• اکتیو دایرکتوری به زبان ساده (Base). اکتیو دایرکتوری چیست؟

    چه کمکی خواهد کرد اکتیو دایرکتوریمتخصصان؟

    من یک لیست کوچک از "خوبی ها" را ارائه می دهم که می توان با استقرار Active Directory به دست آورد:

    • یک پایگاه داده ثبت نام کاربر، که به صورت مرکزی در یک یا چند سرور ذخیره می شود. بنابراین، هنگامی که یک کارمند جدید در دفتر ظاهر می شود، شما فقط باید یک حساب کاربری برای او در سرور ایجاد کنید و مشخص کنید که به کدام ایستگاه های کاری می تواند دسترسی داشته باشد.
    • از آنجایی که همه منابع دامنه ایندکس شده اند، این امکان جستجوی ساده و سریع را برای کاربران فراهم می کند. به عنوان مثال، اگر شما نیاز به پیدا کردن یک چاپگر رنگی در یک بخش دارید.
    • ترکیبی از اعمال مجوزهای NTFS، سیاست‌های گروه و تفویض کنترل به شما این امکان را می‌دهد که حقوق را بین اعضای دامنه تنظیم و توزیع کنید.
    • پروفایل های کاربر رومینگ امکان ذخیره سازی را فراهم می کند اطلاعات مهمو تنظیمات پیکربندی روی سرور؛ در واقع، اگر کاربری با نمایه رومینگ در دامنه بنشیند و روی رایانه دیگری کار کند و نام کاربری و رمز عبور خود را وارد کند، دسکتاپ خود را با تنظیمات معمول خود می بیند.
    • با استفاده از خط مشی های گروه، می توانید تنظیمات سیستم عامل های کاربر را تغییر دهید، از اجازه دادن به کاربر برای تنظیم کاغذ دیواری روی دسکتاپ گرفته تا تنظیمات امنیتی، و همچنین توزیع نرم افزار در شبکه، به عنوان مثال، Volume Shadow Copy و غیره؛
    • بسیاری از برنامه ها (سرورهای پروکسی، سرورهای پایگاه داده و غیره) نه تنها امروزه توسط مایکروسافت تولید می شوند، استفاده از احراز هویت دامنه را یاد گرفته اند، بنابراین لازم نیست پایگاه داده کاربری دیگری ایجاد کنید، بلکه می توانید از پایگاه داده موجود استفاده کنید.
    • استفاده از خدمات نصب از راه دور نصب سیستم ها را در ایستگاه های کاری تسهیل می کند، اما به نوبه خود فقط با سرویس دایرکتوری جاسازی شده کار می کند.

    و این لیست کاملی از ویژگی ها نیست، اما در ادامه در مورد آن بیشتر توضیح خواهیم داد. اکنون سعی می کنم منطق ساخت و ساز را بگویم اکتیو دایرکتوری، اما دوباره ارزش این را دارد که بفهمیم پسران ما از آنچه پسران ما ساخته شده اند چه ساخته شده اند اکتیو دایرکتوریدامنه ها، درختان، جنگل ها، واحدهای سازمانی، کاربران و گروه های کامپیوتری هستند.

    دامنه ها -این واحد اصلی ساختمان منطقی است. در مقایسه با گروه های کاری دامنه های ADگروه های امنیتی هستند که یک پایگاه ثبت واحد دارند، در حالی که گروه های کاری فقط یک گروه بندی منطقی از ماشین ها هستند. AD از DNS (سرور نام دامنه) برای نام‌گذاری و خدمات جستجو استفاده می‌کند، نه WINS ( اینترنت ویندوزسرویس نام - سرویس نام اینترنتی)، همانطور که در نسخه های اولیه NT بود. بنابراین، نام رایانه در یک دامنه، برای مثال buh.work.com است، که buh نام رایانه ای در دامنه work.com است (اگرچه همیشه اینطور نیست).

    گروه های کاری از نام های NetBIOS استفاده می کنند. برای میزبانی ساختار دامنه آگهیممکن است از یک سرور DNS غیر مایکروسافت استفاده کنید. اما باید با BIND 8.1.2 یا بالاتر سازگار باشد و از رکوردهای SRV() و همچنین پروتکل ثبت دینامیک (RFC 2136) پشتیبانی کند. هر دامنه حداقل یک کنترلر دامنه دارد که پایگاه داده مرکزی را میزبانی می کند.

    درختان -اینها ساختارهای چند دامنه ای هستند. ریشه این ساختار دامنه اصلی است که برای آن دامنه های فرزند ایجاد می کنید. در واقع اکتیو دایرکتوری از یک سیستم ساخت سلسله مراتبی مشابه ساختار دامنه ها در DNS استفاده می کند.

    اگر یک دامنه work.com (دامنه سطح اول) داشته باشیم و دو دامنه فرزند برای آن ایجاد کنیم، first.work.com و second.work.com (در اینجا، اول و دوم دامنه های سطح دوم هستند، نه یک رایانه در دامنه، همانطور که در موردی که در بالا توضیح داده شد)، سپس در نتیجه درختی از دامنه ها دریافت می کنیم.

    درختان به عنوان یک ساختار منطقی زمانی استفاده می شوند که شما نیاز به جداسازی شعب شرکت دارید، مثلاً بر اساس ویژگی های جغرافیایی، یا به دلایل سازمانی دیگر.

    آگهیبه ایجاد خودکار روابط اعتماد بین هر دامنه و دامنه های فرزند آن کمک می کند.

    بنابراین، ایجاد دامنه first.work.com منجر به سازماندهی خودکار یک رابطه اعتماد دو طرفه بین والدین work.com و فرزند first.work.com می شود (به طور مشابه برای second.work.com). بنابراین، مجوزها را می توان از دامنه والد به دامنه فرزند و بالعکس اعمال کرد. تصور اینکه روابط اعتماد برای دامنه های فرزند نیز وجود داشته باشد، دشوار نیست.

    یکی دیگر از ویژگی های روابط اعتماد، گذراست. دریافت می کنیم - یک رابطه اعتماد با دامنه work.com برای دامنه net.first.work.com ایجاد می شود.

    جنگل -درست مانند درختان، ساختارهای چند دامنه ای هستند. ولی جنگلاتحادی از درختان است که دامنه های ریشه متفاوتی دارند.

    فرض کنید تصمیم دارید چندین دامنه به نام‌های work.com و home.net داشته باشید و برای آن‌ها دامنه‌های فرزند بسازید، اما چون tld (دامنه سطح بالا) تحت کنترل شما نیست، در این صورت می‌توانید با انتخاب یکی از اولین‌ها، جنگلی را سازماندهی کنید. دامنه های سطح ریشه است. زیبایی ایجاد جنگل در این مورد، رابطه اعتماد دو طرفه بین این دو دامنه و حوزه فرزند آنهاست.

    با این حال، هنگام کار با جنگل ها و درختان، موارد زیر را به خاطر بسپارید:

    • شما نمی توانید یک دامنه موجود به درخت اضافه کنید
    • شما نمی توانید یک درخت از قبل موجود را در جنگل قرار دهید
    • اگر دامنه ها در یک جنگل قرار گیرند، نمی توان آنها را به جنگل دیگری منتقل کرد
    • شما نمی توانید دامنه ای را که دارای دامنه های فرزند است حذف کنید

    واحدهای سازمانی -در اصل می توان ساب دامنه نامید. به شما امکان می دهد حساب های کاربری، گروه های کاربر، رایانه ها، منابع مشترک، چاپگرها و سایر OU (واحدهای سازمانی) را در یک دامنه گروه بندی کنید. مزیت عملی استفاده از آنها، امکان تفویض حقوق برای اداره این واحدها است.

    به عبارت ساده، می توان در یک دامنه مدیری را تعیین کرد که بتواند OU را مدیریت کند، اما حق مدیریت کل دامنه را نداشته باشد.

    یکی از ویژگی های مهم OU ها بر خلاف گروه ها، امکان اعمال سیاست های گروهی برای آنهاست. "چرا نمی توان دامنه اصلی را به جای استفاده از OU به چندین دامنه تقسیم کرد؟" - تو پرسیدی.

    بسیاری از کارشناسان توصیه می کنند که در صورت امکان یک دامنه داشته باشید. دلیل این امر عدم تمرکز مدیریت هنگام ایجاد یک دامنه اضافی است، زیرا مدیران هر دامنه کنترل نامحدودی دریافت می کنند (اجازه دهید یادآوری کنم که هنگام واگذاری حقوق به مدیران OU، می توانید عملکرد آنها را محدود کنید).

    علاوه بر این، برای ایجاد یک دامنه جدید (حتی یک دامنه) به یک کنترلر دیگر نیاز دارید. اگر دو بخش مجزا دارید که توسط یک کانال ارتباطی آهسته به هم متصل شده اند، ممکن است مشکلات تکراری ایجاد شود. در این صورت داشتن دو دامنه مناسب تر است.

    همچنین تفاوت های ظریف دیگری برای اعمال خط مشی های گروه وجود دارد: سیاست هایی که تنظیمات رمز عبور و قفل حساب را تعریف می کنند فقط می توانند برای دامنه ها اعمال شوند. برای OU، این تنظیمات خط مشی نادیده گرفته می شوند.

    سایت های -این راهی برای جداسازی فیزیکی سرویس دایرکتوری است. طبق تعریف، سایت مجموعه ای از رایانه ها است که با پیوندهای داده سریع به هم متصل شده اند.

    اگر چندین شعبه در نقاط مختلف کشور دارید که با خطوط ارتباطی کم سرعت به هم متصل شده اند، می توانید وب سایت خود را برای هر شعبه ایجاد کنید. این کار برای بهبود قابلیت اطمینان تکرار دایرکتوری انجام می شود.

    چنین پارتیشنی از AD بر اصول ساخت منطقی تأثیر نمی گذارد، بنابراین، همانطور که یک سایت می تواند چندین دامنه داشته باشد و بالعکس، یک دامنه می تواند چندین سایت داشته باشد. اما این توپولوژی سرویس دایرکتوری مملو از مشکلاتی است. به عنوان یک قاعده، از اینترنت برای برقراری ارتباط با شعب استفاده می شود - یک محیط بسیار ناامن. بسیاری از شرکت ها از تدابیر امنیتی مانند فایروال استفاده می کنند. سرویس دایرکتوری در کار خود از حدود یک و نیم دوجین پورت و سرویس استفاده می کند که بازکردن آن ها برای عبور ترافیک AD از فایروال در واقع آن را "خارج" نشان می دهد. راه حل مشکل استفاده از فناوری تونل سازی و همچنین وجود یک کنترل کننده دامنه در هر سایت برای سرعت بخشیدن به پردازش درخواست های مشتریان AD است.

    منطق اجزای سرویس دایرکتوری تودرتو ارائه شده است. مشاهده می شود که جنگل شامل دو درخت دامنه است که در آنها دامنه ریشه درخت نیز به نوبه خود می تواند شامل OU و گروه هایی از اشیاء باشد و همچنین دارای دامنه های فرزند (در این مورد، برای هر کدام یکی) باشد. دامنه های فرزند همچنین می توانند شامل گروه های شی و OU باشند و دامنه های فرزند داشته باشند (در شکل نشان داده نشده اند). و غیره. اجازه دهید یادآوری کنم که OU ها می توانند شامل OU، اشیا و گروه هایی از اشیا باشند و گروه ها می توانند شامل گروه های دیگر باشند.

    گروه های کاربر و کامپیوتر -برای اهداف اداری استفاده می شوند و همان معنایی دارند که در ماشین های محلی در یک شبکه استفاده می شود. برخلاف OU ها، Group Policies را نمی توان برای گروه ها اعمال کرد، اما می توان کنترل را به آنها واگذار کرد. در چارچوب طرح اکتیو دایرکتوری، دو نوع گروه وجود دارد: گروه‌های امنیتی (برای متمایز کردن حقوق دسترسی به اشیاء شبکه) و گروه‌های توزیع (که عمدتاً برای ارسال پیام‌های ایمیل، به عنوان مثال، در Microsoft Exchange Server استفاده می‌شوند).

    آنها بر اساس دامنه آنها طبقه بندی می شوند:

    • گروه های جهانیممکن است شامل کاربران داخل جنگل و همچنین سایر گروه های جهانی یا گروه های جهانی از هر دامنه ای در جنگل باشد
    • دامنه گروه های جهانیممکن است شامل کاربران دامنه و سایر گروه های جهانی از همان دامنه باشد
    • دامنه گروه های محلیبرای تمایز حقوق دسترسی استفاده می شود، می تواند شامل کاربران دامنه، و همچنین گروه های جهانی و گروه های جهانی از هر دامنه در جنگل باشد.
    • گروه های کامپیوتری محلی- گروه هایی که SAM (مدیر حساب امنیتی) ماشین محلی شامل می شود. دامنه آنها فقط به این دستگاه محدود می شود، اما آنها می توانند شامل گروه های محلی دامنه ای که رایانه در آن قرار دارد، و همچنین گروه های جهانی و جهانی دامنه خودشان یا دامنه دیگری که به آن اعتماد دارند، باشد. به عنوان مثال، می توانید یک کاربر از گروه محلی دامنه Users را در گروه Administrators ماشین محلی قرار دهید و از این طریق به او حقوق مدیریت بدهید، اما فقط برای این رایانه


    در سال 2002، در راهروی دپارتمان علوم کامپیوتر دانشگاه مورد علاقه‌ام، پوستری تازه را روی در دفتر NT Systems دیدم. پوستر نمادهایی از حساب‌های کاربری را نشان می‌داد که در گروه‌هایی گروه‌بندی شده بودند، که از آن‌ها، پیکان‌ها به سمت نمادهای دیگر رفت. همه اینها به صورت شماتیک در یک ساختار خاص ترکیب شد، چیزی در مورد یک سیستم ورودی واحد، مجوز و موارد مشابه نوشته شد. تا جایی که الان متوجه شدم، آن پوستر معماری دامنه های Windows NT 4.0 و سیستم های Active Directory ویندوز 2000 را به تصویر می کشید. از آن لحظه به بعد، اولین آشنایی من با اکتیو دایرکتوری شروع شد و بلافاصله پایان یافت، زیرا پس از آن یک جلسه سخت، یک تعطیلات سرگرم کننده وجود داشت، پس از آن یکی از دوستان دیسک های FreeBSD 4 و لینوکس رد هت را به اشتراک گذاشت، و برای چند سال بعد من وارد آن شدم. دنیای سیستم های یونیکس مانند، اما من هرگز محتوای پوستر را فراموش نکردم.
    زمانی که برای کار در شرکتی نقل مکان کردم که در آن مدیریت کل زیرساخت فناوری اطلاعات مبتنی بر Active Directory بود، مجبور شدم به عقب برگردم و با سیستم‌های سرور ویندوز بیشتر آشنا شوم. به یاد دارم که مدیر ارشد آن شرکت در هر جلسه چیزی در مورد نوعی از بهترین روش‌های Active Directory می‌گفت. اکنون، پس از 8 سال ارتباط دوره ای با اکتیو دایرکتوری، به خوبی درک می کنم که این سیستم چگونه کار می کند و بهترین روش های Active Directory چیست.
    همانطور که احتمالا قبلاً حدس زده اید، ما در مورد Active Directory صحبت خواهیم کرد.
    به همه کسانی که علاقه مند هستند این موضوع، به گربه خوش آمدید.

    این توصیه‌ها برای سیستم‌های کلاینت که با ویندوز 7 و بالاتر شروع می‌شوند، برای دامنه‌ها و جنگل‌های سطح Windows Server 2008/R2 و بالاتر معتبر هستند.

    استاندارد سازی
    برنامه ریزی برای اکتیو دایرکتوری باید با توسعه استانداردهای خود برای نامگذاری اشیا و مکان آنها در فهرست شروع شود. لازم است سندی ایجاد شود که در آن تمام استانداردهای لازم تعریف شود. البته، این یک توصیه نسبتا رایج برای متخصصان فناوری اطلاعات است. اصل "اول ما مستندات را می نویسیم و سپس سیستمی را بر اساس این مستندات می سازیم" بسیار خوب است، اما به دلایل بسیاری به ندرت در عمل اجرا می شود. از میان این دلایل - تنبلی ساده انسان یا نداشتن صلاحیت مناسب، بقیه دلایل از دو مورد اول گرفته شده است.
    من توصیه می کنم - ابتدا اسناد را بنویسید، در مورد آن فکر کنید و تنها پس از آن نصب اولین کنترل کننده دامنه را ادامه دهید.
    به عنوان مثال، من بخشی از سند را در مورد استانداردهای نامگذاری اشیاء Active Directory ارائه می دهم.
    نامگذاری اشیاء

    • نام گروه های سفارشیباید با پیشوند GRUS_ شروع شود (GR - گروه، ایالات متحده - کاربران)
    • نام گروه های کامپیوتری نباید با پیشوند GRCP_ شروع شود (GR - Group، CP - Computers)
    • نام گروه های نمایندگی باید با پیشوند GRDL_ شروع شود (GR - Group، DL - Delegation)
    • نام گروه‌های دسترسی به منابع باید با پیشوند GRRS_ (GR - گروه، RS - منابع) شروع شود.
    • نام گروه‌های خط‌مشی باید با پیشوندهای GPUS_، GPCP_ شروع شود (GP - خط‌مشی گروه، ایالات متحده - کاربران، CP - رایانه‌ها)
    • نام رایانه های مشتری باید از دو یا سه حرف از نام سازمان تشکیل شده باشد و به دنبال آن یک عدد از طریق خط تیره، به عنوان مثال nnt-01 باشد.
    • نام سرورها باید فقط با دو حرف شروع شود و به دنبال آن یک خط تیره به دنبال نقش سرور و شماره سرور، به عنوان مثال nn-dc01.
    توصیه می کنم نام اشیاء اکتیو دایرکتوری را به گونه ای نامگذاری کنید که مجبور نباشید قسمت "توضیحات" را پر کنید. به عنوان مثال، از نام گروه GPCP_Restricted_Groups، مشخص است که این گروهی برای سیاستی است که بر روی رایانه ها اعمال می شود و کار مکانیسم گروه های محدود را انجام می دهد.
    رویکرد شما برای نوشتن اسناد باید بسیار دقیق باشد، این باعث صرفه جویی می شود تعداد زیادی اززمان در آینده

    همه چیز ممکن را ساده کنید، سعی کنید به تعادل برسید
    هنگام ساخت اکتیو دایرکتوری، باید از اصل دستیابی به تعادل پیروی کنید و مکانیسم های ساده و قابل درک را انتخاب کنید.
    اصل تعادل دستیابی به عملکرد و امنیت لازم با حداکثر سادگی راه حل است.
    باید سعی کرد سیستم را طوری ساخت که ساختار آن برای بی تجربه ترین مدیر یا حتی کاربر واضح باشد. به عنوان مثال، زمانی پیشنهاد ایجاد یک ساختار جنگلی از چندین حوزه وجود داشت. علاوه بر این، توصیه شد که نه تنها ساختارهای چند دامنه ای، بلکه ساختارهایی از چندین جنگل نیز مستقر شوند. شاید چنین توصیه ای به دلیل اصل "تفرقه و تسلط" وجود داشته باشد یا به این دلیل که مایکروسافت به همه گفته است که دامنه یک مرز امنیتی است و با تقسیم سازمان به دامنه ها، ساختارهای جداگانه ای به دست می آوریم که به صورت جداگانه کنترل آنها آسان تر است. اما همانطور که تمرین نشان داده است، نگهداری و کنترل سیستم های تک دامنه آسان تر است، جایی که مرزهای امنیتی واحدهای سازمانی (OU) هستند، نه دامنه ها. بنابراین، از ایجاد ساختارهای پیچیده چند دامنه ای خودداری کنید، بهتر است اشیاء را بر اساس OU گروه بندی کنید.
    البته، شما باید بدون تعصب عمل کنید - اگر نمی توانید بدون چندین دامنه انجام دهید، باید چندین دامنه، همچنین با جنگل ها ایجاد کنید. نکته اصلی این است که بفهمید چه کاری انجام می دهید و چه چیزی می تواند منجر شود.
    درک این نکته مهم است که یک زیرساخت اکتیو دایرکتوری ساده مدیریت و کنترل آن آسان تر است. حتی می توانم بگویم که هر چه ساده تر، ایمن تر باشد.
    اصل ساده سازی را اعمال کنید. برای رسیدن به تعادل تلاش کنید.

    از اصل - "شی - گروه" پیروی کنید
    با ایجاد یک گروه برای شروع به ایجاد اشیاء اکتیو دایرکتوری کنید این شی، و قبلاً حقوق لازم را به گروه اختصاص دهید. بیایید به یک مثال نگاه کنیم. باید یک حساب مدیر اصلی ایجاد کنید. ابتدا گروه Head Admins را بسازید و سپس خود اکانت را بسازید و به این گروه اضافه کنید. به عنوان مثال، با افزودن آن به گروه Domain Admins، حقوق مدیر اصلی را به گروه Head Admins اختصاص دهید. تقریباً همیشه مشخص می شود که پس از مدتی کارمند دیگری سر کار می آید که به حقوق مشابه نیاز دارد و به جای تفویض حقوق به بخش های مختلف اکتیو دایرکتوری، می توان او را به سادگی به گروه مورد نیاز اضافه کرد، که سیستم قبلاً برای آن اقدام کرده است. نقش تعریف و اختیارات لازم را تفویض کرد.
    یک مثال دیگر شما باید حقوق را به OU با کاربران به گروه مدیران سیستم واگذار کنید. حقوق را مستقیماً به گروه مدیر واگذار نکنید، بلکه ایجاد کنید گروه ویژهمانند GRDL_OUName_Operator_Accounts که حقوقی را به آنها اختصاص می دهید. سپس فقط گروه مدیران مسئول را به گروه GRDL_OUName_Operator_Accounts اضافه کنید. قطعاً مشخص خواهد شد که در آینده نزدیک باید حقوق این OU را به گروه دیگری از مدیران واگذار کنید. و در این حالت، شما به سادگی گروه داده های مدیر را به گروه نمایندگی GRDL_OUName_Operator_Accounts اضافه می کنید.
    من ساختار گروه زیر را پیشنهاد می کنم.

    • گروه های کاربری (GRUS_)
    • گروه‌های سرپرست (GRAD_)
    • گروه های نمایندگی (GRDL_)
    • گروه های خط مشی (GRGP_)
    گروه های کامپیوتری
    • گروه های سرور (GRSR_)
    • گروه های کامپیوتری مشتری (GRCP_)
    گروه های دسترسی به منابع
    • گروه‌های دسترسی به منابع مشترک (GRRS_)
    • گروه‌های دسترسی چاپگر (GRPR_)
    در سیستمی که بر اساس این دستورالعمل ها ساخته شده است، تقریباً تمام دولت ها گروه هایی را به گروه ها اضافه می کنند.
    تعادل را حفظ کنید، تعداد نقش‌ها را برای گروه‌ها محدود کنید، و به یاد داشته باشید که نام گروه باید کاملاً نقش آن را توصیف کند.

    معماری OU
    معماری یک OU قبل از هر چیز باید از نقطه نظر امنیت و تفویض حقوق به این OU به مدیران سیستم مورد بررسی قرار گیرد. من برنامه ریزی معماری OU را از نظر پیوند دادن خط مشی های گروه به آنها توصیه نمی کنم (اگرچه این اغلب انجام می شود). برای برخی، توصیه من کمی عجیب به نظر می رسد، اما من به هیچ وجه پیوند خط مشی های گروه را به یک OU توصیه نمی کنم. در بخش سیاست های گروه بیشتر بخوانید.
    مدیران OU
    من توصیه می کنم یک OU جداگانه برای حساب ها و گروه های اداری اختصاص دهید، جایی که حساب ها و گروه های همه مدیران و مهندسان را در آن قرار دهید. پشتیبانی فنی. دسترسی به این OU باید به کاربران عادی محدود شود و مدیریت اشیاء از این OU باید فقط به مدیران اصلی واگذار شود.
    کامپیوترهای OU
    OU های کامپیوتری از نظر جغرافیای کامپیوتر و انواع کامپیوتر به بهترین وجه برنامه ریزی می شوند. کامپیوترها را از مکان های جغرافیایی مختلف در OU های مختلف توزیع کنید و به نوبه خود آنها را به رایانه های مشتری و سرور تقسیم کنید. سرورها را می توان بیشتر به Exchange، SQL و موارد دیگر تقسیم کرد.

    کاربران، حقوق در اکتیو دایرکتوری
    حساب های کاربری Active Directory باید مورد توجه ویژه قرار گیرند. همانطور که در بخش مربوط به OU ذکر شد، حساب های کاربری باید بر اساس اصل تفویض اختیار به این حساب ها گروه بندی شوند. همچنین رعایت اصل کمترین امتیاز مهم است - هر چه کاربر حقوق کمتری در سیستم داشته باشد، بهتر است. توصیه می کنم بلافاصله سطح امتیاز کاربر را به نام حساب کاربری او قرار دهید. یک حساب کاربری برای کار روزانه باید شامل نام خانوادگی و حروف اول کاربر به زبان لاتین باشد (به عنوان مثال، IvanovIV یا IVIvanov). فیلدهای مورد نیاز عبارتند از: نام، حروف اول، نام خانوادگی، نام نمایشی (به زبان روسی)، ایمیل، تلفن همراه، عنوان شغلی، مدیر.
    حساب های مدیر باید از انواع زیر باشد:

    • با حقوق سرپرست رایانه های کاربر، اما نه سرورها. باید از حروف اول مالک و به دنبال آن پیشوند محلی (به عنوان مثال iivlocal) باشد.
    • با حقوق مدیریت سرورها و اکتیو دایرکتوری. باید فقط از حروف اول تشکیل شود (به عنوان مثال، iiv).
    قسمت نام خانوادگی هر دو نوع حساب اداری باید با حرف I شروع شود (به عنوان مثال، iPetrov P Vasily)
    اجازه دهید توضیح دهم که چرا باید حساب‌های مدیریتی را به مدیران سرور و مدیران رایانه مشتری جدا کنید. این به دلایل امنیتی ضروری است. مدیران رایانه های مشتری حق نصب نرم افزار بر روی رایانه های مشتری را خواهند داشت. اینکه چه و چرا نرم افزار نصب خواهد شد، هرگز نمی توان با اطمینان گفت. بنابراین، اجرای نصب برنامه با حقوق سرپرست دامنه ایمن نیست؛ می توانید کل دامنه را در معرض خطر قرار دهید. شما باید رایانه های سرویس گیرنده را فقط با حقوق سرپرست محلی برای آن رایانه مدیریت کنید. این باعث می شود که تعدادی از حملات به حساب های مدیران دامنه، مانند "Pass The Hash" غیرممکن شود. علاوه بر این، مدیران رایانه های مشتری باید اتصال خدمات ترمینال و اتصال شبکه به رایانه را ببندند. رایانه های پشتیبانی فنی و مدیران باید در یک VLAN جداگانه قرار داده شوند تا دسترسی به آنها از شبکه رایانه های مشتری محدود شود.
    اعطای حقوق مدیریت به کاربران
    اگر نیاز به دادن حقوق سرپرست به یک کاربر دارید، به هیچ عنوان حساب روزمره او را در گروه مدیران محلی رایانه قرار ندهید. حساب کار روزانه باید همیشه از نظر حقوق محدود باشد. یک حساب اداری جداگانه از نوع namelocal برای آن ایجاد کنید و این حساب را با استفاده از خط مشی به گروه مدیران محلی اضافه کنید و استفاده از آن را فقط در رایانه کاربر با استفاده از هدف گذاری در سطح مورد محدود کنید. این حسابکاربر می تواند با استفاده از مکانیزم Run AS استفاده کند.
    سیاست های رمز عبور
    با استفاده از خط مشی رمز عبور دقیق، سیاست های رمز عبور جداگانه برای کاربران و مدیران ایجاد کنید. مطلوب است که رمز عبور کاربر حداقل 8 کاراکتر باشد و حداقل هر سه ماه یکبار تغییر کند. برای مدیران مطلوب است که رمز عبور را هر دو ماه یکبار تغییر دهند و باید حداقل 10-15 کاراکتر داشته باشد و شرایط پیچیدگی را برآورده کند.

    ترکیب دامنه و گروه های محلی. مکانیسم گروه های محدود
    ترکیب دامنه و گروه های محلی در رایانه های دامنه باید فقط در کنترل شود حالت خودکار، با استفاده از مکانیسم گروه های محدود. اینکه چرا فقط به این صورت انجام این کار ضروری است با مثال زیر توضیح خواهم داد. معمولاً پس از شکستن دامنه اکتیو دایرکتوری، مدیران خود را به گروه‌های دامنه مانند ادمین‌های دامنه، ادمین‌های سازمانی، اضافه می‌کنند. گروه های مورد نظرمهندسین پشتیبانی فنی و سایر کاربران نیز به گروه‌هایی تقسیم می‌شوند. در فرآیند مدیریت این دامنه، روند صدور حقوق بارها تکرار می شود و یادآوری این موضوع بسیار دشوار خواهد بود که دیروز حسابدار نینا پترونا را به طور موقت به گروه مدیران 1C اضافه کردید و امروز باید او را از این گروه حذف کنید. اگر این شرکت چندین مدیر داشته باشد و هر از گاهی به سبکی مشابه به کاربران حقوق بدهد، وضعیت بدتر خواهد شد. در یک سال تقریباً غیرممکن خواهد بود که بفهمیم کدام حقوق به چه کسی واگذار شده است. بنابراین، ترکیب گروه ها باید فقط توسط سیاست های گروه کنترل شود، که همه چیز را با هر برنامه مرتب می کند.
    ترکیب گروه های داخلی
    شایان ذکر است که گروه های داخلی مانند اپراتورهای حساب، اپراتورهای پشتیبان، اپراتورهای رمز، مهمانان، اپراتورهای چاپ، اپراتورهای سرور باید هم در دامنه و هم در رایانه های مشتری خالی باشند. این گروه ها در درجه اول برای سازگاری با سیستم های قدیمی تر مورد نیاز هستند و به کاربران این گروه ها حقوق زیادی در سیستم داده می شود و حملات افزایش امتیاز ممکن می شود.

    حساب های مدیر محلی
    با استفاده از مکانیسم گروه‌های محدود، باید حساب‌های مدیر محلی را در رایانه‌های محلی قفل کنید، حساب‌های مهمان را قفل کنید، و گروه مدیران محلی را در رایانه‌های محلی پاک کنید. هرگز از خط‌مشی‌های گروهی برای تنظیم رمز عبور برای حساب‌های سرپرست محلی استفاده نکنید. این مکانیسم امن نیست، رمز عبور را می توان مستقیماً از خط مشی بازیابی کرد. اما، اگر تصمیم دارید حساب‌های مدیر محلی را مسدود نکنید، از مکانیسم LAPS برای تنظیم صحیح رمزهای عبور و چرخش آنها استفاده کنید. متأسفانه، پیکربندی LAPS کاملاً خودکار نیست و بنابراین لازم است که به صورت دستی ویژگی‌ها را به آن اضافه کنید. طرح فعالدایرکتوری، به آنها حقوق اعطا کنید، گروه ها را اختصاص دهید و غیره. بنابراین، مسدود کردن حساب های مدیر محلی آسان تر است.
    حساب های خدماتی
    برای شروع خدمات، از حساب‌های سرویس و مکانیسم gMSA (موجود در سیستم‌های Windows 2012 و بالاتر) استفاده کنید.

    سیاست های گروه
    سیاست های سند قبل از ایجاد/تغییر.
    هنگام ایجاد یک خط مشی، از اصل "خط مشی - گروه" استفاده کنید. یعنی قبل از ایجاد یک سیاست، ابتدا یک گروه برای این خط مشی ایجاد کنید، گروه کاربران تایید شده را از محدوده سیاست حذف کنید و گروه ایجاد شده را اضافه کنید. خط مشی را نه به یک OU، بلکه به ریشه دامنه متصل کنید و با اضافه کردن اشیاء به گروه سیاست، دامنه کاربرد آن را تنظیم کنید. من چنین مکانیزمی را انعطاف پذیرتر و قابل درک تر از پیوند دادن یک سیاست به یک OU می دانم. (این همان چیزی است که در بخش معماری OU نوشتم).
    همیشه محدوده خط مشی را تنظیم کنید. اگر یک خط‌مشی فقط برای کاربران ایجاد کرده‌اید، ساختار رایانه را غیرفعال کنید و بالعکس، اگر خط‌مشی را فقط برای رایانه‌ها ایجاد کرده‌اید، ساختار کاربر را غیرفعال کنید. به لطف این تنظیمات، سیاست ها با سرعت بیشتری اعمال می شوند.
    روزانه تنظیم کنید پشتیبان گیریسیاست هایی با استفاده از Power Shell به طوری که در صورت بروز خطا در پیکربندی، همیشه بتوانید تنظیمات را به تنظیمات اصلی برگردانید.
    قالب های فروشگاه مرکزی (فروشگاه مرکزی)
    با شروع ویندوز 2008، امکان ذخیره الگوهای Group Policy ADMX در یک فروشگاه مرکزی، در SYSVOL فراهم شد. قبل از این، به‌طور پیش‌فرض، تمام قالب‌های خط‌مشی به صورت محلی، روی کلاینت‌ها ذخیره می‌شدند. برای قرار دادن قالب‌های ADMX در فروشگاه مرکزی، محتویات پوشه %SystemDrive%\Windows\PolicyDefinitions به همراه زیرپوشه‌ها از سیستم‌های کلاینت (Windows 7/8/8.1) را در %SystemDrive%\Windows\SYSVOL\domain کنترل‌کننده دامنه کپی کنید. دایرکتوری \Policies\PolicyDefinitions با ادغام محتوا اما بدون جایگزینی. در مرحله بعد، باید همان کپی را از سیستم های سرور تهیه کنید، و از قدیمی ترین آنها شروع کنید. در نهایت، هنگام کپی پوشه ها و فایل ها از آخرین نسخهسرور، یک کپی با ادغام و REPLACE انجام دهید.

    کپی کردن قالب های ADMX

    علاوه بر این، الگوهای ADMX برای هر محصول نرم افزاری را می توان در حافظه مرکزی قرار داد، به عنوان مثال، مانند مایکروسافت آفیس، محصولات Adobe، Google و دیگران. به وب‌سایت فروشنده نرم‌افزار بروید، قالب Group Policy ADMX را دانلود کنید و آن را در پوشه %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions در هر یک از کنترل‌کننده‌های دامنه خود استخراج کنید. اکنون می توانید محصول نرم افزاری مورد نیاز خود را از طریق خط مشی های گروهی مدیریت کنید.
    فیلترهای WMI
    فیلترهای WMI خیلی سریع نیستند، بنابراین هدف گذاری در سطح آیتم ترجیح داده می شود. اما اگر نمی توان از هدف گذاری در سطح آیتم استفاده کرد و تصمیم به استفاده از WMI دارید، توصیه می کنم فوراً چندین مورد از رایج ترین فیلترها را برای خود ایجاد کنید: فیلتر "فقط سیستم عامل های مشتری" ، "فقط سیستم عامل های سرور" ، فیلترها "ویندوز 7"، "ویندوز 8"، "ویندوز 8.1"، "ویندوز 10" را فیلتر می کند. اگر مجموعه های آماده ای از فیلترهای WMI دارید، بعداً اعمال فیلتر مورد نظر روی خط مشی مورد نظر آسان تر خواهد بود.

    حسابرسی رویدادهای Active Directory
    مطمئن شوید که ممیزی رویداد را در کنترلرهای دامنه و سایر سرورها فعال کنید. من توصیه می کنم ممیزی اشیاء زیر را فعال کنید:

    • حسابرسی مدیریت حساب کامپیوتری - موفقیت، شکست
    • حسابرسی سایر رویدادهای مدیریت حساب - موفقیت، شکست
    • مدیریت گروه امنیتی حسابرسی - موفقیت، شکست
    • حسابرسی مدیریت حساب کاربری - موفقیت، شکست
    • سرویس احراز هویت Kerberos حسابرسی - خراب شد
    • حسابرسی سایر رویدادهای ورود به حساب - شکست
    • تغییر خط مشی حسابرسی حسابرسی - موفقیت، شکست
    حسابرسی باید در بخش پیکربندی شود پیکربندی خط مشی حسابرسی پیشرفتهو حتما تنظیمات را در قسمت قرار دهید گزینه های سیاست/امنیت محلی - تنظیمات زیرمجموعه خط مشی حسابرسی (ویندوز ویستا یا جدیدتر) را مجبور کنید تا تنظیمات دسته خط مشی حسابرسی را لغو کند.که تنظیمات را لغو می کند سطح بالاو موارد توسعه یافته را اعمال کنید.

    تنظیمات ممیزی پیشرفته

    من به جزئیات تنظیمات حسابرسی نمی پردازم، زیرا تعداد کافی مقاله در وب به این موضوع اختصاص داده شده است. من فقط اضافه می کنم که علاوه بر فعال کردن ممیزی، باید هشدارهای ایمیل در مورد رویدادهای امنیتی مهم را پیکربندی کنید. همچنین شایان توجه است که در سیستم هایی با تعداد رویدادهای فراوان، ارزش اختصاص سرورهای جداگانه برای جمع آوری و تجزیه و تحلیل فایل های گزارش را دارد.

    اسکریپت های مدیریت و تمیز کردن
    تمام اقدامات از یک نوع و اغلب تکرار شده باید با استفاده از اسکریپت های مدیریت انجام شود. از جمله این اقدامات: ایجاد حساب های کاربری، ایجاد حساب های مدیر، ایجاد گروه ها، ایجاد OU و غیره. اشیاء اسکریپت به شما این امکان را می دهد که با ساختن چک های نحوی مستقیماً در اسکریپت های خود، منطق نام گذاری شی اکتیو دایرکتوری خود را رعایت کنید.
    همچنین ارزش نوشتن اسکریپت های پاکسازی را دارد که به طور خودکار ترکیب گروه ها را کنترل می کند، کاربران و رایانه هایی را که برای مدت طولانی به دامنه متصل نشده اند را شناسایی می کند، نقض سایر استانداردهای شما را تشخیص می دهد و غیره.
    من استفاده از اسکریپت های مدیریت برای نظارت بر مطابقت با استانداردها و انجام عملیات پس زمینه را به عنوان یک توصیه رسمی صریح ندیده ام. اما من خودم بررسی‌ها و رویه‌ها را در حالت خودکار با استفاده از اسکریپت ترجیح می‌دهم، زیرا این باعث صرفه‌جویی در زمان و حذف بسیاری از خطاها می‌شود، و البته، رویکرد کمی یونیکس من به مدیریت اینجا تأثیر می‌گذارد، زمانی که تایپ چند دستور آسان‌تر است. از کلیک کردن روی ویندوز .

    مدیریت دستی
    بخشی از عملیات مدیریتی که شما و همکارانتان باید به صورت دستی انجام دهید. برای این منظور، توصیه می‌کنم از کنسول mmc استفاده کنید که اسنپ‌این‌ها به آن اضافه شده است.
    همانطور که بعداً بحث خواهد شد، کنترل‌کننده‌های دامنه شما باید در حالت Server Core کار کنند، یعنی مدیریت کل محیط AD باید فقط از طریق رایانه شما با استفاده از کنسول‌ها انجام شود. برای مدیریت Active Directory، باید Remote Server Administration Tools را روی رایانه خود نصب کنید. کنسول‌ها باید به‌عنوان کاربری با حقوق سرپرست Active Directory که کنترل به آنها واگذار شده است، روی رایانه شما اجرا شوند.
    هنر مدیریت اکتیو دایرکتوری با استفاده از کنسول ها نیاز به یک مقاله جداگانه و حتی شاید یک فیلم آموزشی جداگانه دارد، بنابراین در اینجا من فقط در مورد خود اصل صحبت می کنم.

    کنترل کننده های دامنه
    در هر دامنه، حداقل باید دو کنترلر وجود داشته باشد. کنترل کننده های دامنه باید تا حد امکان خدمات کمتری داشته باشند. نباید از دامین کنترلر فایل سرور بسازید یا خدای ناکرده نقش سرور ترمینال را روی آن مطرح کنید. استفاده از سیستم عامل ها در حالت Server Core در کنترل کننده های دامنه، حذف کامل پشتیبانی از WoW64، این امر به میزان قابل توجهی تعداد به روز رسانی های لازمو ایمنی آنها را افزایش دهید.
    مایکروسافت قبلاً از مجازی‌سازی کنترل‌کننده‌های دامنه جلوگیری می‌کرد، زیرا در هنگام بازیابی از عکس‌های فوری، تضادهای تکراری با مشکل قابل حل بود. ممکن است دلایل دیگری نیز وجود داشته باشد، نمی توانم با اطمینان بگویم. اکنون هایپروایزرها یاد گرفته‌اند که به کنترل‌کننده‌ها بگویند که آنها را از عکس‌های فوری بازیابی کنند و این مشکل از بین رفته است. من همیشه بدون گرفتن عکس فوری، کنترل‌کننده‌ها را مجازی می‌کردم، زیرا نمی‌دانم چرا ممکن است اصلاً چنین کاری روی کنترل‌کننده‌های دامنه انجام شود. من فکر می کنم انجام آن راحت تر است پشتیبان گیریکنترل کننده دامنه با ابزارهای استاندارد. بنابراین، من توصیه می کنم تمام کنترلرهای دامنه را که امکان پذیر است مجازی سازی کنید. این پیکربندی انعطاف پذیرتر خواهد بود. هنگام مجازی سازی کنترل کننده های دامنه، آنها را روی هاست های فیزیکی مختلف قرار دهید.
    اگر نیاز دارید که یک دامین کنترلر را در یک نام امن قرار دهید محیط فیزیکییا در یکی از شعبه های سازمان خود، سپس از RODC برای این اهداف استفاده کنید.

    نقش های FSMO، کنترل کننده های اولیه و ثانویه
    نقش های FSMO کنترل کننده دامنه همچنان ترس را در ذهن مدیران تازه کار ایجاد می کند. اغلب، افراد تازه کار اکتیو دایرکتوری را با استفاده از اسناد قدیمی مطالعه می کنند یا به داستان های مدیران دیگری که در جایی چیزی خوانده اند گوش می دهند.
    برای هر پنج + 1 نقش، موارد زیر باید به اختصار گفته شود. با شروع ویندوز سرور 2008، دیگر کنترل کننده های دامنه اولیه و ثانویه وجود ندارد. هر پنج نقش کنترل‌کننده دامنه قابل حمل هستند، اما نمی‌توانند همزمان روی بیش از یک کنترل‌کننده دامنه میزبانی شوند. اگر یکی از کنترلرها را که مثلاً صاحب 4 نقش بوده است برداریم و حذف کنیم، به راحتی می توانیم همه این نقش ها را به کنترلرهای دیگر منتقل کنیم و هیچ چیز وحشتناکی در دامنه اتفاق نمی افتد، چیزی خراب نمی شود. این امکان پذیر است زیرا تمام اطلاعات مربوط به کار مرتبط با یک نقش خاص توسط مالک آن به طور مستقیم در اکتیو دایرکتوری ذخیره می شود. و اگر نقش را به کنترلر دیگری منتقل کنیم، ابتدا اطلاعات ذخیره شده در Active Directory را درخواست می کند و شروع به سرویس می کند. دامنه می تواند کافی باشد برای مدت طولانیبدون استاد نقش وجود دارد. تنها "نقشی" که همیشه باید در اکتیو دایرکتوری باشد و بدون آن همه چیز بسیار بد خواهد بود، نقش کاتالوگ جهانی (GC) است، که می تواند توسط همه کنترلرهای دامنه حمل شود. من توصیه می کنم نقش GC را به هر کنترل کننده در دامنه اختصاص دهید، هر چه بیشتر باشد، بهتر است. البته، می توانید مواردی را پیدا کنید که نباید نقش GC را روی یک کنترلر دامنه نصب کنید. خوب، اگر شما مجبور نیستید، پس مجبور نیستید. توصیه ها را بدون تعصب دنبال کنید.

    سرویس DNS
    سرویس DNS برای عملکرد اکتیو دایرکتوری حیاتی است و باید بدون مشکل اجرا شود. سرویس DNS بهتر است روی هر کنترل کننده دامنه قرار داده شود و مناطق DNS در خود Active Directory ذخیره شود. اگر از Active Directory برای ذخیره مناطق DNS استفاده می‌کنید، باید ویژگی‌های اتصال TCP/IP را روی کنترل‌کننده‌های دامنه پیکربندی کنید تا هر کنترل‌کننده هر DNS دیگری را به‌عنوان سرور DNS اصلی داشته باشد و بتوانید سرور DNS ثانویه را تنظیم کنید. آدرس 127.0.0.1. این پیکربندی ضروری است زیرا برای شروع عادی سرویس اکتیو دایرکتوری، یک DNS در حال کار مورد نیاز است و برای شروع DNS، سرویس Active Directory باید در حال اجرا باشد، زیرا شامل خود منطقه DNS است.
    مطمئن شوید که مناطق جستجوی معکوس را برای همه شبکه های خود تنظیم کرده و خودکار را فعال کنید به روز رسانی ایمنرکوردهای PTR
    توصیه می کنم علاوه بر این، تمیز کردن خودکار منطقه را از سوابق DNS منسوخ شده (محافظه dns) فعال کنید.
    اگر سرورهای سریعتر دیگری در موقعیت جغرافیایی شما وجود ندارد، توصیه می کنم سرورهای امن Yandex را به عنوان DNS-Forwarders مشخص کنید.

    سایت ها و تکثیر
    بسیاری از مدیران تمایل دارند سایت ها را به عنوان گروه بندی جغرافیایی رایانه ها تصور کنند. به عنوان مثال، سایت مسکو، سایت سنت پترزبورگ. این دیدگاه به این دلیل ظاهر شد که تقسیم اصلی اکتیو دایرکتوری به سایت ها به منظور ایجاد تعادل و جداسازی ترافیک شبکه تکراری انجام شد. کنترل کننده های دامنه در مسکو نیازی به دانستن این موضوع ندارند که اکنون ده حساب کامپیوتری در سن پترزبورگ ایجاد شده است. و بنابراین، چنین اطلاعاتی در مورد تغییرات را می توان یک بار در ساعت طبق برنامه منتقل کرد. یا حتی یک بار در روز و فقط در شب تغییرات را تکرار کنید تا در پهنای باند صرفه جویی کنید.
    در مورد سایت ها این را می گویم: سایت ها گروه های منطقی کامپیوترها هستند. کامپیوترهایی که به خوبی به هم متصل هستند اتصال شبکه. و خود سایت ها با یک ارتباط کوچک به هم متصل می شوند توان عملیاتیکه این روزها نادر است. بنابراین، من Active Directory را به سایت‌هایی تقسیم می‌کنم، نه برای متعادل کردن ترافیک تکرار، بلکه برای متعادل کردن بار شبکه به طور کلی و برای پردازش سریع‌تر درخواست‌های مشتری از رایانه‌های سایت. بگذارید با یک مثال توضیح دهم. یک شبکه محلی 100 مگابیتی سازمان وجود دارد که توسط دو دامین کنترلر سرویس دهی می شود و یک ابر وجود دارد که سرورهای اپلیکیشن این سازمان با دو کنترلر دیگر ابری در آن قرار دارند. من چنین شبکه‌ای را به دو سایت تقسیم می‌کنم تا کنترل‌کننده‌ها در شبکه محلی درخواست‌های کلاینت را از شبکه محلی پردازش کنند و کنترل‌کننده‌ها در ابر درخواست‌ها را از سرورهای برنامه پردازش کنند. علاوه بر این، این درخواست ها را به سرویس های DFS و Exchange جدا می کند. و از آنجایی که در حال حاضر به ندرت کانال اینترنتی کمتر از 10 مگابیت در ثانیه می بینم، Notify Based Replication را فعال می کنم، این زمانی است که داده ها به محض ایجاد هرگونه تغییر در اکتیو دایرکتوری تکرار می شوند.

    نتیجه
    امروز صبح داشتم به این فکر می‌کردم که چرا خودخواهی انسان در جامعه مورد استقبال قرار نمی‌گیرد و جایی در سطح عمیقی از ادراک باعث ایجاد احساسات شدید منفی می‌شود. و تنها پاسخی که به ذهن من رسید این است که نژاد بشر اگر نمی آموخت که چگونه منابع فیزیکی و فکری را به اشتراک بگذارد، روی این سیاره زنده نمی ماند. به همین دلیل است که من این مقاله را با شما به اشتراک می گذارم و امیدوارم که توصیه های من به شما کمک کند تا سیستم خود را بهبود ببخشید و زمان بسیار کمتری را برای عیب یابی صرف کنید. همه اینها منجر به آزاد شدن زمان و انرژی بیشتر برای خلاقیت می شود. زندگی در دنیای افراد خلاق و آزاد بسیار لذت بخش تر است.
    اگر ممکن است دانش و تجربیات خود را در نظرات به اشتراک بگذارید. Active را می سازدفهرست راهنما.
    سلامتی و نیکی برای همه!

    می توانید کمک کنید و مبلغی را برای توسعه سایت انتقال دهید

    به طور خلاصه، AD به شما این امکان را می دهد که از یک نقطه مدیریت برای همه منابع منتشر شده استفاده کنید. AD بر اساس استاندارد نامگذاری X.500 است، سیستم نام دامنه (DNS) برای تعیین مکان استفاده می شود، و Lightweight Directory به عنوان پروتکل زیربنایی استفاده می شود. پروتکل دسترسی(LDAP).

    AD ساختار منطقی و فیزیکی یک شبکه را ترکیب می کند. ساختار منطقی AD از عناصر زیر تشکیل شده است:

    • واحد سازمانی - یک زیر گروه از رایانه ها، به عنوان یک قاعده، که ساختار شرکت را منعکس می کند.
    • دامنه – گروهی از کامپیوترها که یک پایگاه داده دایرکتوری مشترک را به اشتراک می گذارند.
    • درخت دامنه - یک یا چند دامنه که یک فضای نام پیوسته را به اشتراک می گذارند.
    • جنگل دامنه - یک یا چند درخت اطلاعات دایرکتوری را به اشتراک می گذارند.

    ساختار فیزیکی شامل عناصر زیر است:

    • زیر شبکه - یک گروه شبکه با محدوده مشخصی از آدرس‌های IP و یک netmask؛
    • سایت یک یا چند زیر شبکه این سایت برای پیکربندی دسترسی دایرکتوری و برای تکرار استفاده می شود.

    دایرکتوری سه نوع اطلاعات را ذخیره می کند: داده های دامنه، داده های طرحواره و داده های پیکربندی. AD فقط از کنترل کننده های دامنه استفاده می کند. داده های دامنه برای همه کنترل کننده های دامنه تکرار می شود. همه کنترل کننده های دامنه برابر هستند، به عنوان مثال. تمام تغییرات ایجاد شده از هر Domain Controller به همه Domain Controller های دیگر تکرار خواهد شد. داده های طرحواره و پیکربندی به همه دامنه های یک درخت یا جنگل تکرار می شوند. علاوه بر این، تمام اشیاء دامنه منفرد و برخی از خصوصیات شی جنگلی در کاتالوگ جهانی (GC) تکرار می شوند. این بدان معناست که کنترل‌کننده دامنه، طرح‌واره درخت یا جنگل، اطلاعات پیکربندی برای همه دامنه‌های درخت یا جنگل، و تمام اشیاء و ویژگی‌های دایرکتوری را برای دامنه خودش ذخیره و تکرار می‌کند.

    کنترل‌کننده دامنه که میزبان GC است، اطلاعات طرح‌واره را برای جنگل، اطلاعات پیکربندی برای همه دامنه‌ها در جنگل، و مجموعه‌ای از ویژگی‌های محدود برای همه اشیاء دایرکتوری در جنگل (که فقط بین سرورهای GC تکرار می‌شود) نگه می‌دارد و تکرار می‌کند. اشیاء دایرکتوری و ویژگی های دامنه شما.

    کنترل کننده های دامنه می توانند نقش های اصلی عملیات متفاوتی داشته باشند. Master Operations کارهایی را انجام می دهد که برای انجام آن ها در یک مدل تکرار چندمستری ناخوشایند است.

    پنج نقش اصلی عملیات وجود دارد که می توان آنها را به یک یا چند کنترل کننده دامنه اختصاص داد. برخی از نقش ها باید در سطح جنگل منحصر به فرد باشند، برخی دیگر در سطح دامنه.

    نقش های زیر در هر جنگل AD وجود دارد:

    • استاد طرحواره - به روز رسانی ها و تغییرات طرح دایرکتوری را مدیریت می کند. به روز رسانی طرح کاتالوگ نیاز به دسترسی به طرح اصلی دارد. برای تعیین اینکه کدام سرور در حال حاضر schema master در دامنه است، باید دستور را در پنجره خط فرمان تایپ کنید dsquery server -hasfsmo schema
    • استاد نام گذاری دامنه - افزودن و حذف دامنه ها را در جنگل مدیریت می کند. افزودن یا حذف یک دامنه مستلزم دسترسی به نام اصلی دامنه است. برای تعیین اینکه کدام سرور در حال حاضر مستر نامگذاری دامنه است، در یک پنجره خط فرمان، dsquery server -hasismo name را تایپ کنید.

    این نقش ها در کل جنگل مشترک هستند و در آن بی نظیر هستند.

    هر دامنه AD دارای نقش های زیر است:

    • استاد شناسه نسبی - شناسه های نسبی را به کنترل کننده های دامنه اختصاص می دهد. هر بار که یک کاربر، گروه یا شی کامپیوتر ایجاد می‌شود، کنترل‌کننده‌ها یک SID منحصربه‌فرد را به شی اختصاص می‌دهند که شامل یک SID دامنه و یک شناسه منحصربه‌فرد است که توسط شناسه اصلی اختصاص داده شده است. برای تعیین اینکه کدام سرور در حال حاضر مستر شناسه های دامنه نسبی است، در خط فرمان، dsquery server -hasfsmo rid را تایپ کنید.
    • شبیه ساز PDC (شبیه ساز PDC) - به عنوان یک کنترل کننده دامنه اولیه ویندوز NT در حالت دامنه مخلوط یا مرحله بندی عمل می کند. ورود به ویندوز را تأیید می کند، تغییرات رمز عبور را کنترل می کند، و در صورت وجود، به روز رسانی های BDC را تکرار می کند. برای تعیین اینکه کدام سرور در حال حاضر شبیه ساز PDC دامنه است، در خط فرمان، dsquery server -hasfsmo pdc را تایپ کنید.
    • استاد زیرساخت - ارجاعات شی را با مقایسه داده های دایرکتوری آن با داده های GC به روز می کند. اگر داده‌ها قدیمی باشند، به‌روزرسانی‌ها را از GC درخواست می‌کند و آن‌ها را به بقیه کنترل‌کننده‌های دامنه تکرار می‌کند. برای تعیین اینکه کدام سرور در حال حاضر زیرساخت اصلی دامنه است، در خط فرمان، dsquery server -hasfsmo infr را تایپ کنید.

    این نقش ها برای کل دامنه مشترک هستند و باید در آن منحصر به فرد باشند.

    نقش‌های اصلی عملیات به‌طور خودکار به اولین کنترل‌کننده در دامنه اختصاص داده می‌شوند، اما می‌توانند بعداً توسط شما دوباره تخصیص داده شوند. اگر فقط یک کنترلر در دامنه وجود داشته باشد، تمام نقش های اصلی عملیات را یکجا انجام می دهد.

    ما جدا کردن نقش‌های اصلی طرحواره و نام‌گذاری دامنه را توصیه نمی‌کنیم. در صورت امکان، آنها را به همان Domain Controller اختصاص دهید. برای بیشترین کارایی، مطلوب است که اصلی شناسه نسبی و شبیه ساز PDC نیز روی یک کنترلر قرار گیرند، اگرچه این نقش ها در صورت لزوم می توانند از هم جدا شوند. که در شبکه بزرگدر جایی که بارهای کاری سنگین عملکرد را کاهش می دهد، شناسه نسبی اصلی و شبیه ساز PDC باید روی کنترلرهای مختلف قرار گیرند. همچنین، ما میزبانی زیرساخت اصلی را بر روی یک کنترل کننده دامنه که کاتالوگ جهانی را در اختیار دارد، توصیه نمی کنیم.

    نصب یک کنترل کننده دامنه ویندوز سرور 2003 (DC) با استفاده از جادوگر نصب اکتیو دایرکتوری

    کنترل کننده دامنه با استفاده از Active Directory Installation Wizard نصب می شود. برای ارتقای یک سرور به یک کنترل کننده دامنه، باید مطمئن شوید که تمام الزامات لازم برای این کار برآورده شده است:

    1. سرور باید حداقل یک پارتیشن NTFS برای میزبانی حجم سیستم SYSVOL داشته باشد.
    2. سرور باید به سرور DNS دسترسی داشته باشد. توصیه می شود سرویس DNS را روی همان سرور نصب کنید. اگر از یک سرور مستقل استفاده می شود، باید اطمینان حاصل شود که از سوابق منبع موقعیت مکانی سرویس (RFC 2052) و پروتکل به روز رسانی پویا (RFC 2136) پشتیبانی می کند.
    3. شما باید یک حساب کاربری با حقوق مدیر محلی روی سرور داشته باشید.

    بیایید ارتقاء نقش سرور به کنترل کننده دامنه Active Directory را در مراحل با جزئیات در نظر بگیریم:

    مبانی مدیریت دامنه اکتیو دایرکتوری

    تعدادی از ابزارهای موجود در مایکروسافت مدیریت کنسول (MMC) کار با اکتیو دایرکتوری را آسان می کند.

    Snap-in (کاربران و رایانه های اکتیو دایرکتوری) یک کنسول مدیریت MMC است که می توانید از آن برای مدیریت و انتشار اطلاعات در دایرکتوری استفاده کنید. این ابزار اصلی مدیریت Active Directory است و برای انجام کلیه وظایف مربوط به کاربران، گروه ها و رایانه ها و همچنین برای مدیریت واحدهای سازمانی استفاده می شود.

    برای راه اندازی snap-in (کاربران و رایانه های اکتیو دایرکتوری)، دستوری به همین نام را از منوی ابزارهای مدیریت انتخاب کنید.

    به طور پیش فرض، کنسول Active Directory Users and Computers با دامنه ای که رایانه شما به آن تعلق دارد کار می کند. شما می توانید از طریق درخت کنسول به کامپیوتر و اشیاء کاربر در این دامنه دسترسی داشته باشید یا به دامنه دیگری متصل شوید. ابزارهای همان کنسول به شما امکان می دهد پارامترهای اضافی اشیاء را مشاهده کرده و آنها را جستجو کنید.

    پس از دسترسی به دامنه، مجموعه ای استاندارد از پوشه ها را مشاهده خواهید کرد:

    • پرس و جوهای ذخیره شده (پرس و جوهای ذخیره شده) - معیارهای جستجوی ذخیره شده که به شما امکان می دهد جستجوی انجام شده قبلی را به سرعت در Active Directory تکرار کنید.
    • ساخته شده است - لیستی از حساب های کاربری داخلی؛
    • کامپیوترها - محفظه پیش فرض برای حساب های کامپیوتری؛
    • کنترل کننده های دامنه - محفظه پیش فرض برای کنترل کننده های دامنه؛
    • مقامات خارجی امنیت - حاوی اطلاعاتی در مورد اشیاء از یک دامنه خارجی قابل اعتماد است. به طور معمول، این اشیاء زمانی ایجاد می شوند که یک شی از یک دامنه خارجی به گروه دامنه فعلی اضافه شود.
    • کاربران ظرف پیش فرض برای کاربران است.

    برخی از پوشه های کنسول به طور پیش فرض نمایش داده نمی شوند. برای نمایش آنها از منوی View (View) دستور Advanced Features را انتخاب کنید. توابع اضافی). این پوشه های اضافی عبارتند از:

    • گم شده و پیدا شد - صاحبان گمشده، اشیاء دایرکتوری؛
    • سهمیه های NTDS - داده های مربوط به سهمیه خدمات دایرکتوری؛
    • داده های برنامه – داده های ذخیره شده در سرویس دایرکتوری برنامه های مایکروسافت؛
    • سیستم - پارامترهای سیستم داخلی

    شما می توانید پوشه های مربوط به واحدهای سازمانی را خودتان به درخت AD اضافه کنید.

    نمونه ای از ایجاد حساب کاربری دامنه را در نظر بگیرید. برای ایجاد یک حساب کاربری، روی محفظه ای که می خواهید حساب کاربری را در آن قرار دهید، راست کلیک کنید، از میان آن را انتخاب کنید منوی زمینهجدید (ایجاد) و سپس - کاربر (کاربر). پنجره New Object – User Wizard باز می شود:

    1. نام، حرف اول و نام خانوادگی کاربر را در فیلدهای مربوطه وارد کنید. این اطلاعات برای ایجاد نام نمایشی کاربر مورد نیاز است.
    2. نام کامل را ویرایش کنید باید در دامنه منحصر به فرد باشد و بیش از 64 کاراکتر نباشد.
    3. نام ورود خود را وارد کنید از لیست کشویی برای انتخاب دامنه ای که حساب با آن مرتبط است استفاده کنید.
    4. در صورت لزوم، نام کاربری ورود به سیستم را برای سیستم‌هایی که دارای Windows NT 4.0 یا نسخه‌های قبلی هستند، تغییر دهید. به طور پیش فرض، 20 کاراکتر اول نام کامل کاربر به عنوان نام ورود برای سیستم هایی که نسخه های قبلی ویندوز را اجرا می کنند، استفاده می شود. این نام نیز باید در دامنه منحصر به فرد باشد.
    5. کلیک بعدی (بعدی). یک رمز عبور برای کاربر مشخص کنید. تنظیمات آن باید با خط مشی رمز عبور شما مطابقت داشته باشد.
      تأیید رمز عبور - فیلدی که برای تأیید صحت رمز عبور وارد شده استفاده می شود.
      کاربر باید گذرواژه خود را هنگام ورود بعدی تغییر دهد(لازم به تغییر رمز عبور در ورود بعدی) - اگر این کادر علامت زده شود، کاربر باید در ورود بعدی رمز عبور را تغییر دهد.
      کاربر نمی تواند رمز عبور را تغییر دهد - اگر این کادر علامت زده شود، کاربر نمی تواند رمز عبور را تغییر دهد.
      رمز عبور هرگز منقضی نمی شود - اگر این کادر علامت زده شود، رمز عبور این حساب منقضی نمی شود (این تنظیم خط مشی حساب دامنه را لغو می کند).
      حساب غیرفعال است - اگر علامت زده شود، حساب غیرفعال می شود (مفید برای جلوگیری موقت از استفاده شخصی از حساب).

    حساب‌ها به شما امکان می‌دهند اطلاعات تماس کاربر و همچنین اطلاعاتی در مورد مشارکت در گروه‌های دامنه مختلف، مسیر نمایه، اسکریپت ورود به سیستم، مسیر پوشه خانه، فهرست رایانه‌هایی که کاربر از آنها اجازه ورود به دامنه را دارد و غیره را ذخیره کنید.

    اسکریپت های لاگین دستوراتی را که در هر لاگین اجرا می شوند را تعریف می کنند. آنها به شما اجازه می دهند زمان سیستم، چاپگرهای شبکه، مسیرهای درایو شبکه و غیره را پیکربندی کنید. اسکریپت ها برای اجرای دستورات یک بار استفاده می شوند و تنظیمات محیطی که توسط اسکریپت ها تنظیم شده اند برای استفاده بعدی ذخیره نمی شوند. اسکریپت های ورود می توانند فایل های Windows Script Server با پسوندهای VBS، .JS و غیره، فایل های دسته ای با پسوند .BAT، فایل های فرمان با پسوند CMD، برنامه هایی با پسوند EXE باشند.

    می‌توانید به هر حساب، پوشه اصلی خود را برای ذخیره و بازیابی فایل‌های کاربر اختصاص دهید. اکثر برنامه‌ها به‌طور پیش‌فرض، پوشه اصلی را برای عملیات باز کردن و ذخیره فایل باز می‌کنند و یافتن داده‌های خود را برای کاربران آسان می‌کنند. در خط فرمان، پوشه خانه دایرکتوری فعلی اولیه است. پوشه خانه می تواند بر روی هارد دیسک محلی کاربر یا درایو شبکه مشترک قرار گیرد.

    خط‌مشی‌های گروه را می‌توان برای رایانه دامنه و حساب‌های کاربری اعمال کرد. Group Policy با دادن کنترل متمرکز بر امتیازات، مجوزها و قابلیت های کاربران و رایانه ها، مدیریت را ساده می کند. Group Policy به شما اجازه می دهد:

    • ایجاد مدیریت مرکزی پوشه های خاصبرای مثال My Documents (My Documents)؛
    • مدیریت دسترسی به اجزای ویندوز، منابع سیستم و شبکه، ابزارهای کنترل پنل، دسکتاپ و منوی استارت؛
    • پیکربندی اسکریپت های کاربر و کامپیوتر برای اجرای یک کار در زمان مشخص.
    • خط‌مشی‌ها را برای گذرواژه‌ها و قفل‌های حساب، حسابرسی، تخصیص حقوق کاربر و امنیت پیکربندی کنید.

    علاوه بر مدیریت حساب های کاربری و گروه ها، وظایف مدیریت دامنه بسیار دیگری نیز وجود دارد. ابزارها و برنامه های کاربردی دیگری نیز برای این کار وجود دارد.

    تقلب دامنه ها و تراست های Active Directory(Active Directory - Domains and Trusts) برای کار با دامنه ها، درختان دامنه و جنگل های دامنه استفاده می شود.

    تقلب سایت ها و خدمات اکتیو دایرکتوری(Active Directory - Sites and Services) به شما امکان مدیریت سایت ها و زیرشبکه ها و همچنین Replication بین سایتی را می دهد.

    برای مدیریت اشیاء AD، ابزارهای خط فرمان وجود دارد که به شما امکان می دهد طیف گسترده ای از وظایف اداری را انجام دهید:

    • دسد - رایانه ها، مخاطبین، گروه ها، واحدهای سازمانی و کاربران را به Active Directory اضافه می کند. برای راهنمایی، dsadd / را تایپ کنید؟ ، مانند کامپیوتر dsadd/؟
    • dsmod - ویژگی های رایانه ها، مخاطبین، گروه ها، واحدهای سازمانی، کاربران و سرورهای ثبت شده در اکتیو دایرکتوری را تغییر می دهد. برای راهنمایی، dsmod / را تایپ کنید؟ به عنوان مثال سرور dsmod /؟
    • Dsmove - یک شی واحد را به یک مکان جدید در یک دامنه منتقل می کند یا یک شی را بدون جابجایی آن تغییر نام می دهد.
    • Dsget - مشخصات رایانه ها، مخاطبین، گروه ها، واحدهای سازمانی، کاربران، سایت ها، زیر شبکه ها و سرورهای ثبت شده در اکتیو دایرکتوری را نمایش می دهد. برای راهنمایی، dsget / را تایپ کنید؟ به عنوان مثال dsget subnet /?
    • dsquery – جستجوی رایانه ها، مخاطبین، گروه ها، واحدهای سازمانی، کاربران، سایت ها، زیر شبکه ها و سرورها در اکتیو دایرکتوری بر اساس معیارهای مشخص شده.
    • Dsrm - یک شی را از اکتیو دایرکتوری حذف می کند.
    • Ntdsutil - به شما امکان می دهد اطلاعات سایت، دامنه یا سرور را مشاهده کنید، Masters Operations را مدیریت کنید و پایگاه داده Active Directory را نگهداری کنید.

    ابزارهای پشتیبانی Active Directory نیز وجود دارد:

    • ldp - عملیات را در Active Directory Administration با استفاده از پروتکل LDAP انجام می دهد.
    • Replmon – تکرار را مدیریت می کند و نتایج آن را در یک رابط گرافیکی نمایش می دهد.
    • Dsacls – ACL ها (لیست های کنترل دسترسی) را برای اشیاء اکتیو دایرکتوری مدیریت می کند.
    • دفسوتیل - یک سیستم فایل توزیع شده را مدیریت می کند (Distributed سیستم فایل، DFS) و اطلاعات مربوط به عملکرد آن را نمایش می دهد.
    • dnscmd - ویژگی های سرورها، مناطق و سوابق منابع DNS را مدیریت می کند.
    • Movetree - اشیاء را از یک دامنه به دامنه دیگر منتقل می کند.
    • Repadmin – تکرار را مدیریت می کند و نتایج آن را در یک پنجره خط فرمان نمایش می دهد.
    • Sdcbeck - توزیع، تکثیر و وراثت لیست های کنترل دسترسی را تجزیه و تحلیل می کند.
    • پیاده رو - لیست های کنترل دسترسی را برای اشیایی که قبلاً متعلق به حساب های منتقل شده، حذف شده یا یتیم بودند، مشخص می کند.
    • شبکه - به شما امکان می دهد دامنه ها و روابط اعتماد را از خط فرمان مدیریت کنید.

    همانطور که از این مقاله مشاهده می‌شود، ترکیب گروه‌هایی از رایانه‌ها در دامنه‌های مبتنی بر Active Directory به شما این امکان را می‌دهد تا با متمرکز کردن مدیریت حساب‌های دامنه برای رایانه‌ها و کاربران، هزینه‌های وظایف اداری را به میزان قابل توجهی کاهش دهید و همچنین به شما امکان می‌دهد تا به طور انعطاف‌پذیر حقوق کاربر را مدیریت کنید. امنیت و انبوهی از پارامترهای دیگر. مطالب دقیق تر در مورد سازماندهی دامنه ها را می توان در ادبیات مربوطه یافت.

    حاشیه نویسی: این سخنرانی مفاهیم اساسی خدمات دایرکتوری اکتیو دایرکتوری را شرح می دهد. مثال های عملی از مدیریت امنیت شبکه آورده شده است. مکانیسم سیاست های گروه تشریح شده است. بینشی در مورد وظایف ارائه می دهد مدیر شبکههنگام مدیریت زیرساخت خدمات دایرکتوری

    شبکه های مدرن اغلب از پلتفرم های نرم افزاری مختلف، سخت افزار و نرم افزار بسیار متنوعی تشکیل شده اند. کاربران اغلب مجبور می شوند تعداد زیادی رمز عبور را برای دسترسی به منابع مختلف شبکه به خاطر بسپارند. حقوق دسترسی می تواند برای همان کارمند بسته به منابعی که با آنها کار می کند متفاوت باشد. همه این مجموعه روابط متقابل از مدیر و کاربر زمان زیادی برای تجزیه و تحلیل، به خاطر سپردن و یادگیری نیاز دارد.

    راه حل مشکل مدیریت چنین شبکه ناهمگن با توسعه سرویس دایرکتوری پیدا شد. Directory Services توانایی مدیریت هر منبع یا سرویس را از هر نقطه، بدون در نظر گرفتن اندازه شبکه، سیستم عامل یا پیچیدگی سخت افزار فراهم می کند. اطلاعات مربوط به کاربر یک بار در سرویس دایرکتوری وارد می شود و پس از آن در کل شبکه در دسترس قرار می گیرد. آدرس ها پست الکترونیک، عضویت در گروه ها، حقوق دسترسی و حساب های لازم برای کار با سیستم عامل های مختلف - همه اینها به طور خودکار ایجاد و به روز می شوند. هر تغییری که توسط یک مدیر در سرویس دایرکتوری ایجاد شود بلافاصله در سراسر شبکه به روز می شود. مدیران دیگر نیازی به نگرانی در مورد کارکنان اخراج شده ندارند - با حذف یک حساب کاربری ساده از سرویس دایرکتوری، آنها می توانند تضمین کنند. حذف خودکارکلیه حقوق دسترسی به منابع شبکه که قبلاً به این کارمند داده شده است.

    در حال حاضر اکثر خدمات دایرکتوری شرکت های مختلف بر اساس استاندارد است X.500. برای دسترسی به اطلاعات ذخیره شده در خدمات دایرکتوری، معمولاً از یک پروتکل استفاده می شود. (LDAP). در ارتباط با توسعه سریعشبکه های TCP/IP، LDAP در حال تبدیل شدن به استانداردی برای خدمات دایرکتوری و برنامه های کاربردی دایرکتوری است.

    خدمات دایرکتوری Active Directory اساس ساختار منطقی شبکه های شرکتی مبتنی بر سیستم ویندوز است. عبارت " کاتالوگ"به معنای وسیع به معنای" فهرست راهنما"، آ خدمات دایرکتوریشبکه شرکتی یک فهرست شرکتی متمرکز است. دایرکتوری شرکت می تواند حاوی اطلاعاتی در مورد اشیاء از انواع مختلف باشد. خدمات دایرکتوریاکتیو دایرکتوری در درجه اول شامل اشیایی است که سیستم امنیتی بر اساس آن ها است شبکه های ویندوز، - حساب های کاربر، گروه و رایانه. حساب ها در ساختارهای منطقی سازماندهی می شوند: دامنه، درخت، جنگل، واحدهای سازمانی.

    از دیدگاه مطالعه مطالب درس «شبکه مدیریتکاملاً امکان گذراندن آموزش به صورت زیر وجود دارد: ابتدا قسمت اول این بخش (از مفاهیم اولیه تا نصب کنترلرهای دامنه) را مطالعه کنید، سپس به «سرویس فایل و چاپ» بروید و پس از مطالعه «سرویس فایل و چاپ» بروید. برای یادگیری مفاهیم پیشرفته تر خدمات دایرکتوری، به "دایرکتوری خدمات اکتیو دایرکتوری" بازگردید.

    6.1 اصطلاحات و مفاهیم اساسی (جنگل، درخت، دامنه، واحد سازمانی). برنامه ریزی برای فضای نام AD نصب کنترلرهای دامنه

    مدل های مدیریت امنیت: مدل گروه کاری و مدل دامنه متمرکز

    همانطور که در بالا ذکر شد، هدف اصلی خدمات دایرکتوری مدیریت امنیت شبکه است. اساس امنیت شبکه پایگاه داده ای از حساب ها (حساب ها) کاربران، گروه های کاربران و رایانه ها است که با کمک آن دسترسی به منابع شبکه کنترل می شود. قبل از اینکه در مورد سرویس دایرکتوری اکتیو دایرکتوری صحبت کنیم، اجازه دهید این دو مدل را برای ساخت پایگاه داده خدمات دایرکتوری و مدیریت دسترسی به منابع با هم مقایسه کنیم.

    مدل "گروه کاری"

    این مدل مدیریت امنیت شبکه شرکتی ابتدایی ترین است. این برای استفاده در کوچک طراحی شده است شبکه های همتا به همتا(3–10 کامپیوتر) و بر این اساس است که هر کامپیوتر در شبکه با سیستم عامل های Windows NT/2000/XP/2003 دارای پایگاه داده محلی حساب های خود است و این پایگاه داده محلی دسترسی به منابع این کامپیوتر را کنترل می کند. پایگاه داده محلی حساب ها پایگاه داده نامیده می شود سام (مدیر حساب امنیتی) و در رجیستری سیستم عامل ذخیره می شود. پایگاه داده های رایانه های فردی کاملاً از یکدیگر جدا شده اند و به هیچ وجه به هم متصل نیستند.

    نمونه ای از کنترل دسترسی با استفاده از چنین مدلی در شکل 1 نشان داده شده است. 6.1.


    برنج. 6.1.

    که در این مثالدو سرور (SRV-1 و SRV-2) و دو ایستگاه کاری (WS-1 و WS-2) نشان داده شده است. پایگاه داده های SAM آنها به ترتیب SAM-1، SAM-2، SAM-3 و SAM-4 برچسب گذاری شده اند (پایگاه های داده SAM به صورت بیضی در شکل نشان داده شده اند). هر پایگاه داده دارای حساب های کاربری User1 و User2 است. نام کاربری کامل User1 در سرور SRV-1 مانند "SRV-1\User1" و نام کامل User1 در ایستگاه کاری WS-1 مانند "WS-1\User1" خواهد بود. بیایید تصور کنیم که یک پوشه Folder در سرور SRV-1 ایجاد می شود، که دسترسی به آن از طریق شبکه به کاربران User1 - برای خواندن (R)، User2 - برای خواندن و نوشتن (RW) داده می شود. نکته اصلی در این مدل این است که رایانه SRV-1 چیزی در مورد حساب های رایانه های SRV-2، WS-1، WS-2 و همچنین سایر رایانه های موجود در شبکه نمی داند. اگر کاربری به نام User1 به صورت محلی در رایانه ای مانند WS-2 وارد شود (یا، همانطور که می گویند، "ورود با نام محلی User1 در رایانه WS-2")، اگر این رایانه سعی کند از طریق شبکه به پوشه Folder در سرور SRV-1 دسترسی پیدا کند، سرور از کاربر یک نام و رمز عبور می خواهد (مگر اینکه کاربرانی با همان نام یک نام داشته باشند. رمزهای عبور).

    یادگیری مدل کارگروه آسان‌تر است، نیازی به یادگیری نیست مفاهیم پیچیدهدایرکتوری فعال اما هنگامی که در شبکه ای با تعداد زیادی کامپیوتر و منابع شبکه استفاده می شود، مدیریت نام کاربری و رمز عبور آنها بسیار دشوار می شود - باید به صورت دستی حساب های مشابه با رمزهای عبور یکسان در هر رایانه ایجاد کنید (که منابع خود را برای اشتراک گذاری در شبکه)، که بسیار پر زحمت است، یا ایجاد یک حساب کاربری برای همه کاربران با یک رمز عبور برای همه (یا اصلاً بدون رمز عبور)، که سطح حفاظت از اطلاعات را تا حد زیادی کاهش می دهد. بنابراین، مدل "گروه کاری" فقط برای شبکه هایی با 3 تا 10 کامپیوتر (و حتی بهتر - نه بیشتر از 5) توصیه می شود، مشروط بر اینکه در بین همه رایانه ها یکی با سیستم ویندوز سرور وجود نداشته باشد.

    مدل دامنه

    در مدل دامنه، یک پایگاه داده خدمات دایرکتوری واحد وجود دارد که برای همه رایانه های موجود در شبکه در دسترس است. برای این کار سرورهای تخصصی روی شبکه نصب می شوند که به آنها گفته می شود کنترل کننده های دامنهکه روی آنها ذخیره می شود دیسکهای سختاین پایگاه روی انجیر 6.2. نمودار مدل دامنه نشان داده شده است. سرورهای DC-1 و DC-2 کنترل‌کننده‌های دامنه هستند، آنها پایگاه داده دامنه حساب‌ها را ذخیره می‌کنند (هر کنترل‌کننده نسخه‌ای از پایگاه داده خود را نگه می‌دارد، اما تمام تغییرات ایجاد شده در پایگاه داده در یکی از سرورها به کنترل‌کننده‌های دیگر تکرار می‌شود).


    برنج. 6.2.

    در چنین مدلی، اگر مثلاً در سرور SRV-1 که عضوی از دامنه است، دسترسی عمومیبه پوشه Folder، سپس حقوق دسترسی به این منبع را می توان نه تنها به حساب های پایگاه داده محلی SAM این سرور، بلکه مهمتر از همه، به حساب های ذخیره شده در پایگاه داده دامنه اختصاص داد. در تصویر برای دسترسی به پوشه پوشه داده شدحقوق دسترسی به یک حساب محلی رایانه SRV-1 و چندین حساب دامنه (کاربر و گروه کاربر). در مدل مدیریت امنیت دامنه، کاربر با رایانه خود وارد رایانه می‌شود («ورود به سیستم»). حساب دامنهو صرف نظر از رایانه ای که ثبت نام روی آن انجام شده است، به منابع شبکه لازم دسترسی پیدا می کند. و نیازی به ایجاد تعداد زیادی حساب محلی در هر رایانه نیست، همه ورودی ها ایجاد می شوند یک بار در پایگاه داده دامنه. و با کمک یک پایگاه داده دامنه انجام می شود کنترل دسترسی متمرکزبه منابع شبکه صرف نظر از تعداد کامپیوترهای موجود در شبکه.

    هدف از سرویس دایرکتوری اکتیو دایرکتوری

    دایرکتوری (دایرکتوری) می تواند ذخیره کند اطلاعات مختلفمربوط به کاربران، گروه‌ها، رایانه‌ها، چاپگرهای شبکه، اشتراک‌گذاری فایل و غیره - همه این اشیاء را فراخوانی می‌کنیم. دایرکتوری همچنین اطلاعات مربوط به خود شی یا ویژگی های آن را که ویژگی نامیده می شود ذخیره می کند. به عنوان مثال، ویژگی های ذخیره شده در فهرست مربوط به یک کاربر می تواند نام مدیر، شماره تلفن، آدرس، نام ورود، رمز عبور، گروه هایی که به آنها تعلق دارند و موارد دیگر باشد. برای اینکه ذخیره کاتالوگ برای کاربران مفید باشد، باید سرویس هایی وجود داشته باشد که با کاتالوگ تعامل داشته باشند. برای مثال، می‌توانید از دایرکتوری به‌عنوان مخزن اطلاعاتی استفاده کنید که در مقابل آن کاربر را احراز هویت کنید، یا به‌عنوان مکانی برای ارسال پرس و جو برای یافتن اطلاعات درباره یک شی استفاده کنید.

    اکتیو دایرکتوری نه تنها مسئول ایجاد و سازماندهی این اشیاء کوچک است، بلکه مسئولیت اشیاء بزرگ مانند دامنه ها، OU (واحدهای سازمانی) و سایت ها را نیز بر عهده دارد.

    اصطلاحات اساسی مورد استفاده در زمینه سرویس دایرکتوری Active Directory را در زیر بخوانید.

    خدمات دایرکتوریاکتیو دایرکتوری (به اختصار AD) با ارائه ویژگی های زیر، عملکرد کارآمد یک محیط شرکتی پیچیده را امکان پذیر می کند:

    • ورود به صورت آنلاین; کاربران می توانند با یک نام کاربری و رمز عبور وارد شبکه شوند و همچنان به تمام منابع و خدمات شبکه (خدمات زیرساخت شبکه، خدمات فایل و چاپ، سرورهای برنامه و پایگاه داده و غیره) دسترسی داشته باشند.
    • امنیت اطلاعات. کنترل‌های احراز هویت و دسترسی به منابع که در Active Directory تعبیه شده‌اند، امنیت شبکه متمرکز را فراهم می‌کنند.
    • مدیریت متمرکز. مدیران می توانند به طور متمرکز تمام منابع شرکت را مدیریت کنند.
    • مدیریت با استفاده از Group Policy. هنگامی که یک کامپیوتر بوت می شود یا یک کاربر به سیستم وارد می شود، الزامات خط مشی های گروه برآورده می شود. تنظیمات آنها در آن ذخیره می شود اشیاء خط مشی گروه( GPO ) و برای همه حساب های کاربری و رایانه واقع در سایت ها، دامنه ها یا واحدهای سازمانی اعمال می شود.
    • ادغام DNS. عملکرد خدمات دایرکتوری کاملاً به عملکرد سرویس DNS بستگی دارد. به نوبه خود، سرورهای DNS می توانند اطلاعات مربوط به مناطق را در پایگاه داده Active Directory ذخیره کنند.
    • توسعه پذیری دایرکتوری. مدیران می توانند کلاس های شی جدید را به طرح کاتالوگ اضافه کنند یا ویژگی های جدیدی را به کلاس های موجود اضافه کنند.
    • مقیاس پذیری. سرویس اکتیو دایرکتوری می تواند هم یک دامنه و هم بسیاری از دامنه ها را که در درختی از دامنه ها ترکیب شده اند، پوشش دهد و یک جنگل را می توان از چندین درخت دامنه ایجاد کرد.
    • تکثیر اطلاعات. اکتیو دایرکتوری از تکثیر سربار در یک طرح چندمستر ( چند استاد) که به شما امکان می دهد پایگاه داده اکتیو دایرکتوری را در هر کنترل کننده دامنه تغییر دهید. وجود چندین کنترلر در دامنه، تحمل خطا و توانایی توزیع بار شبکه را فراهم می کند.
    • انعطاف پذیری پرس و جوهای دایرکتوری. یک پایگاه داده اکتیو دایرکتوری می تواند برای جستجوی سریع هر شی AD با استفاده از ویژگی های آن (به عنوان مثال، نام کاربری یا آدرس ایمیل، نوع چاپگر یا مکان، و غیره) استفاده شود.
    • رابط های برنامه نویسی استاندارد. برای توسعه دهندگان نرم افزار، سرویس دایرکتوری دسترسی به تمام ویژگی ها (ابزار) دایرکتوری را فراهم می کند و از استانداردهای پذیرفته شده و رابط های برنامه نویسی (API) پشتیبانی می کند.

    طیف گسترده ای از اشیاء مختلف را می توان در اکتیو دایرکتوری ایجاد کرد. یک شی یک موجودیت منحصر به فرد در یک کاتالوگ است و معمولاً دارای ویژگی های زیادی است که به توصیف و تشخیص آن کمک می کند. حساب کاربری نمونه ای از یک شی است. این نوع شی می تواند دارای ویژگی های بسیاری مانند نام، نام خانوادگی، رمز عبور، شماره تلفن، آدرس و بسیاری موارد دیگر باشد. به همین ترتیب چاپگر مشترکهمچنین می تواند یک شی در اکتیو دایرکتوری باشد و ویژگی های آن نام، مکان و غیره است. ویژگی های شی نه تنها به شناسایی یک شی کمک می کند، بلکه به شما امکان می دهد اشیاء را در دایرکتوری جستجو کنید.

    واژه شناسی

    خدمات دایرکتوریویندوز سرور بر اساس استانداردهای فناوری پذیرفته شده ساخته شده است. استاندارد اولیه برای خدمات دایرکتوری بود X.500، که برای ساخت دایرکتوری های مقیاس پذیر درخت مانند سلسله مراتبی با توانایی گسترش کلاس های شی و مجموعه ای از ویژگی ها (ویژگی ها) هر کلاس جداگانه در نظر گرفته شده بود. با این حال، اجرای عملی این استاندارد از نظر عملکرد ناکارآمد است. سپس، بر اساس استاندارد X.500، یک نسخه ساده شده (سبک) از استاندارد ساخت دایرکتوری به نام LDAP (پروتکل دسترسی به دایرکتوری سبک وزن). پروتکل LDAP تمام خصوصیات اساسی X.500 (سیستم ساخت دایرکتوری سلسله مراتبی، مقیاس پذیریتوسعه پذیری)، اما در عین حال به شما این امکان را می دهد که به طور مؤثر این استاندارد را در عمل پیاده سازی کنید. عبارت " سبک وزن " (" سبک وزن") به نام LDAP هدف اصلی توسعه پروتکل را منعکس می کند: ایجاد یک جعبه ابزار برای ساخت یک سرویس دایرکتوری که دارای قدرت عملکردی کافی برای حل وظایف اساسی است، اما با فناوری های پیچیده ای که اجرای خدمات دایرکتوری را ناکارآمد می کند، بارگذاری نمی شود. در حال حاضر LDAP روش استاندارد برای دسترسی به دایرکتوری های آنلاین اطلاعات است و نقش اساسی در انواع محصولات مانند سیستم های احراز هویت، برنامه های ایمیل و برنامه های کاربردی تجارت الکترونیک. امروزه بیش از 60 سرور LDAP تجاری در بازار وجود دارد که حدود 90 درصد آنها سرورهای دایرکتوری LDAP مستقل هستند و بقیه به عنوان اجزای برنامه های کاربردی دیگر ارائه می شوند.

    پروتکل LDAP به وضوح محدوده عملیات دایرکتوری را تعریف می کند برنامه مشتری. این عملیات به پنج گروه تقسیم می شوند:

    • ایجاد ارتباط با دایرکتوری؛
    • جستجوی اطلاعات در آن؛
    • اصلاح محتوای آن؛
    • اضافه کردن یک شی؛
    • حذف یک شی

    غیر از LDAP خدمات دایرکتوریاکتیو دایرکتوری همچنین از پروتکل احراز هویت استفاده می کند کربروسو یک سرویس DNS برای جستجوی شبکه اجزای خدمات دایرکتوری (کنترل کننده های دامنه، سرورهای کاتالوگ جهانی، سرویس Kerberos و غیره).

    دامنه

    واحد اصلی سیستم امنیتی Active Directory است دامنه. دامنه حوزه مسئولیت اداری را تشکیل می دهد. پایگاه داده دامنه شامل حساب‌ها است کاربران, گروه هاو کامپیوترها. اکثر توابع مدیریت خدمات دایرکتوری در سطح دامنه کار می کنند (تأیید هویت کاربر، کنترل دسترسی به منابع، کنترل سرویس، کنترل تکرار، سیاست های امنیتی).

    نام دامنه اکتیو دایرکتوری از همان الگوی نام در فضای نام DNS پیروی می کند. و این تصادفی نیست. سرویس DNS وسیله ای برای یافتن اجزای دامنه - در درجه اول کنترل کننده های دامنه است.

    کنترل کننده های دامنه- سرورهای ویژه ای که بخشی از پایگاه داده اکتیو دایرکتوری مربوط به این دامنه را ذخیره می کنند. وظایف اصلی کنترل کننده های دامنه:

    • ذخیره سازی پایگاه داده Active Directory(سازمان دسترسی به اطلاعات موجود در کاتالوگ، از جمله مدیریت این اطلاعات و اصلاح آن)؛
    • همگام سازی تغییرات در AD(تغییر در پایگاه داده AD را می توان در هر یک از کنترل کننده های دامنه ایجاد کرد، هر تغییری که در یکی از کنترل کننده ها ایجاد شود با کپی های ذخیره شده در کنترل کننده های دیگر همگام سازی می شود).
    • احراز هویت کاربر(هر یک از کنترل‌کننده‌های دامنه، اعتبار کاربرانی را که وارد سیستم‌های کلاینت می‌شوند بررسی می‌کند).

    توصیه می شود حداقل دو دامین کنترلر در هر دامنه نصب کنید - اولاً برای محافظت در برابر از بین رفتن پایگاه داده اکتیو دایرکتوری در صورت خرابی کنترلر و دوم اینکه بار را بین controllers.it.company.ru توزیع کنید. دارای یک زیر دامنه dev.it.company.ru است که برای بخش توسعه نرم افزار سرویس فناوری اطلاعات ایجاد شده است.

    • غیرمتمرکز کردن مدیریت خدمات دایرکتوری (مثلاً در مواردی که یک شرکت شعبه هایی دارد که از نظر جغرافیایی از یکدیگر دور هستند و مدیریت متمرکز به دلایل فنی دشوار است).
    • برای بهبود عملکرد (برای شرکت‌هایی که تعداد کاربران و سرورهای زیادی دارند، موضوع افزایش عملکرد کنترل‌کننده‌های دامنه مرتبط است).
    • برای مدیریت کارآمدتر تکرار (اگر کنترل‌کننده‌های دامنه از هم دور باشند، ممکن است تکرار در یکی بیشتر طول بکشد و با استفاده از داده‌های همگام‌نشده مشکلاتی ایجاد کند).
      • دامنه ریشه جنگل ( دامنه ریشه جنگل)، این دامنه را نمی توان حذف کرد (اطلاعات مربوط به پیکربندی جنگل و درختان دامنه تشکیل دهنده آن را ذخیره می کند).

    واحدهای سازمانی (OD).

    واحدهای سازمانی (واحدهای سازمانی, شما) - کانتینرهایی در AD که برای گروه بندی اشیاء با هم برای اهداف ایجاد می شوند تفویض حقوق اداریو اعمال سیاست های گروهدر دامنه OP وجود دارد فقط در دامنه هاو می تواند ترکیب شود فقط اشیاء از دامنه خود. OP ها را می توان درون یکدیگر تودرتو کرد، که امکان ایجاد یک سلسله مراتب پیچیده درخت مانند از کانتینرها در یک دامنه و اعمال کنترل اداری انعطاف پذیرتر را فراهم می کند. علاوه بر این، OPها می توانند برای منعکس کننده سلسله مراتب اداری و ساختار سازمانی یک شرکت ایجاد شوند.

    فهرست جهانی

    فهرست جهانییک لیست است همه اشیاءکه در جنگل Active Directory وجود دارد. به طور پیش فرض، کنترل کننده های دامنه فقط حاوی اطلاعاتی در مورد اشیاء در دامنه خود هستند. سرور جهانی کاتالوگیک کنترل کننده دامنه است که اطلاعات مربوط به هر شی (البته نه همه ویژگی های آن اشیاء) را در جنگل نگه می دارد.

    مدتهاست که در دسته اصول محافظه کارانه ساخت منطقی زیرساخت شبکه قرار گرفته است. اما بسیاری از مدیران همچنان از گروه های کاری و دامنه های ویندوز NT در کار خود استفاده می کنند. معرفی یک سرویس دایرکتوری برای مدیران مبتدی و مجرب برای متمرکز کردن مدیریت شبکه و اطمینان از سطح مناسب امنیت جالب و مفید خواهد بود.

    Active Directory، فناوری که شش سال پیش در خط سیستم‌های Win2K ظاهر شد، می‌توان آن را انقلابی توصیف کرد. از نظر انعطاف‌پذیری و مقیاس‌پذیری، از دامنه‌های NT 4 با یک مرتبه بزرگی بهتر عمل می‌کند، به غیر از شبکه‌های گروه کاری.

    آنها بر اساس دامنه آنها طبقه بندی می شوند:

    • گروه‌های جهانی می‌توانند شامل کاربران داخل جنگل، و همچنین سایر گروه‌های جهانی یا گروه‌های جهانی از هر دامنه در جنگل باشند.
    • گروه های جهانی دامنه می توانند شامل کاربران دامنه و سایر گروه های جهانی در همان دامنه باشند.
    • گروه‌های محلی دامنه برای تمایز حقوق دسترسی استفاده می‌شوند، می‌توانند شامل کاربران دامنه، و همچنین گروه‌های جهانی و گروه‌های جهانی هر دامنه در جنگل باشند.
    • گروه های کامپیوتری محلی - گروه هایی که توسط SAM (مدیر حساب امنیتی) ماشین محلی موجود است. دامنه آنها فقط به این دستگاه محدود می شود، اما آنها می توانند شامل گروه های محلی دامنه ای که رایانه در آن قرار دارد، و همچنین گروه های جهانی و جهانی دامنه خودشان یا دامنه دیگری که به آن اعتماد دارند، باشد. به عنوان مثال، می توانید یک کاربر از گروه محلی دامنه Users را وارد گروه Administrators ماشین محلی کنید و از این طریق به او حقوق مدیریت بدهید، اما فقط برای این رایانه.

    سایت های

    این راهی برای جداسازی فیزیکی سرویس دایرکتوری است. طبق تعریف، سایت مجموعه ای از رایانه ها است که با پیوندهای داده سریع به هم متصل شده اند.

    به عنوان مثال، اگر چندین شعبه در نقاط مختلف کشور دارید که با خطوط ارتباطی کم سرعت به هم متصل شده اند، می توانید وب سایت خود را برای هر شعبه ایجاد کنید. این کار برای بهبود قابلیت اطمینان تکرار دایرکتوری انجام می شود.

    چنین پارتیشنی از AD بر اصول ساخت منطقی تأثیر نمی گذارد، بنابراین، همانطور که یک سایت می تواند چندین دامنه داشته باشد و بالعکس، یک دامنه می تواند چندین سایت داشته باشد. اما این توپولوژی سرویس دایرکتوری مملو از مشکلاتی است. به عنوان یک قاعده، از اینترنت برای برقراری ارتباط با شعب استفاده می شود - یک محیط بسیار ناامن. بسیاری از شرکت ها از تدابیر امنیتی مانند فایروال استفاده می کنند. سرویس دایرکتوری در کار خود از حدود یک و نیم دوجین پورت و سرویس استفاده می کند که بازکردن آن ها برای عبور ترافیک AD از فایروال در واقع آن را "خارج" نشان می دهد. راه حل مشکل استفاده از فناوری تونل سازی و همچنین وجود یک کنترل کننده دامنه در هر سایت برای سرعت بخشیدن به پردازش درخواست های مشتریان AD است.

    نهاد خدمات دایرکتوری

    برای فراهم کردن سطحی از امنیت، هر سیستم عاملی باید فایل های حاوی پایگاه داده کاربر را داشته باشد. نسخه های اولیه ویندوز NT از یک فایل SAM (Security Accounts Manager) برای این کار استفاده می کردند. حاوی اطلاعات کاربری کاربر و رمزگذاری شده بود. امروزه از SAM در سیستم عامل های خانواده NT 5 (ویندوز 2000 و بالاتر) نیز استفاده می شود.

    هنگامی که یک سرور عضو را با استفاده از دستور DCPROMO (که در واقع جادوگر نصب خدمات دایرکتوری را راه اندازی می کند) به یک کنترل کننده دامنه ارتقا می دهید، زیرسیستم امنیتی Windows Server 2000/2003 شروع به استفاده از پایگاه داده متمرکز AD می کند. این را می توان به راحتی بررسی کرد - پس از ایجاد دامنه، سعی کنید برنامه مدیریت کامپیوتر را روی کنترلر باز کنید و "کاربران و گروه های محلی" را در آنجا پیدا کنید. علاوه بر این، سعی کنید با یک حساب محلی وارد این سرور شوید. بعید است موفق شوید.

    بیشتر داده‌های کاربر در فایل NTDS.DIT ​​(درخت اطلاعات فهرست) ذخیره می‌شوند. NTDS.DIT ​​یک پایگاه داده اصلاح شده است. با استفاده از فناوری مشابه پایگاه داده ایجاد شده است دسترسی مایکروسافت. الگوریتم‌های عملکرد کنترل‌کننده‌های دامنه شامل یک نوع موتور JET پایگاه داده Access است که ESE (موتور ذخیره‌سازی توسعه‌یافته - موتور ذخیره‌سازی توسعه‌پذیر) نامیده می‌شود. NTDS.DIT ​​و سرویس هایی که تعامل با این فایل را فراهم می کنند، در واقع سرویس دایرکتوری هستند.

    ساختار تعامل بین کلاینت های AD و ذخیره اصلی داده، مشابه فضای نام سرویس دایرکتوری، در مقاله ارائه شده است. به منظور کامل بودن، استفاده از شناسه های سراسری ذکر شود. شناسه منحصر به فرد جهانی (GUID) یک عدد 128 بیتی است که برای اطمینان از منحصر به فرد بودن هر شیء ایجاد می شود. نام شیء AD را می توان تغییر داد، اما GUID بدون تغییر باقی می ماند.

    فهرست جهانی

    مطمئناً قبلاً متوجه شده اید که ساختار AD می تواند کاملاً پیچیده باشد و تعداد زیادی اشیاء را شامل شود. ارزش فقط این واقعیت است که یک دامنه AD می تواند تا 1.5 میلیون شی را شامل شود. با این حال، این می تواند باعث مشکلات عملکرد هنگام انجام عملیات شود. این مشکل با استفاده از کاتالوگ جهانی ( , ) حل می شود. این شامل یک نسخه کاهش یافته از کل جنگل AD است که به سرعت بخشیدن به جستجوی اشیا کمک می کند. کاتالوگ جهانی می تواند متعلق به کنترل کننده های دامنه تعیین شده باشد.

    نقش ها

    در AD، لیست خاصی از عملیات وجود دارد که می توان آنها را تنها به یک کنترلر اختصاص داد. به آنها نقش می گویند. FSMO (عملیات تک استاد انعطاف پذیر). در کل 5 نقش FSMO در AD وجود دارد. بیایید آنها را با جزئیات بیشتری در نظر بگیریم.

    در داخل جنگل، باید تضمینی وجود داشته باشد که نام دامنه ها زمانی که یک دامنه جدید به جنگل دامنه اضافه می شود منحصر به فرد هستند. چنین تضمینی توسط مجری نقش مالک عملیات نامگذاری دامنه ارائه می شود ( استاد نامگذاری دامنه) مجری نقش مالک طرحواره ( استاد طرحواره) همه تغییرات را در طرح دایرکتوری انجام می دهد. نقش مالک نام دامنه و مالک طرحواره باید در جنگل دامنه منحصر به فرد باشد.

    همانطور که گفتم، هنگامی که یک شی ایجاد می شود، یک شناسه جهانی به آن اختصاص داده می شود که منحصر به فرد بودن آن را تضمین می کند. به همین دلیل است که کنترل کننده مسئول تولید GUID و عمل به عنوان مالک شناسه های نسبی ( شناسه نسبی استاد)، باید تنها در دامنه باشد.

    برخلاف دامنه های NT، AD مفهوم PDC و BDC (کنترل کننده های دامنه اولیه و پشتیبان) را ندارد. یکی از نقش های FSMO این است شبیه ساز PDC(شبیه ساز کنترل کننده دامنه اولیه). سروری که Windows NT Server را اجرا می کند می تواند به عنوان یک کنترل کننده دامنه پشتیبان در AD عمل کند. اما مشخص است که تنها یک کنترل کننده اولیه در دامنه های NT قابل استفاده است. به همین دلیل است که مایکروسافت آن را طوری ساخته است که در یک دامنه AD ما می توانیم یک سرور واحد - حامل نقش PDC Emulator - اختصاص دهیم. بنابراین، با خروج از اصطلاحات، می‌توان در مورد حضور کنترل‌کننده‌های دامنه اصلی و پشتیبان، یعنی دارنده نقش FSMO صحبت کرد.

    هنگام حذف و جابجایی اشیا، یکی از کنترلرها باید یک مرجع به این شیء را تا زمانی که تکثیر به طور کامل تکمیل شود، حفظ کند. این نقش توسط مالک زیرساخت دایرکتوری ( استاد زیرساخت).

    سه نقش آخر نیازمند منحصر به فرد بودن اجراکننده در حوزه است. همه نقش ها به اولین کنترل کننده ایجاد شده در جنگل اختصاص داده می شود. هنگام ایجاد یک زیرساخت AD شاخه ای، می توانید این نقش ها را به کنترلرهای دیگر منتقل کنید. همچنین ممکن است شرایطی وجود داشته باشد که صاحب یکی از نقش‌ها در دسترس نباشد (سرور از کار افتاده است). در این حالت، باید عملیات ضبط نقش FSMO را با استفاده از ابزار کاربردی انجام دهید NTDSUTIL(در مقاله های بعدی در مورد کاربرد آن صحبت خواهیم کرد). اما باید مراقب باشید، زیرا هنگام ضبط یک نقش، سرویس دایرکتوری فرض می‌کند که مالک قبلی وجود ندارد و اصلاً به آن دسترسی ندارد. بازگشت به شبکه مجری نقش سابق می تواند منجر به اختلال در عملکرد آن شود. این امر به ویژه برای مالک طرحواره، مالک نام دامنه و مالک هویت بسیار مهم است.

    از نظر عملکرد، نقش شبیه‌ساز کنترل‌کننده دامنه اولیه بیشترین نیاز را بر روی منابع رایانه دارد، بنابراین می‌توان آن را به کنترل‌کننده دیگری اختصاص داد. بقیه نقش ها چندان سخت نیستند، بنابراین وقتی آنها را توزیع می کنید، می توانید با تفاوت های ظریف ساختار منطقی طرحواره AD خود هدایت شوید.
    آخرین مرحله نظریه پرداز

    خواندن مقاله به هیچ وجه نباید شما را از نظریه پردازان به عمل ببرد. زیرا تا زمانی که تمام فاکتورها از مکان فیزیکی هاست گرفته تا ساخت منطقی کل دایرکتوری را در نظر نگیرید، نباید دست به کار شوید و دامنه ای با پاسخ های ساده به سوالات جادوگر راه اندازی AD بسازید. . به این فکر کنید که دامنه شما چه نامی خواهد داشت و اگر می خواهید فرزندانی برای آن ایجاد کنید، چگونه نامگذاری می شوند. اگر چندین بخش در شبکه وجود دارد که توسط کانال های ارتباطی نامعتبر به هم متصل شده اند، از سایت ها استفاده کنید.

    به عنوان راهنمای نصب AD، می توانم به شما توصیه کنم از مقالات و همچنین پایگاه دانش مایکروسافت استفاده کنید.


    در نهایت چند نکته:

    • سعی کنید تا حد امکان نقش های PDC Emulator و Proxy Server را در یک دستگاه ترکیب نکنید. اولاً، با تعداد زیادی ماشین در شبکه و کاربران اینترنت، بار روی سرور افزایش می یابد و ثانیاً با حمله موفقیت آمیز به پروکسی شما، نه تنها اینترنت، بلکه کنترل کننده دامنه اصلی نیز سقوط می کند. این مملو از عملکرد نادرست کل شبکه است.
    • اگر دائماً یک شبکه محلی را مدیریت می‌کنید و قصد ندارید اکتیو دایرکتوری را برای مشتریان پیاده‌سازی کنید، ماشین‌ها را به تدریج به دامنه اضافه کنید، مثلاً چهار یا پنج در روز. زیرا اگر تعداد زیادی ماشین در شبکه (50 یا بیشتر) داشته باشید و به تنهایی آن را مدیریت کنید، بعید است که حتی در آخر هفته آن را مدیریت کنید و اگر آن را مدیریت کنید، معلوم نیست همه چیز چقدر درست خواهد بود. . علاوه بر این، برای تبادل اسناد در داخل شبکه، می توانید از یک فایل یا سرور ایمیل داخلی استفاده کنید (این مورد توسط من در شماره 11، 2006 توضیح داده شد). تنها نکته در این مورد درک صحیح تنظیمات حقوق کاربر برای دسترسی به سرور فایل است. زیرا اگر به عنوان مثال در دامنه قرار نگیرد، کاربران بر اساس رکوردهای پایگاه داده محلی SAM احراز هویت می شوند. هیچ اطلاعاتی در مورد کاربران دامنه وجود ندارد. با این حال، اگر سرور فایل شما جزو اولین ماشین‌های موجود در AD باشد و کنترل‌کننده دامنه نباشد، احراز هویت از طریق پایگاه SAM محلی و اعتبار AD امکان‌پذیر خواهد بود. اما برای آخرین گزینه شما نیاز دارید تنظیمات محلیامکان دسترسی (اگر قبلاً انجام نشده است) به سرور فایل از طریق شبکه توسط اعضای دامنه و حساب های محلی.

    برای پیکربندی بیشتر سرویس دایرکتوری (ایجاد و مدیریت حساب ها، تخصیص خط مشی های گروه و غیره)، مقاله زیر را مطالعه کنید.

    کاربرد

    ویژگی های جدید اکتیو دایرکتوری در ویندوز سرور 2003

    با انتشار ویندوز سرور 2003، تغییرات زیر در Active Directory ظاهر شد:

    • تغییر نام دامنه پس از ایجاد آن امکان پذیر شد.
    • رابط کاربری بهبود یافته است. به عنوان مثال، می توانید ویژگی های چندین شی را به طور همزمان تغییر دهید.
    • یک ابزار مدیریت خط مشی گروه خوب ظاهر شده است - کنسول مدیریت خط مشی گروه (gpmc.msc، باید آن را از وب سایت مایکروسافت دانلود کنید).
    • سطوح عملکردی دامنه و جنگل تغییر کرده است.

    در باره آخرین تغییرباید با جزئیات بیشتری گفته شود یک دامنه AD در ویندوز سرور 2003 می تواند در یکی از سطوح زیر باشد که به ترتیب افزایش عملکرد فهرست شده است:

    • Windows 2000 Mixed (ویندوز ترکیبی 2000). مجاز به داشتن کنترلرهای نسخه های مختلف - هر دو ویندوز NT و ویندوز 2000/2003 است. علاوه بر این، اگر سرورهای Windows 2000/2003 برابر باشند، سرور NT، همانطور که قبلا ذکر شد، تنها می تواند به عنوان یک کنترل کننده دامنه پشتیبان عمل کند.
    • Windows 2000 Native (ویندوز طبیعی 2000). داشتن کنترلرهایی مجاز است که ویندوز سرور 2000/2003 را اجرا کنند. این سطح کاربردی تر است، اما محدودیت های خود را دارد. به عنوان مثال، شما نمی توانید نام کنترل کننده های دامنه را تغییر دهید.
    • Windows Server 2003 Interim (Interim Windows Server 2003). می‌توانید کنترل‌کننده‌هایی داشته باشید که Windows NT و همچنین Windows Server 2003 را اجرا می‌کنند. برای مثال، زمانی که یک PDC دارای سرور Windows NT به W2K3 ارتقا داده می‌شود، استفاده می‌شود. سطح عملکرد کمی بیشتر از سطح ویندوز 2000 بومی.
    • Windows Server 2003. فقط کنترلرهایی که Windows Server 2003 را اجرا می کنند مجاز به ورود به یک دامنه هستند. در این سطح، می توانید از خدمات فهرست راهنمای Windows Server 2003 نهایت استفاده را ببرید.

    سطوح عملکردی یک جنگل دامنه اساساً مانند دامنه ها است. تنها استثنا این است که تنها یک لایه ویندوز 2000 وجود دارد که می تواند از کنترلرهایی که ویندوز NT و همچنین ویندوز سرور 2000/2003 را در جنگل اجرا می کنند استفاده کند.

    شایان ذکر است که تغییر سطح عملکردی دامنه و جنگل یک عملیات غیر قابل برگشت است. یعنی هیچ سازگاری عقبی وجود ندارد.


    1. Korobko I. Active Directory - تئوری ساخت و ساز. // "System Administrator"، شماره 1، 2004 - C. 90-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2004;a=11).

    2. Markov R. Domains Windows 2000/2003 - رها کردن گروه کاری. // "System Administrator"، شماره 9، 2005 - C. 8-11. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005; a=01).

    3. Markov R. نصب و پیکربندی ویندوز 2K سرور. // "System Administrator"، شماره 10، 2004 - C. 88-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=10.2004;a=12).

    الکساندر املیانوف

    بیشتر بخوانید: