Ako to pomôže Aktívny adresáršpecialistov?

Tu je malý zoznam „dobrôt“, ktoré môžete získať nasadením služby Active Directory:

• registračná databáza jedného užívateľa, ktorá je uložená centrálne na jednom alebo viacerých serveroch; teda, keď sa v kancelárii objaví nový zamestnanec, budete mu musieť vytvoriť účet na serveri a uviesť, ku ktorým pracovným staniciam má prístup;
• keďže všetky zdroje domény sú indexované, umožňuje to používateľom jednoduché a rýchle vyhľadávanie; napríklad, ak potrebujete nájsť farebnú tlačiareň v oddelení;
• kombinácia použitia povolení NTFS, skupinových zásad a delegovania kontroly vám umožní doladiť a rozdeliť práva medzi členmi domény;
• roamingové užívateľské profily umožňujú ukladať dôležité informácie a konfiguračné nastavenia na serveri; v skutočnosti, ak si používateľ s roamingovým profilom v doméne sadne k práci na inom počítači a zadá svoje používateľské meno a heslo, zobrazí sa mu pracovná plocha s nastaveniami, ktoré pozná;
• pomocou skupinových zásad môžete zmeniť nastavenia operačných systémov používateľov, od umožnenia používateľovi nastaviť tapetu na pracovnej ploche až po nastavenia zabezpečenia a tiež distribuovať softvér cez sieť, napríklad klienta Volume Shadow Copy atď.;
• Mnohé programy (proxy servery, databázové servery atď.), ktoré dnes vyrába nielen Microsoft, sa naučili používať doménovú autentifikáciu, takže nemusíte vytvárať ďalšiu databázu používateľov, ale môžete použiť existujúcu;
• Používanie Služieb vzdialenej inštalácie uľahčuje inštaláciu systémov na pracovné stanice, ale funguje len vtedy, ak je implementovaná adresárová služba.

A toto nie je úplný zoznam možností, ale o tom neskôr. Teraz sa vám pokúsim povedať logiku výstavby Aktívny adresár, ale opäť stojí za to zistiť, z čoho sú naši chlapci Aktívny adresár- sú to domény, stromy, lesy, organizačné jednotky, skupiny používateľov a počítačov.

Domény - Toto je základná logická jednotka konštrukcie. V porovnaní s pracovnými skupinami AD domény sú bezpečnostné skupiny, ktoré majú jedinú registračnú základňu, zatiaľ čo pracovné skupiny sú len logickým združením strojov. AD používa DNS (Domain Name Server) na pomenovanie a vyhľadávacie služby, a nie WINS (Windows Internet Name Service), ako to bolo v starších verziách NT. Názvy počítačov v doméne teda vyzerajú napríklad buh.work.com, kde buh je názov počítača v doméne work.com (aj keď nie vždy to tak je).

Pracovné skupiny používajú názvy NetBIOS. Hostiť štruktúru domény AD Je možné použiť server DNS od inej spoločnosti ako Microsoft. Musí však byť kompatibilný s BIND 8.1.2 alebo vyšším a podporovať záznamy SRV(), ako aj Dynamic Registration Protocol (RFC 2136). Každá doména má aspoň jeden radič domény, ktorý je hostiteľom centrálnej databázy.

stromy - Ide o multidoménové štruktúry. Koreň tejto štruktúry je hlavnou doménou, pre ktorú vytvárate dcérske domény. V skutočnosti Active Directory používa hierarchickú štruktúru podobnú štruktúre domény v DNS.

Ak máme doménu work.com (doména prvej úrovne) a vytvoríme pre ňu dve podriadené domény first.work.com a second.work.com (tu prvá a druhá sú domény druhej úrovne a nie počítač v doméne , ako v prípade opísanom vyššie), skončíme so stromom domén.

Stromy ako logická štruktúra sa používajú, keď potrebujete rozdeliť pobočky spoločnosti, napríklad podľa geografie, alebo z iných organizačných dôvodov.

AD pomáha automaticky vytvárať dôveryhodné vzťahy medzi každou doménou a jej dcérskymi doménami.

Vytvorenie domény first.work.com teda vedie k automatickému nadviazaniu obojsmerného dôveryhodného vzťahu medzi rodičom work.com a dieťaťom first.work.com (podobne ako pre second.work.com). Povolenia je teda možné aplikovať z nadradenej domény na podriadenú doménu a naopak. Nie je ťažké predpokladať, že dôveryhodné vzťahy budú existovať aj pre podriadené domény.

Ďalšou vlastnosťou dôveryhodných vzťahov je tranzitivita. Dostaneme, že pre doménu net.first.work.com s doménou work.com je vytvorený vzťah dôvery.

Les - Rovnako ako stromy sú to štruktúry s viacerými doménami. ale les je spojenie stromov, ktoré majú rôzne koreňové domény.

Predpokladajme, že sa rozhodnete mať viacero domén s názvom work.com a home.net a vytvoríte pre ne podriadené domény, ale pretože tld (doména najvyššej úrovne) nie je pod vašou kontrolou, v tomto prípade môžete usporiadať les výberom jednej z koreňové domény prvej úrovne. Krása vytvorenia lesa je v tomto prípade obojsmerný dôveryhodný vzťah medzi týmito dvoma doménami a ich podriadenými doménami.

Pri práci s lesmi a stromami však musíte pamätať na nasledovné:

• do stromu nemôžete pridať existujúcu doménu
• Do lesa nemôžete zahrnúť existujúci strom
• Po umiestnení domén do lesa ich nemožno presunúť do iného lesa
• nemôžete odstrániť doménu, ktorá má podradené domény

Organizačné jednotky - V zásade ich možno nazvať subdomény. vám umožňujú zoskupovať používateľské účty, skupiny používateľov, počítače, zdieľané zdroje, tlačiarne a iné OU (organizačné jednotky) v doméne. Praktickým prínosom ich využitia je možnosť delegovania práv na správu týchto jednotiek.

Jednoducho povedané, v doméne môžete určiť administrátora, ktorý môže spravovať OU, ale nemá práva na správu celej domény.

Dôležitou vlastnosťou OU je na rozdiel od skupín možnosť aplikovať na ne skupinové politiky. "Prečo nemôžete rozdeliť pôvodnú doménu na viacero domén namiesto použitia OU?" - pýtaš sa.

Mnoho odborníkov odporúča mať jednu doménu, ak je to možné. Dôvodom je decentralizácia správy pri vytváraní ďalšej domény, keďže správcovia každej takejto domény dostávajú neobmedzenú kontrolu (pripomínam, že pri delegovaní práv na správcov OU môžete obmedziť ich funkčnosť).

Okrem toho budete na vytvorenie novej domény (aj podradenej) potrebovať ďalší radič. Ak máte dve samostatné oddelenia prepojené pomalým komunikačným kanálom, môžu nastať problémy s replikáciou. V tomto prípade by bolo vhodnejšie mať dve domény.

Existuje ešte jedna nuansa používania skupinových politík: politiky, ktoré definujú nastavenia hesiel a blokovanie účtov, možno použiť iba na domény. V prípade organizačných jednotiek sa tieto nastavenia politiky ignorujú.

webové stránky - Toto je spôsob, ako fyzicky oddeliť adresárovú službu. Podľa definície je stránka skupinou počítačov prepojených kanálmi rýchleho prenosu údajov.

Ak máte niekoľko pobočiek v rôznych častiach krajiny, prepojených nízkorýchlostnými komunikačnými linkami, tak si pre každú pobočku môžete vytvoriť vlastnú webovú stránku. Toto sa robí s cieľom zvýšiť spoľahlivosť replikácie adresárov.

Toto rozdelenie AD nemá vplyv na princípy logickej konštrukcie, preto rovnako ako stránka môže obsahovať viacero domén a naopak, doména môže obsahovať viacero lokalít. Táto topológia adresárovej služby má však háčik. Na komunikáciu s pobočkami sa spravidla používa internet – veľmi neisté prostredie. Mnoho spoločností používa bezpečnostné opatrenia, ako sú brány firewall. Adresárová služba pri svojej práci využíva asi jeden a pol tuctu portov a služieb, ktorých otvorenie pre AD prevádzku cez firewall ju v skutočnosti odhalí „vonku“. Riešením problému je použitie technológie tunelovania, ako aj prítomnosť doménového radiča v každej lokalite na urýchlenie spracovania požiadaviek AD klientov.

Je prezentovaná logika vnorenia komponentov adresárovej služby. Je vidieť, že les obsahuje dva stromy domén, v ktorých koreňová doména stromu môže obsahovať organizačné jednotky a skupiny objektov a tiež mať podradené domény (v tomto prípade jednu pre každú). Podriadené domény môžu obsahovať aj skupiny objektov a organizačné jednotky a môžu mať podriadené domény (nie sú zobrazené na obrázku). A tak ďalej. Dovoľte mi pripomenúť, že OU môžu obsahovať OU, objekty a skupiny objektov a skupiny môžu obsahovať iné skupiny.

Skupiny používateľov a počítačov - sa používajú na administratívne účely a majú rovnaký význam ako pri použití na lokálnych počítačoch v sieti. Na rozdiel od OU sa skupinové politiky nedajú aplikovať na skupiny, ale je možné im delegovať správu. V rámci schémy Active Directory existujú dva typy skupín: bezpečnostné skupiny (používajú sa na rozlíšenie prístupových práv k sieťovým objektom) a distribučné skupiny (používajú sa najmä na distribúciu e-mailových správ, napríklad na serveri Microsoft Exchange).

Sú rozdelené podľa rozsahu:

• univerzálne skupiny môže zahŕňať používateľov v rámci lesa, ako aj iné univerzálne skupiny alebo globálne skupiny akejkoľvek domény v lese
• globálne skupiny domén môžu zahŕňať používateľov domény a iné globálne skupiny rovnakej domény
• lokálne skupiny domény používané na rozlíšenie prístupových práv, môžu zahŕňať používateľov domény, ako aj univerzálne skupiny a globálne skupiny ľubovoľnej domény v lese
• lokálne počítačové skupiny– skupiny, ktoré obsahujú SAM (správca bezpečnostných účtov) lokálneho počítača. Ich rozsah je obmedzený len na daný stroj, ale môžu zahŕňať lokálne skupiny domény, v ktorej sa počítač nachádza, ako aj univerzálne a globálne skupiny vlastnej domény alebo inej, ktorej dôverujú. Môžete napríklad zahrnúť používateľa z lokálnej skupiny Users domény do skupiny Administrators na lokálnom počítači, čím mu udelíte práva správcu, ale iba pre tento počítač.

Active Directory je adresárová služba spoločnosti Microsoft pre rodinu operačných systémov Windows NT.

Táto služba umožňuje správcom používať skupinové politiky na zabezpečenie jednotnosti nastavení používateľského pracovného prostredia, inštalácie softvéru, aktualizácií atď.

Čo je podstatou Active Directory a aké problémy rieši? Pokračuj v čítaní.

Princípy organizácie peer-to-peer a multi-peer sietí

Vyvstáva však ďalší problém, čo ak sa používateľ2 na PC2 rozhodne zmeniť svoje heslo? Potom, ak používateľ1 zmení heslo účtu, používateľ2 na PC1 nebude mať prístup k prostriedku.

Ďalší príklad: máme 20 pracovných staníc s 20 účtami, ktorým chceme poskytnúť prístup k určitému .Na to musíme vytvoriť 20 účtov na súborovom serveri a poskytnúť prístup k požadovanému zdroju.

Čo ak ich nie je 20, ale 200?

Ako viete, správa siete sa týmto prístupom mení na absolútne peklo.

Preto je prístup pracovnej skupiny vhodný pre malé kancelárske siete s maximálne 10 počítačmi.

Ak je v sieti viac ako 10 pracovných staníc, prístup, v ktorom sú jednému uzlu siete delegované práva na vykonávanie autentifikácie a autorizácie, sa stáva racionálne opodstatneným.

Tento uzol je radič domény – Active Directory.

Domain Controller

Prevádzkovateľ uchováva databázu účtov, t.j. ukladá účty pre PC1 aj PC2.

Teraz sú všetky účty zaregistrované raz v ovládači a potreba miestnych účtov stráca zmysel.

Teraz, keď sa používateľ prihlási do počítača a zadá svoje používateľské meno a heslo, tieto údaje sa v súkromnej forme prenesú do radiča domény, ktorý vykoná postupy overovania a autorizácie.

Potom správca vydá používateľovi, ktorý sa prihlásil niečo ako pas, s ktorým následne pracuje v sieti a ktorý predkladá na žiadosť iných sieťových počítačov, serverov, ku ktorým sa chce pripojiť.

Dôležité! Radič domény je počítač so službou Active Directory, ktorý riadi prístup používateľov k sieťovým prostriedkom. Ukladá zdroje (napr. tlačiarne, zdieľané priečinky), služby (napr. e-mail), ľudí (účty používateľov a skupín používateľov), počítače (počítačové účty).

Počet takto uložených zdrojov môže dosiahnuť milióny objektov.

Nasledujúce verzie MS Windows môžu fungovať ako doménový radič: Windows Server 2000/2003/2008/2012 okrem Web-Edition.

Radič domény, okrem toho, že je autentifikačným centrom pre sieť, je aj riadiacim centrom pre všetky počítače.

Ihneď po zapnutí začne počítač kontaktovať radič domény, dlho predtým, ako sa zobrazí okno overenia.

Overí sa teda nielen používateľ zadávajúci prihlasovacie meno a heslo, ale aj klientsky počítač.

Inštalácia Active Directory

Pozrime sa na príklad inštalácie služby Active Directory v systéme Windows Server 2008 R2. Ak chcete nainštalovať rolu Active Directory, prejdite na „Správca servera“:

Pridajte rolu „Pridať roly“:

Vyberte rolu Active Directory Domain Services:

A začnime s inštaláciou:

Potom dostaneme okno s upozornením o nainštalovanej role:

Po nainštalovaní role radiča domény pristúpime k inštalácii samotného radiča.

Kliknite na „Štart“ vo vyhľadávacom poli programu, zadajte názov sprievodcu DCPromo, spustite ho a začiarknite políčko pre rozšírené nastavenia inštalácie:

Kliknite na „Ďalej“ a vyberte si vytvorenie novej domény a lesa z ponúkaných možností.

Zadajte názov domény, napríklad example.net.

Píšeme názov domény NetBIOS bez zóny:

Vyberte funkčnú úroveň našej domény:

Kvôli zvláštnostiam fungovania doménového radiča inštalujeme aj DNS server.

Umiestnenia databázy, protokolového súboru a systémového zväzku zostanú nezmenené:

Zadajte heslo správcu domény:

Skontrolujeme správnosť vyplnenia a ak je všetko v poriadku, kliknite na „Ďalej“.

Potom sa spustí proces inštalácie, na konci ktorého sa zobrazí okno informujúce o úspešnosti inštalácie:

Úvod do Active Directory

Správa pojednáva o dvoch typoch počítačových sietí, ktoré možno vytvoriť pomocou operačných systémov Microsoft: pracovnej skupine a doméne Active Directory.

Služba Active Directory poskytuje služby správy systémov. Sú oveľa lepšou alternatívou k lokálnym skupinám a umožňujú vytvárať počítačové siete s efektívnou správou a spoľahlivou ochranou dát.

Ak ste sa ešte nestretli s konceptom Active Directory a neviete, ako takéto služby fungujú, tento článok je určený práve vám. Poďme zistiť, čo tento koncept znamená, aké sú výhody takýchto databáz a ako ich vytvoriť a nakonfigurovať na prvé použitie.

Active Directory je veľmi pohodlný spôsob správy systému. Pomocou služby Active Directory môžete efektívne spravovať svoje údaje.

Tieto služby vám umožňujú vytvoriť jednu databázu spravovanú radičmi domény. Ak vlastníte firmu, riadite kanceláriu alebo celkovo ovládate činnosť mnohých ľudí, ktorí sa potrebujú zjednotiť, takáto doména sa vám bude hodiť.

Zahŕňa všetky objekty – počítače, tlačiarne, faxy, používateľské účty atď. Súčet domén, na ktorých sa údaje nachádzajú, sa nazýva „les“. Databáza Active Directory je doménové prostredie, v ktorom môže byť počet objektov až 2 miliardy. Viete si predstaviť tieto váhy?

To znamená, že pomocou takéhoto „lesa“ alebo databázy môžete pripojiť veľké množstvo zamestnancov a zariadení v kancelárii a bez viazanosti na miesto - v službách môžu byť pripojení aj ďalší používatelia, napr. z kancelárie spoločnosti v inom meste.

Okrem toho sa v rámci služieb Active Directory vytvára a kombinuje viacero domén – čím väčšia firma, tým viac nástrojov na ovládanie jej vybavenia v rámci databázy.

Ďalej, keď je takáto sieť vytvorená, je určená jedna kontrolná doména a aj pri následnej prítomnosti ďalších domén ostáva tá pôvodná stále „rodičovská“ – teda iba ona má plný prístup k správe informácií.

Kde sú tieto údaje uložené a čo zabezpečuje existenciu domén? Na vytvorenie Active Directory sa používajú radiče. Väčšinou sú dve – ak sa jednému niečo stane, informácia sa uloží na druhý ovládač.

Ďalšou možnosťou využitia databázy je, ak napríklad vaša firma spolupracuje s inou a vy musíte dokončiť spoločný projekt. V tomto prípade môžu neoprávnené osoby potrebovať prístup k súborom domény a tu môžete nastaviť akýsi „vzťah“ medzi dvoma rôznymi „lesmi“, ktorý umožní prístup k požadovaným informáciám bez toho, aby ste ohrozili bezpečnosť zostávajúcich údajov.

Vo všeobecnosti je Active Directory nástroj na vytváranie databázy v rámci určitej štruktúry bez ohľadu na jej veľkosť. Používatelia a všetko vybavenie sú zjednotení do jedného „lesa“, vytvárajú sa domény a umiestňujú sa na radiče.

Je tiež vhodné objasniť, že služby môžu fungovať iba na zariadeniach so serverovými systémami Windows. Okrem toho sú na radičoch vytvorené 3-4 servery DNS. Obsluhujú hlavnú zónu domény a ak jeden z nich zlyhá, nahradia ho iné servery.

Po krátkom prehľade Active Directory for Dummies vás prirodzene zaujíma otázka – prečo meniť lokálnu skupinu pre celú databázu? Pole možností je tu samozrejme mnohonásobne širšie a aby sme zistili ďalšie rozdiely medzi týmito službami pre správu systému, pozrime sa bližšie na ich výhody.

Výhody služby Active Directory

Výhody Active Directory sú:

1. Použitie jedného zdroja na autentifikáciu. V tejto situácii musíte na každý počítač pridať všetky účty, ktoré vyžadujú prístup k všeobecným informáciám. Čím viac používateľov a zariadení je, tým ťažšie je synchronizovať tieto údaje medzi nimi.

A tak pri používaní služieb s databázou sú účty uložené v jednom bode a zmeny sa prejavia okamžite na všetkých počítačoch.

Ako to funguje? Každý zamestnanec, ktorý príde do kancelárie, spustí systém a prihlási sa do svojho účtu. Požiadavka na prihlásenie sa automaticky odošle na server a cez ňu prebehne autentifikácia.

Čo sa týka určitého poradia vo vedení evidencie, vždy môžete používateľov rozdeliť do skupín – „HR oddelenie“ alebo „účtovníctvo“.

V tomto prípade je ešte jednoduchšie poskytnúť prístup k informáciám – ak potrebujete otvoriť priečinok pre zamestnancov z jedného oddelenia, urobíte to cez databázu. Spoločne získajú prístup k požadovanému priečinku s údajmi, iným zostávajú dokumenty zatvorené.

1. Kontrola nad každým účastníkom databázy.

Ak je v lokálnej skupine každý člen nezávislý a ťažko ovládateľný z iného počítača, potom v doménach môžete nastaviť určité pravidlá, ktoré sú v súlade s firemnou politikou.

Ako správca systému môžete nastaviť nastavenia prístupu a nastavenia zabezpečenia a potom ich použiť pre každú skupinu používateľov. Prirodzene, v závislosti od hierarchie môžu mať niektoré skupiny prísnejšie nastavenia, zatiaľ čo iné môžu mať prístup k iným súborom a akciám v systéme.

Navyše, keď do spoločnosti vstúpi nový človek, jeho počítač okamžite dostane potrebnú sadu nastavení, ktorá obsahuje komponenty pre prácu.

1. Všestrannosť pri inštalácii softvéru.

Keď už hovoríme o komponentoch, pomocou Active Directory môžete priradiť tlačiarne, nainštalovať potrebné programy pre všetkých zamestnancov naraz a nastaviť nastavenia súkromia. Vo všeobecnosti vytvorenie databázy výrazne optimalizuje prácu, monitoruje bezpečnosť a zjednocuje používateľov pre maximálnu efektivitu práce.

A ak spoločnosť prevádzkuje samostatnú utilitu alebo špeciálne služby, je možné ich synchronizovať s doménami a zjednodušiť prístup k nim. Ako? Ak skombinujete všetky produkty používané vo firme, zamestnanec nebude musieť pre vstup do každého programu zadávať rôzne prihlasovacie mená a heslá – tieto informácie budú spoločné.

Teraz, keď sú výhody a význam používania Active Directory jasné, pozrime sa na proces inštalácie týchto služieb.

Používame databázu na Windows Server 2012

Inštalácia a konfigurácia Active Directory nie je náročná úloha a je tiež jednoduchšia, ako sa na prvý pohľad zdá.

Ak chcete načítať služby, musíte najprv urobiť nasledovné:

1. Zmeňte názov počítača: kliknite na „Štart“, otvorte Ovládací panel, vyberte „Systém“. Vyberte „Zmeniť nastavenia“ a vo vlastnostiach oproti riadku „Názov počítača“ kliknite na „Zmeniť“ a zadajte novú hodnotu pre hlavný počítač.
2. Reštartujte počítač podľa potreby.
3. Nastavte sieťové nastavenia takto:
   • Prostredníctvom ovládacieho panela otvorte ponuku so sieťami a zdieľaním.
   • Upravte nastavenia adaptéra. Kliknite pravým tlačidlom myši na „Vlastnosti“ a otvorte kartu „Sieť“.
   • V okne zo zoznamu kliknite na internetový protokol číslo 4, znova kliknite na „Vlastnosti“.
   • Zadajte požadované nastavenia, napríklad: IP adresa - 192.168.10.252, maska ​​podsiete - 255.255.255.0, hlavná brána - 192.168.10.1.
   • V riadku „Preferovaný server DNS“ zadajte adresu lokálneho servera v časti „Alternatívny...“ - iné adresy servera DNS.
   • Uložte zmeny a zatvorte okná.

Nastavte roly Active Directory takto:

1. Prostredníctvom Štart otvorte Správcu servera.
2. V ponuke vyberte položku Pridať roly a funkcie.
3. Spustí sa sprievodca, ale prvé okno s popisom môžete preskočiť.
4. Skontrolujte riadok „Inštalácia rolí a komponentov“, pokračujte ďalej.
5. Vyberte svoj počítač, do ktorého chcete nainštalovať Active Directory.
6. Zo zoznamu vyberte rolu, ktorú je potrebné načítať – vo vašom prípade je to „Doménové služby Active Directory“.
7. Zobrazí sa malé okno so žiadosťou o stiahnutie komponentov potrebných pre služby - akceptujte to.
8. Potom budete vyzvaní na inštaláciu ďalších komponentov – ak ich nepotrebujete, jednoducho tento krok preskočte kliknutím na „Ďalej“.
9. Sprievodca nastavením zobrazí okno s popismi služieb, ktoré inštalujete – prečítajte si a pokračujte.
10. Objaví sa zoznam komponentov, ktoré ideme inštalovať – skontrolujte, či je všetko správne, a ak áno, stlačte príslušné tlačidlo.
11. Po dokončení procesu zatvorte okno.
12. To je všetko - služby sa stiahnu do vášho počítača.

Nastavenie služby Active Directory

Ak chcete nakonfigurovať službu domény, musíte urobiť nasledovné:

• Spustite sprievodcu nastavením s rovnakým názvom.
• Kliknite na žltý ukazovateľ v hornej časti okna a vyberte možnosť „Povýšiť server na radič domény“.
• Kliknite na pridať nový les a vytvorte názov pre koreňovú doménu a potom kliknite na Ďalej.
• Uveďte prevádzkové režimy „lesa“ a domény - najčastejšie sa zhodujú.
• Vytvorte si heslo, ale nezabudnite si ho zapamätať. Pokračujte ďalej.
• Potom sa môže zobraziť upozornenie, že doména nie je delegovaná, a výzva na kontrolu názvu domény – tieto kroky môžete preskočiť.
• V ďalšom okne môžete zmeniť cestu k adresárom databáz - urobte to, ak vám nevyhovujú.
• Teraz sa vám zobrazia všetky možnosti, ktoré sa chystáte nastaviť – skontrolujte, či ste ich vybrali správne a pokračujte ďalej.
• Aplikácia skontroluje, či sú splnené predpoklady, a ak nie sú žiadne komentáre alebo nie sú kritické, kliknite na „Inštalovať“.
• Po dokončení inštalácie sa počítač sám reštartuje.

Možno vás tiež zaujíma, ako pridať používateľa do databázy. Na to slúži menu "Používatelia alebo počítače Active Directory", ktoré nájdete v ovládacom paneli v sekcii "Správa", alebo použite ponuku nastavení databázy.

Ak chcete pridať nového používateľa, kliknite pravým tlačidlom myši na názov domény, vyberte „Vytvoriť“ a potom „Rozdelenie“. Pred vami sa zobrazí okno, kde je potrebné zadať názov nového oddelenia – slúži ako priečinok, do ktorého môžete zhromažďovať používateľov z rôznych oddelení. Rovnakým spôsobom neskôr vytvoríte niekoľko ďalších divízií a správne umiestnite všetkých zamestnancov.

Potom, keď ste vytvorili názov oddelenia, kliknite naň pravým tlačidlom myši a vyberte „Vytvoriť“ a potom „Používateľ“. Teraz už zostáva len zadať potrebné údaje a nastaviť nastavenia prístupu pre používateľa.

Po vytvorení nového profilu naň kliknite výberom kontextového menu a otvorte „Vlastnosti“. Na karte „Účet“ zrušte začiarknutie políčka vedľa položky „Blokovať...“. To je všetko.

Všeobecným záverom je, že Active Directory je výkonný a užitočný nástroj na správu systému, ktorý pomôže zjednotiť všetky počítače zamestnancov do jedného tímu. Pomocou služieb môžete vytvoriť bezpečnú databázu a výrazne optimalizovať prácu a synchronizáciu informácií medzi všetkými používateľmi. Ak je vaša spoločnosť alebo akékoľvek iné miesto podnikania pripojené k elektronickým počítačom a sieťam, potrebujete konsolidovať účty a monitorovať prácu a dôvernosť, inštalácia databázy na báze Active Directory bude vynikajúcim riešením.

Každý začínajúci používateľ, ktorý čelí skratke AD, sa pýta, čo je Active Directory? Active Directory je adresárová služba vyvinutá spoločnosťou Microsoft pre siete domény Windows. Zahrnuté vo väčšine operačných systémov Windows Server ako súbor procesov a služieb. Spočiatku sa služba zaoberala iba doménami. Počnúc systémom Windows Server 2008 sa však AD stalo názvom pre širokú škálu služieb identity založených na adresároch. Vďaka tomu je Active Directory pre začiatočníkov lepším zážitkom pri učení.

Základná definícia

Server, na ktorom sú spustené služby Active Directory Domain Directory Services, sa nazýva radič domény. Overuje a autorizuje všetkých používateľov a počítače v sieťovej doméne Windows, priraďuje a presadzuje zásady zabezpečenia pre všetky počítače a inštaluje alebo aktualizuje softvér. Napríklad, keď sa používateľ prihlási do počítača, ktorý je pripojený k doméne Windows, Active Directory skontroluje poskytnuté heslo a určí, či je subjekt správca systému alebo štandardný používateľ. Umožňuje tiež správu a ukladanie informácií, poskytuje autentifikačné a autorizačné mechanizmy a vytvára rámec pre nasadenie ďalších súvisiacich služieb: certifikačné služby, federatívne a zjednodušené adresárové služby a správu práv.

Active Directory používa LDAP verzie 2 a 3, verziu Kerberos od spoločnosti Microsoft a DNS.

Active Directory - čo to je? Jednoducho povedané o komplexe

Monitorovanie sieťových údajov je časovo náročná úloha. Dokonca aj v malých sieťach majú používatelia zvyčajne problém nájsť sieťové súbory a tlačiarne. Bez určitého druhu adresára nemožno spravovať stredné až veľké siete a často čelia ťažkostiam pri hľadaní zdrojov.

Predchádzajúce verzie systému Microsoft Windows obsahovali služby, ktoré používateľom a správcom pomohli nájsť informácie. Network Neighborhood je užitočný v mnohých prostrediach, ale zjavnou nevýhodou je neohrabané rozhranie a jeho nepredvídateľnosť. WINS Manager a Server Manager možno použiť na zobrazenie zoznamu systémov, ale neboli dostupné pre koncových používateľov. Správcovia používali Správcu používateľov na pridávanie a odstraňovanie údajov z úplne iného typu sieťového objektu. Zistilo sa, že tieto aplikácie sú pre veľké siete neúčinné a vyvolali otázku, prečo spoločnosti potrebujú Active Directory?

Adresár je v najvšeobecnejšom zmysle úplný zoznam objektov. Telefónny zoznam je typ adresára, v ktorom sú uložené informácie o ľuďoch, firmách a vládnych organizáciách aZvyčajne zaznamenávajú mená, adresy a telefónne čísla. Premýšľal Active Directory - čo to je, jednoduchými slovami môžeme povedať, že táto technológia je podobná adresáru, ale je oveľa flexibilnejšia. AD ukladá informácie o organizáciách, lokalitách, systémoch, používateľoch, zdieľaných zložkách a akejkoľvek inej sieťovej entite.

Úvod do konceptov Active Directory

Prečo organizácia potrebuje Active Directory? Ako bolo spomenuté v úvode Active Directory, služba ukladá informácie o sieťových komponentoch. Sprievodca Active Directory pre začiatočníkov vysvetľuje, že toto Umožňuje klientom nájsť objekty v ich mennom priestore. Toto t Termín (nazývaný aj strom konzoly) označuje oblasť, v ktorej sa môže nachádzať sieťový komponent. Napríklad obsah knihy vytvára priestor názvov, v ktorom môžu byť kapitoly priradené k číslam strán.

DNS je strom konzoly, ktorý prekladá názvy hostiteľov na IP adresy, ako naprTelefónne zoznamy poskytujú priestor mien na rozlíšenie mien pre telefónne čísla. Ako sa to stane v Active Directory? AD poskytuje strom konzoly na rozlíšenie názvov sieťových objektov na samotné objekty adokáže vyriešiť širokú škálu entít vrátane používateľov, systémov a služieb v sieti.

Objekty a atribúty

Čokoľvek, čo Active Directory sleduje, sa považuje za objekt. Jednoduchými slovami môžeme povedať, že je to v Active Directory je akýkoľvek používateľ, systém, zdroj alebo služba. Používa sa bežný termín objekt, pretože AD je schopný sledovať mnoho prvkov a mnohé objekty môžu zdieľať spoločné atribúty. Čo to znamená?

Atribúty popisujú objekty v Active Directory, napríklad všetky používateľské objekty zdieľajú atribúty na uloženie používateľského mena. To platí aj pre ich popisy. Systémy sú tiež objekty, ale majú samostatnú sadu atribútov, ktoré zahŕňajú názov hostiteľa, IP adresu a umiestnenie.

Súbor atribútov dostupných pre akýkoľvek konkrétny typ objektu sa nazýva schéma. Odlišuje od seba triedy objektov. Informácie o schéme sú v skutočnosti uložené v Active Directory. To, že toto správanie bezpečnostného protokolu je veľmi dôležité, dokazuje skutočnosť, že dizajn umožňuje správcom pridávať atribúty do tried objektov a distribuovať ich cez sieť do všetkých kútov domény bez reštartovania akýchkoľvek doménových radičov.

Kontajner a názov LDAP

Kontajner je špeciálny typ objektu, ktorý sa používa na organizáciu prevádzky služby. Nepredstavuje fyzickú entitu, ako je používateľ alebo systém. Namiesto toho sa používa na zoskupenie iných prvkov. Objekty kontajnera môžu byť vnorené do iných kontajnerov.

Každý prvok v AD má meno. Nie sú to tie, na ktoré ste zvyknutí napríklad Ivan či Oľga. Toto sú charakteristické názvy LDAP. Rozlišovacie názvy LDAP sú zložité, ale umožňujú vám jednoznačne identifikovať akýkoľvek objekt v adresári bez ohľadu na jeho typ.

Strom podmienok a webová stránka

Termín strom sa používa na opis množiny objektov v Active Directory. Čo to je? Jednoducho povedané, možno to vysvetliť pomocou asociácie stromu. Keď sú kontajnery a objekty hierarchicky kombinované, majú tendenciu vytvárať vetvy - odtiaľ názov. Súvisiacim pojmom je súvislý podstrom, ktorý označuje neprerušený hlavný kmeň stromu.

Pokračujúc v metafore, výraz „les“ opisuje kolekciu, ktorá nie je súčasťou rovnakého menného priestoru, ale zdieľa spoločnú schému, konfiguráciu a globálny adresár. Objekty v týchto štruktúrach sú dostupné všetkým používateľom, ak to bezpečnosť umožňuje. Organizácie rozdelené do viacerých domén by mali zoskupovať stromy do jedného lesa.

Lokalita je geografická poloha definovaná v Active Directory. Lokality zodpovedajú logickým podsieťam IP a ako také ich aplikácie môžu použiť na nájdenie najbližšieho servera v sieti. Používanie informácií o lokalite zo služby Active Directory môže výrazne znížiť návštevnosť sietí WAN.

Správa Active Directory

Modul snap-in pre používateľov služby Active Directory. Toto je najpohodlnejší nástroj na správu Active Directory. Je priamo prístupný z programovej skupiny Nástroje na správu v ponuke Štart. Nahrádza a vylepšuje Server Manager a User Manager z Windows NT 4.0.

Bezpečnosť

Active Directory hrá dôležitú úlohu v budúcnosti sietí Windows. Správcovia musia byť schopní chrániť svoj adresár pred útočníkmi a používateľmi a zároveň delegovať úlohy na iných správcov. Toto všetko je možné pomocou bezpečnostného modelu Active Directory, ktorý priraďuje zoznam riadenia prístupu (ACL) ku každému atribútu kontajnera a objektu v adresári.

Vysoká úroveň kontroly umožňuje správcovi udeľovať jednotlivým používateľom a skupinám rôzne úrovne oprávnení na objekty a ich vlastnosti. Môžu dokonca pridávať atribúty k objektom a skryť tieto atribúty pred určitými skupinami používateľov. Môžete napríklad nastaviť zoznam prístupových práv tak, aby si domáce telefóny iných používateľov mohli prezerať iba manažéri.

Delegovaná správa

Novým konceptom Windows 2000 Server je delegovaná správa. To vám umožňuje prideľovať úlohy iným používateľom bez udeľovania ďalších prístupových práv. Delegovaná správa môže byť priradená prostredníctvom špecifických objektov alebo súvislých podstromov adresárov. Toto je oveľa efektívnejší spôsob udeľovania autority naprieč sieťami.

IN miesto, kde má niekto pridelené všetky práva globálneho správcu domény, môžu byť používateľovi udelené povolenia iba v rámci konkrétneho podstromu. Služba Active Directory podporuje dedičnosť, takže všetky nové objekty zdedia zoznam prístupových práv svojho kontajnera.

Termín "správcovský vzťah"

Termín „správcovský vzťah“ sa stále používa, ale má inú funkčnosť. Nerozlišuje sa medzi jednosmernými a obojsmernými trustmi. Koniec koncov, všetky vzťahy dôveryhodnosti služby Active Directory sú obojsmerné. Navyše sú všetky tranzitívne. Ak teda doména A dôveruje doméne B a doména B dôveruje doméne C, potom medzi doménou A a doménou C existuje automatický implicitný dôveryhodný vzťah.

Audit v Active Directory – čo to je jednoduchými slovami? Toto je bezpečnostná funkcia, ktorá vám umožňuje určiť, kto sa pokúša o prístup k objektom a nakoľko je tento pokus úspešný.

Používanie DNS (Domain Name System)

Systém, inak známy ako DNS, je potrebný pre každú organizáciu pripojenú na internet. DNS poskytuje rozlíšenie názvov medzi bežnými názvami, ako je mspress.microsoft.com, a nespracovanými IP adresami, ktoré komponenty sieťovej vrstvy používajú na komunikáciu.

Služba Active Directory vo veľkej miere využíva technológiu DNS na vyhľadávanie objektov. Ide o významnú zmenu v porovnaní s predchádzajúcimi operačnými systémami Windows, ktoré vyžadujú, aby názvy NetBIOS boli preložené podľa IP adries a spoliehali sa na WINS alebo iné techniky rozlíšenia názvov NetBIOS.

Služba Active Directory funguje najlepšie pri použití so servermi DNS so systémom Windows 2000. Spoločnosť Microsoft uľahčila správcom migráciu na servery DNS založené na systéme Windows 2000 poskytnutím sprievodcov migráciou, ktorí správcu prevedú celým procesom.

Môžu sa použiť iné servery DNS. To si však bude vyžadovať, aby správcovia venovali viac času správe databáz DNS. Aké sú nuansy? Ak sa rozhodnete nepoužívať servery DNS so systémom Windows 2000, musíte zabezpečiť, aby vaše servery DNS vyhovovali novému protokolu dynamickej aktualizácie DNS. Servery sa spoliehajú na dynamickú aktualizáciu svojich záznamov, aby našli radiče domény. Nie je to pohodlné. Veď naprAk dynamická aktualizácia nie je podporovaná, musíte databázy aktualizovať manuálne.

Domény Windows a internetové domény sú teraz plne kompatibilné. Napríklad názov ako mspress.microsoft.com identifikuje radiče domény Active Directory zodpovedné za doménu, takže každý klient s prístupom DNS môže nájsť radič domény.Zákazníci môžu použiť rozlíšenie DNS na vyhľadanie ľubovoľného počtu služieb, pretože servery Active Directory zverejňujú zoznam adries pre DNS pomocou nových funkcií dynamickej aktualizácie. Tieto údaje sú definované ako doména a zverejnené prostredníctvom záznamov o zdrojoch služieb. SRV RR dodržujte formát doména.protokol služby.

Servery Active Directory poskytujú službu LDAP na hosťovanie objektov a LDAP používa TCP ako základný protokol transportnej vrstvy. Preto klient, ktorý hľadá server Active Directory v doméne mspress.microsoft.com, bude hľadať položku DNS pre ldap.tcp.mspress.microsoft.com.

Globálny katalóg

Active Directory poskytuje globálny katalóg (GC) aposkytuje jediný zdroj na vyhľadávanie akéhokoľvek objektu v sieti organizácie.

Globálny katalóg je služba v systéme Windows 2000 Server, ktorá umožňuje používateľom nájsť ľubovoľné objekty, ktoré boli zdieľané. Táto funkcia je oveľa lepšia ako aplikácia Nájsť počítač, ktorá bola súčasťou predchádzajúcich verzií systému Windows. Koniec koncov, používatelia môžu hľadať akýkoľvek objekt v Active Directory: servery, tlačiarne, používateľov a aplikácie.

Keďže som dobre oboznámený s malým podnikaním zvnútra, vždy ma zaujímali nasledujúce otázky. Vysvetlite, prečo by mal zamestnanec na svojom pracovnom počítači používať prehliadač, ktorý má rád správca systému? Alebo si vezmite akýkoľvek iný softvér, napríklad ten istý archivátor, emailový klient, instant messaging klient... jemne narážam na štandardizáciu, a to nie na základe osobných sympatií správcu systému, ale na základe dostatočnosti funkčnosti náklady na údržbu a podporu týchto softvérových produktov. Začnime IT považovať za exaktnú vedu, a nie za remeslo, keď si každý robí ako chce. Opäť je s tým tiež veľa problémov v malých podnikoch. Predstavte si, že firma v ťažkej dobe krízy vystrieda viacerých týchto správcov, čo by mali chudáci užívatelia v takejto situácii robiť? Neustále sa preškoľovať?

Pozrime sa z druhej strany. Každý manažér by mal rozumieť tomu, čo sa momentálne deje v jeho spoločnosti (vrátane IT). Je to potrebné na sledovanie aktuálnej situácie a na promptnú reakciu na vznik rôznych typov problémov. Toto pochopenie je však dôležitejšie pre strategické plánovanie. Koniec koncov, keď máme pevný a spoľahlivý základ, môžeme postaviť dom s 3 alebo 5 poschodiami, urobiť strechu rôznych tvarov, urobiť balkóny alebo zimnú záhradu. Podobne aj v IT máme spoľahlivý základ – vieme ďalej využívať komplexnejšie produkty a technológie na riešenie biznis problémov.

Prvý článok bude hovoriť o takejto nadácii - službách Active Directory. Sú navrhnuté tak, aby sa stali silným základom pre IT infraštruktúru spoločnosti akejkoľvek veľkosti a akejkoľvek oblasti činnosti. Čo to je? Poďme sa teda porozprávať o tomto...

Začnime rozhovor s jednoduchými pojmami – doména a služby Active Directory.

doména je základná administratívna jednotka v podnikovej sieťovej infraštruktúre, ktorá zahŕňa všetky sieťové objekty, ako sú používatelia, počítače, tlačiarne, zdieľané položky a ďalšie. Zbierka takýchto domén sa nazýva les.

Active Directory Services (Active Directory Services) sú distribuovaná databáza, ktorá obsahuje všetky doménové objekty. Prostredie domény Active Directory poskytuje jediný bod autentifikácie a autorizácie pre používateľov a aplikácie v celom podniku. Práve organizáciou domény a nasadením služieb Active Directory sa začína budovanie podnikovej IT infraštruktúry.

Databáza Active Directory je uložená na dedikovaných serveroch – doménových radičoch. Služba Active Directory je úlohou serverových operačných systémov Microsoft Windows Server. Služba Active Directory je vysoko škálovateľná. V doméne Active Directory je možné vytvoriť viac ako 2 miliardy objektov, čo umožňuje implementáciu adresárovej služby v spoločnostiach so stovkami tisíc počítačov a používateľov. Hierarchická štruktúra domén umožňuje flexibilne škálovať IT infraštruktúru na všetky pobočky a regionálne divízie spoločností. Pre každú pobočku alebo divíziu spoločnosti môže byť vytvorená samostatná doména s vlastnými politikami, vlastnými používateľmi a skupinami. Pre každú podradenú doménu je možné delegovať administratívne oprávnenie na lokálnych systémových administrátorov. Podriadené domény sú zároveň stále podriadené svojim rodičom.

Služba Active Directory Services vám navyše umožňuje konfigurovať vzťahy dôveryhodnosti medzi doménovými lesmi. Každá spoločnosť má svoj vlastný les domén, z ktorých každá má svoje vlastné zdroje. Niekedy však potrebujete poskytnúť prístup k vašim firemným zdrojom aj zamestnancom inej spoločnosti – prácu so spoločnými dokumentmi a aplikáciami v rámci spoločného projektu. Na tento účel je možné nastaviť dôveryhodné vzťahy medzi organizačnými lesmi, ktoré umožnia zamestnancom jednej organizácie prihlásiť sa do domény inej.

Na zabezpečenie odolnosti voči chybám pre služby Active Directory musíte nasadiť dva alebo viac radičov domény v každej doméne. Všetky zmeny sa automaticky replikujú medzi radičmi domény. Ak jeden z radičov domény zlyhá, funkčnosť siete to neovplyvní, pretože zostávajúce naďalej fungujú. Ďalšiu úroveň odolnosti poskytuje umiestnenie serverov DNS na radiče domény v službe Active Directory, čo umožňuje každej doméne mať viacero serverov DNS obsluhujúcich primárnu zónu domény. A ak jeden zo serverov DNS zlyhá, ostatné budú naďalej fungovať. O úlohe a význame DNS serverov v IT infraštruktúre si povieme v jednom z článkov seriálu.

Ale to všetko sú technické aspekty implementácie a údržby služieb Active Directory. Poďme sa porozprávať o výhodách, ktoré spoločnosť získa odklonom od sietí typu peer-to-peer a používaním pracovných skupín.

1. Jediný bod autentifikácie

V pracovnej skupine na každom počítači alebo serveri budete musieť ručne pridať úplný zoznam používateľov, ktorí vyžadujú prístup k sieti. Ak si zrazu jeden zo zamestnancov bude chcieť zmeniť heslo, bude ho potrebné zmeniť na všetkých počítačoch a serveroch. Je dobré, ak sa sieť skladá z 10 počítačov, ale čo ak ich je viac? Pri použití domény Active Directory sú všetky používateľské účty uložené v jednej databáze a všetky počítače v nej hľadajú autorizáciu. Všetci používatelia domény sú zaradení do príslušných skupín, napríklad „Účtovníctvo“, „Finančné oddelenie“. Stačí raz nastaviť povolenia pre určité skupiny a všetci používatelia budú mať príslušný prístup k dokumentom a aplikáciám. Ak do firmy nastúpi nový zamestnanec, vytvorí sa mu účet, ktorý sa zaradí do príslušnej skupiny – zamestnanec získa prístup ku všetkým sieťovým zdrojom, ku ktorým má mať povolený prístup. Ak zamestnanec skončí, stačí ho zablokovať a okamžite stratí prístup ku všetkým zdrojom (počítače, dokumenty, aplikácie).

2. Jednotný bod riadenia politiky

V pracovnej skupine majú všetky počítače rovnaké práva. Žiadny z počítačov nemôže ovládať ten druhý, nie je možné monitorovať dodržiavanie jednotných zásad a bezpečnostných pravidiel. Pri používaní jedného adresára Active Directory sú všetci používatelia a počítače hierarchicky rozmiestnení medzi organizačnými jednotkami, z ktorých každá podlieha rovnakým skupinovým pravidlám. Politiky vám umožňujú nastaviť jednotné nastavenia a nastavenia zabezpečenia pre skupinu počítačov a používateľov. Keď sa do domény pridá nový počítač alebo používateľ, automaticky dostane nastavenia, ktoré sú v súlade s prijatými podnikovými štandardmi. Pomocou politík môžete centrálne priradiť sieťové tlačiarne používateľom, inštalovať potrebné aplikácie, nastavovať bezpečnostné nastavenia prehliadača a konfigurovať aplikácie balíka Microsoft Office.

3. Zvýšená úroveň informačnej bezpečnosti

Používanie služieb Active Directory výrazne zvyšuje úroveň zabezpečenia siete. Po prvé, je to jediné a bezpečné úložisko účtu. V prostredí domény sú všetky heslá používateľov domény uložené na vyhradených serveroch radiča domény, ktoré sú zvyčajne chránené pred externým prístupom. Po druhé, pri použití doménového prostredia sa na autentifikáciu používa protokol Kerberos, ktorý je oveľa bezpečnejší ako NTLM, ktorý sa používa v pracovných skupinách.

4. Integrácia s podnikovými aplikáciami a zariadeniami

Veľkou výhodou služieb Active Directory je ich súlad so štandardom LDAP, ktorý podporujú aj iné systémy, napríklad poštové servery (Exchange Server), proxy servery (ISA Server, TMG). A nemusí ísť len o produkty Microsoftu. Výhodou takejto integrácie je, že používateľ si na prístup k určitej aplikácii nemusí pamätať veľké množstvo prihlasovacích údajov a hesiel, vo všetkých aplikáciách má používateľ rovnaké prihlasovacie údaje – jeho autentifikácia prebieha v jedinom Active Directory. Windows Server poskytuje protokol RADIUS na integráciu s Active Directory, ktorý podporuje veľké množstvo sieťových zariadení. Tak je možné napríklad zabezpečiť autentifikáciu používateľov domény pri pripojení cez VPN zvonku, alebo využitie Wi-Fi prístupových bodov vo firme.

5. Zjednotené úložisko konfigurácie aplikácie

Niektoré aplikácie ukladajú svoju konfiguráciu v Active Directory, ako napríklad Exchange Server. Predpokladom fungovania týchto aplikácií je nasadenie adresárovej služby Active Directory. Ukladanie konfigurácie aplikácie v adresárovej službe ponúka výhody flexibility a spoľahlivosti. Napríklad v prípade úplného zlyhania servera Exchange zostane celá jeho konfigurácia nedotknutá. Na obnovenie funkčnosti firemnej pošty bude stačiť preinštalovať Exchange Server v režime obnovenia.

Aby som to zhrnul, rád by som ešte raz zdôraznil, že služby Active Directory sú srdcom podnikovej IT infraštruktúry. V prípade zlyhania bude paralyzovaná celá sieť, všetky servery a práca všetkých používateľov. Nikto sa nebude môcť prihlásiť do počítača ani pristupovať k svojim dokumentom a aplikáciám. Preto musí byť adresárová služba starostlivo navrhnutá a nasadená, berúc do úvahy všetky možné nuansy, napríklad šírku pásma kanálov medzi pobočkami alebo kanceláriami spoločnosti (rýchlosť prihlásenia používateľa do systému, ako aj výmena údajov medzi doménami). ovládače, priamo závisí od toho).