Aktywuj wszystkie publikacje użytkowników. Najlepsze praktyki dotyczące usługi Active Directory. Replikacja danych w Active Directory

Jak to pomoże Aktywny katalog specjaliści?

Oto krótka lista „dodatków”, które można uzyskać wdrażając usługę Active Directory:

  • pojedyncza baza danych rejestracji użytkowników, przechowywana centralnie na jednym lub większej liczbie serwerów; dzięki temu, gdy w biurze pojawi się nowy pracownik, wystarczy, że założysz dla niego konto na serwerze i wskażesz, do jakich stacji roboczych będzie miał dostęp;
  • ponieważ wszystkie zasoby domeny są indeksowane, umożliwia to użytkownikom łatwe i szybkie wyszukiwanie; na przykład, jeśli chcesz znaleźć kolorową drukarkę w dziale;
  • połączenie stosowania uprawnień NTFS, polityk grupowych i delegowania kontroli pozwoli na dostrojenie i dystrybucję praw pomiędzy członkami domeny;
  • mobilne profile użytkowników umożliwiają przechowywanie na serwerze ważnych informacji i ustawień konfiguracyjnych; w rzeczywistości, jeśli użytkownik z profilem mobilnym w domenie usiądzie do pracy na innym komputerze i wprowadzi swoją nazwę użytkownika i hasło, zobaczy swój pulpit ze znanymi mu ustawieniami;
  • za pomocą polityk grupowych możesz zmieniać ustawienia systemów operacyjnych użytkownika, od umożliwienia użytkownikowi ustawienia tapety na pulpicie po ustawienia zabezpieczeń, a także dystrybuować oprogramowanie w sieci, na przykład klienta Volume Shadow Copy itp.;
  • Wiele programów (serwery proxy, serwery baz danych itp.) produkowanych dziś nie tylko przez Microsoft nauczyło się korzystać z uwierzytelniania domenowego, dzięki czemu nie trzeba tworzyć kolejnej bazy danych użytkowników, ale można skorzystać z już istniejącej;
  • Korzystanie z usług instalacji zdalnej ułatwia instalację systemów na stacjach roboczych, ale z kolei działa tylko wtedy, gdy zaimplementowana jest usługa katalogowa.

I to nie jest pełna lista możliwości, ale o tym później. Teraz spróbuję przybliżyć Ci logikę konstrukcji Aktywny katalog, ale znowu warto dowiedzieć się, z czego są zbudowani nasi chłopcy Aktywny katalog- są to Domeny, Drzewa, Lasy, Jednostki Organizacyjne, Grupy Użytkowników i Komputerów.

Domeny - Jest to podstawowa logiczna jednostka konstrukcyjna. W porównaniu do grup roboczych domeny AD to grupy zabezpieczeń posiadające pojedynczą bazę rejestracyjną, podczas gdy grupy robocze są po prostu logicznym powiązaniem komputerów. Usługa AD używa DNS (serwera nazw domen) do usług nazewnictwa i wyszukiwania, a nie WINS (usługa nazw internetowych systemu Windows), jak miało to miejsce we wcześniejszych wersjach systemu NT. Zatem nazwy komputerów w domenie wyglądają np. buh.work.com, gdzie buh to nazwa komputera w domenie work.com (choć nie zawsze tak jest).

Grupy robocze używają nazw NetBIOS. Aby hostować strukturę domeny OGŁOSZENIE Możliwe jest użycie serwera DNS firmy innej niż Microsoft. Musi być jednak kompatybilny z BIND 8.1.2 lub nowszym i obsługiwać rekordy SRV() oraz protokół rejestracji dynamicznej (RFC 2136). Każda domena ma co najmniej jeden kontroler domeny, na którym znajduje się centralna baza danych.

Drzewa - Są to struktury wielodomenowe. Podstawą tej struktury jest domena główna, dla której tworzysz domeny podrzędne. W rzeczywistości Active Directory wykorzystuje strukturę hierarchiczną podobną do struktury domeny w systemie DNS.

Jeżeli mamy domenę work.com (domena pierwszego poziomu) i utworzymy dla niej dwie domeny podrzędne First.work.com i second.work.com (tutaj pierwsza i druga to domeny drugiego poziomu, a nie komputer w domenie , jak w przypadku opisanym powyżej), otrzymujemy drzewo domen.

Drzewa jako struktura logiczna są używane, gdy zachodzi potrzeba podziału oddziałów firmy, na przykład ze względu na położenie geograficzne lub z innych powodów organizacyjnych.

OGŁOSZENIE pomaga automatycznie tworzyć relacje zaufania pomiędzy każdą domeną i jej domenami podrzędnymi.

Tym samym utworzenie domeny First.work.com prowadzi do automatycznego ustanowienia dwustronnej relacji zaufania pomiędzy rodzicem work.com i dzieckiem podrzędnym First.work.com (podobnie w przypadku second.work.com). Dlatego uprawnienia można zastosować z domeny nadrzędnej do domeny podrzędnej i odwrotnie. Nietrudno założyć, że relacje zaufania będą istnieć również w przypadku domen podrzędnych.

Kolejną właściwością relacji zaufania jest przechodniość. Otrzymujemy, że utworzono relację zaufania dla domeny net.first.work.com z domeną work.com.

Las - Podobnie jak drzewa, są to struktury wielodomenowe. Ale las jest połączeniem drzew o różnych domenach korzeniowych.

Załóżmy, że zdecydujesz się mieć wiele domen o nazwach work.com i home.net i utworzysz dla nich domeny podrzędne, ale ponieważ tld (domena najwyższego poziomu) nie jest pod twoją kontrolą, w tym przypadku możesz zorganizować las, wybierając jedną z domeny główne pierwszego poziomu. Piękno tworzenia lasu w tym przypadku polega na dwukierunkowej relacji zaufania między tymi dwiema domenami i ich domenami podrzędnymi.

Pracując jednak z lasami i drzewami należy pamiętać o następujących kwestiach:

  • nie możesz dodać istniejącej domeny do drzewa
  • Do lasu nie można włączyć istniejącego drzewa
  • Gdy domeny zostaną umieszczone w lesie, nie można ich przenieść do innego lasu
  • nie można usunąć domeny zawierającej domeny podrzędne

Jednostki organizacyjne - W zasadzie można je nazwać subdomenami. umożliwiają grupowanie kont użytkowników, grup użytkowników, komputerów, współdzielonych zasobów, drukarek i innych jednostek organizacyjnych (jednostek organizacyjnych) w domenie. Praktyczną korzyścią z ich stosowania jest możliwość delegowania uprawnień do administrowania tymi jednostkami.

Mówiąc najprościej, możesz wyznaczyć administratora w domenie, który może zarządzać jednostką organizacyjną, ale nie ma uprawnień do administrowania całą domeną.

Ważną cechą jednostek organizacyjnych, w przeciwieństwie do grup, jest możliwość stosowania do nich zasad grupowych. „Dlaczego nie można podzielić oryginalnej domeny na wiele domen zamiast używać jednostki organizacyjnej?” - ty pytasz.

Wielu ekspertów zaleca, jeśli to możliwe, posiadanie jednej domeny. Powodem tego jest decentralizacja administracji przy tworzeniu dodatkowej domeny, gdyż administratorzy każdej takiej domeny otrzymują nieograniczoną kontrolę (przypomnę, że delegując uprawnienia administratorom OU, można ograniczyć ich funkcjonalność).

Oprócz tego do utworzenia nowej domeny (nawet podrzędnej) potrzebny będzie inny kontroler. Jeśli masz dwa oddzielne działy połączone wolnym kanałem komunikacyjnym, mogą pojawić się problemy z replikacją. W tym przypadku bardziej właściwe byłoby posiadanie dwóch domen.

Istnieje jeszcze jeden niuans korzystania z zasad grupowych: zasady definiujące ustawienia haseł i blokady kont można stosować tylko do domen. W przypadku jednostek organizacyjnych te ustawienia zasad są ignorowane.

Strony internetowe - Jest to sposób fizycznego oddzielenia usługi katalogowej. Z definicji witryna to grupa komputerów połączonych kanałami szybkiego przesyłania danych.

Jeśli posiadasz kilka oddziałów w różnych częściach kraju, połączonych liniami komunikacyjnymi o małej przepustowości, to dla każdego oddziału możesz stworzyć własną stronę internetową. Ma to na celu zwiększenie niezawodności replikacji katalogów.

Ten podział AD nie wpływa na zasady konstrukcji logicznej, zatem tak jak witryna może zawierać kilka domen i odwrotnie, domena może zawierać kilka witryn. Jednak w tej topologii usług katalogowych jest pewien haczyk. Z reguły do ​​komunikacji z oddziałami wykorzystuje się Internet – jest to bardzo niebezpieczne środowisko. Wiele firm korzysta ze środków bezpieczeństwa, takich jak zapory sieciowe. Usługa katalogowa wykorzystuje w swojej pracy około półtora tuzina portów i usług, których otwarcie, aby ruch AD mógł przejść przez zaporę, tak naprawdę wystawi go „na zewnątrz”. Rozwiązaniem problemu jest zastosowanie technologii tunelowania, a także obecność kontrolera domeny w każdej witrynie w celu przyspieszenia przetwarzania żądań klientów AD.

Przedstawiono logikę zagnieżdżania komponentów usługi katalogowej. Można zauważyć, że las zawiera dwa drzewa domen, w których domena główna drzewa z kolei może zawierać jednostki organizacyjne i grupy obiektów, a także posiadać domeny podrzędne (w tym przypadku po jednej na każdą). Domeny podrzędne mogą również zawierać grupy obiektów i jednostki organizacyjne oraz domeny podrzędne (niepokazane na rysunku). I tak dalej. Przypomnę, że jednostki organizacyjne mogą zawierać jednostki organizacyjne, obiekty i grupy obiektów, a grupy mogą zawierać inne grupy.

Grupy użytkowników i komputerów - są używane do celów administracyjnych i mają takie samo znaczenie, jak te używane na komputerach lokalnych w sieci. W przeciwieństwie do jednostek organizacyjnych zasad grupowych nie można stosować do grup, ale można im delegować zarządzanie. W schemacie Active Directory wyróżnia się dwa typy grup: grupy bezpieczeństwa (służące do różnicowania praw dostępu do obiektów sieciowych) oraz grupy dystrybucyjne (służące głównie do dystrybucji wiadomości e-mail, np. w programie Microsoft Exchange Server).

Są one podzielone według zakresu:

  • grupy uniwersalne może obejmować użytkowników w lesie, a także inne grupy uniwersalne lub grupy globalne dowolnej domeny w lesie
  • globalne grupy domen może obejmować użytkowników domeny i inne globalne grupy tej samej domeny
  • lokalne grupy domeny służy do różnicowania praw dostępu, może obejmować użytkowników domeny, a także grupy uniwersalne i grupy globalne dowolnej domeny w lesie
  • lokalne grupy komputerów– grupy zawierające SAM (menedżer kont bezpieczeństwa) komputera lokalnego. Ich zakres ograniczony jest tylko do danej maszyny, ale mogą obejmować grupy lokalne domeny, w której znajduje się komputer, jak również uniwersalne i globalne grupy własnej domeny lub innej, której ufają. Przykładowo możesz włączyć użytkownika z grupy Użytkownicy lokalni domeny do grupy Administratorzy komputera lokalnego, nadając mu w ten sposób uprawnienia administratora, ale tylko dla tego komputera

Active Directory to usługa katalogowa firmy Microsoft dla rodziny systemów operacyjnych Windows NT.

Usługa ta umożliwia administratorom korzystanie z polityk grupowych w celu zapewnienia jednolitości ustawień środowiska pracy użytkowników, instalacji oprogramowania, aktualizacji itp.

Jaka jest istota Active Directory i jakie problemy rozwiązuje? Czytaj.

Zasady organizacji sieci peer-to-peer i multi-peer

Ale pojawia się inny problem: co się stanie, jeśli użytkownik2 na PC2 zdecyduje się zmienić swoje hasło? Następnie, jeśli użytkownik 1 zmieni hasło do konta, użytkownik 2 na PC1 nie będzie mógł uzyskać dostępu do zasobu.

Inny przykład: mamy 20 stacji roboczych z 20 kontami, do których chcemy zapewnić dostęp do określonego zasobu. Aby to zrobić, musimy utworzyć 20 kont na serwerze plików i zapewnić dostęp do wymaganego zasobu.

A co jeśli nie będzie ich 20, ale 200?

Jak rozumiesz, administracja siecią przy takim podejściu zamienia się w absolutne piekło.

Dlatego podejście grup roboczych jest odpowiednie dla małych sieci biurowych składających się z nie więcej niż 10 komputerów.

Jeżeli w sieci znajduje się więcej niż 10 stacji roboczych, racjonalnie uzasadnione staje się podejście, w którym jednemu węzłowi sieci delegowane są uprawnienia do przeprowadzania uwierzytelniania i autoryzacji.

Węzeł ten jest kontrolerem domeny – Active Directory.

Kontroler domeny

Administrator przechowuje bazę rachunków, tj. przechowuje konta zarówno dla PC1, jak i PC2.

Teraz wszystkie konta są rejestrowane raz na kontrolerze, a potrzeba kont lokalnych staje się nieistotna.

Teraz, gdy użytkownik loguje się do komputera, wprowadzając swoją nazwę użytkownika i hasło, dane te są przesyłane w formie prywatnej do kontrolera domeny, który przeprowadza procedury uwierzytelniania i autoryzacji.

Następnie administrator wydaje zalogowanemu użytkownikowi coś w rodzaju paszportu, z którym później pracuje w sieci i który okazuje na żądanie innych komputerów w sieci, serwerów, z których zasobami chce się połączyć.

Ważny! Kontroler domeny to komputer z usługą Active Directory, który kontroluje dostęp użytkowników do zasobów sieciowych. Przechowuje zasoby (np. drukarki, foldery współdzielone), usługi (np. pocztę elektroniczną), osoby (konta użytkowników i grup użytkowników), komputery (konta komputerów).

Liczba takich przechowywanych zasobów może sięgać milionów obiektów.

Następujące wersje systemu MS Windows mogą pełnić funkcję kontrolera domeny: Windows Server 2000/2003/2008/2012 z wyjątkiem Web-Edition.

Kontroler domeny, oprócz tego, że jest centrum uwierzytelniania sieci, jest także centrum kontroli wszystkich komputerów.

Zaraz po włączeniu komputer zaczyna kontaktować się z kontrolerem domeny, na długo przed pojawieniem się okna uwierzytelniania.

Dzięki temu uwierzytelniany jest nie tylko użytkownik wprowadzający login i hasło, ale także komputer kliencki.

Instalowanie Active Directory

Spójrzmy na przykład instalacji Active Directory w systemie Windows Server 2008 R2. Aby więc zainstalować rolę Active Directory, przejdź do „Menedżera serwera”:

Dodaj rolę „Dodaj role”:

Wybierz rolę Usługi domenowe Active Directory:

I zacznijmy instalację:

Po czym otrzymujemy okno powiadomienia o zainstalowanej roli:

Po zainstalowaniu roli kontrolera domeny przejdźmy do instalacji samego kontrolera.

W polu wyszukiwania programu kliknij „Start”, wpisz nazwę kreatora DCPromo, uruchom go i zaznacz pole zaawansowanych ustawień instalacji:

Kliknij „Dalej” i wybierz opcję utworzenia nowej domeny i lasu z dostępnych opcji.

Wpisz nazwę domeny, na przykład example.net.

Piszemy nazwę domeny NetBIOS, bez strefy:

Wybierz poziom funkcjonalności naszej domeny:

Ze względu na specyfikę funkcjonowania kontrolera domeny instalujemy również serwer DNS.

Lokalizacje bazy danych, pliku dziennika i woluminu systemowego pozostają niezmienione:

Wpisz hasło administratora domeny:

Sprawdzamy poprawność wypełnienia i jeśli wszystko jest w porządku klikamy „Dalej”.

Następnie rozpocznie się proces instalacji, na końcu którego pojawi się okno informujące, że instalacja przebiegła pomyślnie:

Wprowadzenie do Active Directory

W raporcie omówiono dwa typy sieci komputerowych, które można utworzyć przy użyciu systemów operacyjnych Microsoft: grupy roboczej i domeny Active Directory.

Active Directory zapewnia usługi zarządzania systemami. Stanowią znacznie lepszą alternatywę dla grup lokalnych i pozwalają na tworzenie sieci komputerowych z efektywnym zarządzaniem i niezawodną ochroną danych.

Jeśli nie spotkałeś się wcześniej z koncepcją Active Directory i nie wiesz jak działają tego typu usługi, ten artykuł jest dla Ciebie. Zastanówmy się, co oznacza ta koncepcja, jakie są zalety takich baz danych oraz jak je utworzyć i skonfigurować do pierwszego użycia.

Active Directory to bardzo wygodny sposób zarządzania systemem. Korzystając z Active Directory, możesz efektywnie zarządzać swoimi danymi.

Usługi te umożliwiają utworzenie pojedynczej bazy danych zarządzanej przez kontrolery domeny. Jeśli prowadzisz działalność gospodarczą, zarządzasz biurem lub w ogóle kontrolujesz działalność wielu osób, które muszą być zjednoczone, taka domena będzie dla Ciebie przydatna.

Obejmuje wszystkie obiekty - komputery, drukarki, faksy, konta użytkowników itp. Suma domen, w których znajdują się dane, nazywana jest „lasem”. Baza danych Active Directory to środowisko domenowe, w którym liczba obiektów może sięgać nawet 2 miliardów. Wyobrażasz sobie te wagi?

Oznacza to, że za pomocą takiego „lasu” lub bazy danych można podłączyć dużą liczbę pracowników i sprzętu w biurze, a bez przywiązania do lokalizacji - w usługach można także podłączyć innych użytkowników, np. z biura firmy w innym mieście.

Dodatkowo w ramach usług Active Directory tworzy się i łączy kilka domen – im większa firma, tym więcej narzędzi potrzeba do kontrolowania jej sprzętu w obrębie bazy danych.

Co więcej, po utworzeniu takiej sieci ustalana jest jedna domena kontrolująca, a nawet przy późniejszej obecności innych domen, pierwotna nadal pozostaje „nadrzędna” - to znaczy tylko ona ma pełny dostęp do zarządzania informacjami.

Gdzie te dane są przechowywane i co gwarantuje istnienie domen? Do utworzenia Active Directory wykorzystywane są kontrolery. Zwykle jest ich dwóch – jeśli coś stanie się z jednym, informacja zostanie zapisana na drugim kontrolerze.

Inną możliwością wykorzystania bazy jest sytuacja, gdy Twoja firma współpracuje np. z inną i musisz zrealizować wspólny projekt. W takim przypadku osoby nieupoważnione mogą potrzebować dostępu do plików domeny i tutaj można ustawić swego rodzaju „relację” pomiędzy dwoma różnymi „lasami”, umożliwiając dostęp do wymaganych informacji bez narażania bezpieczeństwa pozostałych danych.

Ogólnie rzecz biorąc, Active Directory jest narzędziem służącym do tworzenia bazy danych w ramach określonej struktury, niezależnie od jej wielkości. Użytkownicy i cały sprzęt są zjednoczeni w jeden „las”, tworzone są domeny i umieszczane na kontrolerach.

Wskazane jest również doprecyzowanie, że usługi mogą działać wyłącznie na urządzeniach z systemami serwerowymi Windows. Dodatkowo na kontrolerach tworzone są 3-4 serwery DNS. Obsługują główną strefę domeny, a jeśli jeden z nich ulegnie awarii, zastępują go inne serwery.

Po krótkim omówieniu usługi Active Directory for Dummies naturalnie interesuje Cię pytanie – po co zmieniać grupę lokalną dla całej bazy danych? Oczywiście pole możliwości jest tutaj wielokrotnie szersze i chcąc poznać inne różnice pomiędzy tymi usługami zarządzania systemami, przyjrzyjmy się bliżej ich zaletom.

Korzyści z Active Directory

Zalety Active Directory to:

  1. Używanie jednego zasobu do uwierzytelniania. W tej sytuacji musisz dodać na każdym komputerze wszystkie konta wymagające dostępu do informacji ogólnych. Im więcej użytkowników i sprzętu, tym trudniej jest zsynchronizować te dane między nimi.

I tak, korzystając z usług z bazą danych, konta przechowywane są w jednym miejscu, a zmiany obowiązują od razu na wszystkich komputerach.

Jak to działa? Każdy pracownik przychodząc do biura uruchamia system i loguje się na swoje konto. Żądanie logowania zostanie automatycznie przesłane do serwera i nastąpi za jego pośrednictwem uwierzytelnienie.

Jeśli chodzi o pewną kolejność prowadzenia dokumentacji, zawsze można podzielić użytkowników na grupy – „Dział HR” lub „Księgowość”.

W takim przypadku zapewnienie dostępu do informacji jest jeszcze prostsze – jeśli potrzebujesz otworzyć teczkę dla pracowników jednego działu, robisz to poprzez bazę danych. Razem uzyskują dostęp do wymaganego folderu z danymi, podczas gdy dla pozostałych dokumenty pozostają zamknięte.

  1. Kontrola nad każdym uczestnikiem bazy danych.

Jeżeli w grupie lokalnej każdy członek jest niezależny i trudny do kontrolowania z innego komputera, to w domenach można ustawić pewne reguły zgodne z polityką firmy.

Jako administrator systemu możesz skonfigurować ustawienia dostępu i ustawienia zabezpieczeń, a następnie zastosować je do każdej grupy użytkowników. Naturalnie, w zależności od hierarchii, niektórym grupom można nadać bardziej rygorystyczne ustawienia, a innym uzyskać dostęp do innych plików i akcji w systemie.

Dodatkowo, gdy do firmy dołączy nowa osoba, jej komputer od razu otrzyma niezbędny zestaw ustawień, w skład którego wchodzą komponenty do pracy.

  1. Wszechstronność w instalacji oprogramowania.

A skoro mowa o komponentach, za pomocą Active Directory możesz przypisać drukarki, zainstalować niezbędne programy dla wszystkich pracowników jednocześnie i ustawić ustawienia prywatności. Ogólnie rzecz biorąc, utworzenie bazy danych znacznie zoptymalizuje pracę, monitoruje bezpieczeństwo i zjednoczy użytkowników w celu uzyskania maksymalnej wydajności pracy.

A jeśli firma prowadzi osobne narzędzie lub usługi specjalne, można je zsynchronizować z domenami i uprościć dostęp do nich. Jak? Jeśli połączysz wszystkie produkty używane w firmie, pracownik nie będzie musiał wpisywać różnych loginów i haseł, aby wejść do każdego programu - te informacje będą wspólne.

Teraz, gdy korzyści i znaczenie korzystania z Active Directory stały się jasne, przyjrzyjmy się procesowi instalowania tych usług.

Korzystamy z bazy danych na Windows Server 2012

Instalacja i konfiguracja Active Directory nie jest zadaniem trudnym, a także łatwiejszym niż się wydaje na pierwszy rzut oka.

Aby załadować usługi, musisz najpierw wykonać następujące czynności:

  1. Zmień nazwę komputera: kliknij „Start”, otwórz Panel sterowania, wybierz „System”. Wybierz „Zmień ustawienia” i we Właściwościach, naprzeciwko wiersza „Nazwa komputera”, kliknij „Zmień” i wprowadź nową wartość dla głównego komputera.
  2. Uruchom ponownie komputer zgodnie z wymaganiami.
  3. Skonfiguruj ustawienia sieciowe w następujący sposób:
    • Za pomocą panelu sterowania otwórz menu z sieciami i udostępnianiem.
    • Dostosuj ustawienia adaptera. Kliknij prawym przyciskiem myszy „Właściwości” i otwórz zakładkę „Sieć”.
    • W oknie z listy kliknij Protokół internetowy numer 4, ponownie kliknij „Właściwości”.
    • Wprowadź wymagane ustawienia, np.: adres IP - 192.168.10.252, maska ​​podsieci - 255.255.255.0, brama główna - 192.168.10.1.
    • W wierszu „Preferowany serwer DNS” podaj adres serwera lokalnego, w „Alternatywny...” - adresy pozostałych serwerów DNS.
    • Zapisz zmiany i zamknij okna.

Skonfiguruj role Active Directory w następujący sposób:

  1. Poprzez Start otwórz Menedżera serwera.
  2. Z menu wybierz opcję Dodaj role i funkcje.
  3. Kreator uruchomi się, ale możesz pominąć pierwsze okno z opisem.
  4. Zaznacz wiersz „Instalowanie ról i komponentów”, przejdź dalej.
  5. Wybierz swój komputer, aby zainstalować na nim usługę Active Directory.
  6. Z listy wybierz rolę, którą chcesz załadować - w Twoim przypadku jest to „Usługi domenowe Active Directory”.
  7. Pojawi się małe okno z prośbą o pobranie komponentów wymaganych dla usług - zaakceptuj to.
  8. Następnie zostaniesz poproszony o zainstalowanie innych komponentów - jeśli ich nie potrzebujesz, po prostu pomiń ten krok, klikając „Dalej”.
  9. Kreator instalacji wyświetli okno z opisami instalowanych usług - przeczytaj i przejdź dalej.
  10. Pojawi się lista komponentów, które będziemy instalować - sprawdź, czy wszystko się zgadza, a jeśli tak, wciśnij odpowiedni przycisk.
  11. Po zakończeniu procesu zamknij okno.
  12. To wszystko – usługi zostaną pobrane na Twój komputer.

Konfigurowanie Active Directory

Aby skonfigurować usługę domeny, wykonaj następujące czynności:

  • Uruchom kreatora instalacji o tej samej nazwie.
  • Kliknij żółty wskaźnik u góry okna i wybierz „Awansuj serwer na kontroler domeny”.
  • Kliknij dodaj nowy las i utwórz nazwę domeny głównej, a następnie kliknij Dalej.
  • Określ tryby pracy „lasu” i domeny - najczęściej są one zbieżne.
  • Utwórz hasło, ale pamiętaj o nim. Kontynuuj dalej.
  • Następnie może pojawić się ostrzeżenie, że domena nie została delegowana i monit o sprawdzenie nazwy domeny – możesz pominąć te kroki.
  • W kolejnym oknie możesz zmienić ścieżkę do katalogów bazy danych - zrób to jeśli Ci nie odpowiadają.
  • Zobaczysz teraz wszystkie opcje, które masz zamiar ustawić - sprawdź, czy wybrałeś je poprawnie i przejdź dalej.
  • Aplikacja sprawdzi, czy wymagania wstępne zostały spełnione i jeśli nie ma komentarzy lub nie są one krytyczne, kliknie „Zainstaluj”.
  • Po zakończeniu instalacji komputer samoczynnie uruchomi się ponownie.

Być może zastanawiasz się także, jak dodać użytkownika do bazy danych. W tym celu skorzystaj z menu „Użytkownicy lub komputery Active Directory”, które znajdziesz w sekcji „Administracja” w panelu sterowania lub skorzystaj z menu ustawień bazy danych.

Aby dodać nowego użytkownika, kliknij prawym przyciskiem myszy nazwę domeny, wybierz „Utwórz”, a następnie „Podział”. Pojawi się przed tobą okno, w którym musisz wpisać nazwę nowego działu - służy to jako folder, w którym możesz zbierać użytkowników z różnych działów. W ten sam sposób utworzysz później kilka kolejnych dywizji i prawidłowo rozmieścisz wszystkich pracowników.

Następnie, po utworzeniu nazwy działu, kliknij ją prawym przyciskiem myszy i wybierz „Utwórz”, a następnie „Użytkownik”. Teraz pozostaje już tylko wprowadzić niezbędne dane i ustawić ustawienia dostępu dla użytkownika.

Po utworzeniu nowego profilu kliknij go, wybierając menu kontekstowe i otwórz „Właściwości”. W zakładce „Konto” usuń zaznaczenie obok „Zablokuj...”. To wszystko.

Ogólny wniosek jest taki, że Active Directory to potężne i przydatne narzędzie do zarządzania systemem, które pomoże zjednoczyć wszystkie komputery pracowników w jeden zespół. Korzystając z usług, możesz stworzyć bezpieczną bazę danych i znacznie zoptymalizować pracę oraz synchronizację informacji pomiędzy wszystkimi użytkownikami. Jeśli Twoja firma lub inne miejsce prowadzenia działalności jest podłączone do komputerów i sieci elektronicznych, potrzebujesz konsolidacji kont oraz monitorowania pracy i poufności, instalowanie bazy danych opartej na Active Directory będzie doskonałym rozwiązaniem.

Każdy początkujący użytkownik, spotykając się ze skrótem AD, zastanawia się, czym jest Active Directory? Active Directory to usługa katalogowa opracowana przez firmę Microsoft dla sieci domenowych Windows. Zawarty w większości systemów operacyjnych Windows Server jako zestaw procesów i usług. Początkowo serwis zajmował się wyłącznie domenami. Jednak począwszy od systemu Windows Server 2008, AD stało się nazwą szerokiej gamy usług tożsamości opartych na katalogach. Dzięki temu usługa Active Directory dla początkujących zapewnia lepszą naukę.

Podstawowa definicja

Serwer, na którym działają Usługi katalogowe domeny w usłudze Active Directory, nazywany jest kontrolerem domeny. Uwierzytelnia i autoryzuje wszystkich użytkowników i komputery w domenie sieciowej Windows, przypisuje i egzekwuje zasady bezpieczeństwa dla wszystkich komputerów oraz instaluje lub aktualizuje oprogramowanie. Na przykład, gdy użytkownik loguje się na komputerze przyłączonym do domeny Windows, Active Directory sprawdza podane hasło i określa, czy podmiot jest administratorem systemu, czy użytkownikiem standardowym. Umożliwia także zarządzanie i przechowywanie informacji, zapewnia mechanizmy uwierzytelniania i autoryzacji oraz ustanawia ramy dla wdrażania innych powiązanych usług: usług certyfikatów, stowarzyszonych i lekkich usług katalogowych oraz zarządzania prawami.

Usługa Active Directory korzysta z protokołu LDAP w wersji 2 i 3, wersji protokołu Kerberos firmy Microsoft oraz systemu DNS.

Active Directory – co to jest? W prostych słowach o kompleksie

Monitorowanie danych sieciowych jest zadaniem czasochłonnym. Nawet w małych sieciach użytkownicy zazwyczaj mają trudności ze znalezieniem plików i drukarek sieciowych. Bez jakiegoś katalogu nie można zarządzać średnimi i dużymi sieciami i często napotykają trudności w znajdowaniu zasobów.

Poprzednie wersje systemu Microsoft Windows zawierały usługi pomagające użytkownikom i administratorom w znajdowaniu informacji. Otoczenie sieciowe jest przydatne w wielu środowiskach, ale oczywistą wadą jest nieporęczny interfejs i jego nieprzewidywalność. Menedżera WINS i Menedżera serwera można używać do przeglądania listy systemów, ale nie były one dostępne dla użytkowników końcowych. Administratorzy używali Menedżera użytkowników do dodawania i usuwania danych z zupełnie innego typu obiektu sieciowego. Stwierdzono, że aplikacje te są nieskuteczne w przypadku dużych sieci i nasuwa się pytanie, dlaczego firmy potrzebują Active Directory?

Katalog, w najbardziej ogólnym sensie, to pełna lista obiektów. Książka telefoniczna to rodzaj książki telefonicznej, w której przechowywane są informacje o osobach, firmach i organizacjach rządowych orazZwykle zapisują nazwiska, adresy i numery telefonów. Zastanawianie się Active Directory - co to jest, w prostych słowach można powiedzieć, że jest to technologia podobna do katalogu, ale jest znacznie bardziej elastyczna. AD przechowuje informacje o organizacjach, witrynach, systemach, użytkownikach, udziałach i wszelkich innych jednostkach sieciowych.

Wprowadzenie do koncepcji Active Directory

Dlaczego organizacja potrzebuje Active Directory? Jak wspomniano we wstępie do Active Directory, usługa przechowuje informacje o elementach sieci. Przewodnik po usłudze Active Directory dla początkujących wyjaśnia, że ​​this Umożliwia klientom znajdowanie obiektów w ich przestrzeni nazw. To t Termin (zwany także drzewem konsoli) odnosi się do obszaru, w którym może znajdować się komponent sieciowy. Na przykład spis treści książki tworzy przestrzeń nazw, w której rozdziały można przypisać do numerów stron.

DNS to drzewo konsoli, które tłumaczy nazwy hostów na adresy IP, takie jakKsiążki telefoniczne zapewniają przestrzeń nazw służącą do rozpoznawania nazw numerów telefonów. Jak to się dzieje w Active Directory? Usługa AD zapewnia drzewo konsoli do tłumaczenia nazw obiektów sieciowych na same obiekty imoże rozpoznać szeroką gamę podmiotów, w tym użytkowników, systemy i usługi w sieci.

Obiekty i atrybuty

Wszystko, co śledzi usługa Active Directory, jest uważane za obiekt. W prostych słowach możemy powiedzieć, że jest to w Active Directory to dowolny użytkownik, system, zasób lub usługa. Używany jest wspólny termin obiekt, ponieważ usługa AD może śledzić wiele elementów, a wiele obiektów może mieć wspólne atrybuty. Co to znaczy?

Atrybuty opisują obiekty w Active Directory, na przykład wszystkie obiekty użytkowników mają wspólne atrybuty służące do przechowywania nazwy użytkownika. Dotyczy to również ich opisów. Systemy to także obiekty, ale mają oddzielny zestaw atrybutów, obejmujący nazwę hosta, adres IP i lokalizację.

Zbiór atrybutów dostępnych dla dowolnego konkretnego typu obiektu nazywa się schematem. To sprawia, że ​​klasy obiektów różnią się od siebie. Informacje o schemacie są faktycznie przechowywane w usłudze Active Directory. O tym, że to zachowanie protokołu bezpieczeństwa jest bardzo ważne, świadczy fakt, że projekt umożliwia administratorom dodawanie atrybutów do klas obiektów i dystrybucję ich w sieci do wszystkich zakątków domeny bez konieczności ponownego uruchamiania jakichkolwiek kontrolerów domeny.

Kontener i nazwa LDAP

Kontener to specjalny typ obiektu, który służy do organizacji działania usługi. Nie reprezentuje jednostki fizycznej, takiej jak użytkownik czy system. Zamiast tego służy do grupowania innych elementów. Obiekty kontenerów można zagnieżdżać w innych kontenerach.

Każdy element w AD ma nazwę. To nie są te, do których przywykłeś, na przykład Ivan czy Olga. Są to nazwy wyróżniające LDAP. Nazwy wyróżniające LDAP są złożone, ale umożliwiają jednoznaczną identyfikację dowolnego obiektu w katalogu, niezależnie od jego typu.

Drzewo terminów i strona internetowa

Drzewo terminów służy do opisu zestawu obiektów w usłudze Active Directory. Co to jest? W prostych słowach można to wyjaśnić za pomocą skojarzenia drzewa. Kiedy kontenery i obiekty są łączone hierarchicznie, zwykle tworzą gałęzie - stąd nazwa. Powiązanym terminem jest ciągłe poddrzewo, które odnosi się do nieprzerwanego głównego pnia drzewa.

Kontynuując metaforę, termin „las” opisuje kolekcję, która nie jest częścią tej samej przestrzeni nazw, ale ma wspólny schemat, konfigurację i katalog globalny. Obiekty w tych strukturach są dostępne dla wszystkich użytkowników, jeśli pozwalają na to zabezpieczenia. Organizacje podzielone na wiele domen powinny grupować drzewa w jeden las.

Lokacja to lokalizacja geograficzna zdefiniowana w usłudze Active Directory. Lokacje odpowiadają logicznym podsieciom IP i jako takie mogą być wykorzystywane przez aplikacje do wyszukiwania najbliższego serwera w sieci. Korzystanie z informacji o lokacjach z Active Directory może znacznie zmniejszyć ruch w sieciach WAN.

Zarządzanie usługą Active Directory

Składnik przystawki Użytkownicy usługi Active Directory. Jest to najwygodniejsze narzędzie do administrowania usługą Active Directory. Jest on dostępny bezpośrednio z grupy programów Narzędzia administracyjne w menu Start. Zastępuje i ulepsza Menedżera serwera i Menedżera użytkowników z systemu Windows NT 4.0.


Bezpieczeństwo

Active Directory odgrywa ważną rolę w przyszłości sieci Windows. Administratorzy muszą być w stanie chronić swój katalog przed atakującymi i użytkownikami, delegując zadania innym administratorom. Wszystko to jest możliwe dzięki modelowi zabezpieczeń Active Directory, który kojarzy listę kontroli dostępu (ACL) z każdym atrybutem kontenera i obiektu w katalogu.

Wysoki poziom kontroli pozwala administratorowi na nadawanie poszczególnym użytkownikom i grupom różnych poziomów uprawnień do obiektów i ich właściwości. Mogą nawet dodawać atrybuty do obiektów i ukrywać je przed określonymi grupami użytkowników. Można na przykład ustawić listę ACL tak, aby tylko menedżerowie mogli przeglądać telefony domowe innych użytkowników.

Administracja delegowana

Nowością w systemie Windows 2000 Server jest delegowana administracja. Dzięki temu możesz przydzielać zadania innym użytkownikom bez nadawania dodatkowych praw dostępu. Delegowaną administrację można przypisać poprzez określone obiekty lub ciągłe poddrzewa katalogów. Jest to znacznie wydajniejsza metoda nadawania uprawnień w sieciach.

W miejsce, w którym ktoś ma przypisane wszystkie uprawnienia administratora domeny globalnej, użytkownik może otrzymać uprawnienia tylko w obrębie określonego poddrzewa. Usługa Active Directory obsługuje dziedziczenie, więc każdy nowy obiekt dziedziczy listę ACL swojego kontenera.

Termin „stosunek powierniczy”

Termin „stosunek powierniczy” jest nadal używany, ale ma inną funkcjonalność. Nie ma rozróżnienia pomiędzy trustami jednokierunkowymi i dwukierunkowymi. W końcu wszystkie relacje zaufania Active Directory są dwukierunkowe. Co więcej, wszystkie są przechodnie. Zatem, jeśli domena A ufa domenie B, a B ufa C, wówczas pomiędzy domeną A i domeną C zachodzi automatycznie niejawna relacja zaufania.

Audyt w Active Directory – co w prostych słowach oznacza? Jest to funkcja bezpieczeństwa, która pozwala określić, kto próbuje uzyskać dostęp do obiektów i jak skuteczna jest ta próba.

Korzystanie z DNS (systemu nazw domen)

System, zwany inaczej DNS, jest niezbędny dla każdej organizacji podłączonej do Internetu. System DNS zapewnia rozpoznawanie nazw między nazwami zwyczajowymi, takimi jak mspress.microsoft.com, a nieprzetworzonymi adresami IP, których składniki warstwy sieci używają do komunikacji.

Usługa Active Directory w szerokim zakresie wykorzystuje technologię DNS do wyszukiwania obiektów. Jest to znacząca zmiana w porównaniu z poprzednimi systemami operacyjnymi Windows, które wymagają rozpoznawania nazw NetBIOS na podstawie adresów IP i korzystają z usługi WINS lub innych technik rozpoznawania nazw NetBIOS.

Usługa Active Directory działa najlepiej, gdy jest używana z serwerami DNS z systemem Windows 2000. Firma Microsoft ułatwiła administratorom migrację do serwerów DNS opartych na systemie Windows 2000, udostępniając kreatory migracji, które prowadzą administratora przez ten proces.

Można używać innych serwerów DNS. Będzie to jednak wymagało od administratorów poświęcenia większej ilości czasu na zarządzanie bazami danych DNS. Jakie są niuanse? Jeśli zdecydujesz się nie używać serwerów DNS z systemem Windows 2000, musisz upewnić się, że Twoje serwery DNS są zgodne z nowym protokołem dynamicznej aktualizacji DNS. Serwery polegają na dynamicznym aktualizowaniu swoich rekordów w celu znalezienia kontrolerów domeny. To nie jest wygodne. Przecież tjJeśli aktualizacja dynamiczna nie jest obsługiwana, należy zaktualizować bazy danych ręcznie.

Domeny Windows i domeny internetowe są teraz w pełni kompatybilne. Na przykład nazwa taka jak mspress.microsoft.com będzie identyfikować kontrolery domeny Active Directory odpowiedzialne za domenę, dzięki czemu każdy klient z dostępem do DNS będzie mógł znaleźć kontroler domeny.Klienci mogą używać rozpoznawania nazw DNS do wyszukiwania dowolnej liczby usług, ponieważ serwery Active Directory publikują listę adresów w systemie DNS przy użyciu nowych funkcji aktualizacji dynamicznej. Dane te są definiowane jako domena i publikowane w rekordach zasobów usług. SRV RR zgodnie z formatem domena.protokołu usługi.

Serwery Active Directory zapewniają usługę LDAP do hostowania obiektów, a LDAP używa protokołu TCP jako podstawowego protokołu warstwy transportowej. Dlatego klient szukający serwera Active Directory w domenie mspress.microsoft.com będzie szukał wpisu DNS dla ldap.tcp.mspress.microsoft.com.

Katalog globalny

Usługa Active Directory udostępnia katalog globalny (GC) izapewnia jedno źródło wyszukiwania dowolnego obiektu w sieci organizacji.

Katalog globalny to usługa dostępna w systemie Windows 2000 Server, która umożliwia użytkownikom znajdowanie wszelkich udostępnionych obiektów. Ta funkcjonalność jest znacznie lepsza od aplikacji Znajdź komputer zawartej w poprzednich wersjach systemu Windows. W końcu użytkownicy mogą wyszukiwać dowolne obiekty w Active Directory: serwery, drukarki, użytkowników i aplikacje.

Ponieważ dobrze znam mały biznes od podszewki, zawsze interesowały mnie następujące pytania. Wyjaśnij, dlaczego pracownik powinien korzystać na swoim komputerze w pracy z przeglądarki, którą lubi administrator systemu? Albo weź dowolne inne oprogramowanie, na przykład ten sam archiwizator, klient poczty, komunikator... Delikatnie nawiązuję do standaryzacji, i to nie na podstawie osobistej sympatii administratora systemu, ale na podstawie wystarczalności funkcjonalności , koszty utrzymania i wsparcia dla tych produktów oprogramowania. Zacznijmy traktować informatykę jako naukę ścisłą, a nie rzemiosło, kiedy każdy robi, co mu się podoba. Ponownie, w małych firmach również jest z tym wiele problemów. Wyobraźcie sobie, że firma w trudnym czasie kryzysu zmienia kilku takich administratorów, co w takiej sytuacji powinni zrobić biedni użytkownicy? Ciągle się przekwalifikowywać?

Spójrzmy z drugiej strony. Każdy menedżer powinien rozumieć, co aktualnie dzieje się w jego firmie (także w IT). Jest to niezbędne do monitorowania bieżącej sytuacji i szybkiego reagowania na pojawienie się różnego rodzaju problemów. Ale to zrozumienie jest ważniejsze dla planowania strategicznego. Przecież mając mocny i niezawodny fundament, możemy zbudować dom 3 lub 5-piętrowy, wykonać dach o różnych kształtach, zrobić balkony lub ogród zimowy. Podobnie w IT mamy niezawodny fundament – ​​możemy dalej wykorzystywać bardziej złożone produkty i technologie do rozwiązywania problemów biznesowych.

Pierwszy artykuł będzie mówił o takim fundamencie - usługach Active Directory. Mają za zadanie stać się mocnym fundamentem infrastruktury IT firmy dowolnej wielkości i dowolnego obszaru działalności. Co to jest? Porozmawiajmy więc o tym...

Rozpocznijmy rozmowę od prostych pojęć – usług domenowych i Active Directory.

Domena to podstawowa jednostka administracyjna w infrastrukturze sieciowej przedsiębiorstwa, która obejmuje wszystkie obiekty sieciowe, takie jak użytkownicy, komputery, drukarki, udziały i inne. Zbiór takich domen nazywany jest lasem.

Usługi Active Directory (Usługi Active Directory) to rozproszona baza danych zawierająca wszystkie obiekty domeny. Środowisko domeny Active Directory zapewnia pojedynczy punkt uwierzytelniania i autoryzacji dla użytkowników i aplikacji w całym przedsiębiorstwie. To właśnie wraz z organizacją domeny i wdrożeniem usług Active Directory rozpoczyna się budowa infrastruktury informatycznej przedsiębiorstwa.

Baza danych Active Directory przechowywana jest na dedykowanych serwerach – kontrolerach domen. Usługi Active Directory to rola serwerowych systemów operacyjnych Microsoft Windows Server. Usługi Active Directory są wysoce skalowalne. W lesie Active Directory można utworzyć ponad 2 miliardy obiektów, co pozwala na wdrożenie usługi katalogowej w firmach posiadających setki tysięcy komputerów i użytkowników. Hierarchiczna struktura domen pozwala na elastyczne skalowanie infrastruktury IT do wszystkich oddziałów i oddziałów regionalnych firm. Dla każdego oddziału lub oddziału firmy można utworzyć osobną domenę, z własnymi politykami, własnymi użytkownikami i grupami. Dla każdej domeny podrzędnej uprawnienia administracyjne można przekazać lokalnym administratorom systemu. Jednocześnie domeny podrzędne są w dalszym ciągu podporządkowane swoim rodzicom.

Dodatkowo usługi Active Directory umożliwiają konfigurowanie relacji zaufania pomiędzy lasami domen. Każda firma ma swój las domen, każda z własnymi zasobami. Czasem jednak trzeba udostępnić zasoby swojej firmy pracownikom innej firmy – pracując ze wspólnymi dokumentami i aplikacjami w ramach wspólnego projektu. W tym celu można ustanowić relacje zaufania pomiędzy lasami organizacyjnymi, co umożliwi pracownikom jednej organizacji logowanie się do domeny innej.

Aby zapewnić odporność na awarie usług Active Directory, należy wdrożyć co najmniej dwa kontrolery domeny w każdej domenie. Wszystkie zmiany są automatycznie replikowane pomiędzy kontrolerami domeny. Jeśli jeden z kontrolerów domeny ulegnie awarii, nie ma to wpływu na funkcjonalność sieci, ponieważ pozostałe nadal działają. Dodatkowy poziom odporności zapewnia umieszczenie serwerów DNS na kontrolerach domeny w usłudze Active Directory, co umożliwia każdej domenie posiadanie wielu serwerów DNS obsługujących strefę podstawową domeny. A jeśli jeden z serwerów DNS ulegnie awarii, pozostałe będą nadal działać. O roli i znaczeniu serwerów DNS w infrastrukturze IT porozmawiamy w jednym z artykułów z serii.

Ale to wszystko są techniczne aspekty wdrażania i utrzymywania usług Active Directory. Porozmawiajmy o korzyściach, jakie osiąga firma, odchodząc od sieci peer-to-peer i korzystając z grup roboczych.

1. Pojedynczy punkt uwierzytelnienia

W grupie roboczej na każdym komputerze lub serwerze będziesz musiał ręcznie dodać pełną listę użytkowników potrzebujących dostępu do sieci. Jeśli nagle jeden z pracowników będzie chciał zmienić swoje hasło, trzeba będzie je zmienić na wszystkich komputerach i serwerach. Dobrze, jeśli sieć składa się z 10 komputerów, ale co, jeśli jest ich więcej? Podczas korzystania z domeny Active Directory wszystkie konta użytkowników są przechowywane w jednej bazie danych i wszystkie komputery szukają w niej autoryzacji. Wszyscy użytkownicy domeny ujęci są w odpowiednich grupach, np. „Księgowość”, „Dział Finansów”. Wystarczy raz ustawić uprawnienia dla określonych grup, a wszyscy użytkownicy będą mieli odpowiedni dostęp do dokumentów i aplikacji. Jeżeli do firmy dołączy nowy pracownik, tworzone jest dla niego konto, które trafia do odpowiedniej grupy - pracownik uzyskuje dostęp do wszystkich zasobów sieciowych, do których powinien mieć dostęp. Jeśli pracownik odejdzie, po prostu go zablokuj, a natychmiast straci dostęp do wszystkich zasobów (komputerów, dokumentów, aplikacji).

2. Jeden punkt zarządzania polityką

W grupie roboczej wszystkie komputery mają równe prawa. Żaden z komputerów nie może kontrolować drugiego; nie da się monitorować przestrzegania jednolitych polityk i zasad bezpieczeństwa. Podczas korzystania z pojedynczej usługi Active Directory wszyscy użytkownicy i komputery są hierarchicznie rozdzieleni w jednostkach organizacyjnych, z których każda podlega tym samym zasadom grupy. Polityki umożliwiają ustawienie jednolitych ustawień i ustawień zabezpieczeń dla grupy komputerów i użytkowników. Kiedy do domeny dodawany jest nowy komputer lub użytkownik, automatycznie otrzymuje on ustawienia zgodne z przyjętymi standardami korporacyjnymi. Za pomocą polityk możesz centralnie przypisywać użytkownikom drukarki sieciowe, instalować niezbędne aplikacje, konfigurować ustawienia zabezpieczeń przeglądarki i konfigurować aplikacje Microsoft Office.

3. Podwyższony poziom bezpieczeństwa informacji

Korzystanie z usług Active Directory znacznie zwiększa poziom bezpieczeństwa sieci. Po pierwsze, jest to jedno i bezpieczne przechowywanie kont. W środowisku domeny wszystkie hasła użytkowników domeny są przechowywane na dedykowanych serwerach kontrolerów domeny, które są zwykle chronione przed dostępem z zewnątrz. Po drugie, w przypadku korzystania ze środowiska domenowego do uwierzytelnienia wykorzystywany jest protokół Kerberos, który jest znacznie bezpieczniejszy niż NTLM stosowany w grupach roboczych.

4. Integracja z aplikacjami i sprzętem korporacyjnym

Dużą zaletą usług Active Directory jest zgodność ze standardem LDAP, który jest obsługiwany przez inne systemy, np. serwery pocztowe (Exchange Server), serwery proxy (ISA Server, TMG). I niekoniecznie są to wyłącznie produkty Microsoftu. Zaletą takiej integracji jest to, że użytkownik nie musi pamiętać dużej liczby loginów i haseł, aby uzyskać dostęp do konkretnej aplikacji; we wszystkich aplikacjach użytkownik ma te same dane uwierzytelniające – jego uwierzytelnienie odbywa się w jednym Active Directory. Windows Server udostępnia protokół RADIUS do integracji z Active Directory, który jest obsługiwany przez dużą liczbę urządzeń sieciowych. Dzięki temu możliwe jest np. zapewnienie uwierzytelnienia użytkowników domeny podczas łączenia się poprzez VPN z zewnątrz, czy korzystanie z punktów dostępowych Wi-Fi w firmie.

5. Ujednolicone przechowywanie konfiguracji aplikacji

Niektóre aplikacje, np. Exchange Server, przechowują swoją konfigurację w Active Directory. Warunkiem wstępnym działania tych aplikacji jest wdrożenie usługi katalogowej Active Directory. Przechowywanie konfiguracji aplikacji w usłudze katalogowej zapewnia elastyczność i niezawodność. Przykładowo w przypadku całkowitej awarii serwera Exchange cała jego konfiguracja pozostanie nienaruszona. Aby przywrócić funkcjonalność poczty firmowej, wystarczy ponownie zainstalować Exchange Server w trybie odzyskiwania.

Podsumowując, chciałbym jeszcze raz podkreślić, że usługi Active Directory są sercem infrastruktury IT przedsiębiorstwa. W przypadku awarii cała sieć, wszystkie serwery i praca wszystkich użytkowników zostaną sparaliżowane. Nikt nie będzie mógł zalogować się do komputera ani uzyskać dostępu do swoich dokumentów i aplikacji. Dlatego usługę katalogową należy starannie zaprojektować i wdrożyć, biorąc pod uwagę wszystkie możliwe niuanse, na przykład przepustowość kanałów między oddziałami lub biurami firmy (szybkość logowania użytkownika do systemu, a także wymianę danych między domenami kontrolery, bezpośrednio od tego zależy).