Bagaimana hal ini akan membantu Direktori Aktif spesialis?

Berikut adalah daftar kecil “barang” yang bisa Anda dapatkan dengan menggunakan Direktori Aktif:

• database registrasi pengguna tunggal, yang disimpan secara terpusat di satu atau lebih server; jadi, ketika seorang karyawan baru muncul di kantor, Anda hanya perlu membuat akun untuknya di server dan menunjukkan stasiun kerja mana yang dapat dia akses;
• karena semua sumber daya domain diindeks, hal ini memungkinkan pengguna untuk mencari dengan mudah dan cepat; misalnya, jika Anda perlu mencari printer berwarna di suatu departemen;
• kombinasi penerapan izin NTFS, kebijakan grup, dan delegasi kendali akan memungkinkan Anda menyempurnakan dan mendistribusikan hak antar anggota domain;
• profil pengguna roaming memungkinkan untuk menyimpan informasi penting dan pengaturan konfigurasi di server; sebenarnya, jika pengguna dengan profil roaming di suatu domain duduk untuk bekerja di komputer lain dan memasukkan nama pengguna dan kata sandinya, dia akan melihat desktopnya dengan pengaturan yang dia kenal;
• menggunakan kebijakan grup, Anda dapat mengubah pengaturan sistem operasi pengguna, dari mengizinkan pengguna mengatur wallpaper di desktop hingga pengaturan keamanan, dan juga mendistribusikan perangkat lunak melalui jaringan, misalnya, klien Volume Shadow Copy, dll.;
• Banyak program (server proxy, server database, dll.) tidak hanya diproduksi oleh Microsoft saat ini telah belajar menggunakan otentikasi domain, sehingga Anda tidak perlu membuat database pengguna lain, tetapi dapat menggunakan database yang sudah ada;
• Menggunakan Layanan Instalasi Jarak Jauh mempermudah instalasi sistem pada workstation, namun, pada gilirannya, hanya berfungsi jika layanan direktori diterapkan.

Dan ini bukanlah daftar kemungkinan yang lengkap, tetapi akan dibahas lebih lanjut nanti. Sekarang saya akan mencoba memberi tahu Anda logika konstruksinya Direktori Aktif, tapi sekali lagi ada baiknya mencari tahu terbuat dari apa anak-anak kita Direktori Aktif- ini adalah Domain, Pohon, Hutan, Unit Organisasi, Grup Pengguna dan Komputer.

Domain - Ini adalah unit logis dasar dari konstruksi. Dibandingkan dengan kelompok kerja domain IKLAN adalah grup keamanan yang memiliki basis registrasi tunggal, sedangkan grup kerja hanyalah asosiasi mesin yang logis. AD menggunakan DNS (Domain Name Server) untuk layanan penamaan dan pencarian, bukan WINS (Windows Internet Name Service), seperti yang terjadi pada versi NT sebelumnya. Jadi, nama komputer di domain tersebut terlihat seperti, misalnya, buh.work.com, dengan buh adalah nama komputer di domain work.com (meskipun hal ini tidak selalu terjadi).

Kelompok kerja menggunakan nama NetBIOS. Untuk menghosting struktur domain IKLAN Dimungkinkan untuk menggunakan server DNS non-Microsoft. Namun harus kompatibel dengan BIND 8.1.2 atau lebih tinggi dan mendukung data SRV() serta Dynamic Registration Protocol (RFC 2136). Setiap domain memiliki setidaknya satu pengontrol domain yang menjadi host database pusat.

Pohon - Ini adalah struktur multi-domain. Akar dari struktur ini adalah domain utama tempat Anda membuat domain anak. Faktanya, Direktori Aktif menggunakan struktur hierarki yang mirip dengan struktur domain di DNS.

Jika kita memiliki domain work.com (domain tingkat pertama) dan membuat dua domain anak untuknya first.work.com dan second.work.com (di sini yang pertama dan kedua adalah domain tingkat kedua, dan bukan komputer di domain tersebut , seperti dalam kasus yang dijelaskan di atas), kita akan mendapatkan pohon domain.

Pohon sebagai struktur logis digunakan ketika Anda perlu membagi cabang-cabang perusahaan, misalnya berdasarkan geografi, atau karena alasan organisasi lainnya.

IKLAN membantu menciptakan hubungan kepercayaan secara otomatis antara setiap domain dan domain turunannya.

Dengan demikian, pembuatan domain first.work.com mengarah pada pembentukan otomatis hubungan kepercayaan dua arah antara induk work.com dan anak first.work.com (demikian pula untuk second.work.com). Oleh karena itu, izin dapat diterapkan dari domain induk ke domain turunannya, dan sebaliknya. Tidak sulit untuk berasumsi bahwa hubungan kepercayaan juga akan ada untuk domain anak.

Sifat lain dari hubungan saling percaya adalah transitivitas. Kami mendapatkan bahwa hubungan kepercayaan dibuat untuk domain net.first.work.com dengan domain work.com.

Hutan - Sama seperti pohon, mereka adalah struktur multi-domain. Tetapi hutan merupakan gabungan pohon-pohon yang mempunyai domain akar berbeda.

Misalkan Anda memutuskan untuk memiliki beberapa domain bernama work.com dan home.net dan membuat domain anak untuk domain tersebut, tetapi karena tld (domain tingkat atas) tidak berada di bawah kendali Anda, dalam hal ini Anda dapat mengatur hutan dengan memilih salah satu dari domain root tingkat pertama. Keindahan dalam menciptakan hutan dalam hal ini adalah hubungan kepercayaan dua arah antara dua domain ini dan domain turunannya.

Namun, ketika bekerja dengan hutan dan pepohonan, Anda harus mengingat hal-hal berikut:

• Anda tidak dapat menambahkan domain yang sudah ada ke pohon
• Anda tidak dapat memasukkan pohon yang ada di hutan
• Setelah domain ditempatkan di hutan, domain tersebut tidak dapat dipindahkan ke hutan lain
• Anda tidak dapat menghapus domain yang memiliki domain anak

Unit organisasi - Pada prinsipnya, mereka bisa disebut subdomain. memungkinkan Anda mengelompokkan akun pengguna, grup pengguna, komputer, sumber daya bersama, printer, dan OU (Unit Organisasi) lainnya dalam suatu domain. Manfaat praktis dari penggunaannya adalah kemungkinan mendelegasikan hak untuk mengelola unit-unit ini.

Sederhananya, Anda dapat menunjuk administrator di domain yang dapat mengelola OU, namun tidak memiliki hak untuk mengelola seluruh domain.

Fitur penting dari OU, tidak seperti grup, adalah kemampuan untuk menerapkan kebijakan grup pada OU. “Mengapa Anda tidak dapat membagi domain asli menjadi beberapa domain daripada menggunakan OU?” - Anda bertanya.

Banyak ahli menyarankan untuk memiliki satu domain jika memungkinkan. Alasannya adalah desentralisasi administrasi saat membuat domain tambahan, karena administrator dari setiap domain tersebut menerima kontrol tanpa batas (izinkan saya mengingatkan Anda bahwa ketika mendelegasikan hak kepada administrator OU, Anda dapat membatasi fungsinya).

Selain itu, untuk membuat domain baru (bahkan domain anak-anak), Anda memerlukan pengontrol lain. Jika Anda memiliki dua departemen terpisah yang dihubungkan melalui saluran komunikasi yang lambat, masalah replikasi mungkin timbul. Dalam hal ini, akan lebih tepat jika memiliki dua domain.

Ada juga satu nuansa lagi dalam menggunakan kebijakan grup: kebijakan yang menentukan pengaturan kata sandi dan penguncian akun hanya dapat diterapkan pada domain. Untuk OU, pengaturan kebijakan ini diabaikan.

Situs web - Ini adalah cara untuk memisahkan layanan direktori secara fisik. Menurut definisi, situs adalah sekelompok komputer yang dihubungkan melalui saluran transfer data yang cepat.

Jika Anda memiliki beberapa cabang di berbagai belahan negara yang dihubungkan melalui jalur komunikasi berkecepatan rendah, maka untuk setiap cabang Anda dapat membuat situs web sendiri. Hal ini dilakukan untuk meningkatkan keandalan replikasi direktori.

Pembagian AD ini tidak mempengaruhi prinsip konstruksi logis, oleh karena itu, seperti halnya sebuah situs dapat berisi beberapa domain, dan sebaliknya, sebuah domain dapat berisi beberapa situs. Namun ada kendala pada topologi layanan direktori ini. Biasanya, Internet digunakan untuk berkomunikasi dengan cabang - lingkungan yang sangat tidak aman. Banyak perusahaan menggunakan langkah-langkah keamanan seperti firewall. Layanan direktori menggunakan sekitar satu setengah lusin port dan layanan dalam pekerjaannya, yang pembukaannya agar lalu lintas AD melewati firewall sebenarnya akan mengeksposnya "di luar". Solusi dari permasalahan tersebut adalah dengan menggunakan teknologi tunneling, serta hadirnya pengontrol domain di setiap situs untuk mempercepat pemrosesan permintaan klien AD.

Logika penyusunan komponen layanan direktori disajikan. Dapat dilihat bahwa hutan berisi dua pohon domain, di mana domain akar pohon tersebut, pada gilirannya, dapat berisi OU dan grup objek, dan juga memiliki domain anak (dalam hal ini, satu untuk masing-masing domain). Domain anak juga dapat berisi grup objek dan OU serta memiliki domain anak (tidak ditampilkan dalam gambar). Dan seterusnya. Izinkan saya mengingatkan Anda bahwa OU bisa berisi OU, objek dan grup objek, dan grup bisa berisi grup lain.

Grup pengguna dan komputer - digunakan untuk tujuan administratif dan memiliki arti yang sama seperti ketika digunakan pada mesin lokal di jaringan. Berbeda dengan OU, kebijakan grup tidak dapat diterapkan pada grup, namun manajemen dapat didelegasikan kepada grup tersebut. Dalam skema Direktori Aktif, terdapat dua jenis grup: grup keamanan (digunakan untuk membedakan hak akses ke objek jaringan) dan grup distribusi (digunakan terutama untuk mendistribusikan pesan email, misalnya di Microsoft Exchange Server).

Mereka dibagi berdasarkan ruang lingkup:

• kelompok universal dapat mencakup pengguna di dalam hutan serta kelompok universal lainnya atau kelompok global dari domain mana pun di hutan
• kelompok domain global dapat mencakup pengguna domain dan grup global lainnya dari domain yang sama
• grup lokal domain digunakan untuk membedakan hak akses, dapat mencakup pengguna domain, serta kelompok universal dan kelompok global dari domain mana pun di hutan
• kelompok komputer lokal– grup yang berisi SAM (manajer akun keamanan) dari mesin lokal. Cakupannya terbatas hanya pada mesin tertentu, namun dapat mencakup grup lokal dari domain tempat komputer berada, serta grup universal dan global dari domainnya sendiri atau domain lain yang mereka percayai. Misalnya, Anda dapat memasukkan pengguna dari grup Pengguna lokal domain ke dalam grup Administrator mesin lokal, sehingga memberinya hak administrator, tetapi hanya untuk komputer ini

Direktori Aktif adalah layanan direktori Microsoft untuk keluarga sistem operasi Windows NT.

Layanan ini memungkinkan administrator untuk menggunakan kebijakan grup untuk memastikan keseragaman pengaturan lingkungan kerja pengguna, instalasi perangkat lunak, pembaruan, dll.

Apa inti dari Active Directory dan masalah apa yang dipecahkannya? Baca terus.

Prinsip pengorganisasian jaringan peer-to-peer dan multi-peer

Namun muncul masalah lain, bagaimana jika user2 di PC2 memutuskan untuk mengganti passwordnya? Kemudian jika pengguna1 mengubah kata sandi akun, pengguna2 di PC1 tidak akan dapat mengakses sumber daya tersebut.

Contoh lain: kita memiliki 20 workstation dengan 20 akun yang ingin kita berikan akses ke file tertentu. Untuk melakukan ini, kita harus membuat 20 akun di server file dan memberikan akses ke sumber daya yang diperlukan.

Bagaimana jika jumlahnya bukan 20 tetapi 200?

Seperti yang Anda pahami, administrasi jaringan dengan pendekatan ini berubah menjadi neraka.

Oleh karena itu, pendekatan kelompok kerja cocok untuk jaringan kantor kecil dengan tidak lebih dari 10 PC.

Jika terdapat lebih dari 10 stasiun kerja dalam jaringan, pendekatan di mana satu node jaringan didelegasikan hak untuk melakukan otentikasi dan otorisasi menjadi dapat dibenarkan secara rasional.

Node ini adalah pengontrol domain - Direktori Aktif.

Pengontrol Domain

Pengontrol menyimpan database akun, mis. itu menyimpan akun untuk PC1 dan PC2.

Sekarang semua akun didaftarkan satu kali pada pengontrol, dan kebutuhan akan akun lokal menjadi tidak ada artinya.

Sekarang, ketika pengguna masuk ke PC, memasukkan nama pengguna dan kata sandinya, data ini dikirimkan dalam bentuk pribadi ke pengontrol domain, yang melakukan prosedur otentikasi dan otorisasi.

Setelah itu, pengontrol mengeluarkan sesuatu seperti paspor kepada pengguna yang telah masuk, yang kemudian digunakannya untuk bekerja di jaringan dan yang ia berikan atas permintaan komputer jaringan lain, server yang sumber dayanya ingin ia sambungkan.

Penting! Pengontrol domain adalah komputer yang menjalankan Direktori Aktif yang mengontrol akses pengguna ke sumber daya jaringan. Ini menyimpan sumber daya (misalnya printer, folder bersama), layanan (misalnya email), orang (akun pengguna dan grup pengguna), komputer (akun komputer).

Jumlah sumber daya yang disimpan tersebut bisa mencapai jutaan objek.

Versi MS Windows berikut dapat bertindak sebagai pengontrol domain: Windows Server 2000/2003/2008/2012 kecuali Web-Edition.

Pengontrol domain, selain sebagai pusat otentikasi jaringan, juga merupakan pusat kendali semua komputer.

Segera setelah dinyalakan, komputer mulai menghubungi pengontrol domain, jauh sebelum jendela otentikasi muncul.

Dengan demikian, tidak hanya pengguna yang memasukkan login dan kata sandi yang diautentikasi, tetapi komputer klien juga diautentikasi.

Menginstal Direktori Aktif

Mari kita lihat contoh instalasi Active Directory pada Windows Server 2008 R2. Jadi, untuk menginstal peran Direktori Aktif, buka “Manajer Server”:

Tambahkan peran “Tambahkan Peran”:

Pilih peran Layanan Domain Direktori Aktif:

Dan mari kita mulai instalasinya:

Setelah itu kami menerima jendela pemberitahuan tentang peran yang diinstal:

Setelah menginstal peran pengontrol domain, mari lanjutkan dengan menginstal pengontrol itu sendiri.

Klik "Mulai" di bidang pencarian program, masukkan nama wizard DCPromo, luncurkan dan centang kotak untuk pengaturan instalasi lanjutan:

Klik “Berikutnya” dan pilih untuk membuat domain dan hutan baru dari opsi yang ditawarkan.

Masukkan nama domain, misalnya example.net.

Kami menulis nama domain NetBIOS, tanpa zona:

Pilih tingkat fungsional domain kami:

Karena kekhasan fungsi pengontrol domain, kami juga memasang server DNS.

Lokasi database, file log, dan volume sistem tidak diubah:

Masukkan kata sandi administrator domain:

Kami memeriksa kebenaran pengisian dan jika semuanya sudah beres, klik "Berikutnya".

Setelah ini, proses instalasi akan dimulai, setelah itu akan muncul jendela yang memberitahukan Anda bahwa instalasi berhasil:

Pengantar Direktori Aktif

Laporan tersebut membahas dua jenis jaringan komputer yang dapat dibuat menggunakan sistem operasi Microsoft: workgroup dan domain Active Directory.

Direktori Aktif menyediakan layanan manajemen sistem. Mereka adalah alternatif yang jauh lebih baik daripada grup lokal dan memungkinkan Anda membuat jaringan komputer dengan manajemen yang efisien dan perlindungan data yang andal.

Jika Anda belum pernah menemukan konsep Direktori Aktif sebelumnya dan tidak mengetahui cara kerja layanan tersebut, artikel ini cocok untuk Anda. Mari kita cari tahu apa arti konsep ini, apa kelebihan database tersebut dan cara membuat serta mengkonfigurasinya untuk penggunaan awal.

Direktori Aktif adalah cara manajemen sistem yang sangat nyaman. Dengan menggunakan Direktori Aktif, Anda dapat mengelola data secara efektif.

Layanan ini memungkinkan Anda membuat database tunggal yang dikelola oleh pengontrol domain. Jika Anda memiliki bisnis, mengelola kantor, atau umumnya mengendalikan aktivitas banyak orang yang perlu disatukan, domain seperti itu akan berguna bagi Anda.

Ini mencakup semua objek - komputer, printer, faks, akun pengguna, dll. Jumlah domain tempat data berada disebut “hutan”. Basis data Direktori Aktif adalah lingkungan domain yang jumlah objeknya bisa mencapai hingga 2 miliar. Bisakah Anda bayangkan skala ini?

Artinya, dengan bantuan "hutan" atau database, Anda dapat menghubungkan sejumlah besar karyawan dan peralatan di kantor, dan tanpa terikat ke suatu lokasi - pengguna lain juga dapat terhubung dalam layanan, misalnya, dari kantor perusahaan di kota lain.

Selain itu, dalam kerangka layanan Direktori Aktif, beberapa domain dibuat dan digabungkan - semakin besar perusahaan, semakin banyak alat yang dibutuhkan untuk mengontrol peralatannya di dalam database.

Selanjutnya, ketika jaringan seperti itu dibuat, satu domain pengendali ditentukan, dan bahkan dengan kehadiran domain lain berikutnya, domain asli masih tetap “induk” - yaitu, hanya domain tersebut yang memiliki akses penuh ke manajemen informasi.

Di mana data ini disimpan, dan apa yang menjamin keberadaan domain? Untuk membuat Direktori Aktif, pengontrol digunakan. Biasanya ada dua di antaranya - jika terjadi sesuatu pada salah satunya, informasinya akan disimpan di pengontrol kedua.

Pilihan lain untuk menggunakan database adalah jika, misalnya, perusahaan Anda bekerja sama dengan perusahaan lain, dan Anda harus menyelesaikan proyek bersama. Dalam hal ini, orang yang tidak berwenang mungkin memerlukan akses ke file domain, dan di sini Anda dapat mengatur semacam "hubungan" antara dua "hutan" yang berbeda, memungkinkan akses ke informasi yang diperlukan tanpa membahayakan keamanan data yang tersisa.

Secara umum, Direktori Aktif adalah alat untuk membuat database dalam struktur tertentu, berapa pun ukurannya. Pengguna dan semua peralatan disatukan menjadi satu “hutan”, domain dibuat dan ditempatkan pada pengontrol.

Disarankan juga untuk memperjelas bahwa layanan hanya dapat beroperasi pada perangkat dengan sistem server Windows. Selain itu, 3-4 server DNS dibuat di pengontrol. Mereka melayani zona utama domain, dan jika salah satu dari mereka gagal, server lain menggantikannya.

Setelah tinjauan singkat tentang Active Directory for Dummies, Anda tentu tertarik dengan pertanyaan - mengapa mengubah grup lokal untuk seluruh database? Tentu saja, kemungkinannya jauh lebih luas di sini, dan untuk mengetahui perbedaan lain antara layanan manajemen sistem ini, mari kita lihat lebih dekat kelebihannya.

Manfaat Direktori Aktif

Kelebihan Direktori Aktif adalah:

1. Menggunakan satu sumber daya untuk otentikasi. Dalam situasi ini, Anda perlu menambahkan pada setiap PC semua akun yang memerlukan akses ke informasi umum. Semakin banyak pengguna dan peralatan, semakin sulit untuk menyinkronkan data di antara mereka.

Jadi, saat menggunakan layanan dengan database, akun disimpan di satu titik, dan perubahan segera berlaku di semua komputer.

Bagaimana itu bekerja? Setiap karyawan, yang datang ke kantor, meluncurkan sistem dan masuk ke akunnya. Permintaan login akan secara otomatis dikirimkan ke server dan otentikasi akan dilakukan melaluinya.

Mengenai urutan tertentu dalam menyimpan catatan, Anda selalu dapat membagi pengguna ke dalam kelompok - "Departemen SDM" atau "Akuntansi".

Dalam hal ini, memberikan akses ke informasi menjadi lebih mudah - jika Anda perlu membuka folder untuk karyawan dari satu departemen, Anda melakukannya melalui database. Bersama-sama mereka mendapatkan akses ke folder data yang diperlukan, sementara untuk dokumen lain tetap tertutup.

1. Kontrol atas setiap peserta database.

Jika dalam grup lokal setiap anggotanya independen dan sulit dikendalikan dari komputer lain, maka di domain Anda dapat menetapkan aturan tertentu yang sesuai dengan kebijakan perusahaan.

Sebagai administrator sistem, Anda dapat mengatur pengaturan akses dan pengaturan keamanan, lalu menerapkannya ke setiap grup pengguna. Biasanya, bergantung pada hierarki, beberapa grup dapat diberikan pengaturan yang lebih ketat, sementara grup lainnya dapat diberikan akses ke file dan tindakan lain dalam sistem.

Selain itu, ketika orang baru bergabung dengan perusahaan, komputernya akan segera menerima serangkaian pengaturan yang diperlukan, termasuk komponen untuk bekerja.

1. Fleksibilitas dalam instalasi perangkat lunak.

Berbicara tentang komponen, dengan menggunakan Active Directory Anda dapat menetapkan printer, menginstal program yang diperlukan untuk semua karyawan sekaligus, dan mengatur pengaturan privasi. Secara umum, membuat database akan mengoptimalkan pekerjaan secara signifikan, memantau keamanan, dan menyatukan pengguna untuk efisiensi kerja yang maksimal.

Dan jika sebuah perusahaan mengoperasikan utilitas terpisah atau layanan khusus, mereka dapat disinkronkan dengan domain dan menyederhanakan akses ke domain tersebut. Bagaimana? Jika Anda menggabungkan semua produk yang digunakan di perusahaan, karyawan tidak perlu memasukkan login dan kata sandi yang berbeda untuk memasuki setiap program - informasi ini akan bersifat umum.

Sekarang manfaat dan arti penggunaan Active Directory menjadi jelas, mari kita lihat proses instalasi layanan ini.

Kami menggunakan database pada Windows Server 2012

Menginstal dan mengkonfigurasi Active Directory bukanlah tugas yang sulit dan juga lebih mudah daripada yang terlihat pada pandangan pertama.

Untuk memuat layanan, Anda perlu melakukan hal berikut terlebih dahulu:

1. Ubah nama komputer: klik “Start”, buka Control Panel, pilih “System”. Pilih "Ubah pengaturan" dan di Properti, di seberang baris "Nama komputer", klik "Ubah", masukkan nilai baru untuk PC utama.
2. Nyalakan ulang PC Anda sesuai kebutuhan.
3. Atur pengaturan jaringan seperti ini:
   • Melalui panel kontrol, buka menu dengan jaringan dan berbagi.
   • Sesuaikan pengaturan adaptor. Klik kanan "Properti" dan buka tab "Jaringan".
   • Di jendela dari daftar, klik pada protokol Internet nomor 4, klik lagi pada "Properti".
   • Masukkan pengaturan yang diperlukan, misalnya: Alamat IP - 192.168.10.252, subnet mask - 255.255.255.0, gateway utama - 192.168.10.1.
   • Di baris "Server DNS Pilihan", tentukan alamat server lokal, di "Alternatif..." - alamat server DNS lainnya.
   • Simpan perubahan Anda dan tutup jendela.

Siapkan peran Direktori Aktif seperti ini:

1. Melalui Mulai, buka Manajer Server.
2. Dari menu, pilih Tambahkan Peran dan Fitur.
3. Wizard akan diluncurkan, tetapi Anda dapat melewati jendela pertama yang menjelaskan.
4. Centang baris “Menginstal peran dan komponen”, lanjutkan lebih jauh.
5. Pilih komputer Anda untuk menginstal Active Directory di dalamnya.
6. Dari daftar, pilih peran yang perlu dimuat - dalam kasus Anda itu adalah “Layanan Domain Direktori Aktif”.
7. Sebuah jendela kecil akan muncul meminta Anda mengunduh komponen yang diperlukan untuk layanan - terima saja.
8. Anda kemudian akan diminta untuk menginstal komponen lain - jika Anda tidak memerlukannya, lewati saja langkah ini dengan mengklik "Berikutnya".
9. Wizard pengaturan akan menampilkan jendela dengan deskripsi layanan yang Anda instal - baca dan lanjutkan.
10. Daftar komponen yang akan kita instal akan muncul - periksa apakah semuanya sudah benar, dan jika ya, tekan tombol yang sesuai.
11. Ketika proses selesai, tutup jendela.
12. Selesai - layanan diunduh ke komputer Anda.

Menyiapkan Direktori Aktif

Untuk mengonfigurasi layanan domain, Anda perlu melakukan hal berikut:

• Luncurkan wizard pengaturan dengan nama yang sama.
• Klik penunjuk kuning di bagian atas jendela dan pilih “Promosikan server ke pengontrol domain.”
• Klik tambahkan hutan baru dan buat nama untuk domain root, lalu klik Berikutnya.
• Tentukan mode operasi "hutan" dan domain - paling sering keduanya bertepatan.
• Buat kata sandi, tetapi pastikan untuk mengingatnya. Lanjutkan lebih jauh.
• Setelah ini, Anda mungkin melihat peringatan bahwa domain tidak didelegasikan dan permintaan untuk memeriksa nama domain - Anda dapat melewati langkah-langkah ini.
• Di jendela berikutnya Anda dapat mengubah jalur ke direktori database - lakukan ini jika tidak cocok untuk Anda.
• Sekarang Anda akan melihat semua opsi yang akan Anda atur - periksa apakah Anda telah memilihnya dengan benar dan lanjutkan.
• Aplikasi akan memeriksa apakah prasyarat terpenuhi, dan jika tidak ada komentar, atau tidak kritis, klik “Instal”.
• Setelah instalasi selesai, PC akan reboot dengan sendirinya.

Anda mungkin juga bertanya-tanya bagaimana cara menambahkan pengguna ke database. Untuk melakukannya, gunakan menu "Pengguna atau Komputer Direktori Aktif", yang dapat Anda temukan di bagian "Administrasi" di panel kontrol, atau gunakan menu pengaturan database.

Untuk menambahkan pengguna baru, klik kanan pada nama domain, pilih “Buat”, lalu “Divisi”. Sebuah jendela akan muncul di depan Anda di mana Anda harus memasukkan nama departemen baru - ini berfungsi sebagai folder tempat Anda dapat mengumpulkan pengguna dari berbagai departemen. Dengan cara yang sama, nantinya Anda akan membuat beberapa divisi lagi dan menempatkan semua karyawan dengan benar.

Selanjutnya, ketika Anda telah membuat nama departemen, klik kanan padanya dan pilih “Buat”, lalu “Pengguna”. Sekarang yang tersisa hanyalah memasukkan data yang diperlukan dan mengatur pengaturan akses untuk pengguna.

Saat profil baru dibuat, klik profil tersebut dengan memilih menu konteks dan buka "Properti". Di tab “Akun”, hapus kotak centang di sebelah “Blokir…”. Itu saja.

Kesimpulan umumnya adalah bahwa Direktori Aktif adalah alat manajemen sistem yang kuat dan berguna yang akan membantu menyatukan semua komputer karyawan menjadi satu tim. Dengan menggunakan layanan, Anda dapat membuat database yang aman dan secara signifikan mengoptimalkan pekerjaan dan sinkronisasi informasi antara semua pengguna. Jika perusahaan Anda atau tempat bisnis lainnya terhubung ke komputer dan jaringan elektronik, Anda perlu mengkonsolidasikan akun dan memantau pekerjaan dan kerahasiaan, menginstal database berbasis Direktori Aktif akan menjadi solusi terbaik.

Adakah pengguna pemula yang dihadapkan dengan singkatan AD, bertanya-tanya apa itu Active Directory? Direktori Aktif adalah layanan direktori yang dikembangkan oleh Microsoft untuk jaringan domain Windows. Termasuk di sebagian besar sistem operasi Windows Server sebagai serangkaian proses dan layanan. Awalnya, layanan ini hanya menangani domain. Namun, dimulai dengan Windows Server 2008, AD menjadi nama untuk berbagai layanan identitas berbasis direktori. Hal ini membuat Direktori Aktif untuk pemula menjadi pengalaman belajar yang lebih baik.

Definisi dasar

Server yang menjalankan Layanan Direktori Domain Direktori Aktif disebut pengontrol domain. Ini mengautentikasi dan mengotorisasi semua pengguna dan komputer di domain jaringan Windows, menetapkan dan menerapkan kebijakan keamanan untuk semua PC, dan menginstal atau memperbarui perangkat lunak. Misalnya, saat pengguna masuk ke komputer yang tergabung ke domain Windows, Direktori Aktif memeriksa kata sandi yang diberikan dan menentukan apakah subjeknya adalah administrator sistem atau pengguna standar. Hal ini juga memungkinkan manajemen dan penyimpanan informasi, menyediakan mekanisme otentikasi dan otorisasi, dan menetapkan kerangka kerja untuk menyebarkan layanan terkait lainnya: layanan sertifikat, layanan direktori gabungan dan ringan, dan manajemen hak.

Direktori Aktif menggunakan LDAP versi 2 dan 3, Kerberos versi Microsoft, dan DNS.

Direktori Aktif - apa itu? Dengan kata sederhana tentang kompleks

Memantau data jaringan adalah tugas yang memakan waktu. Bahkan pada jaringan kecil, pengguna biasanya mengalami kesulitan menemukan file dan printer jaringan. Tanpa semacam direktori, jaringan menengah hingga besar tidak dapat dikelola dan seringkali menghadapi kesulitan dalam mencari sumber daya.

Versi Microsoft Windows sebelumnya menyertakan layanan untuk membantu pengguna dan administrator menemukan informasi. Network Neighborhood berguna di banyak lingkungan, namun kelemahan yang jelas adalah antarmuka yang kikuk dan ketidakpastiannya. WINS Manager dan Server Manager dapat digunakan untuk melihat daftar sistem, namun tidak tersedia untuk pengguna akhir. Administrator menggunakan Manajer Pengguna untuk menambah dan menghapus data dari jenis objek jaringan yang sepenuhnya berbeda. Aplikasi ini ternyata tidak efektif untuk jaringan besar dan menimbulkan pertanyaan, mengapa perusahaan memerlukan Active Directory?

Direktori, dalam pengertian paling umum, adalah daftar lengkap objek. Buku telepon adalah jenis direktori yang menyimpan informasi tentang orang, bisnis, dan organisasi pemerintah, danMereka biasanya mencatat nama, alamat dan nomor telepon. Bertanya-tanya Direktori Aktif - apa itu, dengan kata sederhana kita dapat mengatakan bahwa teknologi ini mirip dengan direktori, tetapi jauh lebih fleksibel. AD menyimpan informasi tentang organisasi, situs, sistem, pengguna, share, dan entitas jaringan lainnya.

Pengantar Konsep Direktori Aktif

Mengapa suatu organisasi memerlukan Direktori Aktif? Seperti disebutkan dalam pengantar Direktori Aktif, layanan ini menyimpan informasi tentang komponen jaringan. Panduan Direktori Aktif untuk Pemula menjelaskan hal ini Memungkinkan klien menemukan objek di namespace mereka. Ini t Istilah ini (juga disebut pohon konsol) mengacu pada area di mana komponen jaringan dapat ditempatkan. Misalnya, daftar isi buku membuat namespace di mana bab dapat diberi nomor halaman.

DNS adalah pohon konsol yang menyelesaikan nama host menjadi alamat IP, sepertiBuku telepon menyediakan ruang nama untuk menyelesaikan nama nomor telepon. Bagaimana hal ini terjadi di Direktori Aktif? AD menyediakan pohon konsol untuk menyelesaikan nama objek jaringan ke objek itu sendiri dandapat menyelesaikan berbagai entitas, termasuk pengguna, sistem, dan layanan di jaringan.

Objek dan Atribut

Apa pun yang dilacak Direktori Aktif dianggap sebagai objek. Kita dapat mengatakan dengan kata sederhana bahwa ini ada di Direktori Aktif adalah setiap pengguna, sistem, sumber daya, atau layanan. Istilah umum objek digunakan karena AD mampu melacak banyak elemen, dan banyak objek dapat berbagi atribut yang sama. Apa artinya?

Atribut mendeskripsikan objek di Direktori Aktif, misalnya semua objek pengguna berbagi atribut untuk menyimpan nama pengguna. Hal ini juga berlaku untuk deskripsi mereka. Sistem juga merupakan objek, namun mereka memiliki seperangkat atribut terpisah yang mencakup nama host, alamat IP, dan lokasi.

Kumpulan atribut yang tersedia untuk tipe objek tertentu disebut skema. Itu membuat kelas objek berbeda satu sama lain. Informasi skema sebenarnya disimpan di Direktori Aktif. Bahwa perilaku protokol keamanan ini sangat penting ditunjukkan oleh fakta bahwa desain tersebut memungkinkan administrator untuk menambahkan atribut ke kelas objek dan mendistribusikannya melalui jaringan ke seluruh penjuru domain tanpa memulai ulang pengontrol domain apa pun.

Wadah dan nama LDAP

Kontainer adalah jenis objek khusus yang digunakan untuk mengatur pengoperasian suatu layanan. Itu tidak mewakili entitas fisik seperti pengguna atau sistem. Sebaliknya, ini digunakan untuk mengelompokkan elemen lain. Objek kontainer dapat disarangkan di dalam kontainer lain.

Setiap elemen di AD mempunyai nama. Ini bukan yang biasa Anda lakukan, misalnya Ivan atau Olga. Ini adalah nama-nama istimewa LDAP. Nama-nama yang dibedakan LDAP rumit, namun memungkinkan Anda mengidentifikasi secara unik objek apa pun dalam direktori, apa pun jenisnya.

Pohon istilah dan situs web

Pohon istilah digunakan untuk menggambarkan sekumpulan objek di Direktori Aktif. Apa ini? Secara sederhana, hal ini dapat dijelaskan dengan menggunakan asosiasi pohon. Ketika wadah dan objek digabungkan secara hierarki, mereka cenderung membentuk cabang - sesuai dengan namanya. Istilah terkait adalah subpohon kontinu, yang mengacu pada batang utama pohon yang tidak terputus.

Melanjutkan metafora tersebut, istilah "hutan" menggambarkan koleksi yang bukan merupakan bagian dari namespace yang sama, namun berbagi skema, konfigurasi, dan direktori global yang sama. Objek dalam struktur ini tersedia untuk semua pengguna jika keamanan memungkinkan. Organisasi yang dibagi menjadi beberapa domain harus mengelompokkan pohon ke dalam satu hutan.

Situs adalah lokasi geografis yang ditentukan di Direktori Aktif. Situs sesuai dengan subnet IP logis dan, dengan demikian, dapat digunakan oleh aplikasi untuk menemukan server terdekat di jaringan. Menggunakan informasi situs dari Direktori Aktif dapat mengurangi lalu lintas di WAN secara signifikan.

Manajemen Direktori Aktif

Komponen snap-in Pengguna Direktori Aktif. Ini adalah alat yang paling nyaman untuk mengelola Direktori Aktif. Ini dapat diakses langsung dari grup program Alat Administratif di menu Start. Ini menggantikan dan meningkatkan Server Manager dan User Manager dari Windows NT 4.0.

Keamanan

Direktori Aktif memainkan peran penting di masa depan jaringan Windows. Administrator harus dapat melindungi direktorinya dari penyerang dan pengguna sambil mendelegasikan tugas ke administrator lain. Semua ini dimungkinkan dengan menggunakan model keamanan Direktori Aktif, yang mengaitkan daftar kontrol akses (ACL) dengan setiap atribut kontainer dan objek dalam direktori.

Kontrol tingkat tinggi memungkinkan administrator untuk memberikan tingkat izin yang berbeda kepada pengguna individu dan grup pada objek dan propertinya. Mereka bahkan dapat menambahkan atribut ke objek dan menyembunyikan atribut tersebut dari kelompok pengguna tertentu. Misalnya, Anda dapat mengatur ACL sehingga hanya manajer yang dapat melihat telepon rumah pengguna lain.

Administrasi yang didelegasikan

Sebuah konsep baru pada Windows 2000 Server adalah administrasi yang didelegasikan. Ini memungkinkan Anda untuk menetapkan tugas kepada pengguna lain tanpa memberikan hak akses tambahan. Administrasi yang didelegasikan dapat ditetapkan melalui objek tertentu atau subpohon direktori yang berdekatan. Ini adalah metode pemberian otoritas yang jauh lebih efisien di seluruh jaringan.

DI DALAM tempat seseorang diberikan semua hak administrator domain global, pengguna hanya dapat diberikan izin dalam subpohon tertentu. Direktori Aktif mendukung pewarisan, sehingga setiap objek baru mewarisi ACL wadahnya.

Istilah "hubungan fidusia"

Istilah “hubungan fidusia” masih digunakan, tetapi mempunyai fungsi yang berbeda. Tidak ada perbedaan antara perwalian satu arah dan perwalian dua arah. Bagaimanapun, semua hubungan kepercayaan Direktori Aktif bersifat dua arah. Selain itu, semuanya bersifat transitif. Jadi, jika domain A memercayai domain B, dan B memercayai C, maka terdapat hubungan kepercayaan implisit otomatis antara domain A dan domain C.

Audit di Direktori Aktif - apa maksudnya dengan kata sederhana? Ini adalah fitur keamanan yang memungkinkan Anda menentukan siapa yang mencoba mengakses objek dan seberapa berhasil upaya tersebut.

Menggunakan DNS (Sistem Nama Domain)

Sistem, atau dikenal sebagai DNS, diperlukan untuk organisasi mana pun yang terhubung ke Internet. DNS memberikan resolusi nama antara nama umum, seperti mspress.microsoft.com, dan alamat IP mentah, yang digunakan komponen lapisan jaringan untuk komunikasi.

Direktori Aktif memanfaatkan teknologi DNS secara ekstensif untuk mencari objek. Ini merupakan perubahan signifikan dari sistem operasi Windows sebelumnya, yang mengharuskan nama NetBIOS diselesaikan berdasarkan alamat IP dan bergantung pada WINS atau teknik resolusi nama NetBIOS lainnya.

Direktori Aktif berfungsi paling baik bila digunakan dengan server DNS yang menjalankan Windows 2000. Microsoft telah mempermudah administrator untuk bermigrasi ke server DNS berbasis Windows 2000 dengan menyediakan wizard migrasi yang memandu administrator melalui proses tersebut.

Server DNS lain mungkin digunakan. Namun, hal ini mengharuskan administrator menghabiskan lebih banyak waktu untuk mengelola database DNS. Apa nuansanya? Jika Anda memilih untuk tidak menggunakan server DNS yang menjalankan Windows 2000, Anda harus memastikan bahwa server DNS Anda mematuhi protokol pembaruan dinamis DNS yang baru. Server mengandalkan pembaruan catatan mereka secara dinamis untuk menemukan pengontrol domain. Itu tidak nyaman. Bagaimanapun, eJika pembaruan dinamis tidak didukung, Anda harus memperbarui database secara manual.

Domain Windows dan domain Internet kini sepenuhnya kompatibel. Misalnya, nama seperti mspress.microsoft.com akan mengidentifikasi pengontrol domain Direktori Aktif yang bertanggung jawab atas domain tersebut, sehingga setiap klien dengan akses DNS dapat menemukan pengontrol domain.Pelanggan dapat menggunakan resolusi DNS untuk mencari sejumlah layanan karena server Direktori Aktif menerbitkan daftar alamat ke DNS menggunakan fitur pembaruan dinamis baru. Data ini didefinisikan sebagai domain dan dipublikasikan melalui catatan sumber daya layanan. SRV RR ikuti formatnya layanan.protokol.domain.

Server Direktori Aktif menyediakan layanan LDAP untuk hosting objek, dan LDAP menggunakan TCP sebagai protokol lapisan transport yang mendasarinya. Oleh karena itu, klien yang mencari server Direktori Aktif di domain mspress.microsoft.com akan mencari entri DNS untuk ldap.tcp.mspress.microsoft.com.

Katalog global

Direktori Aktif menyediakan katalog global (GC) danmenyediakan satu sumber untuk mencari objek apa pun di jaringan organisasi.

Katalog Global adalah layanan di Windows 2000 Server yang memungkinkan pengguna menemukan objek apa pun yang telah dibagikan. Fungsionalitas ini jauh lebih unggul daripada aplikasi Temukan Komputer yang disertakan dalam versi Windows sebelumnya. Lagi pula, pengguna dapat mencari objek apa pun di Direktori Aktif: server, printer, pengguna, dan aplikasi.

Karena mengenal bisnis kecil dari dalam, saya selalu tertarik dengan pertanyaan-pertanyaan berikut. Jelaskan mengapa seorang karyawan harus menggunakan browser yang disukai administrator sistem di komputer kerjanya? Atau ambil perangkat lunak lain, misalnya, pengarsip yang sama, klien email, klien pesan instan... Saya dengan lembut mengisyaratkan standardisasi, dan bukan berdasarkan simpati pribadi dari administrator sistem, tetapi atas dasar kecukupan fungsionalitas , biaya pemeliharaan dan dukungan produk perangkat lunak ini. Mari kita mulai menganggap TI sebagai ilmu pasti, dan bukan sebagai kerajinan, ketika semua orang melakukan apa yang mereka inginkan. Sekali lagi, ada banyak masalah dalam usaha kecil. Bayangkan sebuah perusahaan di masa krisis yang sulit mengganti beberapa administrator ini, apa yang harus dilakukan pengguna miskin dalam situasi seperti ini? Terus berlatih ulang?

Mari kita lihat dari sisi lain. Setiap manajer harus memahami apa yang sedang terjadi di perusahaannya (termasuk di bidang TI). Hal ini diperlukan untuk memantau situasi saat ini dan segera merespons munculnya berbagai jenis permasalahan. Namun pemahaman ini lebih penting untuk perencanaan strategis. Toh, dengan memiliki pondasi yang kuat dan kokoh, kita bisa membangun rumah dengan 3 atau 5 lantai, membuat atap dengan berbagai bentuk, membuat balkon atau taman musim dingin. Demikian pula, di bidang TI, kami memiliki landasan yang andal - kami selanjutnya dapat menggunakan produk dan teknologi yang lebih kompleks untuk memecahkan masalah bisnis.

Artikel pertama akan membahas dasar seperti itu - layanan Direktori Aktif. Mereka dirancang untuk menjadi landasan yang kuat bagi infrastruktur TI perusahaan dengan ukuran dan bidang aktivitas apa pun. Apa itu? Jadi mari kita bicara tentang ini...

Mari kita mulai percakapan dengan konsep sederhana - layanan domain dan Direktori Aktif.

Domain adalah unit administratif dasar dalam infrastruktur jaringan suatu perusahaan, yang mencakup semua objek jaringan seperti pengguna, komputer, printer, share, dan lainnya. Kumpulan domain seperti ini disebut hutan.

Layanan Direktori Aktif (Layanan Direktori Aktif) adalah database terdistribusi yang berisi semua objek domain. Lingkungan domain Direktori Aktif menyediakan satu titik autentikasi dan otorisasi bagi pengguna dan aplikasi di seluruh perusahaan. Dengan pengorganisasian domain dan penerapan layanan Direktori Aktif, pembangunan infrastruktur TI perusahaan dimulai.

Basis data Direktori Aktif disimpan di server khusus – pengontrol domain. Layanan Direktori Aktif adalah peran sistem operasi server Microsoft Windows Server. Layanan Direktori Aktif sangat skalabel. Lebih dari 2 miliar objek dapat dibuat di hutan Direktori Aktif, memungkinkan layanan direktori diimplementasikan di perusahaan dengan ratusan ribu komputer dan pengguna. Struktur hierarki domain memungkinkan Anda menskalakan infrastruktur TI secara fleksibel ke semua cabang dan divisi regional perusahaan. Untuk setiap cabang atau divisi suatu perusahaan, domain terpisah dapat dibuat, dengan kebijakannya sendiri, pengguna dan grupnya sendiri. Untuk setiap domain anak, otoritas administratif dapat didelegasikan kepada administrator sistem lokal. Pada saat yang sama, domain anak masih berada di bawah orang tuanya.

Selain itu, Layanan Direktori Aktif memungkinkan Anda mengonfigurasi hubungan kepercayaan antar hutan domain. Setiap perusahaan mempunyai hutan domainnya sendiri, masing-masing dengan sumber dayanya sendiri. Namun terkadang Anda perlu memberikan akses ke sumber daya perusahaan Anda kepada karyawan perusahaan lain - bekerja dengan dokumen dan aplikasi umum sebagai bagian dari proyek bersama. Untuk melakukan hal ini, hubungan saling percaya dapat dibentuk antara hutan organisasi, yang memungkinkan karyawan dari satu organisasi untuk masuk ke domain organisasi lain.

Untuk memastikan toleransi kesalahan pada layanan Direktori Aktif, Anda harus menyebarkan dua atau lebih pengontrol domain di setiap domain. Semua perubahan secara otomatis direplikasi antar pengontrol domain. Jika salah satu pengontrol domain gagal, fungsionalitas jaringan tidak terpengaruh, karena pengontrol lainnya tetap berfungsi. Tingkat ketahanan tambahan diberikan dengan menempatkan server DNS pada pengontrol domain di Direktori Aktif, yang memungkinkan setiap domain memiliki beberapa server DNS yang melayani zona utama domain. Dan jika salah satu server DNS gagal, server lainnya akan terus bekerja. Kami akan membahas peran dan pentingnya server DNS dalam infrastruktur TI di salah satu artikel seri ini.

Namun ini semua adalah aspek teknis dalam penerapan dan pemeliharaan layanan Direktori Aktif. Mari kita bahas manfaat yang diperoleh perusahaan dengan beralih dari jaringan peer-to-peer dan menggunakan kelompok kerja.

1. Titik otentikasi tunggal

Dalam kelompok kerja, di setiap komputer atau server, Anda harus menambahkan secara manual daftar lengkap pengguna yang memerlukan akses jaringan. Jika tiba-tiba salah satu karyawan ingin mengubah passwordnya, maka perlu diubah di semua komputer dan server. Ada baiknya jika jaringan terdiri dari 10 komputer, tetapi bagaimana jika lebih banyak? Saat menggunakan domain Direktori Aktif, semua akun pengguna disimpan dalam satu database, dan semua komputer mencarinya untuk otorisasi. Semua pengguna domain dimasukkan dalam grup yang sesuai, misalnya, “Akuntansi”, “Departemen Keuangan”. Cukup dengan menetapkan izin untuk grup tertentu satu kali, dan semua pengguna akan memiliki akses yang sesuai ke dokumen dan aplikasi. Jika seorang karyawan baru bergabung dengan perusahaan, sebuah akun dibuat untuknya, yang termasuk dalam grup yang sesuai - karyawan tersebut mendapat akses ke semua sumber daya jaringan yang seharusnya dia boleh akses. Jika seorang karyawan berhenti, blokir saja dia dan dia akan segera kehilangan akses ke semua sumber daya (komputer, dokumen, aplikasi).

2. Titik tunggal pengelolaan kebijakan

Dalam sebuah workgroup, semua komputer mempunyai hak yang sama. Tidak ada komputer yang dapat mengontrol komputer lainnya; tidak mungkin memantau kepatuhan terhadap kebijakan dan aturan keamanan yang seragam. Saat menggunakan satu Direktori Aktif, semua pengguna dan komputer didistribusikan secara hierarki ke seluruh unit organisasi, yang masing-masing tunduk pada kebijakan grup yang sama. Kebijakan memungkinkan Anda menetapkan pengaturan seragam dan pengaturan keamanan untuk sekelompok komputer dan pengguna. Saat komputer atau pengguna baru ditambahkan ke domain, secara otomatis menerima pengaturan yang sesuai dengan standar perusahaan yang diterima. Dengan menggunakan kebijakan, Anda dapat menetapkan printer jaringan secara terpusat kepada pengguna, menginstal aplikasi yang diperlukan, mengatur pengaturan keamanan browser, dan mengkonfigurasi aplikasi Microsoft Office.

3. Peningkatan tingkat keamanan informasi

Menggunakan layanan Direktori Aktif secara signifikan meningkatkan tingkat keamanan jaringan. Pertama, ini adalah penyimpanan akun tunggal dan aman. Dalam lingkungan domain, semua kata sandi pengguna domain disimpan di server pengontrol domain khusus, yang biasanya dilindungi dari akses eksternal. Kedua, saat menggunakan lingkungan domain, protokol Kerberos digunakan untuk otentikasi, yang jauh lebih aman daripada NTLM, yang digunakan dalam kelompok kerja.

4. Integrasi dengan aplikasi dan peralatan perusahaan

Keuntungan besar layanan Direktori Aktif adalah kepatuhannya terhadap standar LDAP, yang didukung oleh sistem lain, misalnya server email (Exchange Server), server proxy (ISA Server, TMG). Dan ini belum tentu hanya produk Microsoft. Keuntungan dari integrasi tersebut adalah pengguna tidak perlu mengingat banyak login dan kata sandi untuk mengakses aplikasi tertentu; di semua aplikasi, pengguna memiliki kredensial yang sama - otentikasinya terjadi dalam satu Direktori Aktif. Windows Server menyediakan protokol RADIUS untuk integrasi dengan Active Directory, yang didukung oleh sejumlah besar peralatan jaringan. Dengan demikian, dimungkinkan, misalnya, untuk memastikan otentikasi pengguna domain saat terhubung melalui VPN dari luar, atau penggunaan titik akses Wi-Fi di perusahaan.

5. Penyimpanan konfigurasi aplikasi terpadu

Beberapa aplikasi menyimpan konfigurasinya di Direktori Aktif, seperti Exchange Server. Penyebaran layanan direktori Direktori Aktif merupakan prasyarat agar aplikasi ini dapat berfungsi. Menyimpan konfigurasi aplikasi dalam layanan direktori menawarkan manfaat fleksibilitas dan keandalan. Misalnya, jika terjadi kegagalan total pada server Exchange, seluruh konfigurasinya akan tetap utuh. Untuk memulihkan fungsionalitas email perusahaan, cukup menginstal ulang Exchange Server dalam mode pemulihan.

Sebagai rangkuman, saya ingin menekankan sekali lagi bahwa layanan Direktori Aktif adalah jantung dari infrastruktur TI suatu perusahaan. Jika terjadi kegagalan, seluruh jaringan, semua server, dan pekerjaan semua pengguna akan lumpuh. Tidak seorang pun akan dapat masuk ke komputer atau mengakses dokumen dan aplikasi mereka. Oleh karena itu, layanan direktori harus dirancang dan diterapkan dengan hati-hati, dengan mempertimbangkan semua kemungkinan perbedaan, misalnya bandwidth saluran antar cabang atau kantor perusahaan (kecepatan login pengguna ke sistem, serta pertukaran data antar domain pengontrol, secara langsung bergantung pada ini).