Чим допоможе Active Directoryспеціалістам?

наведу невеликий список "смак", які можна отримати розгорнувши Active Directory:

• єдина база реєстрації користувачів, яка зберігається централізовано однією чи кількох серверах; таким чином, при появі нового співробітника в офісі вам потрібно буде лише завести йому обліковий запис на сервері та вказати, на які робочі станції він зможе отримувати доступ;
• оскільки всі ресурси домену індексуються, це дає можливість простого та швидкого пошуку для користувачів; наприклад, якщо потрібно знайти кольоровий принтер у відділі;
• сукупність застосування дозволів NTFS, групових політик та делегування управління дозволить вам тонко налаштувати та розподілити права між учасниками домену;
• профілі користувачів, що переміщуються, дають можливість зберігати важливу інформацію та налаштування конфігурації на сервері; фактично, якщо користувач, що володіє переміщуваним профілем у домені, сяде працювати за інший комп'ютер і введе свої ім'я користувача та пароль, він побачить свій робочий стіл зі звичними налаштуваннями;
• за допомогою групових політик ви можете змінювати налаштування операційних систем користувачів, від дозволу користувачеві встановлювати шпалери на робочому столі до налаштувань безпеки, а також поширювати програмне забезпечення, наприклад, Volume Shadow Copy client тощо;
• багато програм (проксі-сервери, сервери баз даних та ін.) не тільки виробництва Microsoft на сьогоднішній день навчилися використовувати доменну автентифікацію, таким чином, вам не доведеться створювати ще одну базу даних користувачів, а можна буде використовувати вже існуючу;
• Використання Remote Installation Services полегшує встановлення систем на робочі місця, але, у свою чергу, працює тільки при впровадженій службі каталогів.

І це далеко не повний перелік можливостей, але про це пізніше. Зараз я постараюся розповім саму логіку побудови Active Directory, але знову варто з'ясувати з чого з чого зроблені наші хлопчики будується Active Directory- це Домени, Дерева, Ліси, Організаційні одиниці, Групи користувачів та комп'ютерів.

Домени -Це основна логічна одиниця побудови. Порівняно з робочими групами домени AD– це групи безпеки, що мають єдину базу реєстрації, тоді як робочі групи – це лише логічне об'єднання машин. AD використовує для іменування та служби пошуку DNS (Domain Name Server – сервер імен домену), а не WINS (Windows Internet Name Service – сервіс імен Internet), як це було в ранніх версіях NT. Таким чином, імена комп'ютерів у домені мають вигляд, наприклад buh.work.com, де buh – ім'я комп'ютера в домені work.com (хоча це не завжди так).

У робочих групах використовують NetBIOS-імена. Для розміщення доменної структури ADможливе використання DNS-сервера не компанії Microsoft. Але він повинен бути сумісним з BIND 8.1.2 або вище та підтримувати записи SRV(), а також протокол динамічної реєстрації (RFC 2136). Кожен домен має хоча б один контролер домену, на якому розташована центральна база даних.

ДереваЦе багатодомні структури. Коренем такої структури є головний домен, якого ви створюєте дочірні. Фактично Active Directory використовує ієрархічну систему побудови, аналогічну структурі доменів у DNS.

Якщо ми маємо домен work.com (домен першого рівня) і створюємо для нього два дочірні домени first.work.com та second.work.com (тут first та second – це домени другого рівня, а не комп'ютер у домені, як у випадку , описаному вище), то в результаті отримаємо дерево доменів.

Дерева як логічна побудова використовуються, коли вам потрібно розділити філії компанії, наприклад, за географічними ознаками або з якихось інших організаційних міркувань.

ADдопомагає автоматично створювати довірчі стосунки між кожним доменом та його дочірніми доменами.

Таким чином створення домену first.work.com веде до автоматичної організації двосторонніх довірчих відносин між батьківським work.com і дочірнім first.work.com (аналогічно і для second.work.com). Тому з батьківського домену можуть застосовуватись дозволи для дочірнього, і навпаки. Неважко припустити, що для дочірніх доменів існуватимуть довірчі відносини.

Ще одна властивість довірчих відносин – транзитивність. Отримуємо – для домену net.first.work.com створюються довірчі стосунки з доменом work.com.

Ліс -Так само як і дерева це багатодомні структури. Але ліс– це об'єднання дерев, які мають різні кореневі домени.

Припустимо, ви вирішили мати кілька доменів з іменами work.com та home.net і створити для них дочірні домени, але через те, що tld (top level domain) не у вашому управлінні, у цьому випадку ви можете організувати ліс, обравши один із доменів першого рівня кореневим. Вся краса створення лісу в цьому випадку – двосторонні довірчі відносини між двома цими доменами та їх дочірніми доменами.

Однак при роботі з лісами та деревами необхідно пам'ятати таке:

• не можна додати до дерева вже існуючий домен
• не можна включити до лісу вже існуюче дерево
• якщо домени розміщені в лісі, їх неможливо перемістити в інший ліс
• не можна видалити домен, що має дочірні домени

Організаційні одиниці -впринципі можна назвати субдоменами. дозволяють групувати в домені облікові записи користувачів, групи користувачів, комп'ютери, ресурси, що приділяються, принтери та інші OU (Організаційні одиниці). Практична користь від їх застосування полягає у можливості делегування прав адміністрування цих одиниць.

Просто кажучи, можна призначити адміністратора в домені, який зможе керувати OU, але не мати прав для адміністрування всього домену.

Важливою особливістю OU на відміну груп є можливість застосування до них групових політик. "А чому не можна розбити вихідний домен на кілька доменів замість використання OU?" - Запитайте ви.

Багато фахівців радять мати якомога один домен. Причина цього – децентралізація адміністрування при створенні додаткового домену, адже адміністратори кожного такого домену отримують необмежений контроль (нагадаю, що при делегуванні прав адміністраторам OU можна обмежувати їх функціонал).

На додаток для створення нового домену (навіть дочірнього) потрібен буде ще один контролер. Якщо ж у вас є два відокремлені підрозділи, з'єднані повільним каналом зв'язку, можуть виникнути проблеми з реплікацією. У цьому випадку доречнішим буде мати два домени.

Також існує ще один нюанс застосування групових політик: політики, в яких визначено налаштування паролів та блокування облікових записів, можуть застосовуватися тільки для доменів. Для OU ці опції політик ігноруються.

Сайти -Це спосіб фізичного поділу служби каталогів. За визначенням сайт – це група комп'ютерів, з'єднаних швидкими каналами передачі.

Якщо ви маєте кілька філій у різних кінцях країни, з'єднаних низькошвидкісними лініями зв'язку, то для кожної філії ви можете створити свій сайт. Робиться це підвищення надійності реплікації каталогу.

Таке розбиття AD не впливає на принципи логічної побудови, тому як сайт може містити кілька доменів, так і навпаки, домен може містити кілька сайтів. Але така топологія служби каталогів таїть у собі каверзу. Як правило, для зв'язку з філіями використовується Інтернет – дуже небезпечне середовище. Багато компаній використовують засоби захисту, наприклад брандмауери. Служба каталогів у своїй роботі використовує близько півтора десятка портів і служб, відкриття яких для проходження трафіку AD через брандмауер фактично виставить її «назовні». Вирішенням проблеми є використання технології тунелювання, а також наявність у кожному сайті контролера домену для прискорення обробки запитів клієнтів AD.

Подано логіку вкладеності складових служби каталогів. Очевидно, що ліс містить два дерева доменів, у яких кореневий домен дерева, своєю чергою, може містити OU і групи об'єктів, і навіть мати дочірні домени (у разі їх у одному). Дочірні домени також можуть містити групи об'єктів та OU і мати дочірні домени (на малюнку їх немає). І так далі. Нагадаю, що OU можуть містити OU, об'єкти та групи об'єктів, а групи можуть містити інші групи.

Групи користувачів та комп'ютерів -використовуються для адміністративних цілей і мають такий самий сенс, як і при використанні на локальних машинах у мережі. На відміну від OU, до груп не можна застосовувати групові політики, але їм можна делегувати управління. У рамках схеми Active Directory виділяють два види груп: групи безпеки (застосовуються для розмежування прав доступу до об'єктів мережі) та групи розповсюдження (в основному застосовуються для розсилки поштових повідомлень, наприклад, на сервері Microsoft Exchange Server).

Вони поділяються по області дії:

• універсальні групиможуть включати користувачів в рамках лісу, а також інші універсальні групи або глобальні групи будь-якого домену в лісі
• глобальні групи доменуможуть включати користувачів домену та інші глобальні групи цього ж домену
• локальні групи доменувикористовуються для розмежування прав доступу, можуть включати користувачів домену, а також універсальні групи і глобальні групи будь-якого домену в лісі
• локальні групи комп'ютерів- Групи, які містить SAM (security account manager) локальної машини. Область їх поширення обмежується тільки даною машиною, але вони можуть включати локальні групи домену, в якому знаходиться комп'ютер, а також універсальні і глобальні групи свого домену або іншого, якому вони довіряють. Наприклад, ви можете включити користувача з доменної локальної групи Users до групи Administrators локальної машини, тим самим надавши йому права адміністратора, але тільки для цього комп'ютера

Active Directory – служба каталогів корпорації Microsoft для ОС сімейства Windows NT.

Дана служба дозволяє адміністраторам використання групових політик для забезпечення однаковості налаштувань користувача робочого середовища, установки ПЗ, оновлень та ін.

У чому суть роботи Active Directory та які завдання вона вирішує? Читайте далі.

Принципи організації однорангових та багаторангових мереж

Але виникає інша проблема, що якщо користувач user2 на PC2 вирішить змінити свій пароль? Тоді, якщо користувач user1 змінить пароль облікового запису, доступ user2 на РС1 до ресурсу буде неможливим.

Ще один приклад: у нас є 20 робочих станцій з 20 обліковими записами, яким ми хочемо надати доступ до якогось , для цього ми повинні створити 20 облікових записів на файловому сервері і надати доступ до необхідного ресурсу.

А якщо їх буде не 20, а 200?

Як ви розумієте адміністрування мережі при такому підході перетворюється на відмінне пекло.

Тому підхід із використанням робочих груп підходить для невеликих офісних мереж із кількістю ПК не більше 10 одиниць.

За наявності в сітці більше 10 робочих станцій раціонально виправданим стає підхід, при якому одному вузлу мережі делегують права виконання аутентифікації та авторизації.

Цим вузлом і є контролер домену - Active Directory.

Контролер домену

Контролер зберігає базу даних облікових записів, тобто. він зберігає облік і для РС1 і для РС2.

Тепер усі облікові записи прописуються один раз на контролері, а потреба в локальних облікових записах втрачає сенс.

Тепер, коли користувач заходить на ПК, вводячи свій логін і пароль, ці дані передаються в закритому вигляді на контролер домену, який виконує процедури автентифікації та авторизації.

Після цього контролер видає користувачеві, що здійснив вхід, щось на кшталт паспорта, з яким він надалі працює в мережі і який він пред'являє на запит інших комп'ютерів сітки, серверів до ресурсів яких він хоче підключитися.

Важливо! Контролер домену - це комп'ютер із піднятою службою Active Directory, який керує доступом користувачів до ресурсів мережі. Він зберігає ресурси (наприклад, принтери, папки із спільним доступом), служби (наприклад, електронна пошта), людей (облікові записи користувачів та груп користувачів), комп'ютери (облікові записи комп'ютерів).

Число таких збережених ресурсів може досягати мільйонів об'єктів.

Як контролер домену можуть виступати такі версії MS Windows: Windows Server 2000/2003/2008/2012 крім редакцій Web-Edition.

Контролер домену, крім того, що є центром автентифікації мережі, також є центром керування всіма комп'ютерами.

Відразу після увімкнення комп'ютер починає звертатися до контролера домену, задовго до появи вікна автентифікації.

Таким чином, виконується аутентифікація не тільки користувача, що вводить логін та пароль, а й аутентифікація клієнтського комп'ютера.

Встановлення Active Directory

Розглянемо приклад інсталяції Active Directory на Windows Server 2008 R2. Отже для встановлення ролі Active Directory, заходимо до «Server Manager»:

Додаємо роль "Add Roles":

Вибираємо роль Active Directory Domain Services:

І приступаємо до встановлення:

Після чого отримуємо вікно повідомлення про встановлену роль:

Після встановлення ролі контролера домену, приступимо до встановлення самого контролера.

Натискаємо «Пуск» у полі пошуку програм вводимо назву майстра DCPromo, запускаємо його та ставимо галочку для розширених налаштувань установки:

Тиснемо «Next» із запропонованих варіантів вибираємо створення нового домену та лісу.

Вводимо ім'я домену, наприклад example.net.

Пишемо NetBIOS ім'я домену, без зони:

Вибираємо функціональний рівень нашого домену:

Зважаючи на особливості функціонування контролера домену, встановлюємо також DNS-сервер .

Розташування бази даних, файлу логів, системного тому залишаємо без змін:

Вводимо пароль адміністратора домену:

Перевіряємо правильність заповнення і якщо все гаразд тиснемо «Next».

Після цього піде процес установки, наприкінці якого з'явиться вікно, яке повідомляє, про успішне встановлення:

Вступ до Active Directory

Доповідь розглядає два типи комп'ютерних мереж, які можна створити за допомогою операційних систем Microsoft: робоча група (workgroup) і домен Active Directory.

Active Directory є службами для системного управління. Вони є набагато кращою альтернативою локальним групам і дозволяють створити комп'ютерні мережі з ефективним керуванням та надійним захистом даних.

Якщо ви не стикалися з поняттям Active Directory і не знаєте, як працюють такі служби, ця стаття для вас. Давайте розберемося, що означає це поняття, в чому переваги подібних баз даних і як створити і налаштувати їх для початкового користування.

Active Directory – це дуже зручний спосіб системного керування. За допомогою Active Directory можна ефективно керувати даними.

Вказані служби дозволяють створити єдину базу даних під керуванням контролерів домену. Якщо ви володієте підприємством, керуєте офісом, загалом контролюєте діяльність багатьох людей, яких потрібно об'єднати, вам знадобиться такий домен.

До нього включаються всі об'єкти - комп'ютери, принтери, факси, облікові записи користувачів та інше. Сума доменів, у яких розташовані дані, називається «лісом». База Active Directory – це доменне середовище, де кількість об'єктів може становити до 2 мільярдів. Уявляєте ці масштаби?

Тобто, за допомогою такого «лісу» або бази даних можна поєднати велику кількість співробітників та обладнання в офісі, причому без прив'язки до місця – в службах можуть бути з'єднані й інші користувачі, наприклад, з офісу компанії в іншому місті.

Крім того, в рамках служб Active Directory створюються та об'єднуються кілька доменів - чим більше компанія, тим більше коштів необхідно контролю її техніки в рамках бази даних .

Далі, при створенні такої мережі визначається один контролюючий домен, і навіть за наступної наявності інших доменів початковий, як і раніше, залишається «батьківським» - тобто він має повний доступ до управління інформацією.

Де зберігаються ці дані і чим забезпечується існування доменів? Для створення Active Directory використовуються контролери. Зазвичай їх ставиться два - якщо з одним щось станеться, інформацію буде збережено на другому контролері.

Ще один варіант використання бази - якщо, наприклад, ваша компанія співпрацює з іншою, і вам належить виконати спільний проект. У такому разі може знадобитися доступ сторонніх осіб до файлів домену, і тут можна налаштувати своєрідні «відносини» між двома різними «лісами», відкрити доступ до необхідної інформації, не ризикуючи безпекою інших даних.

Загалом, Active Directory є засобом створення бази даних у межах певної структури, незалежно від її розмірів. Користувачі та вся техніка поєднуються в один «ліс», створюються домени, які розміщуються на контролерах.

Ще доцільно уточнити – робота служб можлива виключно на пристроях із серверними системами Windows. Крім цього, на контролерах створюється 3-4 сервери DNS. Вони обслуговують основну зону домену, а якщо один з них виходить з ладу, його замінюють інші сервери.

Після короткого огляду Active Directory для чайників вас закономірно цікавить питання - навіщо міняти локальну групу на цілу базу даних? Природно, тут поле можливостей у рази ширше, а щоб з'ясувати інші відмінності даних служб для системного управління, розглянемо детальніше їх переваги.

Переваги Active Directory

Плюси Active Directory такі:

1. Використання одного ресурсу для автентифікації. При такому розкладі вам потрібно на кожному ПК додати всі облікові записи, які потребують доступу до загальної інформації. Чим більше користувачів і техніки, тим складніше синхронізувати з-поміж них ці дані.

І ось при використанні служб з базою даних облікові записи зберігаються в одній точці, а зміни набирають чинності відразу ж на всіх комп'ютерах.

Як це працює? Кожен співробітник, приходячи до офісу, запускає систему та виконує вхід до свого облікового запису. Запит на вхід буде автоматично подаватися до сервера, і автентифікація відбуватиметься через нього.

Що ж до певного порядку у веденні записів, ви можете розділити користувачів на групи - «Відділ кадрів» чи «Бухгалтерія».

Ще простіше в такому разі надавати доступ до інформації – якщо потрібно відкрити папку для працівників з одного відділу, ви робите це через базу даних. Вони разом отримують доступ до потрібної папки з даними, причому для інших документи так і залишаються закритими.

1. Контроль за кожним учасником бази даних.

Якщо локальній групі кожен учасник незалежний, його важко контролювати з іншого комп'ютера, то доменах можна встановити певні правила, відповідні політиці компанії.

Ви, як системний адміністратор, можете встановити параметри доступу та параметри безпеки, а потім застосувати їх для кожної групи користувачів. Звичайно, в залежності від ієрархії, одним групам можна визначити більш жорсткі налаштування, іншим надати доступ до інших файлів та дій у системі.

Крім того, коли в компанію потрапляє нова людина, її комп'ютер відразу отримає потрібний набір налаштувань, де включені компоненти для роботи.

1. Універсальність у встановленні програмного забезпечення.

До речі, про компоненти - за допомогою Active Directory ви можете призначати принтери, встановлювати необхідні програми відразу всім співробітникам, задавати параметри конфіденційності. Загалом, створення бази даних дозволить значно оптимізувати роботу, стежити за безпекою та об'єднати користувачів для максимальної ефективності роботи.

А якщо на фірмі експлуатується окрема утиліта або спеціальні служби, їх можна синхронізувати з доменами та спростити доступ до них. Яким чином? Якщо об'єднати всі продукти, що використовуються в компанії, співробітнику не потрібно буде вводити різні логіни та паролі для входу в кожну програму - ці відомості будуть спільними.

Тепер, коли стають зрозумілими переваги та сенс використання Active Directory, давайте розглянемо процес встановлення зазначених служб.

Використовуємо базу даних на Windows Server 2012

Встановлення та налаштування Active Directory - дуже неважка справа, а також виконується простіше, ніж це здається на перший погляд.

Щоб завантажити служби, спочатку потрібно виконати наступне:

1. Змінити назву комп'ютера: натисніть на "Пуск", відкрийте Панель керування, пункт "Система". Виберіть команду «Змінити параметри» і натисніть кнопку «Змінити» в рядку «Ім'я комп'ютера», впишіть нове значення для головного ПК.
2. Виконайте перезавантаження на вимогу ПК.
3. Вкажіть налаштування мережі так:
   • За допомогою панелі керування відкрийте меню з мережами та спільним доступом.
   • Відкоригуйте налаштування адаптера. Клацніть правою клавішею «Властивості» та відкрийте вкладку «Мережа».
   • У вікні зі списку натисніть на протокол інтернету під номером 4, знову натисніть на «Властивості».
   • Впишіть необхідні налаштування, наприклад: IP-адреса - 192.168.10.252, маска підмережі - 255.255.255.0, основний підшлюз - 192.168.10.1.
   • У рядку "Переважний DNS-сервер" вкажіть адресу локального сервера, в "Альтернативному ..." - інші адреси DNS-серверів.
   • Збережіть зміни та закрийте вікна.

Встановіть ролі Active Directory так:

1. Через пуск відкрийте диспетчер сервера.
2. У меню виберіть додавання ролей та компонентів.
3. Запуститься майстер, але перше вікно з описом можна пропустити.
4. Позначте рядок "Встановлення ролей та компонентів", перейдіть далі.
5. Виберіть комп'ютер, щоб поставити на нього Active Directory.
6. Зі списку відзначте роль, яку потрібно завантажити - для вашого випадку це «Доменні служби Active Directory».
7. З'явиться невелике вікно з пропозицією завантаження необхідних служб компонентів - прийміть його.
8. Після цього вам запропонують встановити інші компоненти - якщо вони вам не потрібні, просто пропустіть цей крок, натиснувши «Далі».
9. Майстер налаштування виведе вікно з описами встановлюваних вами служб - прочитайте та рухайтеся далі.
10. З'явиться перелік компонентів, які ми збираємося встановити - перевірте, чи все правильно, і якщо так, натисніть на відповідну клавішу.
11. Після завершення процесу закрийте вікно.
12. Ось і все – служби завантажені на ваш комп'ютер.

Налаштування Active Directory

Для налаштування доменної служби вам потрібно зробити таке:

• Запустіть однойменний майстер налаштування.
• Клацніть на жовтий покажчик у верхній частині вікна і виберіть «Підвищити роль сервера до рівня контролера домену».
• Натисніть на додавання нового «лісу» та створіть ім'я для кореневого домену, потім клацніть «Далі».
• Вкажіть режими роботи «лісу» та домену – найчастіше вони збігаються.
• Придумайте пароль, але обов'язково запам'ятайте його. Перейдіть далі.
• Після цього ви можете побачити попередження про те, що домен не делегований і пропозиція перевірити ім'я домену - можете пропустити ці кроки.
• У наступному вікні можна змінити шлях до каталогів із базами даних - зробіть це, якщо вони вам не підходять.
• Тепер ви побачите всі параметри, які маєте намір встановити - перегляньте, чи правильно вибрали їх, і йдіть далі.
• Програма перевірить, чи виконуються попередні вимоги, і якщо зауважень немає, або вони некритичні, натисніть «Встановити».
• Після закінчення інсталяції ПК самостійно перевантажиться.

Ще вам може бути цікаво, як додати користувача в базу даних. Для цього скористайтеся меню «Користувачі або комп'ютери Active Directory», яке ви знайдете в розділі «Адміністрування» на панелі керування, або скористайтеся меню налаштувань бази даних.

Щоб додати нового користувача, натисніть правою кнопкою за назвою домену, виберіть «Створити», після «Підрозділ». Перед вами з'явиться вікно, де потрібно ввести ім'я нового підрозділу - воно є папкою, куди ви можете збирати користувачів по різних відділах. Так само ви пізніше створите ще кілька підрозділів і грамотно розмістите всіх співробітників.

Далі, коли ви створили ім'я підрозділу, натисніть на нього правою клавішею миші та оберіть "Створити", після - "Користувач". Тепер залишилося лише ввести необхідні дані та поставити налаштування доступу для користувача.

Коли новий профіль буде створено, натисніть на нього, вибравши контекстне меню та відкрийте «Властивості». У вкладці «Обліковий запис» видаліть позначку «Заблокувати…». На цьому все.

Загальний висновок такий - Active Directory - це потужний і корисний інструмент для системного управління, який допоможе об'єднати всі комп'ютери співробітників в одну команду. За допомогою служб можна створити захищену базу даних та суттєво оптимізувати роботу та синхронізацію інформації між усіма користувачами. Якщо діяльність вашої компанії та будь-якого іншого місця роботи пов'язана з електронними обчислювальними машинами та мережею, вам потрібно об'єднувати облікові записи та стежити за роботою та конфіденційністю, встановлення бази даних на основі Active Directory стане відмінним рішенням.

Будь-який початківець, стикаючись з абревіатурою AD, ставить питання, що таке Active Directory? Active Directory – це служба каталогів, розроблена Microsoft для доменних мереж Windows. Входить у більшість операційних систем Windows Server, як набір процесів та сервісів. Спочатку служба займалася лише доменами. Однак, починаючи з Windows Server 2008, AD стала найменуванням для широкого спектру служб, пов'язаних із ідентифікацією, що базуються на каталогах. Це робить Active Directory для початківців більш оптимальним для вивчення.

Базове визначення

Сервер, на якому працюють доменні служби каталогів Active Directory, називається контролером домену. Він автентифікує та авторизує всіх користувачів та комп'ютери в домені Windows, призначаючи та застосовуючи політику безпеки для всіх ПК, а також встановлюючи або оновлюючи програмне забезпечення. Наприклад, коли користувач входить до комп'ютера, включеного в домен Windows, Active Directory перевіряє наданий пароль і визначає, чи є об'єкт системним адміністратором або звичайним користувачем. Також він дозволяє керувати та зберігати інформацію, надає механізми автентифікації та авторизації та встановлює структуру для розгортання інших пов'язаних сервісів: служби сертифікації, федеративні та полегшені служби каталогів та управління правами.

У Active Directory використовуються протоколи LDAP версії 2 та 3, версія Kerberos від Microsoft та DNS.

Active Directory – що це? Простими словами про складне

Відстеження даних мережі – трудомістке завдання. Навіть у невеликих мережах користувачі, як правило, мають труднощі з пошуком мережевих файлів і принтерів. Без будь-якого каталогу середніми та великими мережами неможливо керувати, і часто доводиться стикатися з труднощами при пошуку ресурсів.

Попередні версії Microsoft Windows включали служби, які допомагають користувачам та адміністраторам знаходити дані. Мережеве оточення корисне у багатьох середовищах, але явним недоліком є ​​незручний інтерфейс та його непередбачуваність. WINS Manager і Server Manager можуть використовуватися для перегляду списку систем, але вони не були доступні для кінцевих користувачів. Адміністратори використовували User Manager для додавання та видалення даних зовсім іншого типу мережного об'єкта. Ці програми виявилися неефективними для роботи у великих мережах та викликали питання, навіщо в компанії Active Directory?

Каталог, у найзагальнішому сенсі, є повним списком об'єктів. Телефонна книга — це тип каталогу, в якому зберігається інформація про людей, підприємства та урядові організації, тазазвичай в них записують імена, адреси та номери телефонів.Задаючись питанням, Active Directory - що це, простими словами можна сказати, що ця технологія схожа на довідник, але є набагато більш гнучкою. AD зберігає інформацію про організації, сайти, системи, користувачів, загальні ресурси та будь-який інший мережевий об'єкт.

Введення в основні поняття Active Directory

Для чого організації потрібна Active Directory? Як уже згадувалося у вступі до Active Directory, служба зберігає інформацію про мережеві компоненти.У посібнику «Active Directory для початківців» йдеться про те, що це дозволяє клієнтам знаходити об'єкти у своєму просторі імен.Цей т Ермін (також званий деревом консолі) відноситься до області, в якій може розташовуватися мережевий компонент. Наприклад, зміст книги створює простір імен, у якому розділи можуть бути співвіднесені до номерів сторінок.

DNS - це дерево консолі, яке дозволяє імена вузлів IP-адрес, як телефонні книги надають простір імен для дозволу імен для телефонних номерів.А як це відбувається у Active Directory? AD надає дерево консолі для дозволу імен мережевих об'єктів самим об'єктам таможе дозволити широкий спектр об'єктів, включаючи користувачів, системи та служби в мережі.

Об'єкти та атрибути

Все, що відстежує Active Directory, є об'єктом.Можна сказати простими словами, що це в Active Directory є будь-який користувач, система, ресурс чи служба. Загальний об'єкт термінів використовується, оскільки AD може відстежувати безліч елементів, а багато об'єктів можуть спільно використовувати загальні атрибути. Що це означає?

Атрибути описують об'єкти в активний каталог Active Directory, наприклад, всі об'єкти користувача спільно використовують атрибути для зберігання імені користувача. Це стосується їх описи. Системи також є об'єктами, але у них є окремий набір атрибутів, який включає ім'я хоста, IP-адресу та розташування.

Набір атрибутів, доступних будь-якого конкретного типу об'єкта, називається схемою. Вона робить класи об'єктів відмінними один від одного. Інформація про схему фактично зберігається у Active Directory. Що така поведінка протоколу безпеки дуже важлива, говорить той факт, що схема дозволяє адміністраторам додавати атрибути до класів об'єктів і розподіляти їх по мережі в усіх куточках домену без перезапуску будь-яких контролерів домену.

Контейнер та ім'я LDAP

Контейнер - це особливий тип об'єкта, який використовується для роботи служби. Він не є фізичним об'єктом, як користувач або система. Натомість він використовується для групування інших елементів. Контейнерні об'єкти можуть бути вкладені в інші контейнери.

У кожного елемента AD є ім'я. Це не ті, до яких ви звикли, наприклад, Іван чи Ольга. Це відмінні імена LDAP. Різні імена LDAP складні, але вони дозволяють ідентифікувати будь-який об'єкт усередині каталогу однозначно, незалежно від його типу.

Дерево термінів та сайт

Дерево термінів використовується для опису набору об'єктів у Active Directory. Що це? Простими словами це можна пояснити за допомогою деревоподібної асоціації. Коли контейнери та об'єкти об'єднані ієрархічно, вони мають тенденцію формувати гілки – звідси й назва. Пов'язаним терміном є безперервне піддерево, яке відноситься до нерозривного основного стовбура дерева.

Продовжуючи метафорію, термін «ліс» визначає сукупність, яка є частиною однієї й тієї ж простору імен, але має загальну схему, конфігурацію і світовий каталог. Об'єкти в цих структурах доступні для всіх користувачів, якщо це дозволяє безпеку. Організації, поділені на кілька доменів, повинні групувати дерева в один ліс.

Сайт — це географічне розташування, визначене Active Directory. Сайти відповідають логічним IP-підмережам і, як такі, можуть використовуватись додатками для пошуку найближчого сервера в мережі. Використання інформації з Active Directory може значно знизити трафік у глобальних мережах.

Управління Active Directory

Компонент оснащення Active Directory – користувачі. Це найзручніший інструмент для адміністрування Active Directory. Він безпосередньо доступний із групи програм «Адміністрування» у меню «Пуск». Він замінює та покращує роботу диспетчера сервера та диспетчера користувачів з Windows NT 4.0.

Безпека

Active Directory відіграє у майбутньому мереж Windows. Адміністратори повинні мати можливість захищати свій каталог від зловмисників та користувачів, одночасно делегуючи завдання іншим адміністраторам. Все це можливо за допомогою моделі безпеки Active Directory, яка пов'язує список керування доступом (ACL) з кожним атрибутом контейнера та об'єкта в каталозі.

Високий рівень контролю дозволяє адміністратору надавати окремим користувачам та групам різні рівні дозволів для об'єктів та їх властивостей. Вони можуть навіть додавати атрибути до об'єктів та приховувати ці атрибути від певних груп користувачів. Наприклад, можна встановити ACL, щоб тільки менеджери могли переглядати домашні телефони інших користувачів.

Делеговане адміністрування

Концепцією, новою для Windows 2000 Server є делеговане адміністрування. Це дозволяє призначати завдання іншим користувачам без надання додаткових прав доступу. Делеговане адміністрування може бути призначене через певні об'єкти або безперервні піддерев'я каталогу. Це набагато ефективніший метод надання повноважень по мережах.

У місце призначення будь-кому всіх глобальних прав адміністратора домену, користувачеві можуть бути надані дозволи тільки в рамках певного піддерева. Active Directory підтримує успадкування, тому будь-які нові об'єкти успадковують ACL свого контейнера.

Термін «довірчі відносини»

Термін «довірчі відносини», як і раніше, використовується, але мають різну функціональність. Немає різниці між односторонніми і двосторонніми трастами. Адже всі довірчі відносини Active Directory двонаправлені. Крім того, всі вони транзитивні. Отже, якщо домен A довіряє домену B, B довіряє C, тоді існує автоматичні неявні довірчі відносини між доменом A і доменом C.

Аудит у Active Directory - що це простими словами? Це функція безпеки, яка дозволяє визначити, хто намагається отримати доступ до об'єктів, а також наскільки ця спроба успішна.

Використання DNS (Domain Name System)

Система по-іншому DNS, необхідна будь-якої організації, підключеної до Інтернету. DNS надає дозвіл імен між загальними іменами, такими як mspress.microsoft.com, та необроблені IP-адреси, які використовують компоненти мережного рівня для зв'язку.

Active Directory широко використовує технологію DNS для пошуку об'єктів. Це істотна зміна порівняно з попередніми операційними системами Windows, які вимагають, щоб імена NetBIOS були дозволені IP-адресами, і покладаються на WINS або іншу техніку дозволу імен NetBIOS.

Active Directory працює найкраще під час використання з DNS-серверами під керуванням Windows 2000. Microsoft спростила для адміністраторів перехід на DNS-сервери під керуванням Windows 2000 шляхом надання міграційних майстрів, які управляють адміністратором через цей процес.

Можна використовувати інші DNS-сервери. Однак адміністратори повинні витрачати більше часу на керування базами даних DNS. У чому нюанси? Якщо ви вирішите не використовувати DNS-сервери під керуванням Windows 2000, ви повинні переконатися, що ваші DNS-сервери відповідають новому протоколу динамічного оновлення DNS. Сервери покладаються на динамічне оновлення своїх записів, щоб знайти контролери домену. Це не зручно. Адже, еЯкщо динамічне оновлення не підтримується, оновлювати бази даних доводиться вручну.

Домени Windows та інтернет-домени тепер повністю сумісні. Наприклад, ім'я, таке як mspress.microsoft.com, визначатиме контролери домену Active Directory, відповідальні за домен, тому будь-який клієнт з доступом DNS може знайти контролер домену.Клієнти можуть використовувати дозвіл DNS для пошуку будь-якої кількості послуг, оскільки сервери Active Directory публікують список адрес DNS за допомогою нових функцій динамічного оновлення. Ці дані визначаються як домен та публікуються через записи ресурсів служби. SRV RR слідують формату service.protocol.domain.

Сервери Active Directory надають службу LDAP для розміщення об'єкта, а LDAP використовує TCP як базовий протокол транспортного рівня. Тому клієнт, який шукає сервер Active Directory у домені mspress.microsoft.com, шукатиме запис DNS для ldap.tcp.mspress.microsoft.com.

Глобальний каталог

Active Directory надає глобальний каталог (GC) танадає єдине джерело для пошуку будь-якого об'єкта у мережі організації.

Глобальний каталог - це сервіс у Windows 2000 Server, який дозволяє користувачам знаходити будь-які об'єкти, яким було надано доступ. Ця функціональність набагато перевершує можливості програми Find Computer, включеної до попередніх версій Windows. Адже користувачі можуть шукати будь-який об'єкт у Active Directory: сервери, принтери, користувачів та програми.

Будучи добре знайомим із малим бізнесом зсередини, мене завжди цікавили такі питання. Поясніть, чому працівник повинен користуватися на робочому комп'ютері тим браузером, який подобається сісадміну? Або взяти будь-яке інше програмне забезпечення, наприклад, той самий архіватор, поштовий клієнт, клієнт миттєвих повідомлень… Це я плавно натякаю на стандартизацію, причому не за ознаками особистої симпатії сисадміну, а за ознаками достатності функціоналу, вартості обслуговування та підтримки цих програмних продуктів. Почнемо вважати ІТ точною наукою, а не ремеслом, коли кожен робить так, як у нього виходить. Знову ж таки, з цим у малому бізнесі теж дуже багато проблем. Уявіть, що компанія в нелегкий кризовий час змінює кількох таких адміністраторів, що робити в такій ситуації бідним користувачам? Постійно переучуватись?

Давайте подивимося з іншого боку. Будь-який керівник повинен розуміти, що він зараз відбувається в компанії (у тому числі і в ІТ). Це необхідно для відстеження поточної ситуації, для оперативного реагування на виникнення різноманітних проблем. Але це розуміння є важливішим для стратегічного планування. Адже, маючи міцний і надійний фундамент, ми можемо будувати будинок на 3 поверхи або на 5, робити дах різної форми, балкони або зимовий сад. Так само і в ІТ, маємо надійну основу – можемо надалі використовувати більш складні продукти та технології для вирішення бізнес-завдань.

У першій статті й ​​йтиметься про такий фундамент – служби Active Directory. Саме вони покликані стати міцним фундаментом ІТ-інфраструктури компанії будь-якого розміру та будь-якого напряму діяльності. Що це таке? Ось давайте про це і поговоримо.

А розмову почнемо із простих понять – домену та служб Active Directory.

Домен– це основна адміністративна одиниця у мережній інфраструктурі підприємства, до якої входять усі мережеві об'єкти, такі як користувачі, комп'ютери, принтери, загальні ресурси та багато іншого. Сукупність таких доменів називається лісом.

Служби Active Directory (служби активного каталогу) є розподілену базу даних, яка містить всі об'єкти домену. Доменне середовище Active Directory є єдиною точкою автентифікації та авторизації користувачів та додатків у масштабах підприємства. Саме з організації домену та розгортання служб Active Directory починається побудова ІТ-інфраструктури підприємства.

База даних Active Directory зберігається на виділених серверах – контролерах домену. Служби Active Directory є участю серверних операційних систем Microsoft Windows Server. Служби Active Directory мають широкі можливості масштабування. У лісі Active Directory може бути створено понад 2 мільярди об'єктів, що дозволяє впроваджувати службу каталогів у компаніях із сотнями тисяч комп'ютерів та користувачів. Ієрархічна структура доменів дозволяє гнучко масштабувати ІТ-інфраструктуру на всі філії та регіональні підрозділи компаній. Для кожної філії або підрозділу компанії може бути створений окремий домен зі своїми політиками, своїми користувачами та групами. До кожного дочірнього домену можуть бути делеговані адміністративні повноваження місцевим системним адміністраторам. При цьому дочірні домени підпорядковуються батьківським.

Крім того, служби Active Directory дозволяють налагодити довірчі стосунки між доменними лісами. Кожна компанія має власний ліс доменів, кожен із яких має власні ресурси. Але іноді буває потрібно надати доступ до своїх корпоративних ресурсів співробітникам іншої компанії – робота із загальними документами та додатками у рамках спільного проекту. Для цього між лісами організацій можна налаштувати довірчі стосунки, що дозволить співробітникам однієї організації авторизуватись у домені іншої.

Для забезпечення стійкості до служби Active Directory необхідно розгорнути два або більше контролерів домену в кожному домені. Між контролерами домену забезпечується автоматична реплікація всіх змін. У разі виходу з ладу одного з контролерів домену працездатність мережі не порушується, адже продовжують працювати. Додатковий рівень стійкості до відмови забезпечує розміщення серверів DNS на контролерах домену в Active Directory, що дозволяє в кожному домені отримати кілька серверів DNS, що обслуговують основну зону домену. І у разі відмови одного із DNS серверів, продовжать працювати інші. Про роль і значущість серверів DNS в ІТ-інфраструктурі ми ще поговоримо в одній із статей циклу.

Але це все технічні аспекти застосування та підтримки працездатності служб Active Directory. Давайте поговоримо про ті переваги, які отримує компанія, відмовляючись від однорангової мережі з використанням робочих груп.

1. Єдина точка аутентифікації

У робочій групі на кожному комп'ютері або сервері доведеться вручну додавати повний список користувачів, яким потрібний доступ до мережі. Якщо раптом один із співробітників захоче змінити свій пароль, його потрібно буде поміняти на всіх комп'ютерах і серверах. Добре, якщо мережа складається із 10 комп'ютерів, але якщо їх більше? При використанні домену Active Directory всі облікові записи користувачів зберігаються в одній базі даних, і всі комп'ютери звертаються до неї за авторизацією. Усі користувачі домену включаються до відповідних груп, наприклад, «Бухгалтерія», «Фінансовий відділ». Достатньо один раз задати дозволи для тих чи інших груп, і всі користувачі отримають відповідний доступ до документів та додатків. Якщо в компанію приходить новий співробітник, для нього створюється обліковий запис, який включається до відповідної групи, співробітник отримує доступ до всіх ресурсів мережі, до яких йому повинен бути дозволений доступ. Якщо співробітник звільняється, достатньо заблокувати – і він відразу втратить доступ до всіх ресурсів (комп'ютерів, документів, додатків).

2. Єдина точка управління політиками

У робочій групі всі комп'ютери є рівноправними. Жоден із комп'ютерів не може керувати іншим, неможливо проконтролювати дотримання єдиних політик, правил безпеки. При використанні єдиного каталогу Active Directory всі користувачі та комп'ютери ієрархічно розподіляються по організаційним підрозділам, до кожного з яких застосовуються єдині групові політики. Політики дають змогу встановити єдині параметри та параметри безпеки для групи комп'ютерів та користувачів. При додаванні до домену нового комп'ютера або користувача він автоматично отримує настройки, що відповідають прийнятим корпоративним стандартам. За допомогою політик можна централізовано призначити користувачам мережні принтери, встановити необхідні програми, встановити параметри безпеки браузера, налаштувати програми Microsoft Office.

3. Підвищений рівень інформаційної безпеки

Використання служб Active Directory значно підвищує рівень безпеки мережі. По-перше – це єдине та захищене сховище облікових записів. У доменному середовищі всі паролі доменних користувачів зберігаються на виділених серверах контролерах домену, які зазвичай захищені від зовнішнього доступу. По-друге, при використанні доменного середовища для аутентифікації використовується протокол Kerberos, який значно безпечніший за NTLM, що використовується в робочих групах.

4. Інтеграція з корпоративними додатками та обладнанням

Великою перевагою Active Directory є відповідність стандарту LDAP, який підтримується іншими системами, наприклад, поштовими серверами (Exchange Server), проксі-серверами (ISA Server, TMG). Причому це не обов'язково лише продукти Microsoft. Перевага такої інтеграції полягає в тому, що користувачу не потрібно пам'ятати велику кількість логінів і паролів для доступу до того чи іншого додатку, у всіх додатках користувач має одні й ті самі облікові дані – його автентифікація відбувається в єдиному каталозі Active Directory. Windows Server для інтеграції з Active Directory надає протокол RADIUS, який підтримується великою кількістю мережного обладнання. Таким чином, можна, наприклад, забезпечити аутентифікацію доменних користувачів при підключенні з VPN ззовні, використання Wi-Fi точок доступу в компанії.

5. Єдине сховище конфігурації додатків

Деякі програми зберігають свою конфігурацію в Active Directory, наприклад, Exchange Server. Розгортання служби каталогів Active Directory є обов'язковою умовою для роботи цих програм. Зберігання конфігурації програм у службі каталогів є вигідним з точки зору гнучкості та надійності. Наприклад, у разі повної відмови сервера Exchange, вся його конфігурація залишиться недоторканою. Для відновлення працездатності корпоративної пошти, достатньо буде інсталювати Exchange Server в режимі відновлення.

Підбиваючи підсумки, хочеться ще раз акцентувати увагу на тому, що служби Active Directory є серцем ІТ-інфраструктури підприємства. У разі відмови вся мережа, всі сервери, робота всіх користувачів будуть паралізовані. Ніхто не зможе увійти в комп'ютер, отримати доступ до своїх документів та програм. Тому служба каталогів повинна бути ретельно спроектована і розгорнута, з урахуванням усіх можливих нюансів, наприклад, пропускної спроможності каналів між філією або офісами компанії (від цього залежить швидкість входу користувачів в систему, а також обмін даними між контролерами домену).