Jak to pomůže Aktivní adresář specialisté?

Zde je malý seznam „dobrot“, které můžete získat nasazením Active Directory:

• registrační databáze jednoho uživatele, která je uložena centrálně na jednom nebo více serverech; Když se tedy v kanceláři objeví nový zaměstnanec, budete mu muset pouze vytvořit účet na serveru a uvést, ke kterým pracovním stanicím má přístup;
• protože všechny zdroje domény jsou indexovány, umožňuje to uživatelům snadno a rychle vyhledávat; například pokud potřebujete najít barevnou tiskárnu v oddělení;
• kombinace použití oprávnění NTFS, skupinových zásad a delegování kontroly vám umožní vyladit a distribuovat práva mezi členy domény;
• roamingové uživatelské profily umožňují ukládat důležité informace a konfigurační nastavení na serveru; ve skutečnosti, pokud si uživatel s roamingovým profilem v doméně sedne k práci na jiném počítači a zadá své uživatelské jméno a heslo, uvidí svou plochu s nastavením, které zná;
• pomocí skupinových zásad můžete změnit nastavení uživatelských operačních systémů, od umožnění uživateli nastavit tapetu na ploše až po nastavení zabezpečení a také distribuovat software po síti, například klienta Volume Shadow Copy atd.;
• Mnoho programů (proxy servery, databázové servery atd.), které dnes nejen vyrábí společnost Microsoft, se dnes naučilo používat doménové ověřování, takže nemusíte vytvářet další uživatelskou databázi, ale můžete použít existující;
• Použití Služeb vzdálené instalace usnadňuje instalaci systémů na pracovní stanice, ale zase funguje pouze v případě, že je implementována adresářová služba.

A toto není úplný seznam možností, ale o tom později. Nyní se vám pokusím sdělit logiku stavby Aktivní adresář, ale opět stojí za to zjistit, z čeho naši kluci jsou Aktivní adresář- jedná se o domény, stromy, lesy, organizační jednotky, skupiny uživatelů a počítačů.

domény – To je základní logická jednotka konstrukce. V porovnání s pracovními skupinami AD domény jsou bezpečnostní skupiny, které mají jedinou registrační základnu, zatímco pracovní skupiny jsou pouze logickým sdružením strojů. AD používá DNS (Domain Name Server) pro pojmenování a vyhledávací služby, spíše než WINS (Windows Internet Name Service), jak tomu bylo v dřívějších verzích NT. Názvy počítačů v doméně tedy vypadají například buh.work.com, kde buh je název počítače v doméně work.com (i když tomu tak není vždy).

Pracovní skupiny používají názvy NetBIOS. Hostovat strukturu domény INZERÁT Je možné použít server DNS jiného výrobce než Microsoft. Musí však být kompatibilní s BIND 8.1.2 nebo vyšší a podporovat záznamy SRV() a také Dynamic Registration Protocol (RFC 2136). Každá doména má alespoň jeden řadič domény, který je hostitelem centrální databáze.

stromy - Jedná se o vícedoménové struktury. Kořen této struktury je hlavní doména, pro kterou vytváříte podřízené domény. Služba Active Directory ve skutečnosti používá hierarchickou strukturu podobnou struktuře domény v DNS.

Pokud máme doménu work.com (doménu první úrovně) a vytvoříme pro ni dvě podřízené domény first.work.com a second.work.com (zde první a druhá jsou domény druhé úrovně, nikoli počítač v doméně , jako ve výše popsaném případě), skončíme u stromu domén.

Stromy jako logická struktura se používají, když potřebujete rozdělit pobočky společnosti například podle geografie nebo z jiných organizačních důvodů.

INZERÁT pomáhá automaticky vytvářet vztahy důvěryhodnosti mezi každou doménou a jejími podřízenými doménami.

Vytvoření domény first.work.com tedy vede k automatickému navázání obousměrného vztahu důvěry mezi nadřazeným work.com a potomkem first.work.com (obdobně pro second.work.com). Oprávnění lze tedy aplikovat z nadřazené domény na podřízenou a naopak. Není těžké předpokládat, že vztahy důvěryhodnosti budou existovat i pro podřízené domény.

Další vlastností vztahů důvěry je tranzitivita. Dostaneme, že je vytvořen vztah důvěryhodnosti pro doménu net.first.work.com s doménou work.com.

Les - Stejně jako stromy jsou to vícedoménové struktury. Ale les je spojení stromů, které mají různé kořenové domény.

Předpokládejme, že se rozhodnete mít více domén pojmenovaných work.com a home.net a vytvoříte pro ně podřízené domény, ale protože tld (doména nejvyšší úrovně) není pod vaší kontrolou, v tomto případě můžete uspořádat doménovou strukturu výběrem jedné z kořenové domény první úrovně. Krása vytvoření doménové struktury v tomto případě spočívá v obousměrném vztahu důvěryhodnosti mezi těmito dvěma doménami a jejich podřízenými doménami.

Při práci s lesy a stromy však musíte pamatovat na následující:

• nemůžete přidat existující doménu do stromu
• Do doménové struktury nemůžete zahrnout existující strom
• Jakmile jsou domény umístěny do doménové struktury, nelze je přesunout do jiné doménové struktury
• nemůžete odstranit doménu, která má podřízené domény

Organizační jednotky - V zásadě je lze nazvat subdomény. umožňují seskupit uživatelské účty, skupiny uživatelů, počítače, sdílené prostředky, tiskárny a další organizační jednotky (organizační jednotky) v doméně. Praktickým přínosem jejich využití je možnost delegování práv na správu těchto jednotek.

Jednoduše řečeno, v doméně můžete jmenovat administrátora, který může spravovat OU, ale nemá práva ke správě celé domény.

Důležitou vlastností organizačních jednotek je na rozdíl od skupin možnost na ně aplikovat skupinové zásady. "Proč nemůžete rozdělit původní doménu na více domén namísto použití organizační jednotky?" - ptáš se.

Mnoho odborníků doporučuje mít pokud možno jednu doménu. Důvodem je decentralizace správy při vytváření další domény, protože správci každé takové domény dostávají neomezenou kontrolu (připomínám, že při delegování práv na správce OU můžete omezit jejich funkčnost).

Kromě toho budete k vytvoření nové domény (i podřízené) potřebovat další řadič. Pokud máte dvě samostatná oddělení propojená pomalým komunikačním kanálem, mohou nastat problémy s replikací. V tomto případě by bylo vhodnější mít dvě domény.

Existuje také další nuance používání zásad skupiny: zásady, které definují nastavení hesel a uzamčení účtů, lze použít pouze na domény. U organizačních jednotek jsou tato nastavení zásad ignorována.

Webové stránky - Toto je způsob, jak fyzicky oddělit adresářovou službu. Podle definice je web skupina počítačů propojených kanálem rychlého přenosu dat.

Pokud máte několik poboček v různých částech republiky, propojených nízkorychlostními komunikačními linkami, můžete si pro každou pobočku vytvořit vlastní web. To se provádí za účelem zvýšení spolehlivosti replikace adresářů.

Toto rozdělení AD nemá vliv na principy logické konstrukce, proto stejně jako web může obsahovat několik domén a naopak doména může obsahovat několik webů. Tato topologie adresářové služby má ale háček. Ke komunikaci s pobočkami se zpravidla používá internet – velmi nezabezpečené prostředí. Mnoho společností používá bezpečnostní opatření, jako jsou firewally. Adresářová služba při své práci využívá asi jeden a půl tuctu portů a služeb, jejichž otevření, aby AD provoz mohl projít firewallem, ji ve skutečnosti odhalí „venku“. Řešením problému je použití technologie tunelování a také přítomnost doménového řadiče v každé lokalitě pro urychlení zpracování požadavků AD klientů.

Je představena logika vnořování komponent adresářové služby. Je vidět, že doménová struktura obsahuje dva stromy domén, ve kterých může kořenová doména stromu naopak obsahovat organizační jednotky a skupiny objektů a také podřízené domény (v tomto případě jednu pro každou). Podřízené domény mohou také obsahovat skupiny objektů a organizační jednotky a mít podřízené domény (na obrázku nejsou zobrazeny). A tak dále. Dovolte mi připomenout, že organizační jednotky mohou obsahovat organizační jednotky, objekty a skupiny objektů a skupiny mohou obsahovat jiné skupiny.

Skupiny uživatelů a počítačů - se používají pro administrativní účely a mají stejný význam jako při použití na místních počítačích v síti. Na rozdíl od organizačních jednotek nelze zásady skupiny aplikovat na skupiny, ale lze jim delegovat správu. V rámci schématu Active Directory existují dva typy skupin: bezpečnostní skupiny (používané k rozlišení přístupových práv k síťovým objektům) a distribuční skupiny (používané zejména pro distribuci e-mailových zpráv např. na Microsoft Exchange Server).

Jsou rozděleny podle rozsahu:

• univerzální skupiny může zahrnovat uživatele v rámci doménové struktury i jiné univerzální skupiny nebo globální skupiny libovolné domény v doménové struktuře
• globální skupiny domén může zahrnovat uživatele domény a další globální skupiny stejné domény
• lokální skupiny domény používá k rozlišení přístupových práv, může zahrnovat uživatele domény, stejně jako univerzální skupiny a globální skupiny libovolné domény v doménové struktuře
• lokální počítačové skupiny– skupiny, které obsahují SAM (správce bezpečnostních účtů) místního počítače. Jejich rozsah je omezen pouze na daný stroj, ale mohou zahrnovat lokální skupiny domény, ve které se počítač nachází, a také univerzální a globální skupiny vlastní domény nebo jiné, které důvěřují. Můžete například zahrnout uživatele z místní skupiny Users domény do skupiny Administrators na místním počítači, čímž mu udělíte práva správce, ale pouze pro tento počítač.

Active Directory je adresářová služba společnosti Microsoft pro operační systémy řady Windows NT.

Tato služba umožňuje správcům používat zásady skupiny k zajištění jednotnosti nastavení uživatelského pracovního prostředí, instalací softwaru, aktualizací atd.

Co je podstatou Active Directory a jaké problémy řeší? Číst dál.

Principy organizace peer-to-peer a multi-peer sítí

Vyvstává ale další problém, co když se uživatel2 na PC2 rozhodne změnit své heslo? Pokud pak uživatel1 změní heslo účtu, uživatel2 na PC1 nebude mít přístup k prostředku.

Jiný příklad: máme 20 pracovních stanic s 20 účty, kterým chceme poskytnout přístup k určitému .K tomu musíme vytvořit 20 účtů na souborovém serveru a poskytnout přístup k požadovanému zdroji.

Co když jich není 20, ale 200?

Jak jistě chápete, správa sítě se s tímto přístupem mění v naprosté peklo.

Proto je přístup pracovní skupiny vhodný pro sítě malých kanceláří s maximálně 10 počítači.

Pokud je v síti více než 10 pracovních stanic, přístup, kdy je jednomu síťovému uzlu delegována práva k provádění autentizace a autorizace, se stává racionálně odůvodněným.

Tento uzel je řadič domény – Active Directory.

Řadič domény

Správce ukládá databázi účtů, tzn. ukládá účty pro PC1 i PC2.

Nyní jsou všechny účty jednou zaregistrovány v ovladači a potřeba lokálních účtů ztrácí smysl.

Nyní, když se uživatel přihlásí do PC a zadá své uživatelské jméno a heslo, jsou tato data přenesena v soukromé podobě do řadiče domény, který provádí autentizační a autorizační procedury.

Poté správce vydá uživateli, který se přihlásil něco jako pas, se kterým následně pracuje v síti a který předkládá na žádost ostatních síťových počítačů, serverů, ke kterým se chce připojit.

Důležité! Řadič domény je počítač se službou Active Directory, který řídí přístup uživatelů k síťovým zdrojům. Ukládá zdroje (např. tiskárny, sdílené složky), služby (např. e-mail), osoby (účty uživatelů a skupin uživatelů), počítače (počítačové účty).

Počet takto uložených zdrojů může dosáhnout milionů objektů.

Jako doménový řadič mohou fungovat následující verze MS Windows: Windows Server 2000/2003/2008/2012 kromě Web-Edition.

Řadič domény, kromě toho, že je ověřovacím centrem pro síť, je také řídicím centrem pro všechny počítače.

Ihned po zapnutí začne počítač kontaktovat doménový řadič, dlouho předtím, než se objeví ověřovací okno.

Ověřuje se tedy nejen uživatel zadávající přihlašovací jméno a heslo, ale také klientský počítač.

Instalace Active Directory

Podívejme se na příklad instalace služby Active Directory v systému Windows Server 2008 R2. Chcete-li tedy nainstalovat roli Active Directory, přejděte do „Správce serveru“:

Přidejte roli „Přidat role“:

Vyberte roli Active Directory Domain Services:

A začneme s instalací:

Poté obdržíme okno s upozorněním o nainstalované roli:

Po instalaci role řadiče domény přistoupíme k instalaci samotného řadiče.

Klikněte na „Start“ v poli pro vyhledávání programu, zadejte název průvodce DCPromo, spusťte jej a zaškrtněte políčko pro pokročilá nastavení instalace:

Klikněte na „Další“ a vyberte z nabízených možností vytvoření nové domény a doménové struktury.

Zadejte název domény, například example.net.

Píšeme název domény NetBIOS, bez zóny:

Vyberte funkční úroveň naší domény:

Vzhledem ke zvláštnostem fungování doménového řadiče instalujeme i DNS server.

Umístění databáze, souboru protokolu a systémového svazku zůstávají nezměněny:

Zadejte heslo správce domény:

Zkontrolujeme správnost vyplnění a pokud je vše v pořádku, klikněte na „Další“.

Poté bude zahájen proces instalace, na jehož konci se zobrazí okno s informací, že instalace proběhla úspěšně:

Úvod do Active Directory

Zpráva pojednává o dvou typech počítačových sítí, které lze vytvořit pomocí operačních systémů Microsoft: pracovní skupina a doména Active Directory.

Služba Active Directory poskytuje služby správy systémů. Jsou mnohem lepší alternativou k místním skupinám a umožňují vytvářet počítačové sítě s efektivní správou a spolehlivou ochranou dat.

Pokud jste se s pojmem Active Directory ještě nesetkali a nevíte, jak takové služby fungují, je tento článek určen právě vám. Pojďme zjistit, co tento koncept znamená, jaké jsou výhody takových databází a jak je vytvořit a nakonfigurovat pro první použití.

Active Directory je velmi pohodlný způsob správy systému. Pomocí Active Directory můžete efektivně spravovat svá data.

Tyto služby umožňují vytvořit jednu databázi spravovanou doménovými řadiči. Pokud vlastníte firmu, řídíte kancelář nebo obecně ovládáte činnost mnoha lidí, kteří se potřebují sjednotit, bude se vám taková doména hodit.

Zahrnuje všechny objekty – počítače, tiskárny, faxy, uživatelské účty atd. Součet domén, na kterých jsou data umístěna, se nazývá „les“. Databáze Active Directory je doménové prostředí, kde počet objektů může být až 2 miliardy. Dokážete si představit tyto váhy?

To znamená, že pomocí takového „lesa“ nebo databáze můžete v kanceláři propojit velké množství zaměstnanců a zařízení, aniž byste byli vázáni na místo - ve službách mohou být připojeni i další uživatelé, např. z kanceláře společnosti v jiném městě.

V rámci služeb Active Directory se navíc vytváří a kombinuje několik domén – čím větší firma, tím více nástrojů je potřeba k ovládání jejího vybavení v rámci databáze.

Dále, když je taková síť vytvořena, je určena jedna řídící doména ai při následné přítomnosti dalších domén zůstává ta původní stále „rodičovská“ – tedy pouze ona má plný přístup ke správě informací.

Kde jsou tato data uložena a co zajišťuje existenci domén? K vytvoření Active Directory se používají řadiče. Obvykle jsou dva – pokud se jednomu něco stane, informace se uloží na druhý ovladač.

Další možností využití databáze je, pokud například vaše firma spolupracuje s jinou a vy musíte dokončit společný projekt. V tomto případě mohou neoprávněné osoby potřebovat přístup k souborům domény a zde můžete nastavit jakýsi „vztah“ mezi dvěma různými „lesy“, umožňující přístup k požadovaným informacím, aniž byste riskovali bezpečnost zbývajících dat.

Obecně je Active Directory nástroj pro vytváření databáze v rámci určité struktury bez ohledu na její velikost. Uživatelé a veškeré vybavení jsou sjednoceni do jednoho „lesa“, domény jsou vytvořeny a umístěny na řadiče.

Je také vhodné objasnit, že služby mohou fungovat pouze na zařízeních se serverovými systémy Windows. Kromě toho jsou na řadičích vytvořeny 3-4 DNS servery. Obsluhují hlavní zónu domény, a pokud jedna z nich selže, nahradí ji jiné servery.

Po krátkém přehledu Active Directory for Dummies vás přirozeně zajímá otázka - proč měnit lokální skupinu pro celou databázi? Pole možností je zde samozřejmě mnohonásobně širší, a abychom zjistili další rozdíly mezi těmito službami pro správu systému, pojďme se blíže podívat na jejich výhody.

Výhody Active Directory

Výhody Active Directory jsou:

1. Použití jednoho zdroje pro ověřování. V této situaci musíte na každém počítači přidat všechny účty, které vyžadují přístup k obecným informacím. Čím více uživatelů a zařízení je, tím obtížnější je tato data mezi nimi synchronizovat.

A tak při používání služeb s databází jsou účty uloženy v jednom bodě a změny se okamžitě projeví na všech počítačích.

Jak to funguje? Každý zaměstnanec, který přijde do kanceláře, spustí systém a přihlásí se ke svému účtu. Požadavek na přihlášení bude automaticky odeslán na server a přes něj proběhne autentizace.

Pokud jde o určitý řád ve vedení evidence, můžete uživatele vždy rozdělit do skupin – „HR oddělení“ nebo „Účetnictví“.

V tomto případě je ještě jednodušší poskytnout přístup k informacím – pokud potřebujete otevřít složku pro zaměstnance z jednoho oddělení, uděláte to přes databázi. Společně získají přístup k požadované složce s daty, ostatním zůstávají dokumenty zavřené.

1. Kontrola nad každým účastníkem databáze.

Pokud je v místní skupině každý člen nezávislý a obtížně ovladatelný z jiného počítače, pak v doménách můžete nastavit určitá pravidla, která jsou v souladu s firemní politikou.

Jako správce systému můžete nastavit nastavení přístupu a zabezpečení a poté je použít pro každou skupinu uživatelů. Přirozeně, v závislosti na hierarchii, mohou mít některé skupiny přísnější nastavení, zatímco jiné mohou mít přístup k jiným souborům a akcím v systému.

Navíc, když do firmy nastoupí nový člověk, jeho počítač okamžitě dostane potřebnou sadu nastavení, která obsahuje komponenty pro práci.

1. Všestrannost při instalaci softwaru.

Když už jsme u komponent, pomocí Active Directory můžete přiřadit tiskárny, nainstalovat potřebné programy pro všechny zaměstnance najednou a nastavit soukromí. Obecně lze říci, že vytvoření databáze výrazně optimalizuje práci, sleduje zabezpečení a sjednotí uživatele pro maximální efektivitu práce.

A pokud společnost provozuje samostatnou utilitu nebo speciální služby, lze je synchronizovat s doménami a zjednodušit k nim přístup. Jak? Pokud zkombinujete všechny produkty používané ve firmě, nebude muset zaměstnanec pro vstup do každého programu zadávat různá přihlašovací jména a hesla – tyto informace budou společné.

Nyní, když jsou výhody a význam používání Active Directory jasné, pojďme se podívat na proces instalace těchto služeb.

Používáme databázi na Windows Server 2012

Instalace a konfigurace Active Directory není obtížný úkol a je také jednodušší, než se na první pohled zdá.

Chcete-li načíst služby, musíte nejprve provést následující:

1. Změňte název počítače: klikněte na „Start“, otevřete Ovládací panely, vyberte „Systém“. Vyberte „Změnit nastavení“ a ve vlastnostech naproti řádku „Název počítače“ klikněte na „Změnit“ a zadejte novou hodnotu pro hlavní počítač.
2. Restartujte počítač podle potřeby.
3. Nastavte síťová nastavení takto:
   • Prostřednictvím ovládacího panelu otevřete nabídku se sítěmi a sdílením.
   • Upravte nastavení adaptéru. Klepněte pravým tlačítkem myši na „Vlastnosti“ a otevřete kartu „Síť“.
   • V okně ze seznamu klikněte na internetový protokol číslo 4, znovu klikněte na „Vlastnosti“.
   • Zadejte požadovaná nastavení, například: IP adresa - 192.168.10.252, maska ​​podsítě - 255.255.255.0, hlavní brána - 192.168.10.1.
   • V řádku „Preferovaný server DNS“ zadejte adresu místního serveru, v poli „Alternativní...“ - jiné adresy serveru DNS.
   • Uložte změny a zavřete okna.

Nastavte role Active Directory takto:

1. Přes Start otevřete Správce serveru.
2. Z nabídky vyberte Přidat role a funkce.
3. Spustí se průvodce, ale první okno s popisem můžete přeskočit.
4. Zaškrtněte řádek „Instalace rolí a komponent“, pokračujte dále.
5. Vyberte počítač, do kterého chcete nainstalovat Active Directory.
6. Ze seznamu vyberte roli, kterou je třeba načíst – ve vašem případě je to „Doménové služby Active Directory“.
7. Zobrazí se malé okno s žádostí o stažení komponent požadovaných pro služby - přijměte to.
8. Poté budete vyzváni k instalaci dalších součástí – pokud je nepotřebujete, přeskočte tento krok kliknutím na „Další“.
9. Průvodce nastavením zobrazí okno s popisy služeb, které instalujete – přečtěte si a pokračujte.
10. Objeví se seznam komponent, které se chystáme instalovat – zkontrolujte, zda je vše v pořádku, a pokud ano, stiskněte příslušné tlačítko.
11. Po dokončení procesu zavřete okno.
12. To je vše – služby se stáhnou do vašeho počítače.

Nastavení služby Active Directory

Chcete-li nakonfigurovat doménovou službu, musíte provést následující:

• Spusťte stejnojmenného průvodce nastavením.
• Klikněte na žlutý ukazatel v horní části okna a vyberte „Povýšit server na řadič domény“.
• Klikněte na přidat novou doménovou strukturu a vytvořte název pro kořenovou doménu, poté klikněte na Další.
• Určete provozní režimy „lesa“ a domény – nejčastěji se shodují.
• Vytvořte si heslo, ale nezapomeňte si ho zapamatovat. Pokračujte dále.
• Poté se může zobrazit varování, že doména není delegována, a výzva ke kontrole názvu domény – tyto kroky můžete přeskočit.
• V dalším okně můžete změnit cestu k adresářům databází – proveďte to, pokud vám nevyhovují.
• Nyní uvidíte všechny možnosti, které se chystáte nastavit – zkontrolujte, zda jste je vybrali správně, a pokračujte dál.
• Aplikace zkontroluje, zda jsou splněny předpoklady, a pokud nejsou žádné komentáře nebo nejsou kritické, klikněte na „Instalovat“.
• Po dokončení instalace se počítač sám restartuje.

Možná vás také zajímá, jak přidat uživatele do databáze. K tomu použijte nabídku „Uživatelé nebo počítače Active Directory“, kterou naleznete v ovládacím panelu v části „Správa“, nebo použijte nabídku nastavení databáze.

Chcete-li přidat nového uživatele, klikněte pravým tlačítkem na název domény, vyberte „Vytvořit“ a poté „Rozdělení“. Objeví se před vámi okno, kde je potřeba zadat název nového oddělení – slouží jako složka, kde můžete sbírat uživatele z různých oddělení. Stejně tak později vytvoříte několik dalších divizí a správně umístíte všechny zaměstnance.

Poté, když jste vytvořili název oddělení, klikněte na něj pravým tlačítkem a vyberte „Vytvořit“ a poté „Uživatel“. Nyní zbývá pouze zadat potřebné údaje a nastavit nastavení přístupu pro uživatele.

Po vytvoření nového profilu na něj klikněte výběrem kontextové nabídky a otevřete „Vlastnosti“. Na kartě „Účet“ zrušte zaškrtnutí políčka „Blokovat...“. To je vše.

Obecným závěrem je, že Active Directory je výkonný a užitečný nástroj pro správu systému, který pomůže sjednotit všechny počítače zaměstnanců do jednoho týmu. Pomocí služeb můžete vytvořit zabezpečenou databázi a výrazně optimalizovat práci a synchronizaci informací mezi všemi uživateli. Pokud je vaše společnost nebo jakékoli jiné místo podnikání připojeno k elektronickým počítačům a sítím, potřebujete konsolidovat účty a sledovat práci a důvěrnost, instalace databáze založené na Active Directory bude vynikajícím řešením.

Každý začínající uživatel, který čelí zkratce AD, se ptá, co je to Active Directory? Active Directory je adresářová služba vyvinutá společností Microsoft pro doménové sítě Windows. Zahrnuje většinu operačních systémů Windows Server jako sadu procesů a služeb. Zpočátku se služba zabývala pouze doménami. Počínaje Windows Server 2008 se však AD stalo názvem pro širokou škálu služeb identity založených na adresáři. Díky tomu je Active Directory pro začátečníky lepším zážitkem při učení.

Základní definice

Server, na kterém běží služba Active Directory Domain Directory Services, se nazývá řadič domény. Ověřuje a autorizuje všechny uživatele a počítače v síťové doméně Windows, přiřazuje a prosazuje zásady zabezpečení pro všechny počítače a instaluje nebo aktualizuje software. Když se například uživatel přihlásí k počítači, který je připojen k doméně Windows, služba Active Directory zkontroluje poskytnuté heslo a určí, zda je subjekt správcem systému nebo standardním uživatelem. Umožňuje také správu a ukládání informací, poskytuje mechanismy ověřování a autorizace a vytváří rámec pro nasazení dalších souvisejících služeb: certifikační služby, federované a odlehčené adresářové služby a správu práv.

Služba Active Directory používá LDAP verze 2 a 3, verzi Kerberos od společnosti Microsoft a DNS.

Active Directory - co to je? Jednoduše řečeno o komplexu

Monitorování síťových dat je časově náročný úkol. I v malých sítích mají uživatelé obvykle potíže s hledáním síťových souborů a tiskáren. Bez nějakého druhu adresáře nelze spravovat střední až velké sítě a často čelí potížím při hledání zdrojů.

Předchozí verze systému Microsoft Windows obsahovaly služby, které uživatelům a správcům usnadnily vyhledávání informací. Network Neighborhood je užitečný v mnoha prostředích, ale zjevnou nevýhodou je neohrabané rozhraní a jeho nepředvídatelnost. WINS Manager a Server Manager lze použít k zobrazení seznamu systémů, ale nebyly dostupné koncovým uživatelům. Správci používali Správce uživatelů k přidávání a odebírání dat ze zcela jiného typu síťového objektu. Tyto aplikace byly shledány jako neefektivní pro velké sítě a vyvolaly otázku, proč společnosti potřebují Active Directory?

Adresář je v nejobecnějším smyslu úplný seznam objektů. Telefonní seznam je typ adresáře, který uchovává informace o lidech, firmách a vládních organizacích aObvykle zaznamenávají jména, adresy a telefonní čísla. Přemýšlel Active Directory - co to je, zjednodušeně lze říci, že tato technologie je podobná adresáři, ale je mnohem flexibilnější. AD ukládá informace o organizacích, webech, systémech, uživatelích, sdílených položkách a jakékoli jiné síťové entitě.

Úvod do konceptů Active Directory

Proč organizace potřebuje Active Directory? Jak bylo zmíněno v úvodu k Active Directory, služba uchovává informace o síťových komponentách. Průvodce službou Active Directory pro začátečníky to vysvětluje Umožňuje klientům najít objekty v jejich jmenném prostoru. Toto t Termín (nazývaný také strom konzoly) označuje oblast, ve které se může nacházet síťová komponenta. Například obsah knihy vytváří jmenný prostor, ve kterém lze kapitolám přiřadit čísla stránek.

DNS je strom konzoly, který překládá názvy hostitelů na adresy IP, jako je napřTelefonní seznamy poskytují jmenný prostor pro překlad jmen pro telefonní čísla. Jak se to stane v Active Directory? AD poskytuje strom konzoly pro rozlišení názvů síťových objektů na samotné objekty adokáže vyřešit širokou škálu entit, včetně uživatelů, systémů a služeb v síti.

Objekty a atributy

Cokoli, co služba Active Directory sleduje, je považováno za objekt. Jednoduše můžeme říci, že je to v Active Directory je jakýkoli uživatel, systém, zdroj nebo služba. Běžný termín objekt se používá, protože AD je schopen sledovat mnoho prvků a mnoho objektů může sdílet společné atributy. Co to znamená?

Atributy popisují objekty v Active Directory, například všechny uživatelské objekty sdílejí atributy pro uložení uživatelského jména. To platí i pro jejich popisy. Systémy jsou také objekty, ale mají samostatnou sadu atributů, které zahrnují název hostitele, IP adresu a umístění.

Sada atributů dostupných pro jakýkoli konkrétní typ objektu se nazývá schéma. Odlišuje od sebe třídy objektů. Informace o schématu jsou ve skutečnosti uloženy ve službě Active Directory. Že je toto chování bezpečnostního protokolu velmi důležité, dokazuje skutečnost, že návrh umožňuje správcům přidávat atributy do tříd objektů a distribuovat je po síti do všech koutů domény bez restartování jakýchkoli řadičů domény.

Kontejner a název LDAP

Kontejner je speciální typ objektu, který se používá k organizaci provozu služby. Nepředstavuje fyzickou entitu, jako je uživatel nebo systém. Místo toho se používá k seskupování dalších prvků. Objekty kontejneru lze vnořit do jiných kontejnerů.

Každý prvek v AD má jméno. Nejsou to ty, na které jste zvyklí například Ivan nebo Olga. Toto jsou rozlišující názvy LDAP. Rozlišující názvy LDAP jsou složité, ale umožňují jednoznačně identifikovat jakýkoli objekt v adresáři bez ohledu na jeho typ.

Strom podmínek a webové stránky

Termín strom se používá k popisu sady objektů v Active Directory. co to je? Jednoduše řečeno, lze to vysvětlit pomocí asociace stromu. Když jsou kontejnery a objekty hierarchicky kombinovány, mají tendenci tvořit větve - odtud název. Související termín je souvislý podstrom, který označuje nepřerušený hlavní kmen stromu.

Pokračujeme-li v metafoře, termín „les“ popisuje kolekci, která není součástí stejného jmenného prostoru, ale sdílí společné schéma, konfiguraci a globální adresář. Objekty v těchto strukturách jsou dostupné všem uživatelům, pokud to zabezpečení umožňuje. Organizace rozdělené do více domén by měly seskupit stromy do jedné doménové struktury.

Místo je geografické umístění definované v Active Directory. Stránky odpovídají logickým podsítím IP a jako takové je mohou aplikace používat k nalezení nejbližšího serveru v síti. Použití informací o webu ze služby Active Directory může výrazně snížit provoz na sítích WAN.

Správa Active Directory

Active Directory Users snap-in komponenta. Toto je nejpohodlnější nástroj pro správu Active Directory. Je přímo přístupný z programové skupiny Nástroje pro správu v nabídce Start. Nahrazuje a vylepšuje Správce serveru a Správce uživatelů ze systému Windows NT 4.0.

Bezpečnost

Active Directory hraje důležitou roli v budoucnosti sítí Windows. Správci musí být schopni chránit svůj adresář před útočníky a uživateli a zároveň delegovat úkoly na jiné správce. To vše je možné pomocí modelu zabezpečení služby Active Directory, který přidružuje seznam řízení přístupu (ACL) ke každému atributu kontejneru a objektu v adresáři.

Vysoká úroveň kontroly umožňuje správci udělovat jednotlivým uživatelům a skupinám různé úrovně oprávnění k objektům a jejich vlastnostem. Mohou dokonce přidávat atributy k objektům a skrýt tyto atributy před určitými skupinami uživatelů. Můžete například nastavit ACL tak, aby domácí telefony ostatních uživatelů mohli zobrazit pouze správci.

Delegovaná správa

Novinkou ve Windows 2000 Server je delegovaná správa. To vám umožňuje přidělovat úkoly jiným uživatelům bez udělování dalších přístupových práv. Delegovanou správu lze přiřadit prostřednictvím konkrétních objektů nebo souvislých podstromů adresářů. Toto je mnohem efektivnější způsob udělování oprávnění napříč sítěmi.

V místo, kde má někdo přiřazena všechna práva globálního správce domény, lze uživateli udělit oprávnění pouze v rámci konkrétního podstromu. Služba Active Directory podporuje dědičnost, takže všechny nové objekty zdědí ACL svého kontejneru.

Termín "svěřenský vztah"

Termín "svěřenecký vztah" se stále používá, ale má jinou funkčnost. Neexistuje žádný rozdíl mezi jednosměrnými a obousměrnými trusty. Všechny vztahy důvěryhodnosti Active Directory jsou totiž obousměrné. Navíc jsou všechny tranzitivní. Pokud tedy doména A důvěřuje doméně B a B důvěřuje C, pak mezi doménou A a doménou C existuje automatický implicitní vztah důvěryhodnosti.

Auditování v Active Directory – co to jednoduchými slovy je? Jedná se o bezpečnostní funkci, která vám umožňuje určit, kdo se pokouší o přístup k objektům a jak je tento pokus úspěšný.

Použití DNS (Domain Name System)

Systém, jinak známý jako DNS, je nezbytný pro každou organizaci připojenou k internetu. DNS poskytuje překlad názvů mezi běžnými názvy, jako je mspress.microsoft.com, a nezpracovanými IP adresami, které komponenty síťové vrstvy používají ke komunikaci.

Služba Active Directory široce využívá technologii DNS k vyhledávání objektů. Toto je významná změna oproti předchozím operačním systémům Windows, které vyžadují překlad názvů NetBIOS podle IP adres a spoléhají na WINS nebo jiné techniky překladu názvů NetBIOS.

Služba Active Directory funguje nejlépe při použití se servery DNS se systémem Windows 2000. Společnost Microsoft usnadnila správcům migraci na servery DNS se systémem Windows 2000 poskytnutím průvodců migrací, kteří správce provedou celým procesem.

Mohou být použity jiné servery DNS. To však bude vyžadovat, aby správci věnovali více času správě databází DNS. Jaké jsou nuance? Pokud se rozhodnete nepoužívat servery DNS se systémem Windows 2000, musíte zajistit, aby vaše servery DNS vyhovovaly novému protokolu dynamické aktualizace DNS. Servery při hledání řadičů domény spoléhají na dynamickou aktualizaci svých záznamů. Není to pohodlné. Koneckonců napřPokud dynamická aktualizace není podporována, musíte databáze aktualizovat ručně.

Domény Windows a internetové domény jsou nyní plně kompatibilní. Například název jako mspress.microsoft.com identifikuje řadiče domény služby Active Directory odpovědné za doménu, takže řadič domény může najít každý klient s přístupem DNS.Zákazníci mohou použít překlad DNS k vyhledání libovolného počtu služeb, protože servery Active Directory publikují seznam adres do DNS pomocí nových funkcí dynamických aktualizací. Tato data jsou definována jako doména a publikována prostřednictvím záznamů o prostředcích služby. SRV RR dodržujte formát doména.protokol služby.

Servery Active Directory poskytují službu LDAP pro hostování objektů a LDAP používá TCP jako základní protokol transportní vrstvy. Klient, který hledá server Active Directory v doméně mspress.microsoft.com, bude proto hledat položku DNS pro ldap.tcp.mspress.microsoft.com.

Globální katalog

Active Directory poskytuje globální katalog (GC) aposkytuje jediný zdroj pro hledání jakéhokoli objektu v síti organizace.

Globální katalog je služba v systému Windows 2000 Server, která uživatelům umožňuje najít všechny sdílené objekty. Tato funkce je mnohem lepší než aplikace Najít počítač obsažená v předchozích verzích systému Windows. Koneckonců, uživatelé mohou hledat jakýkoli objekt v Active Directory: servery, tiskárny, uživatele a aplikace.

Jelikož jsem dobře obeznámen s malým podnikáním zevnitř, vždy mě zajímaly následující otázky. Vysvětlete, proč by měl zaměstnanec na svém pracovním počítači používat prohlížeč, který má rád správce systému? Nebo si vezměte jakýkoli jiný software, například stejný archivátor, emailový klient, instant messaging klient... Mírně narážím na standardizaci a ne na základě osobních sympatií správce systému, ale na základě dostatku funkčnosti náklady na údržbu a podporu těchto softwarových produktů. Začněme IT považovat za exaktní vědu, a ne za řemeslo, kdy si každý dělá, jak chce. Opět je s tím také spousta problémů v malých firmách. Představte si, že firma v těžké době krize vystřídá několik těchto správců, co by měli chudí uživatelé v takové situaci dělat? Neustále se přeškolovat?

Podívejme se z druhé strany. Každý manažer by měl rozumět tomu, co se aktuálně děje v jeho společnosti (včetně IT). To je nezbytné pro sledování aktuální situace a pro rychlou reakci na vznik různých typů problémů. Ale toto pochopení je důležitější pro strategické plánování. Koneckonců, máme-li pevný a spolehlivý základ, můžeme postavit dům se 3 nebo 5 podlažími, vyrobit střechu různých tvarů, udělat balkony nebo zimní zahradu. Podobně i v IT máme spolehlivý základ – můžeme dále využívat složitější produkty a technologie k řešení obchodních problémů.

První článek bude hovořit o takovém základu - službách Active Directory. Jsou navrženy tak, aby se staly pevným základem pro IT infrastrukturu společnosti jakékoli velikosti a jakékoli oblasti činnosti. co to je? Tak si o tom povíme...

Začněme rozhovor jednoduchými pojmy – doménovými a Active Directory službami.

Doména je základní administrativní jednotkou v podnikové síťové infrastruktuře, která zahrnuje všechny síťové objekty, jako jsou uživatelé, počítače, tiskárny, sdílené položky a další. Kolekce takových domén se nazývá doménová struktura.

Active Directory Services (Active Directory Services) jsou distribuovanou databází, která obsahuje všechny doménové objekty. Prostředí domény Active Directory poskytuje jediný bod ověřování a autorizace pro uživatele a aplikace v celém podniku. Právě organizací domény a nasazením služeb Active Directory začíná budování podnikové IT infrastruktury.

Databáze Active Directory je uložena na dedikovaných serverech – doménových řadičích. Active Directory Services je role serverových operačních systémů Microsoft Windows Server. Služba Active Directory je vysoce škálovatelná. V doménové struktuře Active Directory lze vytvořit více než 2 miliardy objektů, což umožňuje implementaci adresářové služby ve společnostech se stovkami tisíc počítačů a uživatelů. Hierarchická struktura domén umožňuje flexibilně škálovat IT infrastrukturu do všech poboček a regionálních divizí společností. Pro každou pobočku nebo divizi společnosti lze vytvořit samostatnou doménu s vlastními politikami, vlastními uživateli a skupinami. Pro každou podřízenou doménu lze administrátorům místního systému delegovat administrativní oprávnění. Podřízené domény jsou přitom stále podřízeny svým rodičům.

Služba Active Directory navíc umožňuje konfigurovat vztahy důvěryhodnosti mezi doménovými strukturami. Každá společnost má vlastní doménovou strukturu domén, z nichž každá má své vlastní zdroje. Někdy ale potřebujete poskytnout přístup ke svým firemním zdrojům zaměstnancům jiné společnosti – práci s běžnými dokumenty a aplikacemi v rámci společného projektu. K tomu lze mezi organizačními doménovými strukturami nastavit vztahy důvěryhodnosti, které umožní zaměstnancům jedné organizace přihlásit se do domény jiné.

Chcete-li zajistit odolnost proti chybám pro služby Active Directory, musíte nasadit dva nebo více řadičů domény v každé doméně. Všechny změny jsou automaticky replikovány mezi řadiči domény. Pokud jeden z řadičů domény selže, funkce sítě to neovlivní, protože ty zbývající nadále fungují. Další úroveň odolnosti je zajištěna umístěním serverů DNS na řadiče domény ve službě Active Directory, což umožňuje každé doméně mít více serverů DNS obsluhujících primární zónu domény. A pokud jeden ze serverů DNS selže, ostatní budou nadále fungovat. O roli a významu DNS serverů v IT infrastruktuře si povíme v jednom z článků seriálu.

To vše jsou však technické aspekty implementace a údržby služeb Active Directory. Promluvme si o výhodách, které společnost získá tím, že se odkloní od sítí peer-to-peer a použije pracovní skupiny.

1. Jediný bod autentizace

V pracovní skupině na každém počítači nebo serveru budete muset ručně přidat úplný seznam uživatelů, kteří vyžadují přístup k síti. Pokud si náhle jeden ze zaměstnanců bude chtít změnit heslo, bude nutné jej změnit na všech počítačích a serverech. Je dobré, když se síť skládá z 10 počítačů, ale co když jich je více? Při použití domény Active Directory jsou všechny uživatelské účty uloženy v jedné databázi a všechny počítače v ní hledají autorizaci. Všichni uživatelé domény jsou zařazeni do příslušných skupin, například „Účetnictví“, „Finanční oddělení“. Stačí jednorázově nastavit oprávnění pro určité skupiny a všichni uživatelé budou mít odpovídající přístup k dokumentům a aplikacím. Pokud do firmy nastoupí nový zaměstnanec, vytvoří se mu účet, který se zařadí do příslušné skupiny – zaměstnanec získá přístup ke všem síťovým zdrojům, ke kterým by měl mít povolen přístup. Pokud zaměstnanec skončí, stačí ho zablokovat a okamžitě ztratí přístup ke všem zdrojům (počítače, dokumenty, aplikace).

2. Jednotný bod řízení politiky

V pracovní skupině mají všechny počítače stejná práva. Žádný z počítačů nemůže ovládat ten druhý, není možné sledovat dodržování jednotných zásad a bezpečnostních pravidel. Při použití jedné služby Active Directory jsou všichni uživatelé a počítače hierarchicky rozděleni mezi organizační jednotky, z nichž každá podléhá stejným zásadám skupiny. Zásady umožňují nastavit jednotná nastavení a nastavení zabezpečení pro skupinu počítačů a uživatelů. Když je do domény přidán nový počítač nebo uživatel, automaticky obdrží nastavení, která odpovídají přijatým podnikovým standardům. Pomocí zásad můžete centrálně přiřadit síťové tiskárny uživatelům, instalovat potřebné aplikace, nastavovat nastavení zabezpečení prohlížeče a konfigurovat aplikace Microsoft Office.

3. Zvýšená úroveň bezpečnosti informací

Používání služeb Active Directory výrazně zvyšuje úroveň zabezpečení sítě. Za prvé, je to jediné a bezpečné úložiště účtu. V prostředí domény jsou všechna hesla uživatelů domény uložena na vyhrazených serverech řadiče domény, které jsou obvykle chráněny před externím přístupem. Za druhé, při použití doménového prostředí se k autentizaci používá protokol Kerberos, který je mnohem bezpečnější než NTLM, který se používá v pracovních skupinách.

4. Integrace s podnikovými aplikacemi a zařízeními

Velkou výhodou služeb Active Directory je shoda se standardem LDAP, který podporují i ​​jiné systémy, např. poštovní servery (Exchange Server), proxy servery (ISA Server, TMG). A nemusí se nutně jednat pouze o produkty společnosti Microsoft. Výhodou takové integrace je, že si uživatel pro přístup k určité aplikaci nemusí pamatovat velké množství přihlašovacích údajů a hesel, ve všech aplikacích má uživatel stejné přihlašovací údaje – jeho autentizace probíhá v jediném Active Directory. Windows Server poskytuje protokol RADIUS pro integraci se službou Active Directory, kterou podporuje velké množství síťových zařízení. Je tak možné například zajistit autentizaci doménových uživatelů při připojení přes VPN zvenčí nebo využití Wi-Fi přístupových bodů ve firmě.

5. Jednotné úložiště konfigurace aplikace

Některé aplikace ukládají svou konfiguraci do Active Directory, jako je Exchange Server. Předpokladem pro fungování těchto aplikací je nasazení adresářové služby Active Directory. Uložení konfigurace aplikace v adresářové službě nabízí výhody flexibility a spolehlivosti. Například v případě úplného selhání serveru Exchange zůstane celá jeho konfigurace nedotčena. Chcete-li obnovit funkčnost firemní pošty, bude stačit přeinstalovat Exchange Server v režimu obnovení.

Abych to shrnul, rád bych ještě jednou zdůraznil, že služby Active Directory jsou srdcem podnikové IT infrastruktury. V případě výpadku dojde k ochromení celé sítě, všech serverů a práce všech uživatelů. Nikdo se nebude moci přihlásit k počítači nebo přistupovat ke svým dokumentům a aplikacím. Adresářová služba musí být proto pečlivě navržena a nasazena s ohledem na všechny možné nuance, například šířku pásma kanálů mezi pobočkami nebo kancelářemi společnosti (rychlost přihlášení uživatele do systému, stejně jako výměna dat mezi doménami ovladačů, na tom přímo závisí).