• Active Directory jednoduchými slovy (Základ). Co je to Active Directory

    Co pomůže Aktivní adresář specialisté?

    Uvedu malý seznam „dobrot“, které lze získat nasazením Active Directory:

    • registrační databáze jednoho uživatele, která je uložena centrálně na jednom nebo více serverech; když se tedy v kanceláři objeví nový zaměstnanec, stačí mu vytvořit účet na serveru a určit, ke kterým pracovním stanicím bude mít přístup;
    • protože všechny zdroje domény jsou indexovány, umožňuje to jednoduché a rychlé vyhledávání uživatelů; například pokud potřebujete najít barevnou tiskárnu v oddělení;
    • kombinace použití oprávnění NTFS, skupinových zásad a delegování kontroly vám umožní vyladit a distribuovat práva mezi členy domény;
    • roamingové uživatelské profily poskytují možnost ukládání důležitá informace a konfigurační nastavení na serveru; ve skutečnosti, pokud si uživatel s roamingovým profilem v doméně sedne k práci na jiném počítači a zadá své uživatelské jméno a heslo, uvidí svou plochu se svým obvyklým nastavením;
    • pomocí skupinových zásad můžete změnit nastavení uživatelských operačních systémů, od umožnění uživateli nastavit tapetu na ploše až po nastavení zabezpečení a také distribuci softwaru po síti, například klienta Volume Shadow Copy atd.;
    • mnoho programů (proxy servery, databázové servery atd.), které dnes nejen vyrábí Microsoft, se naučilo používat doménové ověřování, takže nemusíte vytvářet další databázi uživatelů, ale můžete použít existující;
    • použití Služeb vzdálené instalace usnadňuje instalaci systémů na pracovní stanice, ale zase funguje pouze s vestavěnou adresářovou službou.

    A toto není úplný seznam funkcí, ale o tom později. Nyní se pokusím říci samotnou logiku stavby Aktivní adresář, ale opět stojí za to zjistit, z čeho jsou naši chlapci vyrobeni z toho, z čeho jsou naši chlapci Aktivní adresář jsou domény, stromy, lesy, organizační jednotky, skupiny uživatelů a počítačů.

    domény – Toto je základní logická stavební jednotka. Ve srovnání s pracovními skupinami AD domény jsou bezpečnostní skupiny, které mají jedinou registrační základnu, zatímco pracovní skupiny jsou pouze logickým seskupením strojů. AD používá DNS (Domain Name Server) pro pojmenování a vyhledávací služby, nikoli WINS ( Windows Internet Name Service - Internetová jmenná služba), jak tomu bylo v raných verzích NT. Názvy počítačů v doméně jsou tedy například buh.work.com, kde buh je název počítače v doméně work.com (i když tomu tak není vždy).

    Pracovní skupiny používají názvy NetBIOS. Hostovat strukturu domény INZERÁT možná používáte server DNS jiného výrobce než Microsoft. Musí však být kompatibilní s BIND 8.1.2 nebo vyšší a podporovat záznamy SRV() a také Dynamic Registration Protocol (RFC 2136). Každá doména má alespoň jeden řadič domény, který je hostitelem centrální databáze.

    stromy - Jedná se o vícedoménové struktury. Kořen této struktury je hlavní doména, pro kterou vytváříte podřízené domény. Ve skutečnosti používá Active Directory hierarchický konstrukční systém podobný struktuře domén v DNS.

    Pokud máme doménu work.com (doménu první úrovně) a vytvoříme pro ni dvě podřízené domény, first.work.com a second.work.com (zde první a druhá jsou domény druhé úrovně, nikoli počítač v doméně, jako ve výše popsaném případě), skončíme u stromu domén.

    Stromy jako logická struktura se používají, když potřebujete oddělit pobočky společnosti, například podle geografických prvků nebo z jiných organizačních důvodů.

    INZERÁT pomáhá automaticky vytvářet vztahy důvěryhodnosti mezi každou doménou a jejími podřízenými doménami.

    Vytvoření domény first.work.com tedy vede k automatickému uspořádání obousměrného vztahu důvěry mezi nadřazeným work.com a potomkem first.work.com (obdobně pro second.work.com). Oprávnění lze tedy aplikovat z nadřazené domény na podřízenou doménu a naopak. Není těžké předpokládat, že vztahy důvěryhodnosti budou existovat i pro podřízené domény.

    Další vlastností vztahů důvěry je tranzitivita. Dostáváme - pro doménu net.first.work.com je vytvořen vztah důvěryhodnosti s doménou work.com.

    Les - Stejně jako stromy jsou to vícedoménové struktury. Ale les je spojení stromů, které mají různé kořenové domény.

    Předpokládejme, že se rozhodnete mít několik domén s názvem work.com a home.net a vytvoříte pro ně podřízené domény, ale protože tld (doména nejvyšší úrovně) není pod vaší kontrolou, v tomto případě můžete uspořádat doménovou strukturu tak, že jako kořenovou vyberete jednu z domén první úrovně. Krása vytvoření doménové struktury v tomto případě spočívá v obousměrném vztahu důvěryhodnosti mezi těmito dvěma doménami a jejich podřízenými doménami.

    Při práci s lesy a stromy však pamatujte na následující:

    • nemůžete přidat existující doménu do stromu
    • do doménové struktury nelze zahrnout již existující strom
    • pokud jsou domény umístěny v doménové struktuře, nelze je přesunout do jiné doménové struktury
    • nemůžete odstranit doménu, která má podřízené domény

    Organizační jednotky - v zásadě lze nazvat subdomény. umožňují seskupit uživatelské účty, skupiny uživatelů, počítače, sdílené prostředky, tiskárny a další organizační jednotky (organizační jednotky) v doméně. Praktickou výhodou jejich použití je možnost delegovat práva na správu těchto jednotek.

    Zjednodušeně řečeno je možné v doméně určit administrátora, který může spravovat OÚ, ale nemá práva na správu celé domény.

    Důležitou vlastností organizačních jednotek je na rozdíl od skupin možnost na ně aplikovat skupinové zásady. "Proč nelze původní doménu rozdělit na více domén namísto použití organizační jednotky?" - ptáš se.

    Mnoho odborníků doporučuje mít jednu doménu, kdykoli je to možné. Důvodem je decentralizace správy při vytváření další domény, protože správci každé takové domény dostávají neomezenou kontrolu (připomínám, že při delegování práv na správce OU můžete omezit jejich funkčnost).

    Kromě toho budete k vytvoření nové domény (i podřízené) potřebovat další řadič. Pokud máte dvě samostatné divize propojené pomalým komunikačním kanálem, mohou nastat problémy s replikací. V tomto případě by bylo vhodnější mít dvě domény.

    Použití skupinových zásad má také další nuance: zásady, které definují nastavení hesel a uzamčení účtů, lze použít pouze na domény. U organizačních jednotek jsou tato nastavení zásad ignorována.

    Weby – Toto je způsob, jak fyzicky oddělit adresářovou službu. Podle definice je web skupina počítačů propojených rychlými datovými spoji.

    Pokud máte několik poboček v různých částech republiky, propojených nízkorychlostními komunikačními linkami, můžete si pro každou pobočku vytvořit vlastní web. To se provádí za účelem zvýšení spolehlivosti replikace adresářů.

    Takové rozdělení AD neovlivňuje principy logické konstrukce, proto stejně jako web může obsahovat několik domén a naopak doména může obsahovat několik webů. Tato topologie adresářové služby má ale jeden háček. Ke komunikaci s pobočkami se zpravidla používá internet – velmi nezabezpečené prostředí. Mnoho společností používá bezpečnostní opatření, jako jsou firewally. Adresářová služba ve své práci využívá zhruba jeden a půl tuctu portů a služeb, jejichž otevření pro průchod AD provozu přes firewall jej vlastně vystaví „venku“. Řešením problému je použití technologie tunelování a také přítomnost řadiče domény v každé lokalitě pro urychlení zpracování požadavků od klientů AD.

    Je uvedena logika vnořování komponent adresářové služby. Je vidět, že doménová struktura obsahuje dva stromy domén, ve kterých může kořenová doména stromu naopak obsahovat organizační jednotky a skupiny objektů a také může mít podřízené domény (v tomto případě jednu pro každou). Podřízené domény mohou také obsahovat skupiny objektů a organizační jednotky a mít podřízené domény (na obrázku nejsou zobrazeny). A tak dále. Dovolte mi připomenout, že organizační jednotky mohou obsahovat organizační jednotky, objekty a skupiny objektů a skupiny mohou obsahovat jiné skupiny.

    Skupiny uživatelů a počítačů - se používají pro administrativní účely a mají stejný význam jako při použití na místních počítačích v síti. Na rozdíl od organizačních jednotek nelze zásady skupiny aplikovat na skupiny, ale lze jim delegovat řízení. V rámci schématu Active Directory existují dva typy skupin: skupiny zabezpečení (slouží k rozlišení přístupových práv k síťovým objektům) a distribuční skupiny (používá se zejména pro odesílání poštovních zpráv např. na Microsoft Exchange Server).

    Jsou klasifikovány podle rozsahu:

    • univerzální skupiny může zahrnovat uživatele v rámci doménové struktury i jiné univerzální skupiny nebo globální skupiny z libovolné domény v doménové struktuře
    • doménové globální skupiny může zahrnovat uživatele domény a další globální skupiny stejné domény
    • lokální skupiny domény používá k rozlišení přístupových práv, může zahrnovat uživatele domény, stejně jako univerzální skupiny a globální skupiny libovolné domény v doménové struktuře
    • lokální počítačové skupiny– skupiny, které obsahuje SAM (správce bezpečnostních účtů) místního počítače. Jejich rozsah je omezen pouze na tento počítač, ale mohou zahrnovat místní skupiny domény, ve které se počítač nachází, a také univerzální a globální skupiny vlastní domény nebo jiné, které důvěřují. Můžete například zahrnout uživatele z místní skupiny domény Users do skupiny Administrators na místním počítači, čímž mu udělíte práva správce, ale pouze pro tento počítač.


    V roce 2002, když jsem šel po chodbě katedry informatiky své oblíbené univerzity, uviděl jsem na dveřích kanceláře NT Systems čerstvý plakát. Na plakátu byly zobrazeny ikony uživatelských účtů seskupené do skupin, ze kterých pak šly šipky k dalším ikonám. To vše se schematicky spojilo do určité struktury, něco se psalo o systému jediného vstupu, oprávnění a podobně. Pokud tomu nyní rozumím, tento plakát zobrazoval architekturu domén Windows NT 4.0 a systémů Windows 2000 Active Directory. Od té chvíle začalo a hned skončilo moje první seznámení s Active Directory, protože pak následovala tvrdá session, zábavná dovolená, po které kamarád sdílel disky FreeBSD 4 a Red Hat Linux a na dalších pár let jsem se vrhl do světa unixových systémů, ale nikdy jsem nezapomněl na obsah plakátu.
    Když jsem se přestěhoval do společnosti, kde byla správa celé IT infrastruktury založena na Active Directory, musel jsem se vrátit a seznámit se blíže se systémy Windows Server. Pamatuji si, že hlavní administrátor té společnosti na každé schůzce neustále říkal něco o nějakých doporučených postupech pro Active Directory. Nyní, po 8 letech pravidelné komunikace s Active Directory, docela dobře rozumím tomu, jak tento systém funguje a jaké jsou Active Directory Best Practices.
    Jak už asi tušíte, budeme hovořit o Active Directory.
    Všem zájemcům toto téma, vítejte v kočičce.

    Tato doporučení platí pro klientské systémy počínaje Windows 7 a vyšší, pro domény a doménové struktury úrovně Windows Server 2008/R2 a vyšší.

    Standardizace
    Plánování služby Active Directory by mělo začít vytvořením vlastních standardů pro pojmenování objektů a jejich umístění v adresáři. Je nutné vytvořit dokument, ve kterém budou definovány všechny potřebné normy. To je samozřejmě poměrně časté doporučení pro IT profesionály. Princip „nejdříve napíšeme dokumentaci a pak na základě této dokumentace postavíme systém“ je velmi dobrý, ale v praxi se z mnoha důvodů uplatňuje jen zřídka. Mezi těmito důvody - prostá lidská lenost nebo nedostatek odpovídající kompetence, jsou ostatní důvody odvozeny od prvních dvou.
    Doporučuji - nejprve sepište dokumentaci, promyslete a teprve poté pokračujte v instalaci prvního doménového řadiče.
    Uvedu například část dokumentu o standardech pro pojmenování objektů Active Directory.
    Pojmenování objektů.

    • název vlastní skupiny musí začínat prefixem GRUS_ (GR – skupina, USA – uživatelé)
    • Název skupin počítačů nesmí začínat prefixem GRCP_ (GR - Skupina, CP - Počítače)
    • Název skupin delegování musí začínat prefixem GRDL_ (GR - Skupina, DL - Delegace)
    • Název skupin přístupu ke zdrojům musí začínat prefixem GRRS_ (GR - Group, RS - resources)
    • Název skupin pro zásady musí začínat předponami GPUS_, GPCP_ (GP – zásada skupiny, USA – uživatelé, CP – počítače)
    • Název klientských počítačů by se měl skládat ze dvou nebo tří písmen z názvu organizace, za nimiž následuje číslo přes pomlčku, například nnt-01.
    • Názvy serverů musí začínat pouze dvěma písmeny, za nimiž následuje pomlčka následovaná rolí serveru a číslem serveru, například nn-dc01.
    Objekty Active Directory doporučuji pojmenovat tak, abyste nemuseli vyplňovat pole „Popis“. Například z názvu skupiny GPCP_Restricted_Groups je zřejmé, že se jedná o skupinu pro politiku, která se aplikuje na počítače a vykonává práci mechanismu Restricted Groups.
    Váš přístup k psaní dokumentace by měl být velmi důkladný, ušetříte tím velký početčas v budoucnosti.

    Zjednodušte vše možné, snažte se dosáhnout rovnováhy
    Při vytváření Active Directory se musíte řídit zásadou dosažení rovnováhy a zvolit jednoduché a srozumitelné mechanismy.
    Principem vyváženosti je dosažení potřebné funkčnosti a bezpečnosti při maximální jednoduchosti řešení.
    Je nutné pokusit se postavit systém tak, aby jeho struktura byla jasná i nezkušenému správci nebo i uživateli. Svého času například existovalo doporučení vytvořit strukturu lesa z více domén. Navíc bylo doporučeno nasadit nejen vícedoménové struktury, ale také struktury z několika lesů. Možná takové doporučení existovalo kvůli principu „rozděl a panuj“, nebo proto, že Microsoft všem řekl, že doména je bezpečnostní hranicí a rozdělením organizace na domény získáme samostatné struktury, které se snáze ovládají jednotlivě. Jak ale ukázala praxe, je snazší udržovat a kontrolovat jednodoménové systémy, kde hranice zabezpečení tvoří organizační jednotky (OU), nikoli domény. Vyhněte se proto vytváření složitých vícedoménových struktur, je lepší seskupovat objekty podle OU.
    Samozřejmě byste měli jednat bez fanatismu - pokud se nemůžete obejít bez několika domén, musíte vytvořit několik domén, také s lesy. Hlavní je, že rozumíte tomu, co děláte a k čemu to může vést.
    Je důležité pochopit, že jednoduchá infrastruktura Active Directory se snadněji spravuje a ovládá. Dokonce bych řekl, že čím jednodušší, tím bezpečnější.
    Aplikujte princip zjednodušení. Snažte se dosáhnout rovnováhy.

    Dodržujte zásadu - "objekt - skupina"
    Začněte vytvářet objekty služby Active Directory vytvořením skupiny pro tento objekt a již přiřaďte skupině potřebná práva. Podívejme se na příklad. Musíte si vytvořit účet hlavního správce. Nejprve vytvořte skupinu Head Admins a teprve poté vytvořte samotný účet a přidejte jej do této skupiny. Přidělte skupině Head Admins práva hlavního správce, například přidáním do skupiny Domain Admins. Téměř vždy se stane, že po čase přijde do práce další zaměstnanec, který potřebuje podobná práva, a místo delegování práv na různé sekce Active Directory jej bude možné jednoduše přidat do požadované skupiny, pro kterou je již v systému definována role a delegovány potřebné pravomoci.
    Ještě jeden příklad. Musíte delegovat práva na organizační jednotku s uživateli do skupiny systémových administrátorů. Nedelegujte práva přímo na skupinu administrátorů, ale vytvořte speciální skupina jako GRDL_OUName_Operator_Accounts, kterým přiřadíte práva. Poté stačí přidat skupinu odpovědných správců do skupiny GRDL_OUName_Operator_Accounts. Určitě se ukáže, že v blízké budoucnosti bude potřeba delegovat práva k této OU na jinou skupinu administrátorů. A v tomto případě jednoduše přidáte skupinu dat správce do skupiny delegování GRDL_OUName_Operator_Accounts.
    Navrhuji následující strukturu skupiny.

    • Skupiny uživatelů (GRUS_)
    • Skupiny administrátorů (GRAD_)
    • Skupiny delegací (GRDL_)
    • Skupiny zásad (GRGP_)
    Počítačové skupiny
    • Skupiny serverů (GRSR_)
    • Skupiny klientských počítačů (GRCP_)
    Skupiny přístupu ke zdrojům
    • Skupiny přístupu ke sdíleným zdrojům (GRRS_)
    • Skupiny přístupu k tiskárně (GRPR_)
    V systému postaveném na těchto pokynech bude téměř veškerá administrativa přidávat skupiny do skupin.
    Udržujte rovnováhu, omezte počet rolí pro skupiny a pamatujte, že název skupiny by měl v ideálním případě plně vystihovat její roli.

    architektura OU.
    Architektura OU by měla být především promyšlena z hlediska bezpečnosti a delegování práv k této OU na systémové administrátory. Nedoporučuji plánovat architekturu OU z hlediska navázání skupinových politik na ně (i když se to nejčastěji dělá). Někomu se moje doporučení bude zdát trochu divné, ale propojování skupinových zásad s OU vůbec nedoporučuji. Více se dočtete v sekci Zásady skupiny.
    Správci OU
    Doporučuji vyčlenit samostatnou organizační jednotku pro administrátorské účty a skupiny, kam umístit účty a skupiny všech administrátorů a inženýrů technická podpora. Přístup k této OU by měl být omezen na běžné uživatele a správa objektů z této OU by měla být delegována pouze na hlavní administrátory.
    OU počítače
    Počítačové organizační jednotky se nejlépe plánují z hlediska počítačové geografie a typů počítačů. Distribuujte počítače z různých geografických míst do různých organizačních jednotek a následně je rozdělte na klientské počítače a servery. Servery lze dále rozdělit na Exchange, SQL a další.

    Uživatelé, práva v Active Directory
    Zvláštní pozornost by měla být věnována uživatelským účtům služby Active Directory. Jak bylo zmíněno v části o organizačních jednotkách, uživatelské účty by měly být seskupeny na základě principu delegování oprávnění k těmto účtům. Důležité je také dodržet zásadu nejmenších oprávnění – čím méně práv má uživatel v systému, tím lépe. Doporučuji, abyste okamžitě uvedli úroveň oprávnění uživatele do názvu jeho účtu. Účet pro každodenní práci by se měl skládat z příjmení uživatele a iniciál v latině (například IvanovIV nebo IVIvanov). Povinná pole jsou: Jméno, Iniciály, Příjmení, Zobrazované jméno (v ruštině), e-mail, mobil, Pracovní pozice, Manažer.
    Administrátorské účty musí být následujících typů:

    • S právy správce k počítačům uživatelů, ale ne k serverům. Musí se skládat z iniciál vlastníka následovaných předponou local (např. iivlocal)
    • S právy ke správě serverů a Active Directory. Musí obsahovat pouze iniciály (například iiv).
    Pole Příjmení obou typů administrativních účtů by mělo začínat písmenem I (například iPetrov P Vasily)
    Dovolte mi vysvětlit, proč byste měli oddělit účty správce na správce serveru a správce klientských počítačů. To je nutné z bezpečnostních důvodů. Správci klientských počítačů budou mít právo instalovat software na klientské počítače. Co a proč bude software nainstalován, nikdy nemůžete s jistotou říci. Není tedy bezpečné spouštět instalaci programu s právy správce domény, můžete kompromitovat celou doménu. Klientské počítače musíte spravovat pouze s právy místního správce pro daný počítač. To znemožní řadu útoků na účty správců domén, jako je „Pass The Hash“. Správci klientských počítačů musí navíc ukončit připojení Terminálové služby a síťové připojení k počítači. Počítače pro technickou podporu a správce by měly být umístěny v samostatné VLAN, aby se k nim omezil přístup ze sítě klientských počítačů.
    Udělení administrátorských práv uživatelům
    Pokud potřebujete uživateli udělit práva správce, za žádných okolností nevkládejte jeho každodenní účet do místní skupiny správců počítače. Účet pro každodenní práci by měl být vždy omezen v právech. Vytvořte pro něj samostatný účet správce typu namelocal a přidejte tento účet do skupiny místních správců pomocí zásady, přičemž omezte jeho použití pouze na počítači uživatele pomocí cílení na úrovni položek. Tento účet uživatel bude moci používat pomocí mechanismu Run AS.
    Zásady hesel
    Vytvořte samostatné zásady hesel pro uživatele a správce pomocí jemně strukturovaných zásad hesel. Je žádoucí, aby uživatelské heslo bylo dlouhé alespoň 8 znaků a měnilo se alespoň čtvrtletně. Je žádoucí, aby správci heslo měnili každé dva měsíce a mělo by mít alespoň 10–15 znaků a splňovat požadavky na složitost.

    Složení domény a lokálních skupin. Mechanismus omezených skupin
    Složení domény a místních skupin na počítačích s doménou by mělo být řízeno pouze v automatický režim pomocí mechanismu Restricted Groups. Proč je to nutné dělat pouze tímto způsobem, vysvětlím na následujícím příkladu. Obvykle se po rozbití domény Active Directory administrátoři přidávají do skupin domén, jako jsou správci domény, podnikoví administrátoři, požadované skupiny Do skupin jsou také rozděleni inženýři technické podpory a další uživatelé. V procesu správy této domény se proces udělování práv mnohokrát opakuje a bude nesmírně obtížné si zapamatovat, že jste včera dočasně přidali účetní Ninu Petrovnu do skupiny správců 1C a že ji dnes musíte z této skupiny odstranit. Situace se ještě zhorší, pokud má společnost několik administrátorů a každý čas od času uděluje uživatelům práva podobným stylem. Za rok bude téměř nemožné zjistit, která práva jsou komu přidělena. Složení skupin by tedy mělo být řízeno pouze skupinovými politikami, které u každé aplikace dají vše do pořádku.
    Složení vestavěných skupin
    Stojí za zmínku, že vestavěné skupiny jako Operátoři účtů, Operátoři zálohování, Operátoři kryptoměn, Hosté, Operátoři tisku, Operátoři serveru musí být prázdné, a to jak v doméně, tak na klientských počítačích. Tyto skupiny jsou primárně potřebné pro zpětnou kompatibilitu se staršími systémy a uživatelé těchto skupin dostávají v systému příliš mnoho práv a útoky eskalace privilegií jsou možné.

    Účty místního správce
    Pomocí mechanismu skupin s omezeným přístupem musíte zamknout účty místních správců na místních počítačích, zamknout účty hostů a vymazat skupinu místních správců na místních počítačích. Nikdy nepoužívejte zásady skupiny k nastavení hesel pro účty místních správců. Tento mechanismus není bezpečný, heslo lze získat přímo ze zásady. Pokud se však rozhodnete neblokovat účty místních administrátorů, použijte mechanismus LAPS ke správnému nastavení hesel a jejich rotaci. Konfigurace LAPS bohužel není plně automatizovaná, a proto bude nutné atributy přidávat ručně Aktivní schéma Adresář, udělujte jim práva, přiřazujte skupiny a tak dále. Proto je jednodušší zablokovat účty místních administrátorů.
    Servisní účty.
    Ke spuštění služeb použijte servisní účty a mechanismus gMSA (k dispozici na systémech Windows 2012 a vyšších)

    Zásady skupiny
    Před vytvořením/úpravou zdokumentujte zásady.
    Při vytváření politiky použijte princip "Politika - skupina". To znamená, že před vytvořením zásady nejprve vytvořte skupinu pro tuto zásadu, odeberte skupinu Authenticated users z rozsahu zásad a přidejte vytvořenou skupinu. Svažte zásadu nikoli s organizační jednotkou, ale s kořenem domény a regulujte rozsah její aplikace přidáním objektů do skupiny zásad. Takový mechanismus považuji za flexibilnější a srozumitelnější než propojení politiky s OU. (o tom jsem psal v sekci OU Architecture).
    Vždy upravte rozsah politiky. Pokud jste vytvořili zásady pouze pro uživatele, zakažte strukturu počítače a naopak, zakažte strukturu uživatele, pokud jste vytvořili zásady pouze pro počítače. Díky těmto nastavením budou zásady aplikovány rychleji.
    Nastavte si denní záloha politiky pomocí Power Shell, abyste v případě chyb konfigurace mohli vždy vrátit nastavení na původní.
    Šablony centrálního obchodu (Central Store)
    Počínaje Windows 2008 bylo možné ukládat šablony ADMX zásad skupiny v centrálním úložišti v SYSVOL. Předtím byly ve výchozím nastavení všechny šablony zásad uloženy lokálně na klientech. Chcete-li umístit šablony ADMX do centrálního úložiště, musíte zkopírovat obsah složky %SystemDrive%\Windows\PolicyDefinitions spolu s podsložkami z klientských systémů (Windows 7/8/8.1) do adresáře řadiče domény %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions, přičemž obsah sloučíte, ale nenahradíte jej. Dále byste měli vytvořit stejnou kopii ze serverových systémů, počínaje nejstarším. A konečně, při kopírování složek a souborů z Nejnovější verze serveru, proveďte kopii pomocí sloučení a NAHRADIT.

    Kopírování šablon ADMX

    Navíc lze do centrálního úložiště umístit šablony ADMX pro libovolné softwarové produkty, např Microsoft Office, produkty Adobe, Google a další. Přejděte na web dodavatele softwaru, stáhněte si šablonu Group Policy ADMX a rozbalte ji do složky %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions na libovolném řadiči domény. Nyní můžete spravovat softwarový produkt, který potřebujete, prostřednictvím skupinových zásad.
    filtry WMI
    Filtry WMI nejsou příliš rychlé, proto je vhodnější cílení na úrovni položek. Pokud však nelze použít cílení na úrovni položek a rozhodnete se použít WMI, pak doporučuji okamžitě vytvořit několik nejběžnějších filtrů: filtry „Pouze klientské operační systémy“, „Pouze serverové operační systémy“, filtry „Windows 7“, „Windows 8“, „Windows 8.1“, „Windows 10“. Pokud máte připravené sady filtrů WMI, bude později snazší použít požadovaný filtr na požadovanou politiku.

    Auditování událostí Active Directory
    Nezapomeňte povolit auditování událostí na řadičích domény a dalších serverech. Doporučuji povolit auditování následujících objektů:

    • Audit správy účtu počítače – úspěch, neúspěch
    • Audit dalších událostí správy účtu – úspěch, neúspěch
    • Audit Security Group Management – ​​úspěch, neúspěch
    • Audit správy uživatelských účtů – úspěch, neúspěch
    • Auditovat službu ověřování Kerberos – selhání
    • Audit dalších událostí přihlášení k účtu – selhání
    • Změna zásad auditu – úspěch, neúspěch
    Audit musí být nakonfigurován v sekci Rozšířená konfigurace zásad auditu a nezapomeňte zahrnout nastavení do sekce Možnosti místních zásad/zabezpečení – vynutí nastavení podkategorie zásad auditu (Windows Vista nebo novější), aby přepsala nastavení kategorie zásad auditu který přepíše nastavení nejvyšší úroveň a aplikujte rozšířené.

    Pokročilá nastavení auditu

    Nebudu se podrobně zabývat nastavením auditu, protože článků věnovaných tomuto tématu je na webu dostatečné množství. Jen dodám, že kromě povolení auditování byste měli nakonfigurovat e-mailová upozornění na kritické bezpečnostní události. Rovněž stojí za zvážení, že v systémech s velkým počtem událostí se vyplatí vyhradit samostatné servery pro sběr a analýzu souborů protokolu.

    Administrační a čistící skripty
    Všechny akce stejného typu a často se opakující je nutné provádět pomocí administračních skriptů. Mezi tyto akce: vytváření uživatelských účtů, vytváření účtů správce, vytváření skupin, vytváření organizačních jednotek a tak dále. Skriptování objektů vám umožňuje respektovat logiku pojmenování objektů Active Directory tím, že přímo do vašich skriptů zabuduje kontroly syntaxe.
    Vyplatí se také psát čistící skripty, které budou automaticky kontrolovat složení skupin, identifikovat uživatele a počítače, které se delší dobu nepřipojují k doméně, odhalit porušení vašich dalších standardů a podobně.
    Použití administračních skriptů pro sledování dodržování standardů a provádění operací na pozadí jsem nevnímal jako výslovné oficiální doporučení. Sám ale preferuji automatické kontroly a procedury pomocí skriptů, protože to šetří spoustu času a eliminuje spoustu chyb a samozřejmě se zde projevuje můj mírně unixový přístup k administraci, kdy je jednodušší napsat pár příkazů než klikat na okna.

    Manuální administrace
    Část administrativních operací budete muset vy a vaši kolegové provádět ručně. Pro tyto účely doporučuji používat konzoli mmc s přidanými moduly snap-in.
    Jak bude diskutováno později, vaše doménové řadiče musí pracovat v režimu Server Core, to znamená, že administrace celého prostředí AD by měla být prováděna pouze z vašeho počítače pomocí konzolí. Chcete-li spravovat službu Active Directory, musíte do počítače nainstalovat nástroje pro správu vzdáleného serveru. Konzoly by měly být na vašem počítači spuštěny jako uživatel s právy správce služby Active Directory, kterému bylo delegováno řízení.
    Umění správy Active Directory pomocí konzolí vyžaduje samostatný článek a možná i samostatné výukové video, takže zde mluvím pouze o principu samotném.

    řadiče domén
    V každé doméně musí být alespoň dva řadiče. Řadiče domény by měly mít co nejméně služeb. Neměli byste z řadiče domény vytvářet souborový server nebo na něm, nedej bože, zvyšovat roli terminálového serveru. Používejte operační systémy v režimu Server Core na doménových řadičích a zcela odstraňte podporu pro WoW64, což výrazně sníží počet potřebné aktualizace a zvýšit jejich bezpečnost.
    Microsoft dříve nedoporučoval virtualizaci doménových řadičů kvůli skutečnosti, že při obnově ze snímků byly možné obtížně řešitelné konflikty replikace. Možná byly i jiné důvody, to nemohu s jistotou říci. Nyní se hypervizoři naučili říkat kontrolérům, aby je obnovili ze snímků, a tento problém zmizel. Virtualizoval jsem řadiče neustále, aniž bych pořizoval snímky, protože nechápu, proč by to mohlo být nutné na řadičích domény vůbec dělat. Myslím, že je to jednodušší záloha doménový řadič standardními prostředky. Proto doporučuji virtualizovat všechny doménové řadiče, které jsou možné. Tato konfigurace bude flexibilnější. Při virtualizaci řadičů domény je umístěte na různé fyzické hostitele.
    Pokud potřebujete umístit řadič domény do nezabezpečeného fyzické prostředí nebo v pobočce vaší organizace, pak použijte RODC pro tyto účely.

    Role FSMO, primární a sekundární řadiče
    Role FSMO řadiče domény nadále vzbuzují strach v myslích začínajících administrátorů. Začátečníci často studují Active Directory pomocí zastaralé dokumentace nebo poslouchají příběhy jiných administrátorů, kteří si někde něco přečetli.
    Pro všech pět + 1 rolí by mělo být stručně řečeno následující. Počínaje systémem Windows Server 2008 již neexistují primární a sekundární řadiče domény. Všech pět rolí řadiče domény je přenosných, ale nelze je hostovat na více než jednom řadiči domény současně. Pokud vezmeme jeden z controllerů, který byl např. vlastníkem 4 rolí a smažeme ho, tak všechny tyto role snadno převedeme na jiné controllery a nic hrozného se v doméně nestane, nic se nerozbije. To je možné, protože všechny informace o práci spojené s určitou rolí jsou uloženy jejím vlastníkem přímo v Active Directory. A pokud roli převedeme na jiný kontroler, tak ten si nejprve vyžádá uložené informace v Active Directory a začne sloužit. Doména může stačit na dlouhou dobu existovat bez mistrů rolí. Jediná „role“, která by měla být v Active Directory vždy a bez které bude vše velmi špatné, je role globálního katalogu (GC), mohou ji nést všechny řadiče v doméně. Doporučuji každému řadiči v doméně přiřadit roli GC, čím více, tím lépe. Samozřejmě můžete najít případy, kdy byste neměli instalovat roli GC na řadič domény. No, když nemusíš, tak nemusíš. Dodržujte doporučení bez fanatismu.

    Služba DNS
    Služba DNS je kritická pro provoz služby Active Directory a měla by běžet hladce. Službu DNS je nejlepší umístit na každý řadič domény a ukládat zóny DNS v samotné službě Active Directory. Pokud k ukládání zón DNS používáte službu Active Directory, měli byste nakonfigurovat vlastnosti připojení TCP/IP na řadičích domény tak, aby každý řadič měl jakýkoli jiný server DNS jako primární server DNS a adresu 127.0.0.1 bylo možné nastavit jako sekundární. Tato konfigurace je nutná, protože pro normální spuštění služby Active Directory je vyžadován funkční DNS a pro spuštění DNS musí být spuštěna služba Active Directory, protože obsahuje samotnou zónu DNS.
    Nezapomeňte nastavit zóny zpětného vyhledávání pro všechny sítě a povolit automatické bezpečná aktualizace záznamy PTR.
    Doporučuji dodatečně povolit automatické čištění zóny od zastaralých DNS záznamů (dns scavenging).
    Doporučuji zadat zabezpečené servery Yandex jako DNS-Forwardery, pokud ve vaší geografické poloze nejsou žádné jiné rychlejší.

    Místa a replikace
    Mnoho správců má tendenci považovat weby za geografické seskupení počítačů. Například lokalita Moskva, lokalita Petrohrad. Tento pohled se objevil kvůli skutečnosti, že původní rozdělení Active Directory na lokality bylo provedeno za účelem vyvážení a oddělení replikačního síťového provozu. Řadiče domén v Moskvě nemusí vědět, že v Petrohradě bylo nyní vytvořeno deset počítačových účtů. Proto lze takové informace o změnách přenášet jednou za hodinu podle harmonogramu. Nebo dokonce replikujte změny jednou denně a pouze v noci, abyste ušetřili šířku pásma.
    O webech bych řekl toto: weby jsou logické skupiny počítačů. Počítače, které jsou dobře propojené internetové připojení. A samotné stránky jsou propojeny spojením s malým propustnost což je v dnešní době vzácnost. Active Directory tedy rozděluji na weby ne kvůli vyrovnávání replikačního provozu, ale kvůli vyrovnávání zatížení sítě obecně a kvůli rychlejšímu zpracování požadavků klientů z počítačů webu. Dovolte mi to vysvětlit na příkladu. Existuje 100megabitová místní síť organizace, která je obsluhována dvěma doménovými řadiči, a existuje cloud, kde jsou aplikační servery této organizace umístěny se dvěma dalšími cloudovými řadiči. Takovou síť rozdělím na dvě lokality tak, že řadiče v lokální síti zpracovávají požadavky klientů z lokální sítě a řadiče v cloudu zpracovávají požadavky aplikačních serverů. Navíc to oddělí požadavky na služby DFS a Exchange. A protože teď jen zřídka vidím internetový kanál s rychlostí nižší než 10 megabitů za sekundu, povolím replikaci na základě oznámení, kdy se data replikují, jakmile dojde k jakýmkoli změnám v Active Directory.

    Závěr
    Dnes ráno jsem přemýšlel o tom, proč lidské sobectví není ve společnosti vítáno a někde na hluboké úrovni vnímání vyvolává extrémně negativní emoce. A jediná odpověď, která mě napadla, je, že lidská rasa by na této planetě nepřežila, kdyby se nenaučila sdílet fyzické a intelektuální zdroje. Proto s vámi sdílím tento článek a doufám, že vám moje doporučení pomohou zlepšit vaše systémy a strávíte mnohem méně času odstraňováním problémů. To vše povede k uvolnění více času a energie na kreativitu. Je mnohem příjemnější žít ve světě kreativních a svobodných lidí.
    Je dobré, když se o své poznatky a postupy podělíte pokud možno v komentářích. staví Active Adresář.
    Mír a dobro všem!

    Můžete pomoci a převést nějaké prostředky na rozvoj webu

    Stručně řečeno, AD vám umožňuje používat jeden bod administrace pro všechny publikované zdroje. AD je založeno na standardu pojmenování X.500, k určení polohy se používá systém DNS (Domain Name System) a jako základní protokol se používá Lightweight Directory. Přístupový protokol(LDAP).

    AD kombinuje logickou a fyzickou strukturu sítě. Logická struktura AD se skládá z následujících prvků:

    • organizační jednotka - podskupina počítačů zpravidla odrážející strukturu společnosti;
    • doména – skupina počítačů sdílejících společnou databázi adresářů;
    • strom domén – jedna nebo více domén sdílejících souvislý jmenný prostor;
    • doménová struktura – jeden nebo více stromů sdílejících informace o adresáři.

    Fyzická struktura obsahuje následující prvky:

    • podsíť – síťová skupina se zadaným rozsahem IP adres a maskou sítě;
    • místo jednu nebo více podsítí. Místo se používá ke konfiguraci přístupu k adresářům a replikaci.

    V adresáři jsou uloženy tři typy informací: data domény, data schématu a konfigurační data. AD používá pouze řadiče domény. Data domény jsou replikována do všech řadičů domény. Všechny doménové řadiče jsou si rovny, tzn. všechny změny provedené z libovolného řadiče domény budou replikovány do všech ostatních řadičů domény. Data schématu a konfigurace jsou replikována do všech domén ve stromu nebo doménové struktuře. Kromě toho jsou všechny jednotlivé objekty domény a některé vlastnosti objektů doménové struktury replikovány do globálního katalogu (GC). To znamená, že řadič domény ukládá a replikuje schéma pro strom nebo doménovou strukturu, informace o konfiguraci pro všechny domény ve stromu nebo doménové struktuře a všechny adresářové objekty a vlastnosti pro svou vlastní doménu.

    Řadič domény, který je hostitelem GC, uchovává a replikuje informace o schématu pro doménovou strukturu, informace o konfiguraci pro všechny domény v doménové struktuře a omezenou sadu vlastností pro všechny objekty adresáře v doménové struktuře (která je replikována pouze mezi servery GC) a všechny objekty adresáře a vlastnosti pro svou doménu.

    Řadiče domény mohou mít různé role hlavního operačního serveru. Hlavní operačního serveru provádí úlohy, které je nepohodlné provádět v modelu replikace s více hlavními servery.

    Existuje pět rolí hlavního operačního serveru, které lze přiřadit jednomu nebo více řadičům domény. Některé role musí být jedinečné na úrovni doménové struktury, jiné na úrovni domény.

    V každé doménové struktuře AD existují následující role:

    • Mistr schématu – spravuje aktualizace a změny schématu adresářů. Aktualizace schématu katalogu vyžaduje přístup k hlavnímu serveru schémat. Chcete-li zjistit, který server je aktuálně hlavním serverem schémat v doméně, musíte zadat příkaz do okna příkazového řádku schéma dsquery server -hasfsmo
    • Master pojmenování domén - spravuje přidávání a odebírání domén v doménové struktuře. Přidání nebo odebrání domény vyžaduje přístup k hlavnímu serveru názvů domén. Chcete-li zjistit, který server je aktuálně hlavním pojmenováním domén, zadejte v okně příkazového řádku příkaz dsquery server -hasismo name

    Tyto role jsou společné pro les jako celek a jsou v něm jedinečné.

    Každá doména AD má následující role:

    • Relativní hlavní ID - Přiděluje relativní identifikátory řadičům domény. Pokaždé, když je vytvořen objekt uživatele, skupiny nebo počítače, řadiče přiřadí objektu jedinečné SID, které se skládá z SID domény a jedinečného identifikátoru přiděleného hlavním serverem relativních identifikátorů. Chcete-li zjistit, který server je aktuálně hlavním identifikátorem relativních domén, zadejte do příkazového řádku příkaz dsquery server -hasfsmo rid
    • Emulátor PDC (emulátor PDC) - Funguje jako primární řadič domény Windows NT ve smíšeném nebo pracovním režimu domény. Ověřuje přihlášení do systému Windows, zpracovává změny hesla a replikuje aktualizace BDC, pokud existují. Chcete-li zjistit, který server je aktuálně emulátorem PDC domény, zadejte do příkazového řádku dsquery server -hasfsmo pdc
    • Master infrastruktury - Aktualizuje odkazy na objekty porovnáním dat jeho adresáře s daty GC. Pokud jsou data zastaralá, vyžádá si aktualizace od GC a replikuje je do zbytku řadičů domény. Chcete-li zjistit, který server je aktuálně hlavním serverem infrastruktury domény, zadejte do příkazového řádku dsquery server -hasfsmo infr

    Tyto role jsou společné pro celou doménu a musí být v ní jedinečné.

    Role hlavního operačního serveru jsou automaticky přiřazeny k prvnímu řadiči v doméně, ale později je můžete znovu přiřadit. Pokud je v doméně pouze jeden řadič, pak vykonává všechny role mistrů operací najednou.

    Nedoporučujeme oddělovat role hlavního serveru schémat a hlavního serveru názvů domén. Pokud je to možné, přiřaďte je ke stejnému řadiči domény. Pro maximální efektivitu je žádoucí, aby hlavní řídicí jednotka relativního identifikátoru a emulátor PDC také sídlily na stejném řadiči, ačkoli tyto role mohou být v případě potřeby odděleny. V velká síť tam, kde velká pracovní zátěž snižuje výkon, by měly být relativní ID master a emulátor PDC umístěny na různé řadiče. Také nedoporučujeme hostovat hlavní server infrastruktury na řadiči domény, který obsahuje globální katalog.

    Instalace řadiče domény (DC) systému Windows Server 2003 pomocí Průvodce instalací služby Active Directory

    Řadič domény se instaluje pomocí Průvodce instalací služby Active Directory. Chcete-li povýšit server na řadič domény, musíte se ujistit, že jsou splněny všechny nezbytné požadavky:

    1. Server musí mít alespoň jeden oddíl NTFS, aby mohl být hostitelem systémového svazku SYSVOL.
    2. Server musí mít přístup k serveru DNS. Je vhodné nainstalovat službu DNS na stejný server. Pokud je použit samostatný server, musí být zajištěno, že podporuje záznamy o umístění služby (RFC 2052) a protokol dynamických aktualizací (RFC 2136).
    3. Na serveru musíte mít účet s právy místního správce.

    Podívejme se podrobně na povýšení role serveru na řadič domény Active Directory v krocích:

    Základy správy domény Active Directory

    Řada nástrojů v modulech snap-in konzoly Microsoft Management Console (MMC) usnadňuje práci se službou Active Directory.

    Modul snap-in (Uživatelé a počítače služby Active Directory) je konzola pro správu konzoly MMC, kterou můžete použít ke správě a publikování informací do adresáře. Jedná se o hlavní administrační nástroj pro Active Directory a používá se k provádění všech úkolů souvisejících s uživateli, skupinami a počítači a také ke správě organizačních jednotek.

    Chcete-li spustit modul snap-in (Uživatelé a počítače služby Active Directory), vyberte stejnojmenný příkaz z nabídky Nástroje pro správu.

    Ve výchozím nastavení konzola Uživatelé a počítače služby Active Directory pracuje s doménou, do které váš počítač patří. K objektům počítače a uživatelů v této doméně můžete přistupovat prostřednictvím stromu konzoly nebo se připojit k jiné doméně. Nástroje stejné konzole umožňují prohlížet další parametry objektů a vyhledávat je.

    Po získání přístupu k doméně uvidíte standardní sadu složek:

    • Uložené dotazy (Uložené dotazy) – uložená vyhledávací kritéria, která vám umožní rychle zopakovat dříve provedené vyhledávání v Active Directory;
    • Vestavěný – seznam vestavěných uživatelských účtů;
    • počítače – výchozí kontejner pro počítačové účty;
    • Ovladače domén – výchozí kontejner pro řadiče domény;
    • Zahraniční bezpečnostní ředitelé – obsahuje informace o objektech z důvěryhodné externí domény. Tyto objekty jsou obvykle vytvořeny, když je objekt z externí domény přidán do aktuální skupiny domén;
    • Uživatelé je výchozí kontejner pro uživatele.

    Některé složky konzoly se ve výchozím nastavení nezobrazují. Chcete-li je zobrazit, vyberte příkaz Pokročilé funkce z nabídky Zobrazit (Zobrazit). Doplňkové funkce). Tyto další složky jsou:

    • Ztráty a nálezy – ztracení vlastníci, objekty adresáře;
    • Kvóty NTDS – údaje o kvótách adresářové služby;
    • Programové data – Data uložená v adresářové službě pro aplikace Microsoft;
    • Systém – vestavěné systémové parametry.

    Složky pro organizační jednotky můžete do stromu AD přidat sami.

    Zvažte příklad vytvoření uživatelského účtu domény. Chcete-li vytvořit uživatelský účet, klepněte pravým tlačítkem myši na kontejner, do kterého chcete uživatelský účet umístit, vyberte z kontextová nabídka Nový (Vytvořit) a poté - Uživatel (Uživatel). Otevře se okno průvodce Nový objekt – uživatel:

    1. Do příslušných polí zadejte křestní jméno, iniciály a příjmení uživatele. Tyto informace budou vyžadovány pro vygenerování zobrazovaného jména uživatele.
    2. Upravte celé jméno. Musí být jedinečný v rámci domény a nesmí být delší než 64 znaků.
    3. Zadejte své přihlašovací jméno. Pomocí rozevíracího seznamu vyberte doménu, ke které bude účet přidružen.
    4. V případě potřeby změňte přihlašovací uživatelské jméno pro systémy se systémem Windows NT 4.0 nebo starším. Ve výchozím nastavení se prvních 20 znaků z celého jména uživatele používá jako přihlašovací jméno pro systémy s předchozími verzemi Windows. Tento název musí být také jedinečný v rámci domény.
    5. Klikněte Další (Další). Zadejte heslo pro uživatele. Jeho nastavení musí odpovídat vaší zásadě hesel;
      Potvrdit heslo - pole sloužící k potvrzení správnosti zadaného hesla;
      Uživatel si musí při příštím přihlášení změnit heslo(Vyžadovat změnu hesla při příštím přihlášení) - pokud je toto políčko zaškrtnuté, uživatel si bude muset heslo při příštím přihlášení změnit;
      Uživatel nemůže změnit heslo - pokud je toto políčko zaškrtnuto, uživatel nemůže změnit heslo;
      Heslo nikdy nevyprší - pokud je toto políčko zaškrtnuté, platnost hesla pro tento účet nevyprší (toto nastavení má přednost před zásadami doménového účtu);
      Účet je deaktivován – Pokud je zaškrtnuto, účet je deaktivován (užitečné pro dočasné zabránění někomu v používání účtu).

    Účty umožňují ukládat kontaktní údaje uživatele a také informace o účasti v různých doménových skupinách, cestu k profilu, přihlašovací skript, cestu k domovské složce, seznam počítačů, ze kterých má uživatel povolen vstup do domény atd.

    Přihlašovací skripty definují příkazy, které se provádějí při každém přihlášení. Umožňují vám nakonfigurovat systémový čas, síťové tiskárny, cesty k síťovým jednotkám atd. Skripty se používají k jednorázovému spuštění příkazů a nastavení prostředí nastavené skripty se neukládají pro pozdější použití. Přihlašovacími skripty mohou být soubory Windows Script Server s příponou .VBS, .JS a další, dávkové soubory s příponou .BAT, příkazové soubory s příponou .CMD, programy s příponou .EXE.

    Každému účtu můžete přiřadit vlastní domovskou složku pro ukládání a obnovu souborů uživatele. Většina aplikací ve výchozím nastavení otevírá domovskou složku pro operace otevírání a ukládání souborů, což uživatelům usnadňuje nalezení jejich dat. Na příkazovém řádku je domovská složka počátečním aktuálním adresářem. Domovská složka může být umístěna buď na místním pevném disku uživatele, nebo na sdíleném síťovém disku.

    Zásady skupiny lze použít na počítač v doméně a uživatelské účty. Zásady skupiny zjednodušují správu tím, že správcům poskytují centralizovanou kontrolu nad oprávněními, oprávněními a možnostmi uživatelů a počítačů. Zásady skupiny vám umožňují:

    • vytvořit centrálně spravované speciální složky, například Moje dokumenty (Moje dokumenty);
    • spravovat přístup ke komponentám Windows, systémovým a síťovým prostředkům, nástrojům ovládacího panelu, pracovní ploše a nabídce Start;
    • konfigurovat uživatelské a počítačové skripty pro provádění úlohy v určený čas;
    • konfigurovat zásady pro hesla a uzamčení účtů, auditování, přidělování uživatelských práv a zabezpečení.

    Kromě správy uživatelských účtů a skupin existuje mnoho dalších úkolů správy domény. Na to jsou jiné nástroje a aplikace.

    lanoví Domény a důvěryhodnosti služby Active Directory(Active Directory – Domains and Trusts) se používá pro práci s doménami, doménovými stromy a doménovými strukturami.

    lanoví Weby a služby Active Directory(Active Directory – Sites and Services) umožňuje spravovat weby a podsítě a také replikaci mezi lokalitami.

    Ke správě objektů AD existují nástroje příkazového řádku, které vám umožňují provádět širokou škálu administrativních úloh:

    • Dsadd - Přidá počítače, kontakty, skupiny, organizační jednotky a uživatele do Active Directory. Pro nápovědu zadejte dsadd /? , jako je počítač dsadd/?
    • dsmod - Upravuje vlastnosti počítačů, kontaktů, skupin, organizačních jednotek, uživatelů a serverů registrovaných v Active Directory. Pro nápovědu zadejte dsmod /? , například server dsmod /?
    • Dsmove – Přesune jeden objekt na nové místo v rámci domény nebo přejmenuje objekt, aniž by jej přesunul.
    • Dsget - Zobrazuje vlastnosti počítačů, kontaktů, skupin, organizačních jednotek, uživatelů, webů, podsítí a serverů registrovaných v Active Directory. Pro nápovědu zadejte dsget /? , například dsget subnet /?
    • dsquery – vyhledává počítače, kontakty, skupiny, organizační jednotky, uživatele, weby, podsítě a servery v Active Directory podle zadaných kritérií.
    • Dsrm – odstraní objekt z Active Directory.
    • Ntdsutil - umožňuje prohlížet informace o webu, doméně nebo serveru, spravovat hlavní operační servery a udržovat databázi Active Directory.

    Existují také nástroje podpory služby Active Directory:

    • ldp – Provádí operace ve správě Active Directory pomocí protokolu LDAP.
    • Replmon – Spravuje replikaci a zobrazuje její výsledky v grafickém rozhraní.
    • Dsacls – Spravuje seznamy ACL (Access Control List) pro objekty Active Directory.
    • Dfsutil - Spravuje distribuovaný systém souborů (Distributed Souborový systém, DFS) a zobrazuje informace o jeho provozu.
    • dnscmd – Spravuje vlastnosti serverů, zón a záznamů prostředků DNS.
    • Movetree – Přesouvá objekty z jedné domény do druhé.
    • Repadmin – Spravuje replikaci a zobrazuje její výsledky v okně příkazového řádku.
    • Sdcbeck – Analyzuje distribuci, replikaci a dědičnost seznamů řízení přístupu.
    • Sidwalker – Určuje seznamy řízení přístupu pro objekty dříve vlastněné přesunutými, odstraněnými nebo osiřelými účty.
    • netdom – Umožňuje spravovat domény a vztahy důvěryhodnosti z příkazového řádku.

    Jak je patrné z tohoto článku, spojení skupin počítačů do domén založených na Active Directory umožňuje výrazně snížit náklady na administrativní úkony centralizací správy doménových účtů pro počítače a uživatele a také umožňuje flexibilně spravovat uživatelská práva, zabezpečení a řadu dalších parametrů. Podrobnější materiály o organizaci domén lze nalézt v příslušné literatuře.

    Anotace: Tato přednáška popisuje základní koncepty adresářových služeb Active Directory. Jsou uvedeny praktické příklady správy zabezpečení sítě. Je popsán mechanismus skupinových politik. Poskytuje náhled na úkoly správce sítě při správě infrastruktury adresářových služeb

    Moderní sítě se často skládají z mnoha různých softwarových platforem, široké škály hardwaru a softwaru. Uživatelé jsou často nuceni pamatovat si velké množství hesel pro přístup k různým síťovým zdrojům. Přístupová práva se mohou pro stejného zaměstnance lišit v závislosti na zdrojích, se kterými pracuje. Celá tato sada vzájemných vztahů vyžaduje od správce a uživatele obrovské množství času na analýzu, zapamatování a učení.

    Řešení problému správy takto heterogenní sítě bylo nalezeno s rozvojem adresářové služby. Adresářové služby poskytují možnost spravovat jakýkoli prostředek nebo službu odkudkoli, bez ohledu na velikost sítě, operační systémy nebo složitost hardwaru. Informace o uživateli se jednorázově zadají do adresářové služby a poté jsou dostupné v celé síti. Adresy E-mailem, členství ve skupinách, potřebná přístupová práva a účty pro práci s různými operačními systémy – to vše se vytváří a aktualizuje automaticky. Jakékoli změny provedené v adresářové službě administrátorem jsou okamžitě aktualizovány v celé síti. Správci se již nemusí starat o propuštěné zaměstnance – pouhým smazáním uživatelského účtu z adresářové služby mohou zaručit automatické mazání všechna přístupová práva k síťovým zdrojům dříve udělená tomuto zaměstnanci.

    V současné době je na standardu založena většina adresářových služeb různých společností X,500. Pro přístup k informacím uloženým v adresářových službách se obvykle používá protokol. (LDAP). Ve spojení s rychlý vývoj V sítích TCP/IP se LDAP stává standardem pro adresářové služby a adresářově orientované aplikace.

    Adresářová služba Active Directory je základem logické struktury podnikových sítí založených na systému Windows. Termín " Katalog"v nejširším slova smyslu znamená" Adresář", A adresářová služba podniková síť je centralizovaný podnikový adresář. Firemní adresář může obsahovat informace o objektech různých typů. Adresářová služba Active Directory obsahuje především objekty, na kterých je založen bezpečnostní systém Sítě Windows, - uživatelské, skupinové a počítačové účty. Účty jsou organizovány do logických struktur: doména, strom, doménová struktura, organizační jednotky.

    Z hlediska prostudování látky předmětu „Síť správa" Výukový materiál je docela možné projít následujícím způsobem: nejprve si prostudujte první část této části (od základních pojmů po instalaci doménových řadičů), poté přejděte na "Služba souborů a tisku" a po prostudování "Služba souborů a tisku" se vraťte do "Active Directory Directory Service", kde se dozvíte pokročilejší koncepty adresářových služeb.

    6.1 Základní pojmy a pojmy (les, strom, doména, organizační jednotka). Plánování jmenného prostoru AD. Instalace řadičů domény

    Modely správy zabezpečení: Model pracovní skupiny a model centralizované domény

    Jak bylo uvedeno výše, hlavním účelem adresářových služeb je správa zabezpečení sítě. Základem zabezpečení sítě je databáze účtů (účtů) uživatelů, skupin uživatelů a počítačů, s jejichž pomocí je řízen přístup k síťovým zdrojům. Než budeme mluvit o adresářové službě Active Directory, porovnejme dva modely pro vytváření databáze adresářových služeb a správu přístupu ke zdrojům.

    Model "pracovní skupina"

    Tento model správy zabezpečení podnikové sítě je nejprimitivnější. Je určen pro použití v malém sítě peer-to-peer(3–10 počítačů) a je založena na tom, že každý počítač v síti s operačními systémy Windows NT/2000/XP/2003 má svou lokální databázi účtů a tato lokální databáze řídí přístup ke zdrojům tohoto počítače. Lokální databáze účtů se nazývá databáze SAM (Správce bezpečnostních účtů) a je uložen v registru operačního systému. Databáze jednotlivých počítačů jsou od sebe zcela izolované a nejsou nijak propojeny.

    Příklad řízení přístupu pomocí takového modelu je na Obr. 6.1.


    Rýže. 6.1.

    V tento příklad jsou zobrazeny dva servery (SRV-1 a SRV-2) a dvě pracovní stanice (WS-1 a WS-2). Jejich databáze SAM jsou označeny SAM-1, SAM-2, SAM-3 a SAM-4 (databáze SAM jsou na obrázku znázorněny jako ovál). Každá databáze má uživatelské účty Uživatel1 a Uživatel2. Úplné uživatelské jméno uživatele1 na serveru SRV-1 bude vypadat jako "SRV-1\Uživatel1" a celé jméno uživatele1 na pracovní stanici WS-1 bude vypadat jako "WS-1\Uživatel1". Představme si, že na serveru SRV-1 je vytvořena složka Folder, do které je po síti udělen přístup uživatelům User1 - pro čtení (R), User2 - pro čtení a zápis (RW). Hlavním bodem tohoto modelu je, že počítač SRV-1 „neví“ nic o účtech počítačů SRV-2, WS-1, WS-2, stejně jako všech ostatních počítačů v síti. Pokud se uživatel jménem Uživatel1 přihlásí místně na počítači, jako je WS-2 (nebo, jak se říká, „přihlásí se pomocí místní název Uživatel1 na počítači WS-2"), pokud se tento počítač pokusí o přístup ke složce Složka na serveru SRV-1 přes síť, server vyzve uživatele k zadání jména a hesla (kromě případů, kdy uživatelé se stejným jménem mají stejná hesla).

    Model Working Group se učí snadněji, není potřeba se učit komplexní koncepty Aktivní adresář. Ale při použití v síti s velkým počtem počítačů a síťových zdrojů je velmi obtížné spravovat uživatelská jména a jejich hesla - musíte ručně vytvářet stejné účty se stejnými hesly na každém počítači (což poskytuje své zdroje pro sdílení v síti), což je velmi pracné, nebo vytvořit jeden účet pro všechny uživatele s jedním heslem pro všechny (nebo vůbec žádným heslem), což výrazně snižuje úroveň ochrany informací. Proto se model "Workgroup" doporučuje pouze pro sítě se 3 až 10 počítači (a ještě lépe - ne více než 5), za předpokladu, že mezi všemi počítači není ani jeden se systémem Windows Server.

    doménový model

    V modelu domény existuje jediná databáze adresářových služeb, která je dostupná všem počítačům v síti. K tomu jsou v síti instalovány specializované servery, tzv doménové řadiče které jsou na nich uloženy pevné disky tuto základnu. Na Obr. 6.2. je znázorněn diagram doménového modelu. Servery DC-1 a DC-2 jsou řadiče domény, ukládají doménovou databázi účtů (každý řadič si uchovává vlastní kopii databáze, ale všechny změny provedené v databázi na jednom ze serverů jsou replikovány na jiné řadiče).


    Rýže. 6.2.

    V takovém modelu, pokud je například na serveru SRV-1, který je členem domény, obecný přístup do složky Folder, pak lze přístupová práva k tomuto prostředku přiřadit nejen účtům lokální databáze SAM tohoto serveru, ale především účtům uloženým v doménové databázi. Na obrázku pro přístup ke složce Složka dána přístupová práva jednoho lokálního účtu počítače SRV-1 a několika doménových účtů (uživatelů a skupin uživatelů). V modelu správy zabezpečení domény se uživatel přihlásí k počítači ("přihlásí") se svým vlastním doménový účet a bez ohledu na počítač, na kterém byla registrace provedena, získá přístup k nezbytným síťovým zdrojům. A není potřeba vytvářet velké množství lokálních účtů na každém počítači, všechny záznamy jsou vytvořeny jednou v databázi domén. A s pomocí domény databáze se provádí centralizované řízení přístupu na síťové zdroje bez ohledu na počet počítačů v síti.

    Účel adresářové služby Active Directory

    Adresář (adresář) lze uložit různé informace, týkající se uživatelů, skupin, počítačů, síťových tiskáren, sdílených souborů a tak dále – všechny tyto objekty budeme nazývat. V adresáři jsou také uloženy informace o samotném objektu nebo jeho vlastnostech, nazývaných atributy. Například atributy uložené v adresáři o uživateli mohou být jméno jeho manažera, telefonní číslo, adresa, přihlašovací jméno, heslo, skupiny, do kterých patří, a další. Aby bylo úložiště katalogu pro uživatele užitečné, musí existovat služby, které s katalogem komunikují. Adresář můžete například použít jako úložiště informací, podle kterých se ověřuje uživatel, nebo jako místo pro odeslání dotazu k vyhledání informací o objektu.

    Služba Active Directory je zodpovědná nejen za vytváření a organizaci těchto malých objektů, ale také za velké objekty, jako jsou domény, organizační jednotky (organizační jednotky) a weby.

    Níže si přečtěte základní pojmy používané v kontextu adresářové služby Active Directory.

    Adresářová služba Active Directory (zkráceně AD ) umožňuje efektivní provoz komplexního podnikového prostředí tím, že poskytuje následující funkce:

    • Jednotné přihlášení online; Uživatelé se mohou přihlásit do sítě pomocí jediného uživatelského jména a hesla a stále mají přístup ke všem síťovým zdrojům a službám (služby síťové infrastruktury, souborové a tiskové služby, aplikační a databázové servery atd.);
    • Informační bezpečnost. Řízení autentizace a přístupu ke zdrojům zabudované do služby Active Directory poskytují centralizované zabezpečení sítě;
    • Centralizované řízení. Správci mohou centrálně spravovat všechny podnikové zdroje;
    • Správa pomocí zásad skupiny. Když se počítač spustí nebo se uživatel přihlásí do systému, jsou splněny požadavky skupinových zásad; jejich nastavení jsou uložena v objekty zásad skupiny( GPO ) a vztahují se na všechny uživatelské a počítačové účty umístěné na webech, doménách nebo organizačních jednotkách;
    • Integrace DNS. Fungování adresářových služeb je zcela závislé na provozu služby DNS. Servery DNS zase mohou ukládat informace o zónách v databázi Active Directory;
    • Rozšiřitelnost adresáře. Správci mohou přidávat nové třídy objektů do schématu katalogu nebo přidávat nové atributy ke stávajícím třídám;
    • Škálovatelnost. Služba Active Directory může pokrýt jak jednu doménu, tak mnoho domén kombinovaných do stromu domén a doménovou strukturu lze sestavit z několika stromů domén;
    • Replikace informací. Služba Active Directory používá režijní replikaci ve vícehlavním schématu ( multi-master), který vám umožňuje upravit databázi Active Directory na libovolném řadiči domény. Přítomnost několika řadičů v doméně poskytuje odolnost proti chybám a schopnost distribuovat zatížení sítě;
    • Flexibilita adresářových dotazů. Databázi Active Directory lze použít k rychlému vyhledání libovolného objektu AD pomocí jeho vlastností (například uživatelského jména nebo e-mailové adresy, typu nebo umístění tiskárny atd.);
    • Standardní programovací rozhraní. Pro vývojáře softwaru poskytuje adresářová služba přístup ke všem funkcím (nástrojům) adresáře a podporuje akceptované standardy a programovací rozhraní (API).

    V Active Directory lze vytvořit širokou škálu různých objektů. Objekt je jedinečná entita v katalogu a obvykle má mnoho atributů, které jej pomáhají popsat a rozpoznat. Uživatelský účet je příkladem objektu. Tento typ objektu může mít mnoho atributů, jako je jméno, příjmení, heslo, telefonní číslo, adresa a mnoho dalších. Stejně sdílená tiskárna může být také objekt v Active Directory a jeho atributy jsou jeho název, umístění atd. Atributy objektu nejen pomáhají identifikovat objekt, ale také umožňují vyhledávat objekty v adresáři.

    Terminologie

    Adresářová služba Windows Server je postaven na obecně uznávaných technologických standardech. Původní standard pro adresářové služby byl X,500, který byl určen k sestavení hierarchických stromových škálovatelných adresářů se schopností rozšiřovat jak třídy objektů, tak sady atributů (vlastností) každé jednotlivé třídy. Praktická implementace této normy se však ukázala jako neefektivní z hlediska výkonu. Poté byla na základě standardu X.500 vyvinuta zjednodušená (odlehčená) verze standardu pro vytváření adresářů, tzv. LDAP (Lightweight Directory Access Protocol). Protokol LDAP zachovává všechny základní vlastnosti X.500 (hierarchický systém vytváření adresářů, škálovatelnost, rozšiřitelnost ), ale zároveň umožňuje efektivně implementovat tento standard do praxe. Termín " lehká váha " (" lehká váha") v názvu LDAP odráží hlavní cíl vývoje protokolu: poskytnout sadu nástrojů pro vybudování adresářové služby, která je dostatečně výkonná pro řešení základních úkolů, ale není přetížená složitými technologiemi, které činí implementaci adresářových služeb neefektivní. LDAP je nyní standardní metodou pro přístup k informacím o síťovém adresáři a hraje roli základu v mnoha produktech, jako je např. autentizační systémy, e-mailové programy a aplikace pro elektronický obchod. V současnosti je na trhu přes 60 komerčních serverů LDAP, přičemž asi 90 % z nich jsou samostatné adresářové servery LDAP a zbytek je nabízen jako součásti jiných aplikací.

    Protokol LDAP jasně definuje rozsah adresářových operací, které a klientská aplikace. Tyto operace spadají do pěti skupin:

    • navázání spojení s adresářem;
    • hledat v něm informace;
    • úprava jeho obsahu;
    • přidání objektu;
    • odstranění objektu.

    Jiné než LDAP adresářová služba Active Directory také používá ověřovací protokol Kerberos a službu DNS pro síťové vyhledávání součástí adresářových služeb (řadiče domény, servery globálního katalogu, služba Kerberos atd.).

    Doména

    Základní jednotkou bezpečnostního systému Active Directory je doména. Doména tvoří oblast administrativní odpovědnosti. Databáze domén obsahuje účty uživatelů, skupiny A počítače. Většina funkcí správy adresářů funguje na úrovni domény (ověření uživatele, řízení přístupu ke zdrojům, řízení služeb, řízení replikace, zásady zabezpečení).

    Názvy domén služby Active Directory mají stejný vzor jako názvy v oboru názvů DNS. A to není náhoda. Služba DNS je prostředkem k nalezení komponent domény – především doménových řadičů.

    řadiče domén- speciální servery, které ukládají část databáze Active Directory odpovídající této doméně. Hlavní funkce doménových řadičů:

    • úložiště databáze Active Directory(organizace přístupu k informacím obsaženým v katalogu, včetně správy těchto informací a jejich úpravy);
    • synchronizace změn v AD(změny v databázi AD lze provést na kterémkoli z řadičů domény, jakékoli změny provedené na jednom z řadičů budou synchronizovány s kopiemi uloženými na jiných řadičích);
    • Ověření uživatele(kterýkoli z řadičů domény kontroluje přihlašovací údaje uživatelů, kteří se přihlašují do klientských systémů).

    Důrazně se doporučuje nainstalovat alespoň dva doménové řadiče v každé doméně – za prvé pro ochranu před ztrátou databáze Active Directory v případě selhání řadiče a za druhé, pro rozložení zátěže mezi controllers.it.company.ru existuje subdoména dev.it.company.ru vytvořená pro oddělení vývoje softwaru IT služby.

    • decentralizovat správu adresářových služeb (např. v případě, kdy má společnost pobočky, které jsou od sebe geograficky vzdálené a centralizované řízení je z technických důvodů obtížné);
    • zlepšit výkon (pro společnosti s velkým počtem uživatelů a serverů je relevantní otázka zvýšení výkonu doménových řadičů);
    • efektivněji spravovat replikaci (pokud jsou řadiče domény daleko od sebe, může replikace v jednom trvat déle a způsobovat problémy s nesynchronizovanými daty);
      • kořenová doména lesa ( kořenová doména lesa), tuto doménu nelze smazat (uchovává informace o konfiguraci doménové struktury a stromech domén, které ji tvoří).

    Organizační složky (OD).

    Organizační jednotky (Organizační jednotky, ou) - kontejnery v rámci AD, které jsou vytvořeny pro seskupování objektů pro účely delegování správních práv A uplatňování skupinových zásad v doméně. OP existují pouze v rámci domén a lze kombinovat pouze objekty z vlastní domény. OP lze vnořovat do sebe, což umožňuje vytvářet komplexní stromovou hierarchii kontejnerů v rámci domény a využívat flexibilnější administrativní kontrolu. Kromě toho mohou být OP vytvořeny tak, aby odrážely administrativní hierarchii a organizační strukturu společnosti.

    Globální adresář

    Globální adresář je seznam všechny předměty které existují v doménové struktuře Active Directory. Ve výchozím nastavení obsahují řadiče domény pouze informace o objektech ve své doméně. Server globálního katalogu je řadič domény, který uchovává informace o každém objektu (ačkoli ne o všech atributech těchto objektů) v doménové struktuře.

    Je dlouhodobě řazena do kategorie konzervativních principů logické výstavby síťové infrastruktury. Mnoho správců však ve své práci nadále používá pracovní skupiny a domény Windows NT. Zavedení adresářové služby bude zajímavé a užitečné pro začínající i zkušené administrátory pro centralizaci správy sítě a zajištění správné úrovně zabezpečení.

    Active Directory, technologie, která se objevila v řadě systémů Win2K před šesti lety, by se dala označit za revoluční. Z hlediska flexibility a škálovatelnosti řádově předčí domény NT 4, nemluvě o sítích pracovních skupin.

    Jsou klasifikovány podle rozsahu:

    • univerzální skupiny mohou zahrnovat uživatele v rámci doménové struktury, stejně jako další univerzální skupiny nebo globální skupiny z libovolné domény v doménové struktuře;
    • globální skupiny domény mohou zahrnovat uživatele domény a další globální skupiny ve stejné doméně;
    • lokální skupiny domény se používají k rozlišení přístupových práv, mohou zahrnovat uživatele domény, stejně jako univerzální skupiny a globální skupiny jakékoli domény v doménové struktuře;
    • skupiny místních počítačů – skupiny, které obsahuje SAM (správce bezpečnostních účtů) místního počítače. Jejich rozsah je omezen pouze na tento počítač, ale mohou zahrnovat místní skupiny domény, ve které se počítač nachází, a také univerzální a globální skupiny vlastní domény nebo jiné, které důvěřují. Můžete například zahrnout uživatele z místní skupiny domény Users do skupiny Administrators na místním počítači, čímž mu udělíte práva správce, ale pouze pro tento počítač.

    Weby

    Toto je způsob, jak fyzicky oddělit adresářovou službu. Podle definice je web skupina počítačů propojených rychlými datovými spoji.

    Pokud máte například několik poboček v různých částech země propojených nízkorychlostními komunikačními linkami, můžete si pro každou pobočku vytvořit vlastní web. To se provádí za účelem zvýšení spolehlivosti replikace adresářů.

    Takové rozdělení AD neovlivňuje principy logické konstrukce, proto stejně jako web může obsahovat několik domén a naopak doména může obsahovat několik webů. Tato topologie adresářové služby má ale jeden háček. Ke komunikaci s pobočkami se zpravidla používá internet – velmi nezabezpečené prostředí. Mnoho společností používá bezpečnostní opatření, jako jsou firewally. Adresářová služba ve své práci využívá zhruba jeden a půl tuctu portů a služeb, jejichž otevření pro průchod AD provozu přes firewall jej vlastně vystaví „venku“. Řešením problému je použití technologie tunelování a také přítomnost řadiče domény v každé lokalitě pro urychlení zpracování požadavků od klientů AD.

    Entita adresářové služby

    Aby byla zajištěna určitá úroveň zabezpečení, musí mít každý operační systém soubory obsahující databázi uživatelů. Dřívější verze systému Windows NT k tomu používaly soubor SAM (Security Accounts Manager). Obsahoval přihlašovací údaje uživatele a byl zašifrován. Dnes se SAM používá také v operačních systémech rodiny NT 5 (Windows 2000 a vyšší).

    Když povýšíte členský server na řadič domény pomocí příkazu DCPROMO (který ve skutečnosti spustí Průvodce instalací adresářových služeb), začne zabezpečovací subsystém Windows Server 2000/2003 používat centralizovanou databázi AD. To lze snadno zkontrolovat - po vytvoření domény zkuste otevřít modul snap-in Správa počítače na řadiči a najít tam "Místní uživatelé a skupiny". Kromě toho se zkuste přihlásit na tento server pomocí místního účtu. Je nepravděpodobné, že uspějete.

    Většina uživatelských dat je uložena v souboru NTDS.DIT ​​​​(Directory Information Tree). NTDS.DIT ​​​​je upravená databáze. Je vytvořena pomocí stejné technologie jako databáze Microsoft Access. Algoritmy doménových řadičů obsahují variantu databázového stroje Access JET, který byl nazván ESE (Extensible Storage Engine - extensible storage engine). NTDS.DIT ​​​​a služby, které zajišťují interakci s tímto souborem, jsou ve skutečnosti adresářovou službou.

    Struktura interakce mezi AD klienty a hlavním úložištěm dat, podobně jako jmenný prostor adresářové služby, je uvedena v článku. Pro úplnost je třeba zmínit použití globálních identifikátorů. Globální jedinečný identifikátor (GUID) je 128bitové číslo přidružené ke každému objektu, když je vytvořen, aby byla zajištěna jeho jedinečnost. Název objektu AD lze změnit, ale identifikátor GUID zůstane nezměněn.

    Globální adresář

    Jistě jste si již všimli, že struktura AD může být poměrně složitá a obsahovat velké množství objektů. Co stojí za to, že AD doména může obsahovat až 1,5 milionu objektů. To však může způsobit problémy s výkonem při provádění operací. Tento problém je vyřešen pomocí globálního katalogu ( , ). Obsahuje zmenšenou verzi celé doménové struktury AD, která pomáhá urychlit vyhledávání objektů. Globální katalog mohou vlastnit určené řadiče domény.

    Role

    V AD existuje určitý seznam operací, které lze přiřadit pouze jednomu ovladači. Říká se jim role. FSMO (flexibilní operace s jedním hlavním). V AD je celkem 5 rolí FSMO. Zvažme je podrobněji.

    V rámci doménové struktury musí existovat záruka, že názvy domén jsou jedinečné, když je do doménové struktury přidána nová doména. Takovou záruku poskytuje vykonavatel role vlastníka operace pojmenování domén ( Master pojmenování domén) Vykonavatel role vlastníka schématu ( Mistr schématu) provede všechny změny adresářového schématu. Role vlastníka názvu domény a vlastníka schématu musí být v rámci doménové struktury jedinečné.

    Jak jsem řekl, když je objekt vytvořen, je mu přidělen globální identifikátor, který zaručuje jeho jedinečnost. To je důvod, proč správce odpovědný za generování GUID a vystupující jako vlastník relativních identifikátorů ( Relativní ID Master), musí být jediný v doméně.

    Na rozdíl od domén NT nemá AD koncept PDC a BDC (primární a záložní řadiče domény). Jednou z rolí FSMO je Emulátor PDC(emulátor primárního řadiče domény). Server se systémem Windows NT Server může v AD fungovat jako záložní řadič domény. Ale je známo, že v NT doménách lze použít pouze jeden primární řadič. Proto to Microsoft udělal tak, že v rámci jedné AD domény můžeme přiřadit jeden server – nositele role Emulátor PDC. Odhlédneme-li od terminologie, můžeme tedy hovořit o přítomnosti hlavního a záložního doménového řadiče, tedy držitele role FSMO.

    Při odstraňování a přesouvání objektů musí jeden z řadičů uchovat odkaz na tento objekt, dokud nebude replikace zcela dokončena. Tuto roli vykonává vlastník adresářové infrastruktury ( Mistr infrastruktury).

    Poslední tři role vyžadují jedinečnost interpreta v rámci domény. Všechny role jsou přiřazeny prvnímu ovladači vytvořenému v doménové struktuře. Při vytváření rozvětvené infrastruktury AD můžete tyto role přenést na jiné řadiče. Mohou také nastat situace, kdy vlastník jedné z rolí je nedostupný (selhal server). V tomto případě musíte provést operaci zachycení role FSMO pomocí obslužného programu NTDSUTIL(o jeho využití si povíme v následujících článcích). Měli byste však být opatrní, protože při převzetí role adresářová služba předpokládá, že neexistuje žádný předchozí vlastník, a vůbec k ní nepřistupuje. Návrat do sítě bývalého vykonavatele role může vést k narušení jejího fungování. To je zvláště důležité pro vlastníka schématu, vlastníka názvu domény a vlastníka identity.

    Z hlediska výkonu je role emulátoru primárního doménového řadiče nejnáročnější na prostředky počítače, lze jej tedy přiřadit jinému řadiči. Zbytek rolí není tak náročný, takže když je rozdělujete, můžete se nechat vést nuancemi logické konstrukce vašeho AD schématu.
    Poslední krok teoretika

    Přečtení článku by vás vůbec nemělo přenést od teoretiků k praxi. Protože dokud nezohledníte všechny faktory od fyzického umístění hostitelů až po logickou konstrukci celého adresáře, neměli byste se pustit do práce a budovat doménu s jednoduchými odpověďmi na otázky průvodce nastavením AD. Zamyslete se nad tím, jak se bude vaše doména jmenovat, a pokud pro ni budete vytvářet děti, jak se budou jmenovat. Pokud je v síti několik segmentů propojených nespolehlivými komunikačními kanály, zvažte použití stránek.

    Jako průvodce instalací AD vám mohu poradit, abyste použili články a také znalostní bázi Microsoftu.


    Na závěr pár tipů:

    • Pokud je to možné, snažte se nekombinovat role emulátoru PDC a proxy serveru na stejném počítači. Za prvé, s velkým počtem strojů v síti a uživatelů internetu se zvyšuje zatížení serveru a za druhé, s úspěšným útokem na váš proxy „spadne“ nejen internet, ale také hlavní řadič domény, což je plné nesprávného fungování celé sítě.
    • Pokud neustále spravujete místní síť a nechystáte se implementovat Active Directory pro zákazníky, přidávejte počítače do domény postupně, řekněme čtyři nebo pět za den. Protože pokud máte v síti velké množství strojů (50 a více) a spravujete to sami, tak to pravděpodobně nezvládnete ani přes víkend a pokud to zvládnete, tak se neví, jak bude vše správně. Navíc pro výměnu dokumentace v rámci sítě můžete použít souborový nebo interní poštovní server (tento jsem popsal v #11, 2006). V tomto případě jde pouze o správné pochopení nastavení uživatelských práv pro přístup na souborový server. Protože pokud např. není zahrnuta v doméně, uživatelé budou autentizováni na základě záznamů lokální databáze SAM. Neexistují žádné údaje o uživatelích domény. Pokud je však váš souborový server mezi prvními stroji zahrnutými v AD a není řadičem domény, bude možné se ověřit prostřednictvím místní základny SAM i pověření AD. Ale pro poslední možnost budete muset místní nastavení Povolit (pokud tak již není provedeno) přístup k souborovému serveru přes síť jak členům domény, tak místním účtům.

    Pro další konfiguraci adresářové služby (vytváření a správa účtů, přiřazování skupinových zásad atd.) si přečtěte následující článek.

    aplikace

    Co je nového v Active Directory v systému Windows Server 2003

    S vydáním systému Windows Server 2003 se ve službě Active Directory objevily následující změny:

    • Doménu bylo možné po jejím vytvoření přejmenovat.
    • Uživatelské rozhraní bylo vylepšeno. Můžete například změnit atributy několika objektů najednou.
    • Objevil se dobrý nástroj pro správu skupinové politiky – Group Policy Management Console (gpmc.msc, je potřeba si ji stáhnout ze stránek Microsoftu).
    • Funkční úrovně domény a doménové struktury se změnily.

    O poslední změna je třeba říci podrobněji. Doména AD v systému Windows Server 2003 může být na jedné z následujících úrovní uvedených v pořadí podle zvyšující se funkčnosti:

    • Windows 2000 Mixed (smíšený Windows 2000). Je povoleno mít řadiče různých verzí - jak Windows NT, tak Windows 2000/2003. Navíc, pokud jsou servery Windows 2000/2003 stejné, pak NT server, jak již bylo zmíněno, může fungovat pouze jako záložní řadič domény.
    • Windows 2000 Native (přirozený Windows 2000). Je povoleno mít řadiče se systémem Windows Server 2000/2003. Tato úroveň je funkčnější, ale má svá omezení. Nebudete například moci přejmenovat řadiče domény.
    • Windows Server 2003 Interim (Interim Windows Server 2003). Můžete mít řadiče se systémem Windows NT i Windows Server 2003. Používá se například, když je PDC se serverem Windows NT upgradován na W2K3. Úroveň má o něco více funkcí než úroveň Windows 2000 domorodců.
    • Windows Server 2003. V doméně jsou povoleny pouze řadiče se systémem Windows Server 2003. Na této úrovni můžete plně využít adresářovou službu Windows Server 2003.

    Funkční úrovně doménové struktury jsou v podstatě stejné jako u domén. Jedinou výjimkou je, že existuje pouze jedna vrstva Windows 2000, která může v doménové struktuře používat řadiče se systémem Windows NT i Windows Server 2000/2003.

    Stojí za zmínku, že změna funkční úrovně domény a doménové struktury je nevratná operace. To znamená, že neexistuje žádná zpětná kompatibilita.


    1. Korobko I. Active Directory - teorie konstrukce. // "Správce systému", č. 1, 2004 - C. 90-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2004;a=11).

    2. Markov R. Domény Windows 2000/2003 - opuštění pracovní skupiny. // "Správce systému", č. 9, 2005 - C. 8-11. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005; a=01).

    3. Markov R. Instalace a konfigurace Windows 2K Server. // "Správce systému", č. 10, 2004 - C. 88-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=10.2004;a=12).

    Alexandr Emeljanov

    Přečtěte si více: