• Proč organizace potřebuje Active Directory? Co je to Active Directory a jak nainstalovat a nakonfigurovat databázi

    Technika Aktivní adresář(AD) je adresářová služba vytvořená společností Microsoft. Adresářová služba uchovává data v organizovaném formátu a poskytuje k nim uspořádaný přístup. Služba Active Directory není vynálezem společnosti Microsoft, ale implementací stávajícího průmyslového modelu (konkrétně X.500), komunikačního protokolu (LDAP - Lightweight Directory Přístupový protokol) a technologie vyhledávání dat (služby DNS).

    Studium Active Directory by mělo začít seznámením se s cílem stanoveným pro tuto technologii. V obecný plán, je adresář považován za úložný kontejner.

    Telefonní seznam je ukázkovým příkladem adresářové služby, protože obsahuje sadu dat a poskytuje možnost získat požadované informace z adresáře. Adresář obsahuje různé záznamy, z nichž každý má svůj vlastní význam, například jména / příjmení předplatitelů, jejich domovní adresa a vlastně i telefonní číslo. V rozšířeném adresáři jsou položky seskupeny podle geografického umístění, typu nebo obou. Pro každou geografickou polohu lze tedy vytvořit hierarchii typů záznamů. Kromě, telefonního operátora také odpovídá definici adresářové služby, protože má přístup k datům. Pokud tedy zadáte požadavek na jakýkoli katalogový údaj, operátor vám na přijatý požadavek vystaví požadovanou odpověď.

    Adresářová služba Active Directory je navržena k ukládání informací o všech síťových prostředcích. Klienti mají možnost dotazovat se Active Directory na informace o libovolném síťovém objektu. Seznam funkcí služby Active Directory obsahuje následující funkce.

    • Bezpečné úložiště dat. Každý objekt ve službě Active Directory má svůj vlastní seznam řízení přístupu (ACL), který obsahuje seznam zdrojů, kterým je povolen přístup k objektu, a také předdefinovanou úroveň přístupu k tomuto objektu.
    • Funkcemi bohatý dotazovací stroj založený na globálním katalogu (GC) vytvořeném službou Active Directory. K tomuto adresáři mají přístup všichni klienti, kteří podporují Active Directory.
    • Replikace dat adresáře do všech řadičů domény usnadňuje přístup k informacím, zvyšuje jejich dostupnost a zvyšuje spolehlivost celé služby.
    • Koncept modulárního rozšíření, který umožňuje přidávat nové typy objektů nebo rozšiřovat stávající objekty. Můžete například přidat atribut „plat“ k objektu „uživatel“.
    • Síť využívající více protokolů. Služba Active Directory je založena na modelu X.500, který podporuje celou řadu síťových protokolů jako LDAP 2, LDAP 3 a HTTP.
    • Chcete-li implementovat službu názvu řadiče domény a vyhledávání síťové adresy Místo NetBIOS se používá DNS.

    Informace o adresáři jsou distribuovány po celé doméně, čímž se zabrání nadměrné duplikaci dat.

    Přestože služba Active Directory distribuuje informace o adresáři napříč různými úložišti, uživatelé mají možnost dotazovat se ve službě Active Directory na informace o jiných doménách. Globální adresář obsahuje informace o všech objektech v podnikové doménové struktuře, což vám pomáhá vyhledávat data v celé doménové struktuře.

    Když spustíte obslužný program DCPROMO (Standard Server to Domain Controller Promotion) na spuštěném počítači Ovládání Windows Chcete-li vytvořit novou doménu, nástroj vytvoří doménu na serveru DNS. Klient poté kontaktuje server DNS, aby získal informace o své doméně. DNS server poskytuje informace nejen o doméně, ale také o nejbližším doménovém řadiči. Klientský systém se zase připojí k databázi domény Active Directory na nejbližším řadiči domény, aby našel potřebné objekty (tiskárny, souborové servery, uživatele, skupiny, organizační jednotky) obsažené v doméně. Protože každý řadič domény ukládá odkazy na jiné domény ve stromu, klient může prohledávat celý strom domény.

    Pro případy, kdy potřebujete najít data mimo strom domény tenanta, je k dispozici varianta služby Active Directory, která vytvoří výčet všech objektů v doménové struktuře. Tato verze se nazývá globální katalog. Globální katalog lze uložit na libovolném řadiči domény v doménové struktuře AD.

    Globální katalog poskytuje rychlý přístup ke každému objektu, který se nachází v doménové struktuře domén, ale obsahuje pouze některé parametry objektu. Chcete-li získat všechny atributy, měli byste kontaktovat Active Directory cílové domény (řadič domény, který vás zajímá). Globální katalog lze nakonfigurovat tak, aby poskytoval požadované vlastnosti objektu.

    Pro zjednodušení procesu vytváření objektů Active Directory udržuje řadič domény kopii a hierarchii tříd pro celou doménovou strukturu. Služba Active Directory obsahuje struktury tříd v rozšiřitelném schématu, kam můžete přidávat nové třídy.

    schéma je součástí oboru názvů konfigurace systému Windows, který je podporován všemi řadiči domény v doménové struktuře. Obor názvů konfigurace Windows se skládá z několika strukturálních prvků, jako je fyzické umístění, weby Windows a podsítě.

    webová stránka jsou obsaženy v doménové struktuře a mohou kombinovat počítače z libovolné domény a všechny počítače v lokalitě musí být rychlé a spolehlivé síťová připojení zálohovat data řadiče domény.

    Podsíť je skupina IP adres přidělených webu. Podsítě umožňují urychlit replikaci dat služby Active Directory mezi řadiči domény.

    • tutorial

    Při své práci jsem se často musel potýkat se zdánlivě fungujícími mřížkami, u kterých však jakákoli drobná událost mohla z ničeho nic způsobit hodiny prostojů. Mrtvý KD? Nevadí, máme druhého. Proč se koule neotevřou? Proč brána nepípne? A na tom CD byl jeden DHCP server a teď všechno zmizelo.

    V tomto článku se pokusím popsat správná z mého pohledu řešení pro vytvoření síťové infrastruktury pro malé firmy. A tento článek samozřejmě odráží osobní dobrou praxi autora a může se lišit od ideálů čtenáře.

    Tak. Máme do 100 klientů. Vše je standardní, uživatelé chodí na internet, posílají poštu, využívají úložiště souborů, pracují za 1s, chtějí víc cool počítač a pokusit se chytit viry. A ano, stále nevíme, jak na mraky.

    Několik pilířů téměř jakékoli infrastruktury,
    a pak projdeme zjevné a ne tak nuance. Mimochodem, opakuji, máme malý-střední podnik nezhoršujte se.
    Bezpečnost dat. "Mina zasáhla serverovnu."
    Pokud se nášlapná mina dostala do vaší serverové místnosti, pak vás s největší pravděpodobností bude bezpečnost dat zajímat jako poslední. Mnohem pravděpodobnější je, že 31. prosince prasklo potrubí shora, od toho tam došlo k požáru a propadla se podlaha.
    - Data jsou všechno. Jeden ze serverů Rezervovat kopii musí být mimo serverovnu. To je záchranné lano. I když je na něm jen to nejdůležitější, za den nebo dva si opět můžete koupit a pronajmout servery a nasadit fungující infrastrukturu. neodvolatelně ztracená základna 1s nikdy nebudete moci obnovit. Mimochodem, starý pán a la P4-2400/1024 si obvykle poradí se správně organizovanými zálohami.
    Sledování. «01.01.2013 02:24 | Od: Zabbix | Předmět: Bylo zjištěno jaderné odpálení!"
    Při oslavě se skvěle bavíte Nový rok s přáteli. Mimochodem nejen vy, správce objektu, kde si prostory pronajímáte, také neztrácíte čas nadarmo. Ráno tak bude vyhořelá místnost zaplavená vodou pěkný bonus na vaši bolavou hlavu ve šťastném novém roce.
    - Pokud se něco pokazí, musíte se o tom dozvědět jako první. Stejné SMS upozornění na kritické události jsou normou. Mimochodem, pokud se ráno 5 minut po zazvonění budíku monitorovací server neodhlásil, je čas spustit budík. Ostatně server, který monitorovací server monitoruje, také nic nenapsal. Obecně je to v pořádku, máte záložní server mimo serverovnu, který vám stále psal, že všechny ztratil, ale on sám byl ve službě.
    ozdravný plán. "Uklidni se, Kazladojeve, pojďme si všichni sednout!"
    Toto je nejstrašnější Nový rok ve vaší praxi. Ano, po obdržení SMS a vyhodnocení situace byli okamžitě přivoláni hasiči, kteří dorazili téměř za 5 minut a rychle uhasili. To je úplně stejné, jedna část serverovny byla spálena, druhá byla vyplněna pěnou a třetí skončila spadnutím pod podlahu.
    - Lži, samozřejmě. Není to nejpříjemnější, ale ani nejstrašnější Nový rok. Ano, máte před sebou náročný týden, ale s jasným plánem víte, kde začít a co dělat. Doporučuji vše podrobně popsat z hlediska obnovy po havárii, včetně příkazů konzole. Pokud potřebujete obnovit nějaký MySQL server nastavený před třemi lety, pravděpodobně si nevzpomenete na nějakou drobnou nuanci, která nakonec zabere půl dne. Mimochodem, všechno půjde trochu jinak, než jste plánovali, možná dokonce vůbec, na to se připravte.
    Nyní k základům sítě na AD.
    Nebudu popisovat výhody clusteringu a dalších LiveMigration. Jsme malá firma a nemáme peníze na vMotions. Vrochem a není to nutné, většina služeb je perfektně rezervována "z krabičky". Níže nebude uveden žádný návod na nastavení, ale pokusím se dát správný směr pro samostudium.
    • Aktivní adresář. Měly by existovat dva řadiče domény, fyzicky na různých kusech železa. Mimochodem, Microsoft nedoporučuje (nedoporučoval) dělat všechna CD in virtuální stroje, tj. alespoň jedno CD musí být čisté železo. Obecně je to nesmysl, na různých fyzických hostitelích můžete dělat různá CD, stačí se řídit obecnými doporučeními Microsoftu pro nastavení CD ve virtuálním prostředí. Mimochodem, nezapomeňte ponechat GC na obou doménových řadičích.
    • DNS je jen základ. Pokud máte pokřivenou službu doménových jmen, budete neustále z ničeho nic vyhrabávat jamby. Měly by existovat alespoň dva DNS servery a CD jsou k tomu docela vhodná. A v rozporu s doporučeními „Analyzátoru shody doporučení“ na samotných CD vám radím, abyste se označili jako hlavní. A ještě jedna věc, zapomeňte na praxi přidělování serverů klientům podle IP adres: pokud se jedná o NTP server, klienti by jej měli znát jako ntp.firma.xyz, pokud je to proxy, pak něco jako brána.firma. xyz, obecně je to pochopitelné. Mimochodem, může to být stejný server s názvem srv0.domain.xyz, ale s různými CNAME. Při rozšíření nebo přesunu služeb to hodně pomůže.
    • NTP server následující DNS. Vaše CD by mělo vždy udávat správný čas.
      Díky foxmuldercp za radu
    • Měly by existovat také dva servery DHCP. Na stejném CD, docela pracovní schéma. Stačí nakonfigurovat tak, aby se rozsahy vydávání neprotínaly, ale aby každý DHCP mohl pokrýt celou flotilu strojů. A ano, ať se každý server DHCP také vydá jako první server DNS. Myslím, že je jasné proč.
    • Souborový server. I zde je vše snadné. Děláme DFS s replikací na stejném CD. Obecně s tím replikace nemá nic společného, ​​jen vždy pište odkazy na kuličky přes DFS, snažte se tuto praxi dodržovat ve vztahu ke všem souborovým zdrojům. Když potřebujete přesunout sdílenou složku do nového umístění, stačí ji přesunout a změnit odkaz v DFS. Klient si nemusí všimnout vůbec ničeho.
    • MSSQL server 1s. Už to není jednoduché. A drahé. Máte poněkud velkou databázi a udržování pohotovostního SQL serveru je nepřijatelné. Tuto věc nelze rezervovat, v každém případě potřebujete novou instanci, která stojí peníze. Zálohy jsou naše všechno, to je v pořádku. Zvažte, kde můžete rychle nasadit dočasný server DBMS. Mimochodem existuje zdarma MSSQL Express s omezením velikosti databáze, snad vám to bude stačit k vyřízení.
    • Brána. Linux a další FreeBSD. Bez ohledu na to, jak je to nepříjemné, na TMG a další kerio nejsou peníze. Přesto je nutné rozumět iptables. Zde mohu dát jednoznačnou radu - pokud jste přátelé s OSI - nebudou problémy, pokud nejste přátelé - budou problémy s Kerio. Mimochodem, pokud si myslíš, že jsi admin a nevíš rozdíl mezi rámem a rámem, tak to budeš mít těžké.
    • Bezpečnost. Velmi obsáhlé téma, proto jsou následující odstavce o této intimní problematice.
      Uživatelé musí pracovat pod doménou Uživatelé. Jakoukoli, zdůrazňuji, jakoukoli aplikaci lze nakonfigurovat tak, aby fungovala v prostředí s omezenými právy. Někdy stačí přidat oprávnění k zápisu do adresáře s nainstalovaný program a uvnitř zakázat nahrávání spustitelné soubory. Někdy, abyste zjistili funkce, budete muset sledovat registr a souborový systém. Někdy chcete skórovat a vydat administrátorská práva. Někdy to dává smysl. Volba je na vás, ale nikdy nevypínejte UAC. Ano, a vy, sedíte na pracovišti, byste měli mít nanejvýš práva místního správce na všech pracovních stanicích, v žádném případě ne správce domény. V případě potřeby veďte servery přes terminál.
    • Účty. Neřeknu nic o uživatelích, myslím, že je jasné, že jeden účet na uživatele. Ne každý ale chápe, že každá služba by měla mít svůj účet. Například MSSQL běžící v prostředí AD nepotřebuje práva správce domény. Vytvořte běžný uživatelský účet a zadejte jej při instalaci DBMS. Instalátor zapíše potřebná práva a vše bude fungovat skvěle. A tak s téměř jakoukoli službou. Pokud se nějaký openfire zeptá na admin účet pro připojení k AD - to je jedno jméno, stačí mu číst adresářovou službu.
    • Aktualizace softwaru. Nasaďte WSUS a nezapomeňte se alespoň druhou středu v měsíci přihlásit a zkontrolovat nové aktualizace. Vyberte 10-15 vozidel ze svého vozového parku a zařaďte je do testovací skupiny. Zkontrolujte nové aktualizace konkrétně v této skupině, a když nenajdete jamby, nasaďte je všem. Mimochodem, tady

    Active Directory je adresářová služba společnosti Microsoft pro operační systémy řady Windows NT.

    Tato služba Umožňuje správcům používat zásady skupiny k zajištění jednotného uživatelského nastavení pracovního prostoru, instalací softwaru, aktualizací a dalších.

    Co je podstatou Active Directory a jaké úkoly řeší? Číst dál.

    Principy organizace peer-to-peer a multi-peer sítí

    Vyvstává ale další problém, co když se uživatel2 na PC2 rozhodne změnit své heslo? Pokud pak uživatel user1 změní heslo účet, uživatel2 na PC1 nebude mít přístup k prostředku.

    Další příklad: máme 20 pracovních stanic s 20 účty, kterým chceme poskytnout přístup k některým , k tomu musíme vytvořit 20 účtů na souborový server a poskytnout přístup k požadovanému zdroji.

    A když jich není 20, ale 200?

    Jak chápete, správa sítě se s tímto přístupem mění v hotové peklo.

    Proto je přístup pracovní skupiny vhodný pro malé kancelářské sítě s počtem PC maximálně 10 jednotek.

    Pokud je v síti více než 10 pracovních stanic, stává se racionálně odůvodněný přístup, kdy jednomu síťovému uzlu jsou delegována práva k provádění autentizace a autorizace.

    Tento uzel je řadič domény – Active Directory.

    Řadič domény

    Správce vede databázi účtů, tzn. vede účet pro PC1 i PC2.

    Nyní jsou všechny účty jednou zaregistrovány v ovladači a potřeba lokálních účtů ztrácí smysl.

    Nyní, když se uživatel přihlásí do PC zadáním svého uživatelského jména a hesla, jsou tato data přenášena v zašifrované podobě do doménového řadiče, který provádí autentizační a autorizační procedury.

    Poté, co řadič předá přihlášenému uživateli něco jako pas, se kterým později pracuje v síti a který předkládá na žádost ostatních počítačů v gridu, servery, ke kterým se chce připojit.

    Důležité! Řadič domény je počítač se službou Active Directory, který spravuje přístup uživatelů k síťovým prostředkům. Ukládá prostředky (např. tiskárny, složky s veřejný přístup), služby (jako je e-mail), lidé (uživatelské účty a skupiny uživatelů), počítače (počítačové účty).

    Počet takto ušetřených zdrojů může dosáhnout milionů objektů.

    Může fungovat jako řadič domény další verze MS Windows: Windows Server 2000/2003/2008/2012 kromě Web-Edition.

    Řadič domény, kromě toho, že je centrem ověřování sítě, je také řídicím centrem pro všechny počítače.

    Ihned po zapnutí začne počítač kontaktovat doménový řadič, dlouho předtím, než se objeví ověřovací okno.

    Ověřuje se tedy nejen uživatel zadávající přihlašovací jméno a heslo, ale také klientský počítač.

    Instalace Active Directory

    Zvažte příklad instalace služby Active Directory v systému Windows Server 2008 R2. Chcete-li tedy nainstalovat roli Active Directory, přejděte do „Správce serveru“:

    Přidejte roli "Přidat role":

    Vyberte roli Active Directory Domain Services:

    A začneme s instalací:

    Poté se zobrazí okno s upozorněním o nainstalované roli:

    Po instalaci role řadiče domény přistoupíme k instalaci samotného řadiče.

    Klikněte na "Start" do vyhledávacího pole programu, zadejte název průvodce DCPromo, spusťte jej a zaškrtněte políčko pro pokročilá nastavení instalace:

    Z navrhovaných možností klikněte na „Další“, vyberte vytvoření nové domény a doménové struktury.

    Zadejte název domény, například example.net.

    Zapíšeme název domény NetBIOS bez zóny:

    Vybíráme funkční úroveň naší domény:

    Vzhledem ke zvláštnostem fungování doménového řadiče instalujeme i DNS server.

    Active Directory (AD) je obslužné programy určený pro operační sál systémy Microsoft server. Původně byl vytvořen jako odlehčený algoritmus pro přístup k uživatelským adresářům. S Verze Windows Server 2008 zavedl integraci s autorizačními službami.

    Dává vám možnost vyhovět skupinová politika, který aplikuje jednotnost nastavení a softwaru na všech řízených PC pomocí System Center Configuration Manager.

    Li jednoduchými slovy pro začátečníky je to role serveru, která vám umožňuje spravovat všechny přístupy a oprávnění v místní síti z jednoho místa

    Funkce a účely

    Microsoft Active Directory - (tzv. adresář) balíček nástrojů, který umožňuje manipulovat s uživateli a síťovými daty. primární cíl Tvorba – Usnadněte práci systémových administrátorů v rozsáhlých sítích.

    Adresáře obsahují různé informace týkající se uživatelů, skupin, síťových zařízení, souborových zdrojů - jedním slovem objektů. Například atributy uživatele, které jsou uloženy v adresáři, by měly být následující: adresa, přihlašovací jméno, heslo, číslo mobilní telefon atd. Adresář se používá jako autentizační body pomocí kterého můžete zjistit nezbytné informace o uživateli.

    Základní pojmy, se kterými se v průběhu práce setkáváme

    Při práci s AD se uplatňuje řada specializovaných konceptů:

    1. Server je počítač, který obsahuje všechna data.
    2. Řadič je server s rolí AD, který zpracovává požadavky od lidí používajících doménu.
    3. Doména AD je kolekce zařízení sjednocených pod jedním jedinečným názvem, která současně používají společnou databázi adresářů.
    4. Úložiště dat je část adresáře, která je zodpovědná za ukládání a načítání dat z libovolného řadiče domény.

    Jak fungují aktivní adresáře

    Hlavní principy práce jsou:

    • Oprávnění, se kterým je možné používat PC v síti pouhým zadáním osobní heslo. V tomto případě se přenesou všechny informace z účtu.
    • bezpečnostní. Služba Active Directory obsahuje funkce rozpoznávání uživatelů. Pro jakýkoli síťový objekt můžete vzdáleně, z jednoho zařízení, nastavit potřebná práva, která budou záviset na kategoriích a konkrétních uživatelích.
    • Správa sítě z jednoho bodu. Při práci s Active Directory nemusí správce systému překonfigurovat všechna PC, pokud potřebujete změnit přístupová práva, například k tiskárně. Změny se provádějí na dálku a globálně.
    • Kompletní Integrace DNS. S jeho pomocí není v AD žádný zmatek, všechna zařízení jsou označena stejně jako ve World Wide Web.
    • velkém měřítku. Kolekce serverů může být řízena jednou službou Active Directory.
    • Vyhledávání se provádí podle různých parametrů, například název počítače, přihlašovací jméno.

    Objekty a atributy

    Objekt – soubor atributů, sjednocených pod vlastním jménem, ​​představující síťový zdroj.

    Atribut - charakteristika objektu v katalogu. Patří mezi ně například celé jméno uživatele, jeho přihlašovací jméno. Ale atributy PC účtu může být název tohoto počítače a jeho popis.

    „Zaměstnanec“ je objekt, který má atributy „Jméno“, „Pozice“ a „TabN“.

    Kontejner a název LDAP

    Kontejner je typ objektu, který může skládat z jiných předmětů. Doména může například zahrnovat objekty účtů.

    Jejich hlavním účelem je objednávání objektů podle typu znamení. Nejčastěji se kontejnery používají k seskupování objektů se stejnými atributy.

    Téměř všechny kontejnery se mapují na kolekci objektů a prostředky se mapují na jedinečný objekt služby Active Directory. Jedním z hlavních typů AD kontejnerů je organizační jednotka neboli OU (organizační jednotka). Objekty umístěné v tomto kontejneru patří pouze do domény, ve které byly vytvořeny.

    Lightweight Directory Access Protocol (LDAP) je základním algoritmem pro připojení TCP/IP. Byl vytvořen za účelem snížení množství nuancí při přístupu k adresářovým službám. LDAP také definuje akce používané k dotazování a úpravě dat adresáře.

    Strom a místo

    Strom domén je struktura, kolekce domén, které mají obecné schéma a konfiguraci tohoto formuláře společný prostor jmen a jsou vázáni důvěrou.

    Les domén je kolekce vzájemně propojených stromů.

    Site - soubor zařízení v IP podsítích, představující fyzický model sítě, jehož plánování se provádí bez ohledu na logické znázornění jeho konstrukce. Active Directory má schopnost vytvořit n webů nebo kombinovat n domén pod jeden web.

    Instalace a konfigurace Active Directory

    Nyní přejdeme přímo k nastavení Active Directory pomocí Windows Server 2008 jako příkladu (v jiných verzích je postup stejný):

    Klikněte na tlačítko „OK“. Upozorňujeme, že tyto hodnoty nejsou povinné. Můžete použít IP adresu a DNS z vaší sítě.

    • Dále musíte přejít do nabídky "Start", vybrat "Nástroje pro správu" a "".
    • Přejděte na položku „Role“, vyberte „ Přidejte role”.
    • Vyberte „Active Directory Domain Services“, dvakrát klikněte na „Další“ a poté na „Instalovat“.
    • Počkejte na dokončení instalace.
    • Otevřete nabídku Start -“ Běh". Do pole zadejte dcpromo.exe.
    • Klikněte na "Další".
    • Vybrat předmět " Vytvořit nová doména v novém lese“ a znovu klikněte na „Další“.
    • V dalším okně zadejte název a klikněte na „Další“.
    • Vybrat Režim kompatibility(Windows Server 2008).
    • V dalším okně nechte vše jako výchozí.
    • začne konfigurační oknoDNS. Protože se dříve na serveru nepoužívalo, delegování nebylo vytvořeno.
    • Vyberte adresář pro instalaci.
    • Po tomto kroku je potřeba nastavit administrační heslo.

    Aby bylo heslo bezpečné, musí splňovat následující požadavky:


    Poté, co AD dokončí proces konfigurace součásti, musíte restartovat server.



    Konfigurace je dokončena, modul snap-in a role jsou nainstalovány v systému. AD můžete nainstalovat pouze na Rodiny Windows server, běžné verze, jako je 7 nebo 10, může umožnit instalaci pouze konzoly pro správu.

    Administrace v Active Directory

    Ve výchozím nastavení v systému Windows Server konzola Uživatelé a počítače služby Active Directory pracuje s doménou, do které počítač patří. K objektům počítače a uživatelů v této doméně můžete přistupovat prostřednictvím stromu konzoly nebo se připojit k jinému řadiči.

    Stejné konzolové nástroje umožňují prohlížení Extra možnosti objekty a vyhledávat je, můžete vytvářet nové uživatele, skupiny a měnit z oprávnění.

    Mimochodem, existuje 2 typy skupin v Active Directory - zabezpečení a distribuce. Bezpečnostní skupiny jsou zodpovědné za vymezení přístupových práv k objektům, lze je použít jako distribuční skupiny.

    Distribuční skupiny nemohou rozlišovat práva, ale slouží především k distribuci zpráv v síti.

    Co je AD Delegace

    Samotná delegace je převod části oprávnění a kontroly z mateřského objektu na druhou odpovědnou stranu.

    Je známo, že každá organizace má ve svém sídle několik systémových administrátorů. Různé úkoly by měly být přiřazeny k různým ramenům. Abyste mohli aplikovat změny, musíte mít práva a oprávnění, která se dělí na standardní a speciální. Speciální - platí pro konkrétní objekt, zatímco standardní - sada existujících oprávnění, která zpřístupňují nebo znepřístupňují určité funkce.

    Navazování důvěryhodných vztahů

    V AD jsou dva typy důvěryhodný vztah: "jednosměrný" a "obousměrný". V prvním případě jedna doména důvěřuje druhé, ale ne naopak, první má přístup ke zdrojům druhé a druhá nemá přístup. Ve druhé formě je důvěra „vzájemná“. Existují také vztahy „odchozí“ a „příchozí“. V odchozích sítích první doména důvěřuje druhé, takže uživatelé druhé domény mohou využívat zdroje první domény.

    Během instalace by měly být provedeny následující postupy:

    • Šek síťová propojení mezi ovladači.
    • Zkontrolujte nastavení.
    • Naladit překlad názvů pro externí domény.
    • Vytvořit připojení z důvěryhodné domény.
    • Vytvořte připojení ze strany řadiče, kterému je vztah důvěryhodnosti adresován.
    • Zkontrolujte vytvořené jednosměrné vztahy.
    • Li je potřeba při navazování bilaterálních vztahů - provést instalaci.

    Globální adresář

    Toto je řadič domény, který uchovává kopie všech objektů v doménové struktuře. Poskytuje uživatelům a programům možnost vyhledávat objekty v jakékoli doméně v aktuální doménové struktuře pomocí objevitelé atributů zahrnuty do globálního katalogu.

    Globální katalog (GC) obsahuje omezenou sadu atributů pro každý objekt doménové struktury v každé doméně. Přijímá data ze všech oddílů adresáře domény v doménové struktuře, zkopíruje se pomocí standardní proces replikace služby Active Directory.

    Schéma určuje, zda bude atribut zkopírován. Je zde možnost konfigurace další funkce , který bude znovu vytvořen v globálním katalogu s „ Aktivní schémata Adresář". Chcete-li přidat atribut do globálního katalogu, musíte vybrat atribut replikace a použít volbu „Kopírovat“. Tím se vytvoří replikace atributu do globálního katalogu. Hodnota parametru atributu isMemberOfPartialAttributeSet se stane pravdou.

    V následujících situacích zjistit polohu globálního katalogu, musíte příkazový řádek zadejte:

    Dsquery server –isgc

    Replikace dat ve službě Active Directory

    Replikace je postup kopírování, který se provádí, když je nutné uložit stejně aktuální informace, které existují na jakémkoli řadiči.

    Vyrábí se bez zásahu operátora. Existují následující typy obsahu replik:

    • Datové repliky jsou vytvářeny ze všech existujících domén.
    • Repliky datových schémat. Protože je datové schéma stejné pro všechny objekty v doménové struktuře Active Directory, jsou jeho repliky zachovány ve všech doménách.
    • konfigurační data. Zobrazuje kopie budov mezi ovladači. Informace platí pro všechny domény v doménové struktuře.

    Hlavní typy replik jsou intra-node a inter-node.

    V prvním případě systém po změnách počká a poté upozorní partnera, aby vytvořil repliku k dokončení změn. I při absenci změn dojde po určité době k procesu replikace automaticky. Po použití změn v adresářích dojde k replikaci okamžitě.

    Postup replikace mezi uzly se děje mezi tím minimální zatížení sítě, zabrání se tak ztrátě informací.

    Správci sítě Windows nemohou uniknout znalosti . Tento přehledový článek se bude věnovat tomu, co je to Active Directory a čím se jedí.

    Active Directory je tedy implementací adresářové služby společnosti Microsoft. Pod adresářovou službou v tento případ znamená softwarový balíček, který pomáhá správce systému pracovat s takovými síťové zdroje, Jak sdílené složky, servery, pracovní stanice, tiskárny, uživatelé a skupiny.

    Služba Active Directory má hierarchickou strukturu tvořenou objekty. Všechny objekty jsou rozděleny do tří hlavních kategorií.

    • Uživatelské a počítačové účty;
    • zdroje (například tiskárny);
    • Služby (např. E-mailem).

    Každý objekt má jedinečný název a má řadu vlastností. Objekty lze seskupovat.

    Vlastnosti uživatele

    Služba Active Directory má strukturu doménové struktury. Les má několik stromů, které obsahují domény. Domény zase obsahují výše uvedené objekty.


    Struktura Active Directory

    Objekty v doméně jsou obvykle seskupeny do organizačních jednotek. Subdivize slouží k vybudování hierarchie v rámci domény (organizace, územní subdivize, oddělení atd.). To je důležité zejména pro organizace, které jsou geograficky rozptýlené. Při budování struktury se doporučuje vytvořit co nejméně domén a v případě potřeby vytvořit samostatné divize. Právě na ně má smysl uplatňovat skupinové zásady.

    Vlastnosti pracovní stanice

    Dalším způsobem, jak strukturovat Active Directory, jsou stránky. Stránky jsou spíše způsobem fyzického než logického seskupování na základě segmentů sítě.

    Jak již bylo zmíněno, každý objekt v Active Directory má jedinečný název. Například tiskárna HPLaserJet4350dtn, která se nachází v divizi Právníci a v doméně primer.ru bude mít jméno CN=HPLaserJet4350dtn,OU=Advokáti,DC=primer,DC=ru. CN je běžné jméno ou- pododdělení DC— třída objektu domény. Název objektu může mít mnohem více částí než v tomto příkladu.

    Jiný tvar názvu objektu vypadá takto: primer.ru/Lawyers/HLaserJet4350dtn. Každý objekt má také globálně jedinečný identifikátor ( GUID) je jedinečný a neměnný 128bitový řetězec používaný službou Active Directory pro vyhledávání a replikaci. Některé objekty mají také hlavní uživatelské jméno ( UPN) ve formátu objekt@doména.

    Tady obecná informace o tom, co je to Active Directory a proč jsou potřeba lokální sítě na Základna Windows. Konečně má smysl říci, že administrátor má možnost pracovat s Active Directory vzdáleně prostřednictvím finančních prostředků vzdálená správa Server pro Windows 7 (KB958830)(Stažení) A Nástroje pro vzdálenou správu serveru pro Windows 8.1 (KB2693643) (Stažení).

    Přečtěte si více: