - pitate.

Mnogi stručnjaci savjetuju da imate jednu domenu ako je moguće. Razlog tome je decentralizacija administracije prilikom kreiranja dodatnog domena, budući da administratori svakog takvog domena dobijaju neograničenu kontrolu (podsjećam da prilikom delegiranja prava na OU administratore možete ograničiti njihovu funkcionalnost).

Pored ovoga, da biste kreirali novu domenu (čak i podređenu) trebat će vam još jedan kontroler. Ako imate dva odvojena odjela povezana sporim komunikacijskim kanalom, mogu se pojaviti problemi s replikacijom. U ovom slučaju bi bilo prikladnije imati dvije domene.

Postoji i još jedna nijansa korištenja grupnih politika: politike koje definiraju postavke lozinke i zaključavanje naloga mogu se primijeniti samo na domene. Za OU, ove postavke politike se zanemaruju.

web stranice - Ovo je način da se fizički odvoji usluga imenika. Po definiciji, sajt je grupa računara povezanih brzim kanalima za prenos podataka.

Ako imate nekoliko poslovnica u različitim dijelovima zemlje, povezanih brzim komunikacijskim linijama, tada za svaku poslovnicu možete kreirati vlastitu web stranicu. Ovo se radi kako bi se povećala pouzdanost replikacije direktorija.

Ova podjela AD ne utiče na principe logičke konstrukcije, dakle, kao što stranica može sadržavati više domena, i obrnuto, domena može sadržavati više lokacija. Ali postoji kvaka u ovoj topologiji usluge direktorija. Internet se po pravilu koristi za komunikaciju sa filijalama – veoma nesigurno okruženje. Mnoge kompanije koriste sigurnosne mjere kao što su zaštitni zidovi. Usluga imenika u svom radu koristi oko deset i po portova i servisa, čije otvaranje kako bi se omogućilo AD saobraćaju da prođe kroz firewall zapravo će ga izložiti "spolja". Rješenje problema je korištenje tehnologije tuneliranja, kao i prisustvo kontrolera domena na svakoj lokaciji kako bi se ubrzala obrada zahtjeva AD klijenata.

Prikazana je logika ugniježđenja komponenti servisa direktorija. Može se vidjeti da šuma sadrži dva stabla domena, u kojima korijenski domen stabla, zauzvrat, može sadržavati OU i grupe objekata, te također imati podređene domene (u ovom slučaju po jedan za svaki). Podređene domene također mogu sadržavati grupe objekata i OU i imati podređene domene (nije prikazano na slici). I tako dalje. Da vas podsjetim da OU mogu sadržavati OU, objekte i grupe objekata, a grupe mogu sadržavati druge grupe.

Grupe korisnika i računara - se koriste u administrativne svrhe i imaju isto značenje kao kada se koriste na lokalnim strojevima na mreži. Za razliku od OU-ova, grupne politike se ne mogu primijeniti na grupe, ali se upravljanje njima može delegirati. U okviru šeme Active Directory postoje dvije vrste grupa: sigurnosne grupe (koje se koriste za razlikovanje prava pristupa mrežnim objektima) i grupe za distribuciju (koje se uglavnom koriste za distribuciju poruka e-pošte, na primjer, u Microsoft Exchange Serveru).

Dijele se po obimu:

• univerzalne grupe može uključivati ​​korisnike unutar šume, kao i druge univerzalne grupe ili globalne grupe bilo kojeg domena u šumi
• globalne grupe domena može uključivati ​​korisnike domena i druge globalne grupe iste domene
• lokalne grupe domena koristi se za razlikovanje prava pristupa, može uključivati ​​korisnike domena, kao i univerzalne grupe i globalne grupe bilo kojeg domena u šumi
• lokalne kompjuterske grupe– grupe koje sadrže SAM (upravljač sigurnosnim računima) lokalnog stroja. Njihov opseg je ograničen samo na datu mašinu, ali mogu uključivati ​​lokalne grupe domene u kojoj se računar nalazi, kao i univerzalne i globalne grupe svog ili drugog domena u koji veruju. Na primjer, možete uključiti korisnika iz grupe lokalnih korisnika domene u grupu administratora lokalnog stroja, dajući mu na taj način administratorska prava, ali samo za ovaj računar

Active Directory je Microsoftov servis direktorija za Windows NT porodicu operativnih sistema.

Ova usluga omogućava administratorima da koriste grupne politike kako bi osigurali uniformnost postavki radnog okruženja korisnika, instalacija softvera, ažuriranja itd.

Koja je suština Active Directory-a i koje probleme rješava? Čitaj dalje.

Principi organizovanja peer-to-peer i multi-peer mreža

Ali javlja se još jedan problem, šta ako korisnik2 na PC2 odluči promijeniti svoju lozinku? Zatim ako korisnik1 promijeni lozinku naloga, korisnik2 na PC1 neće moći pristupiti resursu.

Drugi primjer: imamo 20 radnih stanica sa 20 naloga kojima želimo da omogućimo pristup određenom .Da bismo to uradili, moramo kreirati 20 naloga na fajl serveru i omogućiti pristup traženom resursu.

Šta ako ih nije 20 nego 200?

Kao što razumijete, mrežna administracija s ovim pristupom pretvara se u apsolutni pakao.

Stoga je pristup radne grupe pogodan za male kancelarijske mreže sa ne više od 10 računara.

Ako postoji više od 10 radnih stanica u mreži, pristup u kojem se jednom mrežnom čvoru delegiraju prava za provođenje autentifikacije i autorizacije postaje racionalno opravdan.

Ovaj čvor je kontroler domene - Active Directory.

Domain Controller

Kontrolor pohranjuje bazu podataka računa, tj. pohranjuje račune i za PC1 i za PC2.

Sada su svi nalozi jednom registrovani na kontroleru, a potreba za lokalnim nalozima postaje besmislena.

Sada, kada se korisnik prijavljuje na PC, unoseći svoje korisničko ime i lozinku, ovi podaci se u privatnom obliku prenose kontroloru domene, koji vrši procedure autentifikacije i autorizacije.

Nakon toga, kontrolor izdaje korisniku koji se prijavio nešto poput pasoša, s kojim naknadno radi na mreži i koji prezentira na zahtjev drugih mrežnih računara, servera na čije resurse želi da se poveže.

Bitan! Kontroler domena je računar sa aktivnim direktorijumom koji kontroliše pristup korisnika mrežnim resursima. Pohranjuje resurse (npr. štampači, dijeljene mape), usluge (npr. e-pošta), ljude (nalozi korisnika i korisničkih grupa), računare (računarski nalozi).

Broj takvih pohranjenih resursa može doseći milione objekata.

Sledeće verzije MS Windows-a mogu da deluju kao kontroler domena: Windows Server 2000/2003/2008/2012 osim Web-izdanja.

Kontroler domena, osim što je centar za autentifikaciju mreže, ujedno je i kontrolni centar za sve računare.

Odmah nakon uključivanja, računar počinje kontaktirati kontrolor domene, mnogo prije nego što se pojavi prozor za autentifikaciju.

Na taj način se autentifikuje ne samo korisnik koji unese login i lozinku, već i klijentski računar.

Instaliranje Active Directory

Pogledajmo primjer instaliranja Active Directory-a na Windows Server 2008 R2. Dakle, da biste instalirali ulogu Active Directory, idite na “Upravitelj servera”:

Dodajte ulogu "Dodaj uloge":

Odaberite ulogu Active Directory Domain Services:

I krenimo sa instalacijom:

Nakon toga dobijamo prozor s obavijesti o instaliranoj ulozi:

Nakon instaliranja uloge kontrolera domene, idemo na instalaciju samog kontrolera.

Kliknite “Start” u polju za pretraživanje programa, unesite naziv čarobnjaka DCPromo, pokrenite ga i označite okvir za napredne postavke instalacije:

Kliknite “Dalje” i odaberite kreiranje nove domene i šume od ponuđenih opcija.

Unesite naziv domene, na primjer, example.net.

Pišemo NetBIOS naziv domene, bez zone:

Odaberite funkcionalni nivo naše domene:

Zbog specifičnosti funkcionisanja domenskog kontrolera, instaliramo i DNS server.

Lokacije baze podataka, datoteke dnevnika i sistemskog volumena ostaju nepromijenjene:

Unesite lozinku administratora domene:

Provjeravamo ispravnost popunjavanja i ako je sve u redu, kliknemo “Dalje”.

Nakon toga će započeti proces instalacije, na kraju kojeg će se pojaviti prozor koji vas obavještava da je instalacija uspjela:

Uvod u Active Directory

Izveštaj govori o dve vrste računarskih mreža koje se mogu kreirati korišćenjem Microsoft operativnih sistema: radna grupa i domen Active Directory.

Active Directory pruža usluge upravljanja sistemima. Oni su mnogo bolja alternativa lokalnim grupama i omogućavaju vam da kreirate računarske mreže sa efikasnim upravljanjem i pouzdanom zaštitom podataka.

Ako se ranije niste susreli s konceptom Active Directory i ne znate kako takvi servisi funkcioniraju, ovaj članak je za vas. Hajde da shvatimo šta ovaj koncept znači, koje su prednosti takvih baza podataka i kako ih kreirati i konfigurisati za početnu upotrebu.

Active Directory je vrlo zgodan način upravljanja sistemom. Koristeći Active Directory, možete efikasno upravljati svojim podacima.

Ove usluge vam omogućavaju da kreirate jednu bazu podataka kojom upravljaju kontrolori domena. Ako posjedujete posao, upravljate uredom ili općenito kontrolirate aktivnosti mnogih ljudi koji se trebaju ujediniti, takav domen će vam biti od koristi.

Uključuje sve objekte - računare, štampače, faksove, korisničke naloge itd. Zbir domena na kojima se nalaze podaci naziva se „šuma“. Active Directory baza podataka je domensko okruženje u kojem broj objekata može biti do 2 milijarde. Možete li zamisliti ove razmjere?

Odnosno, uz pomoć takve „šume“ ili baze podataka možete povezati veliki broj zaposlenih i opreme u kancelariji, a da ne budete vezani za lokaciju – u servise se mogu povezati i drugi korisnici, npr. iz kancelarije kompanije u drugom gradu.

Osim toga, u okviru servisa Active Directory kreira se i kombinuje nekoliko domena – što je kompanija veća, potrebno je više alata za kontrolu njene opreme unutar baze podataka.

Dalje, kada se stvori takva mreža, određuje se jedna kontrolna domena, pa čak i uz naknadno prisustvo drugih domena, originalna i dalje ostaje „nadređena“ - odnosno samo ona ima potpun pristup upravljanju informacijama.

Gdje se ti podaci pohranjuju i šta osigurava postojanje domena? Za kreiranje Active Directory koriste se kontroleri. Obično ih ima dva - ako se jednom nešto dogodi, informacija će biti sačuvana na drugom kontroleru.

Druga opcija za korišćenje baze podataka je ako, na primer, vaša kompanija sarađuje sa drugom, a vi morate da završite zajednički projekat. U ovom slučaju, neovlašćenim osobama može biti potreban pristup datotekama domena, a ovdje možete postaviti neku vrstu „odnosa“ između dvije različite „šume“, omogućavajući pristup traženim informacijama bez rizika po sigurnost preostalih podataka.

Općenito, Active Directory je alat za kreiranje baze podataka unutar određene strukture, bez obzira na njenu veličinu. Korisnici i sva oprema su ujedinjeni u jednu „šumu“, kreiraju se domeni i postavljaju na kontrolere.

Takođe je preporučljivo pojasniti da usluge mogu raditi samo na uređajima sa Windows serverskim sistemima. Pored toga, na kontrolerima se kreiraju 3-4 DNS servera. Oni opslužuju glavnu zonu domene, a ako jedan od njih pokvari, drugi serveri ga zamjenjuju.

Nakon kratkog pregleda Active Directory for Dummies, prirodno vas zanima pitanje - zašto mijenjati lokalnu grupu za cijelu bazu podataka? Naravno, polje mogućnosti ovdje je višestruko šire, a da bismo saznali druge razlike između ovih servisa za upravljanje sistemom, pogledajmo bliže njihove prednosti.

Prednosti Active Directory

Prednosti Active Directory-a su:

1. Korištenje jednog resursa za autentifikaciju. U ovoj situaciji, potrebno je da na svakom računaru dodate sve naloge koji zahtevaju pristup opštim informacijama. Što više korisnika i opreme ima, to je teže uskladiti ove podatke između njih.

I tako, kada koristite usluge sa bazom podataka, nalozi se pohranjuju u jednoj tački, a promjene stupaju na snagu odmah na svim računarima.

Kako radi? Svaki zaposleni, koji dolazi u kancelariju, pokreće sistem i prijavljuje se na svoj nalog. Zahtjev za prijavu će automatski biti dostavljen serveru i autentifikacija će se odvijati preko njega.

Što se tiče određenog redoslijeda u vođenju evidencije, uvijek možete podijeliti korisnike u grupe – “HR odjel” ili “Računovodstvo”.

U ovom slučaju je još lakše omogućiti pristup informacijama - ako trebate otvoriti mapu za zaposlenike iz jednog odjela, to činite preko baze podataka. Zajedno dobijaju pristup potrebnoj fascikli sa podacima, dok za druge dokumenti ostaju zatvoreni.

1. Kontrola nad svakim učesnikom baze podataka.

Ako je u lokalnoj grupi svaki član nezavisan i teško ga je kontrolisati sa drugog računara, onda u domenima možete postaviti određena pravila koja su u skladu sa politikom kompanije.

Kao administrator sistema, možete postaviti postavke pristupa i sigurnosne postavke, a zatim ih primijeniti na svaku korisničku grupu. Naravno, u zavisnosti od hijerarhije, nekim grupama se mogu dati strožija podešavanja, dok se drugima može dati pristup drugim fajlovima i radnjama u sistemu.

Osim toga, kada se nova osoba pridruži kompaniji, njegov računar će odmah dobiti potreban set postavki, koji uključuje komponente za rad.

1. Svestranost u instalaciji softvera.

Govoreći o komponentama, koristeći Active Directory možete dodijeliti štampače, instalirati potrebne programe za sve zaposlene odjednom i postaviti postavke privatnosti. Generalno, kreiranje baze podataka će značajno optimizirati rad, pratiti sigurnost i ujediniti korisnike za maksimalnu efikasnost rada.

A ako kompanija upravlja posebnim uslužnim programom ili posebnim uslugama, oni se mogu sinkronizirati s domenama i pojednostaviti im pristup. Kako? Ako kombinujete sve proizvode koji se koriste u kompaniji, zaposlenik neće morati da unosi različite login i lozinke za ulazak u svaki program - ove informacije će biti uobičajene.

Sada kada su prednosti i značenje korištenja Active Directory-a postali jasni, pogledajmo proces instaliranja ovih usluga.

Koristimo bazu podataka na Windows Server 2012

Instalacija i konfiguracija Active Directory-a nije težak zadatak, a također je lakši nego što se čini na prvi pogled.

Da biste učitali usluge, prvo morate učiniti sljedeće:

1. Promijenite ime računala: kliknite na “Start”, otvorite Control Panel, odaberite “System”. Odaberite “Promijeni postavke” i u Svojstvima, nasuprot linije “Naziv računara”, kliknite na “Promijeni”, unesite novu vrijednost za glavni računar.
2. Ponovo pokrenite računar po potrebi.
3. Postavite mrežne postavke ovako:
   • Preko kontrolne table otvorite meni sa mrežama i deljenjem.
   • Podesite postavke adaptera. Kliknite desnim tasterom miša na “Properties” i otvorite karticu “Network”.
   • U prozoru sa liste kliknite na Internet protokol broj 4, ponovo kliknite na “Svojstva”.
   • Unesite potrebna podešavanja, na primjer: IP adresa - 192.168.10.252, maska ​​podmreže - 255.255.255.0, glavni gateway - 192.168.10.1.
   • U liniji „Preferirani DNS server” navedite adresu lokalnog servera, u „Alternativno...” - druge adrese DNS servera.
   • Sačuvajte promjene i zatvorite prozore.

Postavite uloge Active Directory ovako:

1. Kroz Start otvorite Server Manager.
2. Iz izbornika odaberite Dodaj uloge i značajke.
3. Čarobnjak će se pokrenuti, ali možete preskočiti prvi prozor s opisom.
4. Provjerite liniju "Instaliranje uloga i komponenti", nastavite dalje.
5. Odaberite svoj računar da instalirate Active Directory na njega.
6. Sa liste odaberite ulogu koju treba učitati - u vašem slučaju to je “Active Directory Domain Services”.
7. Pojavit će se mali prozor u kojem se od vas traži da preuzmete komponente potrebne za usluge - prihvatite to.
8. Tada će se od vas tražiti da instalirate druge komponente - ako vam nisu potrebne, samo preskočite ovaj korak klikom na "Dalje".
9. Čarobnjak za podešavanje će prikazati prozor sa opisima usluga koje instalirate - pročitajte i nastavite dalje.
10. Pojavit će se lista komponenti koje ćemo instalirati - provjerite da li je sve ispravno i ako jeste, pritisnite odgovarajuće dugme.
11. Kada se proces završi, zatvorite prozor.
12. To je to - usluge se preuzimaju na vaš računar.

Postavljanje Active Directory

Da konfigurišete uslugu domene potrebno je da uradite sledeće:

• Pokrenite čarobnjak za podešavanje istog imena.
• Kliknite na žuti pokazivač na vrhu prozora i odaberite "Promoviraj server u kontroler domene".
• Kliknite na dodaj novu šumu i kreirajte ime za korijensku domenu, a zatim kliknite na Next.
• Navedite režime rada „šume“ i domene - najčešće se poklapaju.
• Napravite lozinku, ali je svakako zapamtite. Nastavite dalje.
• Nakon toga, možda ćete vidjeti upozorenje da domena nije delegirana i upit za provjeru naziva domene - možete preskočiti ove korake.
• U sljedećem prozoru možete promijeniti putanju do direktorija baze podataka - učinite to ako vam ne odgovaraju.
• Sada ćete vidjeti sve opcije koje ćete postaviti - provjerite da li ste ih ispravno odabrali i nastavite dalje.
• Aplikacija će provjeriti da li su preduslovi ispunjeni, a ako nema komentara ili nisu kritični, kliknite na “Instaliraj”.
• Nakon što se instalacija završi, računar će se sam ponovo pokrenuti.

Možda se pitate i kako dodati korisnika u bazu podataka. Da biste to uradili, koristite meni "Active Directory Users or Computers", koji ćete pronaći u odeljku "Administracija" na kontrolnoj tabli, ili koristite meni za podešavanja baze podataka.

Da biste dodali novog korisnika, kliknite desnim tasterom miša na ime domene, izaberite “Kreiraj”, a zatim “Division”. Ispred vas će se pojaviti prozor u koji treba da unesete naziv novog odeljenja – on služi kao fascikla u kojoj možete prikupljati korisnike iz različitih odeljenja. Na isti način ćete kasnije kreirati još nekoliko divizija i pravilno rasporediti sve zaposlene.

Zatim, kada ste kreirali naziv odjela, kliknite desnim gumbom miša na njega i odaberite “Kreiraj”, a zatim “Korisnik”. Sada ostaje samo da unesete potrebne podatke i podesite postavke pristupa za korisnika.

Kada se kreira novi profil, kliknite na njega odabirom kontekstnog menija i otvorite “Svojstva”. Na kartici "Račun" uklonite potvrdni okvir pored "Blokiraj...". To je sve.

Opšti zaključak je da je Active Directory moćan i koristan alat za upravljanje sistemom koji će pomoći da se svi računari zaposlenih ujedine u jedan tim. Koristeći usluge, možete kreirati sigurnu bazu podataka i značajno optimizirati rad i sinhronizaciju informacija između svih korisnika. Ako je vaša kompanija ili bilo koje drugo poslovno mjesto povezano s elektronskim računarima i mrežama, trebate konsolidirati račune i pratiti rad i povjerljivost, instalacija baze podataka zasnovana na Active Directory-u će biti odlično rješenje.

Svaki početnik, suočen sa skraćenicom AD, pita se šta je Active Directory? Active Directory je usluga imenika koju je razvio Microsoft za mreže Windows domena. Uključeno u većinu Windows Server operativnih sistema kao skup procesa i usluga. U početku se servis bavio samo domenima. Međutim, počevši od Windows Servera 2008, AD je postao naziv za širok spektar usluga identiteta zasnovanih na direktorijumu. Ovo čini Active Directory za početnike boljim iskustvom učenja.

Osnovna definicija

Server koji pokreće usluge imenika domena Active Directory naziva se kontroler domene. On provjerava autentičnost i ovlasti sve korisnike i računare u Windows mrežnom domenu, dodjeljujući i primjenjujući sigurnosne politike za sve PC računare, te instalirajući ili ažurirajući softver. Na primjer, kada se korisnik prijavi na računar koji je spojen na Windows domenu, Active Directory provjerava datu lozinku i utvrđuje da li je subjekt administrator sistema ili standardni korisnik. Takođe omogućava upravljanje i skladištenje informacija, obezbeđuje mehanizme autentikacije i autorizacije i uspostavlja okvir za primenu drugih povezanih usluga: servisa sertifikata, federalnih i lakih usluga imenika i upravljanja pravima.

Active Directory koristi LDAP verzije 2 i 3, Microsoftovu verziju Kerberosa i DNS.

Active Directory - šta je to? Jednostavnim riječima o kompleksu

Nadgledanje mrežnih podataka je zadatak koji oduzima mnogo vremena. Čak i na malim mrežama, korisnici obično imaju poteškoća da pronađu mrežne datoteke i štampače. Bez neke vrste imenika, srednje i velike mreže se ne mogu upravljati i često se suočavaju sa poteškoćama u pronalaženju resursa.

Prethodne verzije Microsoft Windows-a su uključivale usluge koje su korisnicima i administratorima pomogle da pronađu informacije. Network Neighborhood je koristan u mnogim okruženjima, ali očigledan nedostatak je nezgrapno sučelje i njegova nepredvidljivost. WINS Manager i Server Manager se mogu koristiti za pregled liste sistema, ali nisu bili dostupni krajnjim korisnicima. Administratori su koristili User Manager za dodavanje i uklanjanje podataka iz potpuno drugačijeg tipa mrežnog objekta. Utvrđeno je da su ove aplikacije neefikasne za velike mreže i postavile su pitanje zašto je kompanijama potreban Active Directory?

Direktorij, u najopštijem smislu, je potpuna lista objekata. Telefonski imenik je vrsta imenika koji pohranjuje informacije o ljudima, preduzećima i vladinim organizacijama iObično bilježe imena, adrese i brojeve telefona. Pitam se Active Directory - što je to, jednostavnim riječima možemo reći da je ova tehnologija slična direktoriju, ali je mnogo fleksibilnija. AD pohranjuje informacije o organizacijama, lokacijama, sistemima, korisnicima, dionicama i bilo kojem drugom mrežnom entitetu.

Uvod u koncepte Active Directory

Zašto je organizaciji potreban Active Directory? Kao što je spomenuto u uvodu u Active Directory, usluga pohranjuje informacije o mrežnim komponentama. Vodič za Active Directory za početnike to objašnjava Omogućava klijentima da pronađu objekte u svom imenskom prostoru. Ovaj t Termin (koji se naziva i stablo konzole) odnosi se na područje u kojem se mrežna komponenta može nalaziti. Na primjer, sadržaj knjige stvara prostor imena u kojem se poglavlja mogu dodijeliti brojevima stranica.

DNS je stablo konzole koje razrješava imena hostova u IP adrese, kao nprTelefonski imenici pružaju prostor imena za rješavanje imena za telefonske brojeve. Kako se to događa u Active Directoryju? AD pruža stablo konzole za rješavanje imena mrežnih objekata na same objekte imože riješiti širok raspon entiteta, uključujući korisnike, sisteme i usluge na mreži.

Objekti i atributi

Sve što Active Directory prati smatra se objektom. Jednostavnim riječima možemo reći da je ovo u Active Directory je bilo koji korisnik, sistem, resurs ili usluga. Uobičajeni termin objekt se koristi jer AD može pratiti mnoge elemente, a mnogi objekti mogu dijeliti zajedničke atribute. Šta to znači?

Atributi opisuju objekte u Active Directoryju, na primjer, svi korisnički objekti dijele atribute za pohranjivanje korisničkog imena. Ovo se odnosi i na njihove opise. Sistemi su također objekti, ali imaju poseban skup atributa koji uključuju ime hosta, IP adresu i lokaciju.

Skup atributa dostupnih za bilo koji određeni tip objekta naziva se šema. To čini klase objekata različitim jedna od druge. Informacije o šemi su zapravo pohranjene u Active Directory. Da je ovo ponašanje sigurnosnog protokola veoma važno pokazuje činjenica da dizajn dozvoljava administratorima da dodaju atribute klasama objekata i distribuiraju ih širom mreže u sve kutove domene bez ponovnog pokretanja kontrolera domene.

LDAP kontejner i naziv

Kontejner je poseban tip objekta koji se koristi za organizaciju rada usluge. Ne predstavlja fizički entitet kao što je korisnik ili sistem. Umjesto toga, koristi se za grupisanje drugih elemenata. Objekti kontejnera mogu biti ugniježđeni unutar drugih kontejnera.

Svaki element u AD ima ime. To nisu oni na koje ste navikli, na primjer, Ivan ili Olga. Ovo su LDAP prepoznatljiva imena. LDAP različita imena su složena, ali vam omogućavaju da jedinstveno identificirate bilo koji objekt unutar direktorija, bez obzira na njegov tip.

Stablo pojmova i web stranica

Stablo pojmova se koristi za opisivanje skupa objekata u Active Directoryju. Šta je ovo? Jednostavnim riječima, ovo se može objasniti pomoću asocijacije stabla. Kada su kontejneri i objekti hijerarhijski kombinovani, oni imaju tendenciju da formiraju grane - otuda i naziv. Srodni termin je kontinuirano podstablo, koje se odnosi na neprekinuto glavno deblo drveta.

Nastavljajući metaforu, izraz "šuma" opisuje kolekciju koja nije dio istog imenskog prostora, ali dijeli zajedničku shemu, konfiguraciju i globalni direktorij. Objekti u ovim strukturama dostupni su svim korisnicima ako to sigurnost dozvoljava. Organizacije podijeljene u više domena treba da grupišu stabla u jednu šumu.

Stranica je geografska lokacija definirana u Active Directoryju. Lokacije odgovaraju logičkim IP podmrežama i, kao takve, mogu ih koristiti aplikacije za pronalaženje najbližeg servera na mreži. Korištenje informacija o lokaciji iz Active Directory može značajno smanjiti promet na WAN-ovima.

Active Directory Management

Dodatna komponenta korisnika Active Directory. Ovo je najpogodniji alat za administriranje Active Directory-a. Direktno mu se pristupa iz programske grupe Administrativni alati u meniju Start. On zamjenjuje i poboljšava Server Manager i User Manager iz Windows NT 4.0.

Sigurnost

Active Directory igra važnu ulogu u budućnosti Windows mreža. Administratori moraju biti u mogućnosti da zaštite svoj direktorij od napadača i korisnika dok delegiraju zadatke drugim administratorima. Sve je to moguće korištenjem sigurnosnog modela Active Directory, koji povezuje listu kontrole pristupa (ACL) sa svakim atributom kontejnera i objekta u direktoriju.

Visok nivo kontrole omogućava administratoru da pojedinačnim korisnicima i grupama dodeli različite nivoe dozvola za objekte i njihova svojstva. Oni čak mogu dodati atribute objektima i sakriti te atribute od određenih grupa korisnika. Na primjer, možete postaviti ACL tako da samo menadžeri mogu vidjeti kućne telefone drugih korisnika.

Delegirana administracija

Koncept nov za Windows 2000 Server je delegirana administracija. Ovo vam omogućava da dodijelite zadatke drugim korisnicima bez dodjele dodatnih prava pristupa. Delegirana administracija se može dodijeliti kroz specifične objekte ili susjedna podstabla direktorija. Ovo je mnogo efikasniji metod davanja ovlašćenja preko mreža.

IN mjesto gdje su nekome dodijeljena sva globalna administratorska prava domene, korisniku se mogu dati dozvole samo unutar određenog podstabla. Active Directory podržava nasljeđivanje, tako da svi novi objekti nasljeđuju ACL svog kontejnera.

Izraz "povjerljivi odnos"

Termin "povjerljivi odnos" se još uvijek koristi, ali ima drugačiju funkcionalnost. Ne postoji razlika između jednosmjernih i dvosmjernih trustova. Na kraju krajeva, svi odnosi povjerenja Active Directory su dvosmjerni. Štaviše, svi su tranzitivni. Dakle, ako domen A vjeruje domeni B, a B vjeruje C, tada postoji automatski implicitni odnos povjerenja između domene A i domene C.

Revizija u Active Directory - šta je to jednostavnim riječima? Ovo je sigurnosna funkcija koja vam omogućava da odredite ko pokušava pristupiti objektima i koliko je taj pokušaj uspješan.

Korištenje DNS-a (sistema imena domena)

Sistem, inače poznat kao DNS, neophodan je za svaku organizaciju koja je povezana na Internet. DNS omogućava razlučivanje imena između uobičajenih imena, kao što je mspress.microsoft.com, i sirovih IP adresa, koje komponente mrežnog sloja koriste za komunikaciju.

Active Directory u velikoj mjeri koristi DNS tehnologiju za traženje objekata. Ovo je značajna promjena u odnosu na prethodne Windows operativne sisteme, koji zahtijevaju da se NetBIOS imena rješavaju IP adresama i oslanjaju na WINS ili druge tehnike rješavanja NetBIOS imena.

Active Directory najbolje radi kada se koristi sa DNS serverima koji rade pod Windowsom 2000. Microsoft je olakšao administratorima migraciju na DNS servere zasnovane na Windows 2000 tako što je obezbedio čarobnjake za migraciju koji vode administratora kroz proces.

Mogu se koristiti i drugi DNS serveri. Međutim, ovo će zahtijevati od administratora da provedu više vremena u upravljanju DNS bazama podataka. Koje su nijanse? Ako odlučite da ne koristite DNS servere koji rade pod operativnim sistemom Windows 2000, morate osigurati da vaši DNS serveri budu u skladu sa novim DNS protokolom za dinamičko ažuriranje. Serveri se oslanjaju na dinamičko ažuriranje svojih zapisa kako bi pronašli kontrolere domena. Nije udobno. Uostalom, eAko dinamičko ažuriranje nije podržano, morate ručno ažurirati baze podataka.

Windows domene i internet domene su sada potpuno kompatibilne. Na primjer, ime kao što je mspress.microsoft.com će identificirati Active Directory kontrolere domena odgovorne za domenu, tako da svaki klijent sa DNS pristupom može pronaći kontroler domene.Korisnici mogu koristiti DNS rezoluciju da traže bilo koji broj usluga jer serveri Active Directory objavljuju listu adresa DNS-u koristeći nove funkcije dinamičkog ažuriranja. Ovi podaci se definiraju kao domena i objavljuju putem zapisa o resursima usluge. SRV RR slijedite format service.protocol.domain.

Serveri Active Directory pružaju LDAP uslugu za hostovanje objekata, a LDAP koristi TCP kao osnovni protokol transportnog sloja. Stoga će klijent koji traži Active Directory server u domeni mspress.microsoft.com potražiti DNS unos za ldap.tcp.mspress.microsoft.com.

Globalni katalog

Active Directory pruža globalni katalog (GC) ipruža jedan izvor za traženje bilo kojeg objekta na mreži organizacije.

Globalni katalog je usluga u Windows 2000 Serveru koja omogućava korisnicima da pronađu bilo koje objekte koji su zajednički. Ova funkcionalnost je daleko bolja od aplikacije Find Computer uključenu u prethodne verzije Windows-a. Na kraju krajeva, korisnici mogu pretraživati ​​bilo koji objekt u Active Directoryju: servere, štampače, korisnike i aplikacije.

Pošto sam dobro upoznat sa malim biznisom iznutra, oduvek su me zanimala sledeća pitanja. Objasnite zašto bi zaposleni trebao koristiti pretraživač koji se sviđa administratoru sistema na svom radnom računaru? Ili uzmite bilo koji drugi softver, na primjer, isti arhivator, email klijent, instant messaging klijent... Nežno nagovještavam standardizaciju, i to ne na osnovu lične simpatije sistem administratora, već na osnovu dovoljnosti funkcionalnosti , troškovi održavanja i podrške ovih softverskih proizvoda. Počnimo da IT posmatramo kao egzaktnu nauku, a ne kao zanat, kada svako radi kako hoće. Opet, ima i dosta problema s tim u malim preduzećima. Zamislite da kompanija u teškom kriznom vremenu promijeni nekoliko ovih administratora, šta bi jadni korisnici trebali učiniti u takvoj situaciji? Stalno prekvalifikacija?

Pogledajmo s druge strane. Svaki menadžer treba da razume šta se trenutno dešava u njegovoj kompaniji (uključujući i IT). Ovo je neophodno za praćenje trenutne situacije i pravovremeno reagovanje na pojavu različitih vrsta problema. Ali ovo razumijevanje je važnije za strateško planiranje. Uostalom, sa jakim i pouzdanim temeljima, možemo izgraditi kuću sa 3 ili 5 spratova, napraviti krov različitih oblika, napraviti balkone ili zimsku baštu. Slično tome, u IT-u imamo pouzdanu osnovu – možemo dalje koristiti složenije proizvode i tehnologije za rješavanje poslovnih problema.

Prvi članak će govoriti o takvoj osnovi - uslugama Active Directory. Dizajnirani su da postanu jak temelj za IT infrastrukturu kompanije bilo koje veličine i bilo koje oblasti aktivnosti. Šta je to? Pa hajde da pričamo o ovome...

Započnimo razgovor jednostavnim konceptima - domena i usluge Active Directory.

Domain je osnovna administrativna jedinica u mrežnoj infrastrukturi preduzeća, koja uključuje sve mrežne objekte kao što su korisnici, računari, štampači, dionici i još mnogo toga. Kolekcija takvih domena naziva se šuma.

Usluge aktivnog imenika (Active Directory Services) su distribuirana baza podataka koja sadrži sve objekte domene. Okruženje domene Active Directory pruža jedinstvenu tačku provjere autentičnosti i autorizacije za korisnike i aplikacije širom poduzeća. Upravo organizacijom domene i implementacijom Active Directory servisa počinje izgradnja IT infrastrukture preduzeća.

Active Directory baza podataka pohranjena je na namjenskim serverima – kontrolerima domena. Active Directory Services je uloga operativnih sistema Microsoft Windows Server servera. Usluge Active Directory su vrlo skalabilne. Više od 2 milijarde objekata može biti kreirano u šumi Active Directory, što omogućava implementaciju usluge imenika u kompanijama sa stotinama hiljada računara i korisnika. Hijerarhijska struktura domena omogućava vam da fleksibilno proširite IT infrastrukturu na sve filijale i regionalne divizije kompanija. Za svaku filijalu ili podjelu kompanije može se kreirati poseban domen, sa svojim politikama, svojim korisnicima i grupama. Za svaki podređeni domen, administrativno ovlaštenje se može delegirati lokalnim sistemskim administratorima. Istovremeno, domeni djece su i dalje podređeni svojim roditeljima.

Dodatno, usluge Active Directory vam omogućavaju da konfigurišete odnose poverenja između šuma domena. Svaka kompanija ima svoju šumu domena, svaka sa svojim resursima. Ali ponekad morate omogućiti pristup vašim korporativnim resursima zaposlenima druge kompanije - radeći sa zajedničkim dokumentima i aplikacijama kao dio zajedničkog projekta. Da bi se to postiglo, mogu se uspostaviti odnosi povjerenja između organizacionih šuma, što će omogućiti zaposlenicima jedne organizacije da se prijave na domenu druge.

Da biste osigurali toleranciju grešaka za usluge Active Directory, morate primijeniti dva ili više kontrolera domena u svakoj domeni. Sve promjene se automatski repliciraju između kontrolera domena. Ako jedan od kontrolera domene pokvari, to ne utiče na funkcionalnost mreže, jer preostali nastavljaju da rade. Dodatni nivo otpornosti je obezbeđen postavljanjem DNS servera na kontrolere domena u Active Directory, što omogućava svakoj domeni da ima više DNS servera koji opslužuju primarnu zonu domena. A ako jedan od DNS servera pokvari, ostali će nastaviti da rade. O ulozi i značaju DNS servera u IT infrastrukturi govorićemo u jednom od članaka iz serije.

Ali ovo su sve tehnički aspekti implementacije i održavanja Active Directory usluga. Hajde da razgovaramo o prednostima koje kompanija dobija udaljavanjem od peer-to-peer umrežavanja i korišćenjem radnih grupa.

1. Jedna tačka autentifikacije

U radnoj grupi, na svakom računaru ili serveru, moraćete ručno da dodate kompletnu listu korisnika kojima je potreban pristup mreži. Ako iznenada neko od zaposlenih poželi da promeni svoju lozinku, onda će je morati da se promeni na svim računarima i serverima. Dobro je ako se mreža sastoji od 10 računara, ali šta ako ih ima više? Kada koristite Active Directory domen, svi korisnički nalozi se pohranjuju u jednu bazu podataka i svi računari traže autorizaciju u njoj. Svi korisnici domena uključeni su u odgovarajuće grupe, na primjer, „Računovodstvo“, „Odsek za finansije“. Dovoljno je jednom postaviti dozvole za određene grupe i svi korisnici će imati odgovarajući pristup dokumentima i aplikacijama. Ako se u kompaniju pridruži novi zaposlenik, za njega se kreira nalog koji je uključen u odgovarajuću grupu - zaposlenik dobija pristup svim mrežnim resursima kojima treba da mu bude dozvoljen pristup. Ako zaposlenik da otkaz, samo ga blokirajte i on će odmah izgubiti pristup svim resursima (računarima, dokumentima, aplikacijama).

2. Jedinstvena tačka upravljanja politikom

U radnoj grupi svi računari imaju jednaka prava. Nijedan od računara ne može kontrolisati drugi; nemoguće je pratiti usklađenost sa jedinstvenim politikama i sigurnosnim pravilima. Kada se koristi jedan Active Directory, svi korisnici i računari su hijerarhijski raspoređeni po organizacijskim jedinicama, od kojih svaka podliježe istim grupnim politikama. Politike vam omogućavaju da postavite jedinstvene postavke i sigurnosne postavke za grupu računara i korisnika. Kada se novi računar ili korisnik doda na domenu, on automatski prima postavke koje su u skladu sa prihvaćenim korporativnim standardima. Koristeći smernice, možete centralno dodeliti mrežne štampače korisnicima, instalirati potrebne aplikacije, postaviti bezbednosne postavke pretraživača i konfigurisati Microsoft Office aplikacije.

3. Povećani nivo sigurnosti informacija

Korišćenje servisa Active Directory značajno povećava nivo bezbednosti mreže. Prvo, to je jedinstvena i sigurna pohrana naloga. U okruženju domene, sve korisničke lozinke domena pohranjene su na namjenskim serverima kontrolera domena, koji su obično zaštićeni od vanjskog pristupa. Drugo, kada se koristi okruženje domene, za autentifikaciju se koristi Kerberos protokol, koji je mnogo sigurniji od NTLM-a koji se koristi u radnim grupama.

4. Integracija sa korporativnim aplikacijama i opremom

Velika prednost Active Directory usluga je usklađenost sa LDAP standardom, koji podržavaju i drugi sistemi, na primjer, mail serveri (Exchange Server), proxy serveri (ISA Server, TMG). I to nisu nužno samo Microsoftovi proizvodi. Prednost takve integracije je u tome što korisnik ne mora pamtiti veliki broj prijava i lozinki da bi pristupio određenoj aplikaciji; u svim aplikacijama korisnik ima iste vjerodajnice - njegova autentifikacija se događa u jednom Active Directoryju. Windows Server obezbeđuje RADIUS protokol za integraciju sa Active Directory-om, koji je podržan od strane velikog broja mrežne opreme. Tako je moguće, na primjer, osigurati autentifikaciju korisnika domena pri povezivanju putem VPN-a izvana, ili korištenje Wi-Fi pristupnih tačaka u kompaniji.

5. Objedinjena pohrana konfiguracije aplikacije

Neke aplikacije pohranjuju svoju konfiguraciju u Active Directory, kao što je Exchange Server. Implementacija usluge imenika Active Directory je preduslov za rad ovih aplikacija. Pohranjivanje konfiguracije aplikacije u servisu imenika nudi prednosti fleksibilnosti i pouzdanosti. Na primjer, u slučaju potpunog kvara Exchange servera, njegova cjelokupna konfiguracija će ostati netaknuta. Da biste vratili funkcionalnost korporativne pošte, biće dovoljno da ponovo instalirate Exchange Server u režimu oporavka.

Da rezimiram, želio bih još jednom naglasiti da su usluge Active Directory srce IT infrastrukture poduzeća. U slučaju kvara cela mreža, svi serveri i rad svih korisnika biće paralizovani. Niko se neće moći prijaviti na računar ili pristupiti svojim dokumentima i aplikacijama. Stoga, usluga imenika mora biti pažljivo dizajnirana i implementirana, uzimajući u obzir sve moguće nijanse, na primjer, propusni opseg kanala između filijala ili ureda kompanije (brzina prijavljivanja korisnika na sistem, kao i razmjena podataka između domena). kontrolera, direktno zavisi od toga).