چرا یک سازمان به Active Directory نیاز دارد؟ Active Directory چیست و چگونه یک پایگاه داده را نصب و پیکربندی کنیم

فن آوری اکتیو دایرکتوری(AD) یک سرویس دایرکتوری است که توسط مایکروسافت ایجاد شده است. یک سرویس دایرکتوری داده ها را در قالبی سازمان یافته نگهداری می کند و دسترسی سفارشی به آن ها را فراهم می کند. سرویس Active Directory اختراع مایکروسافت نیست، بلکه پیاده سازی یک مدل صنعتی موجود (یعنی X.500)، یک پروتکل ارتباطی (LDAP - Lightweight Directory) است. پروتکل دسترسی) و فناوری های بازیابی داده ها (سرویس های DNS).

مطالعه اکتیو دایرکتوری باید با آشنایی با هدف تعیین شده برای این فناوری آغاز شود. که در طرح کلی، یک دایرکتوری یک ظرف ذخیره سازی در نظر گرفته می شود.

دایرکتوری تلفن نمونه بارز یک سرویس دایرکتوری است زیرا حاوی مجموعه ای از داده ها است و امکان بازیابی اطلاعات مورد نیاز از فهرست را فراهم می کند. دایرکتوری شامل رکوردهای مختلف، که هر کدام معنای خاص خود را دارند، به عنوان مثال، نام / نام خانوادگی مشترکین، آنها آدرس خانهو در واقع یک شماره تلفن. در فهرست توسعه یافته، ورودی ها بر اساس موقعیت جغرافیایی، نوع یا هر دو گروه بندی می شوند. بنابراین، سلسله مراتبی از انواع رکوردها را می توان برای هر مکان جغرافیایی تشکیل داد. بعلاوه، اپراتور تلفنهمچنین با تعریف سرویس دایرکتوری مطابقت دارد زیرا به داده ها دسترسی دارد. بنابراین، در صورت ارائه درخواست برای هر گونه داده کاتالوگ، اپراتور پاسخ لازم را به درخواست دریافت شده صادر می کند.

سرویس دایرکتوری Active Directory برای ذخیره اطلاعات مربوط به تمام منابع شبکه طراحی شده است. کلاینت ها این امکان را دارند که از Active Directory برای اطلاعات مربوط به هر شیء شبکه پرس و جو کنند. لیست ویژگی های Active Directory شامل ویژگی های زیر است.

• ذخیره سازی امن داده ها هر شی در اکتیو دایرکتوری فهرست کنترل دسترسی (ACL) خود را دارد که شامل فهرستی از منابعی است که به شیء دسترسی داده شده و همچنین سطح از پیش تعریف شده دسترسی به آن شیء را شامل می شود.
• یک موتور جستجوی غنی از ویژگی های مبتنی بر کاتالوگ جهانی ایجاد شده توسط Active Directory (GC). همه کلاینت هایی که از Active Directory پشتیبانی می کنند می توانند به این دایرکتوری دسترسی داشته باشند.
• تکثیر داده‌های دایرکتوری برای همه کنترل‌کننده‌های دامنه، دسترسی به اطلاعات را آسان‌تر می‌کند، در دسترس بودن آن را افزایش می‌دهد و قابلیت اطمینان کل سرویس را افزایش می‌دهد.
• یک مفهوم توسعه مدولار که به شما امکان می دهد انواع شی جدید اضافه کنید یا اشیاء موجود را تقویت کنید. به عنوان مثال، می‌توانید ویژگی “salary” را به شی “user” اضافه کنید.
• شبکه با استفاده از چندین پروتکل Active Directory بر اساس مدل X.500 ساخته شده است که از انواع مختلفی پشتیبانی می کند پروتکل های شبکهمانند LDAP 2، LDAP 3 و HTTP.
• برای پیاده سازی سرویس نام کنترل کننده دامنه و جستجو آدرس های شبکهبه جای NetBIOS از DNS استفاده می شود.

اطلاعات دایرکتوری در سراسر دامنه توزیع می شود، بنابراین از تکرار بیش از حد داده ها جلوگیری می شود.

اگرچه اکتیو دایرکتوری اطلاعات دایرکتوری را در مخازن مختلف توزیع می کند، کاربران می توانند برای اطلاعات مربوط به سایر دامنه ها از اکتیو دایرکتوری پرس و جو کنند. فهرست جهانیحاوی اطلاعاتی در مورد تمام اشیاء در یک جنگل سازمانی است که به شما کمک می کند تا داده ها را در کل جنگل جستجو کنید.

هنگامی که ابزار DCPROMO (ارتقای سرور استاندارد به کنترل کننده دامنه) را در رایانه ای در حال اجرا اجرا می کنید کنترل ویندوزبرای ایجاد یک دامنه جدید، ابزار، دامنه را در سرور DNS ایجاد می کند. سپس مشتری با سرور DNS تماس می گیرد تا اطلاعاتی در مورد دامنه خود به دست آورد. سرور DNSاطلاعاتی را نه تنها در مورد دامنه، بلکه در مورد نزدیکترین کنترل کننده دامنه نیز ارائه می دهد. سیستم کلاینت نیز به نوبه خود به پایگاه داده دامنه Active Directory در نزدیکترین کنترل کننده دامنه متصل می شود تا اشیاء لازم (چاپگرها، سرورهای فایل، کاربران، گروه ها، واحدهای سازمانی) موجود در دامنه را پیدا کند. از آنجایی که هر کنترل کننده دامنه پیوندهایی را به سایر دامنه ها در درخت ذخیره می کند، مشتری می تواند کل درخت دامنه را جستجو کند.

گونه‌ای از Active Directory که تمام اشیاء موجود در جنگل دامنه را برمی‌شمارد، برای مواردی در دسترس است که باید داده‌هایی را خارج از درخت دامنه مستاجر پیدا کنید. این نسخه کاتالوگ جهانی نام دارد. کاتالوگ جهانی را می توان در هر کنترل کننده دامنه در جنگل AD ذخیره کرد.

کاتالوگ جهانی ارائه می دهد دسترسی سریعبه هر شی که در جنگل دامنه ها قرار دارد، اما فقط برخی از پارامترهای شی را شامل می شود. برای دریافت تمام ویژگی ها، باید با اکتیو دایرکتوری دامنه هدف (کنترل کننده دامنه مورد نظر) تماس بگیرید. کاتالوگ جهانی را می توان به گونه ای پیکربندی کرد که ویژگی های شی مورد نیاز را ارائه دهد.

برای ساده کردن فرآیند ایجاد اشیاء اکتیو دایرکتوری، کنترل کننده دامنه یک کپی و سلسله مراتب کلاس را برای کل جنگل نگه می دارد. اکتیو دایرکتوری شامل ساختارهای کلاس در یک طرح توسعه پذیر است که می توانید کلاس های جدید اضافه کنید.

طرحوارهبخشی از فضای نام پیکربندی ویندوز است که توسط همه کنترلرهای دامنه در جنگل پشتیبانی می شود. فضای نام پیکربندی ویندوز از چندین عنصر ساختاری مانند مکان فیزیکی، سایت‌های ویندوز و شبکه‌های فرعی تشکیل شده است.

سایت اینترنتیموجود در یک جنگل است و می تواند رایانه های هر دامنه را با هم ترکیب کند و همه رایانه های موجود در سایت باید سریع و قابل اعتماد باشند اتصالات شبکهبرای پشتیبان گیری از داده های کنترل کننده دامنه

زیر شبکهمجموعه ای از آدرس های IP است که به یک سایت اختصاص داده شده است. زیرشبکه ها به شما این امکان را می دهند که تکثیر داده های Active Directory بین کنترلرهای دامنه را سرعت بخشید.

• آموزش

در کارم، اغلب مجبور بودم با شبکه‌هایی که به ظاهر کار می‌کردند، سر و کار داشته باشم، اما هر حادثه جزئی می‌تواند منجر به ساعت‌ها از کار افتادگی غیرمعمول شود. کی دی مرده؟ مهم نیست، دومی داریم. چرا توپ ها باز نمی شوند؟ چرا گیت وی پینگ نمی کند؟ و در آن سی دی یک سرور DHCP وجود داشت و اکنون همه چیز ناپدید شده است.

در این مقاله سعی خواهم کرد راه حل های صحیح را از دیدگاه خودم برای ایجاد زیرساخت شبکه کسب و کار کوچک شرح دهم. و البته، این مقاله منعکس کننده عملکرد خوب شخصی نویسنده است و ممکن است با ایده آل های خواننده متفاوت باشد.

بنابراین. ما تا 100 مشتری داریم. همه چیز استاندارد است، کاربران به اینترنت می روند، نامه ارسال می کنند، از ذخیره سازی فایل استفاده می کنند، در 1s کار می کنند، آنها بیشتر می خواهند کامپیوتر باحالو سعی کنید ویروس ها را بگیرید. و بله، ما هنوز نمی دانیم چگونه ابری کنیم.

دو ستون تقریباً هر زیرساختی،

ایمنی داده ها یک مین به اتاق سرور اصابت کرد.

نظارت بر. «1392/01/01 02:24 | از: Zabbix | موضوع: پرتاب هسته ای کشف شد!

برنامه بهبود. "آرام باش، کازلادوف، بیا همه بنشینیم!"

حال به اصول اولیه شبکه در AD.

• دایرکتوری فعال باید دو کنترلر دامنه، از نظر فیزیکی روی قطعات مختلف آهن وجود داشته باشد. به هر حال، مایکروسافت توصیه نمی کند (توصیه نمی کند) تمام سی دی ها را در داخل انجام دهید ماشین های مجازی، یعنی حداقل یک سی دی باید آهن خالص باشد. به طور کلی، این مزخرف است، شما می توانید سی دی های مختلف را بر روی هاست های فیزیکی مختلف انجام دهید، فقط توصیه های کلی مایکروسافت برای راه اندازی سی دی در محیط مجازی را دنبال کنید. به هر حال، فراموش نکنید که GC را در هر دو کنترلر دامنه نگه دارید.
• DNS فقط اصول اولیه است. اگر یک سرویس نام دامنه نادرست داشته باشید، دائماً به‌طور مداوم از بین می‌روید. باید حداقل دو سرور DNS وجود داشته باشد و سی دی ها برای این کار کاملا مناسب هستند. و برخلاف توصیه های "تحلیل کننده انطباق با توصیه ها" در خود سی دی ها، به شما توصیه می کنم خود را به عنوان استاد نشان دهید. و یک چیز دیگر، تمرین تخصیص سرورها به مشتریان با آدرس های IP را فراموش کنید: اگر این یک سرور NTP است، مشتریان باید آن را به عنوان ntp.company.xyz بشناسند، اگر پروکسی است، چیزی شبیه gate.company. xyz، خوب، به طور کلی، قابل درک است. به هر حال، می تواند همان سروری با نام srv0.domain.xyz باشد، اما با CNAME های مختلف. هنگام گسترش یا جابجایی خدمات، این کمک زیادی خواهد کرد.
• سرور NTP که DNS را دنبال می کند. سی دی شما باید همیشه زمان درست را ارائه دهد.
  ممنون foxmuldercp برای راهنمایی
• همچنین باید دو سرور DHCP وجود داشته باشد. در همان سی دی، کاملا طرح کار. فقط به گونه‌ای پیکربندی کنید که محدوده‌های صدور متقاطع نباشند، بلکه به گونه‌ای که هر DHCP بتواند کل ناوگان ماشین‌ها را پوشش دهد. و بله، اجازه دهید هر سرور DHCP نیز خودش را به عنوان اولین سرور DNS صادر کند. فکر می کنم واضح است که چرا.
• سرور فایل. اینجا هم همه چیز آسان است. ما DFS را با Replication، روی همان سی دی انجام می دهیم. به طور کلی، Replication هیچ ربطی به آن ندارد، فقط همیشه از طریق DFS لینک توپ ها را بنویسید، سعی کنید در رابطه با تمام منابع فایل به این عمل پایبند باشید. هنگامی که نیاز به انتقال اشتراک به یک مکان جدید دارید، فقط اشتراک را منتقل کنید و پیوند را در DFS تغییر دهید. مشتری ممکن است اصلا متوجه چیزی نشود.
• سرور MSSQL 1s. دیگر آسان نیست. و گران است. شما یک پایگاه داده تا حدودی بزرگ دارید و نگه داشتن یک سرور SQL در حالت آماده به کار غیرقابل قبول است. این چیز را نمی توان رزرو کرد، در هر صورت، شما به یک نمونه جدید نیاز دارید که هزینه دارد. پشتیبان‌گیری همه چیز ماست، اشکالی ندارد. در نظر بگیرید که کجا می توانید به سرعت یک سرور DBMS موقت را مستقر کنید. به هر حال، یک MSSQL Express رایگان با محدودیت در اندازه پایگاه داده وجود دارد، شاید برای شما کافی باشد.
• دروازه. لینوکس و سایر FreeBSD ها. هر چقدر هم که ناخوشایند باشد، پولی برای TMG و کریوهای دیگر وجود ندارد. در عین حال درک iptable ها ضروری است. در اینجا من می توانم توصیه صریح کنم - اگر با OSI دوست هستید - مشکلی وجود نخواهد داشت، اگر دوست نیستید - با Kerio مشکلی پیش خواهد آمد. در ضمن اگه فکر میکنی ادمین هستی و فرق قاب و فریم رو نمیدونی برات سخت میشه.
• ایمنی. یک موضوع بسیار گسترده است، بنابراین پاراگراف های زیر در مورد این موضوع صمیمی است.
  کاربران باید تحت Domain Users کار کنند. تاکید می کنم هر برنامه ای را می توان برای کار در محیطی با حقوق محدود پیکربندی کرد. گاهی اوقات کافی است مجوزهای نوشتن را به دایرکتوری اضافه کنید برنامه نصب شدهو در داخل انکار ضبط فایل های اجرایی. گاهی اوقات، برای پیدا کردن ویژگی ها، شما نیاز به نظارت بر رجیستری و سیستم فایل. گاهی اوقات می خواهید امتیاز بگیرید و حقوق مدیریت را صادر کنید. گاهی اوقات این منطقی است. انتخاب با شماست، اما هرگز UAC را غیرفعال نکنید. بله، و شما که در محل کار نشسته اید، حداکثر باید حقوق مدیریت محلی را بر روی تمام ایستگاه های کاری داشته باشید، در هیچ موردی سرپرست دامنه نیستید. در صورت لزوم، سرورها را از طریق ترمینال هدایت کنید.
• حساب ها. من چیزی در مورد کاربران نمی گویم، فکر می کنم واضح است که یک حساب برای هر کاربر. اما همه نمی دانند که هر سرویس باید حساب خود را داشته باشد. به عنوان مثال، MSSQL در حال اجرا در یک محیط AD نیازی به حقوق مدیریت دامنه ندارد. یک حساب کاربری معمولی ایجاد کنید و هنگام نصب DBMS آن را مشخص کنید. نصب کننده خواهد نوشت حقوق لازمو همه چیز عالی کار خواهد کرد. و تقریباً با هر سرویسی به همین ترتیب. اگر یک openfire درخواست یک حساب مدیر برای اتصال به AD - این یک نام است، فقط باید سرویس دایرکتوری را بخواند.
• به روز رسانی نرم افزار. WSUS را مستقر کنید و فراموش نکنید که حداقل در چهارشنبه دوم ماه وارد شوید و به‌روزرسانی‌های جدید را بررسی کنید. 10-15 وسیله نقلیه را از ناوگان خود انتخاب کنید و آنها را در یک گروه آزمایشی قرار دهید. به‌روزرسانی‌های جدید را به‌طور خاص در این گروه بررسی کنید، و وقتی جم‌ها را پیدا نکردید، آن‌ها را برای همه مستقر کنید. به هر حال، اینجا

Active Directory سرویس دایرکتوری مایکروسافت برای خانواده سیستم عامل های ویندوز NT است.

این سرویسبه مدیران اجازه می‌دهد از خط‌مشی‌های گروهی برای اطمینان از تنظیمات یکنواخت فضای کاری کاربر، نصب نرم‌افزار، به‌روزرسانی‌ها و موارد دیگر استفاده کنند.

ماهیت اکتیو دایرکتوری چیست و چه وظایفی را حل می کند؟ ادامه مطلب

اصول سازماندهی شبکه های همتا به همتا و چند همتا

اما مشکل دیگری پیش می آید، اگر user2 در PC2 تصمیم به تغییر رمز عبور خود بگیرد چه؟ سپس اگر user1 رمز عبور را تغییر دهد حساب، user2 در PC1 قادر به دسترسی به منبع نخواهد بود.

مثال دیگر: ما 20 ایستگاه کاری با 20 حساب داریم که می خواهیم به برخی از آنها دسترسی داشته باشیم، برای این کار باید 20 حساب کاربری ایجاد کنیم. سرور فایلو دسترسی به منابع مورد نیاز را فراهم کند.

و اگر 20 نیست بلکه 200 هست؟

همانطور که می دانید، مدیریت شبکه با این رویکرد به یک جهنم کامل تبدیل می شود.

بنابراین، رویکرد گروه کاری برای کوچک مناسب است شبکه های اداریبا تعداد رایانه های شخصی بیش از 10 واحد.

اگر بیش از 10 ایستگاه کاری در شبکه وجود داشته باشد، رویکردی به طور منطقی توجیه می شود که در آن به یک گره شبکه حقوق انجام احراز هویت و مجوز واگذار می شود.

این گره کنترل کننده دامنه - Active Directory است.

کنترل کننده دامنه

کنترل کننده یک پایگاه داده از حساب ها را نگه می دارد، به عنوان مثال. این یک حساب برای PC1 و PC2 نگه می دارد.

اکنون همه اکانت ها یک بار روی کنترلر ثبت می شوند و نیاز به حساب های محلی بی معنی می شود.

اکنون، هنگامی که کاربر با وارد کردن نام کاربری و رمز عبور خود وارد رایانه شخصی می شود، این داده ها به صورت رمزگذاری شده به کنترل کننده دامنه منتقل می شود که مراحل احراز هویت و مجوز را انجام می دهد.

بعد از اینکه کنترلر به کاربری که وارد شده است چیزی شبیه پاسپورت می دهد که بعداً با آن در شبکه کار می کند و به درخواست سایر رایانه های شبکه ارائه می دهد، سرورهایی که می خواهد به منابع آنها متصل شود.

مهم! Domain Controller کامپیوتری است که Active Directory را اجرا می کند و دسترسی کاربر به منابع شبکه را مدیریت می کند. این منابع را ذخیره می کند (مانند چاپگرها، پوشه ها با دسترسی عمومی، خدمات (مانند ایمیل)، افراد (حساب های کاربری و گروه های کاربری)، رایانه ها (حساب های رایانه ای).

تعداد چنین منابع ذخیره شده می تواند به میلیون ها شی برسد.

می تواند به عنوان یک کنترل کننده دامنه عمل کند نسخه های بعدی MS Windows: ویندوز سرور 2000/2003/2008/2012 به جز Web-Edition.

دامین کنترلر علاوه بر اینکه مرکز احراز هویت شبکه است، مرکز کنترل تمامی کامپیوترها نیز می باشد.

بلافاصله پس از روشن کردن رایانه، مدتها قبل از ظاهر شدن پنجره تأیید هویت، شروع به تماس با کنترل کننده دامنه می کند.

بنابراین، نه تنها کاربری که لاگین و رمز عبور را وارد می کند، احراز هویت می شود، بلکه رایانه مشتری نیز احراز هویت می شود.

نصب اکتیو دایرکتوری

نمونه ای از نصب اکتیو دایرکتوری روی ویندوز سرور 2008 R2 را در نظر بگیرید. بنابراین، برای نصب نقش Active Directory، به "Server Manager" بروید:

نقش "افزودن نقش" را اضافه کنید:

نقش Active Directory Domain Services را انتخاب کنید:

و اجازه دهید نصب را شروع کنیم:

سپس یک پنجره اعلان در مورد نقش نصب شده دریافت می کنیم:

پس از نصب نقش کنترل کننده دامنه، به نصب خود کنترلر می پردازیم.

در قسمت جستجوی برنامه روی "شروع" کلیک کنید، نام جادوگر DCPromo را وارد کنید، آن را اجرا کنید و کادر تنظیمات نصب پیشرفته را علامت بزنید:

از میان گزینه های پیشنهادی روی "Next" کلیک کنید، ایجاد دامنه و جنگل جدید را انتخاب کنید.

نام دامنه را وارد کنید، برای مثال example.net.

ما نام دامنه NetBIOS را بدون منطقه می نویسیم:

سطح عملکرد دامنه خود را انتخاب می کنیم:

با توجه به ویژگی های عملکرد کنترل کننده دامنه، ما یک سرور DNS نیز نصب می کنیم.

اکتیو دایرکتوری (AD) است برنامه های کاربردیبرای اتاق عمل طراحی شده است سیستم های مایکروسافتسرور در ابتدا به عنوان یک الگوریتم سبک وزن برای دسترسی به دایرکتوری های کاربر ایجاد شد. با نسخه های ویندوزسرور 2008 یکپارچه سازی با خدمات مجوز را معرفی کرد.

این فرصت را به شما می دهد که رعایت کنید خط مشی گروه، که با استفاده از System Center Configuration Manager یکنواختی تنظیمات و نرم افزار را روی همه رایانه های شخصی کنترل شده اعمال می کند.

اگر به زبان سادهبرای مبتدیان، این یک نقش سرور است که به شما امکان می دهد تمام دسترسی ها و مجوزهای شبکه محلی را از یک مکان مدیریت کنید.

توابع و اهداف

مایکروسافت اکتیو دایرکتوری - (به اصطلاح دایرکتوری) بسته ای از ابزارها است که به شما امکان می دهد کاربران و داده های شبکه را دستکاری کنید. هدف اولیهایجاد - تسهیل کار مدیران سیستم در شبکه های گسترده.

دایرکتوری ها حاوی اطلاعات مختلف مربوط به کاربران، گروه ها، دستگاه های شبکه، منابع فایل – در یک کلمه، اشیاء هستند. به عنوان مثال، ویژگی های کاربر که در فهرست ذخیره می شوند باید به شرح زیر باشد: آدرس، ورود، رمز عبور، شماره تلفن همراهو غیره. دایرکتوری به عنوان استفاده می شود نقاط احراز هویتکه با آن می توانید متوجه شوید اطلاعات لازمدر مورد کاربر

مفاهیم اساسی که در جریان کار با آن مواجه می شوند

تعدادی از مفاهیم تخصصی وجود دارد که هنگام کار با AD کاربرد دارند:

1. سرور کامپیوتری است که تمام داده ها را در خود دارد.
2. کنترلر یک سرور با نقش AD است که درخواست های افرادی را که از دامنه استفاده می کنند رسیدگی می کند.
3. دامنه AD مجموعه ای از دستگاه هایی است که تحت یک نام منحصر به فرد متحد شده اند که به طور همزمان از یک پایگاه داده دایرکتوری مشترک استفاده می کنند.
4. فروشگاه داده بخشی از دایرکتوری است که وظیفه ذخیره و بازیابی داده ها از هر کنترل کننده دامنه را بر عهده دارد.

نحوه کار دایرکتوری های فعال

اصول اصلی کار عبارتند از:

• مجوز، که با آن استفاده از رایانه شخصی در شبکه به سادگی با ورود امکان پذیر می شود رمز عبور شخصی. در این صورت تمام اطلاعات از حساب منتقل می شود.
• امنیت. اکتیو دایرکتوری شامل ویژگی های تشخیص کاربر است. برای هر شی شبکه، می توانید از راه دور، از یک دستگاه، حقوق لازم را تنظیم کنید، که به دسته ها و کاربران خاص بستگی دارد.
• مدیریت شبکهاز یک نقطه در حین کار با اکتیو دایرکتوری، در صورت نیاز به تغییر حقوق دسترسی، به عنوان مثال، به چاپگر، مدیر سیستم نیازی به پیکربندی مجدد همه رایانه های شخصی ندارد. تغییرات از راه دور و جهانی انجام می شود.
• کامل یکپارچه سازی DNS. با کمک آن، هیچ سردرگمی در AD وجود ندارد، همه دستگاه ها به همان روشی که در شبکه جهانی وب تعیین می شود.
• در مقیاس بزرگ. مجموعه ای از سرورها را می توان توسط یک Active Directory کنترل کرد.
• جستجو کردنبا توجه به پارامترهای مختلف، به عنوان مثال، نام کامپیوتر، ورود به سیستم ساخته شده است.

اشیاء و صفات

شی - مجموعه ای از ویژگی ها، که تحت نام خود متحد شده اند و یک منبع شبکه را نشان می دهند.

ویژگی - ویژگی های شی در کاتالوگ. به عنوان مثال، این موارد شامل نام کامل کاربر، ورود به سیستم او است. اما ویژگی های یک حساب PC می تواند نام این کامپیوتر و توضیحات آن باشد.

"کارمند" شی ای است که دارای ویژگی های "Name"، "Position" و "TabN" است.

ظرف LDAP و نام

ظرف نوعی شی است که می تواند از اشیاء دیگر تشکیل شده است. برای مثال یک دامنه ممکن است شامل اشیاء حساب باشد.

هدف اصلی آنها این است سفارش شیبر اساس نوع علائم اغلب از کانتینرها برای گروه بندی اشیا با ویژگی های یکسان استفاده می شود.

تقریباً همه کانتینرها به مجموعه ای از اشیاء و منابع به یک شی منحصر به فرد اکتیو دایرکتوری نگاشت می شوند. یکی از انواع اصلی کانتینرهای AD واحد سازمانی یا OU (واحد سازمانی) است. اشیایی که در این کانتینر قرار می گیرند فقط متعلق به دامنه ای هستند که در آن ایجاد شده اند.

پروتکل دسترسی دایرکتوری سبک وزن (LDAP) الگوریتم اساسی برای اتصالات TCP/IP است. این برای کاهش مقدار تفاوت های ظریف در هنگام دسترسی به خدمات دایرکتوری ایجاد شده است. همچنین، LDAP اقدامات مورد استفاده برای پرس و جو و ویرایش داده های دایرکتوری را تعریف می کند.

درخت و سایت

درخت دامنه یک ساختار است، مجموعه ای از دامنه هایی که دارای طرح کلیو پیکربندی آن فرم فضای مشترکاسامی و به اعتماد مقید هستند.

جنگل دامنه ها مجموعه ای از درختان است که به یکدیگر پیوند خورده اند.

سایت - مجموعه ای از دستگاه ها در زیرشبکه های IP که نشان دهنده مدل فیزیکی شبکه است که برنامه ریزی آن بدون توجه به نمایش منطقی ساخت آن انجام می شود. اکتیو دایرکتوری توانایی ایجاد n سایت یا ترکیب n دامنه را در یک سایت دارد.

نصب و پیکربندی اکتیو دایرکتوری

حالا بیایید مستقیماً به راه اندازی اکتیو دایرکتوری با استفاده از Windows Server 2008 به عنوان مثال برویم (در نسخه های دیگر، رویه یکسان است):

بر روی دکمه "OK" کلیک کنید. توجه داشته باشید که این مقادیر مورد نیاز نیستند. می توانید از آدرس IP و DNS شبکه خود استفاده کنید.

• بعد، باید به منوی "شروع" بروید، "ابزارهای اداری" و "" را انتخاب کنید.
  
• به آیتم "نقش ها" بروید، "نقش ها" را انتخاب کنید اضافه کردن نقش ها”.
  
• "Active Directory Domain Services" را انتخاب کنید، روی "Next" دو بار کلیک کنید و سپس "Install" را انتخاب کنید.
  
• صبر کنید تا نصب تمام شود.
  
• باز کردن منوی شروع -" اجرا کن". dcpromo.exe را در فیلد وارد کنید.
  
• روی "بعدی" کلیک کنید.
  
• انتخاب مورد ” ايجاد كردن دامنه جدیددر جنگل جدید» و دوباره روی «بعدی» کلیک کنید.
  
• در پنجره بعدی، یک نام وارد کنید، روی "بعدی" کلیک کنید.
  
• انتخاب کنید حالت سازگاری(ویندوز سرور 2008).
  
• در پنجره بعدی، همه چیز را به عنوان پیش فرض بگذارید.
  
• آغاز خواهد شد پنجره پیکربندیDNS. از آنجایی که قبلاً روی سرور استفاده نمی شد، نمایندگی ایجاد نشد.
  
• یک دایرکتوری را برای نصب انتخاب کنید.
  
• بعد از این مرحله باید تنظیم کنید رمز عبور مدیریت.

برای امنیت، رمز عبور باید شرایط زیر را داشته باشد:

پس از تکمیل فرآیند پیکربندی کامپوننت AD، باید سرور را مجددا راه اندازی کنید.

پیکربندی کامل شده است، snap-in و نقش در سیستم نصب شده است. شما می توانید AD را فقط در نصب کنید خانواده های ویندوزسرور، نسخه های معمولی، مانند 7 یا 10، ممکن است اجازه نصب فقط کنسول مدیریت را بدهد.

مدیریت در اکتیو دایرکتوری

به طور پیش فرض، در سرور ویندوز، کنسول Active Directory Users and Computers با دامنه ای که رایانه به آن تعلق دارد کار می کند. شما می توانید از طریق درخت کنسول به کامپیوتر و اشیاء کاربر در این دامنه دسترسی داشته باشید یا به کنترلر دیگری متصل شوید.

همین ابزارهای کنسول به شما امکان مشاهده را می دهند گزینه های اضافی اشیاء و جستجو برای آنها، شما می توانید کاربران جدید، گروه و تغییر از مجوز ایجاد کنید.

اتفاقا وجود دارد 2 نوع گروهدر Active Directory - امنیت و توزیع. گروه های امنیتی مسئول محدود کردن حقوق دسترسی به اشیا هستند، آنها می توانند به عنوان گروه های توزیع استفاده شوند.

گروه های توزیع نمی توانند حقوق را متمایز کنند، اما در درجه اول برای توزیع پیام ها در شبکه استفاده می شوند.

AD Delegation چیست؟

خود تفویض اختیار است انتقال بخشی از مجوزها و کنترلاز طرف والد به طرف مسئول دیگر.

مشخص است که هر سازمانی چندین مدیر سیستم در مقر خود دارد. کارهای متفرقهباید به شانه های مختلف اختصاص داده شود. برای اعمال تغییرات باید حقوق و مجوزهایی داشته باشید که به استاندارد و ویژه تقسیم می شوند. ویژه - برای یک شی خاص اعمال می شود، در حالی که استاندارد - مجموعه ای از مجوزهای موجود است که عملکردهای خاصی را در دسترس یا غیر قابل دسترس می کند.

ایجاد روابط اعتماد

در بعد از میلاد دو نوع وجود دارد رابطه اعتماد: «یک جهته» و «دوطرفه». در حالت اول، یک دامنه به دیگری اعتماد دارد، اما نه برعکس، به ترتیب، اولی به منابع دومی دسترسی دارد و دومی دسترسی ندارد. در شکل دوم، اعتماد «متقابل» است. روابط "خروجی" و "ورودی" نیز وجود دارد. در خروجی، دامنه اول به دومین دامنه اعتماد می کند، بنابراین به کاربران دوم اجازه می دهد از منابع اولی استفاده کنند.

در هنگام نصب، مراحل زیر باید انجام شود:

• بررسیاتصالات شبکه بین کنترلرها
• تنظیمات را بررسی کنید.
• اهنگوضوح نام برای دامنه های خارجی
• ارتباط ایجاد کنیداز دامنه قابل اعتماد
• یک اتصال از سمت کنترل کننده ای که اعتماد به آن خطاب شده است ایجاد کنید.
• روابط یک طرفه ایجاد شده را بررسی کنید.
• اگر نیاز وجود دارددر ایجاد روابط دوجانبه - برای نصب.

فهرست جهانی

این کنترل‌کننده دامنه است که کپی‌های تمام اشیاء را در جنگل نگه می‌دارد. این به کاربران و برنامه‌ها این امکان را می‌دهد که با استفاده از آن، اشیاء را در هر دامنه در جنگل فعلی جستجو کنند کاشفان صفتدر کاتالوگ جهانی گنجانده شده است.

کاتالوگ جهانی (GC) شامل مجموعه ای محدود از ویژگی ها برای هر شی جنگل در هر دامنه است. داده ها را از تمام پارتیشن های دایرکتوری دامنه در جنگل دریافت می کند، با استفاده از آن کپی می شود فرآیند استانداردتکرار سرویس Active Directory

طرحواره تعیین می کند که آیا ویژگی کپی شود یا خیر. احتمالش وجود داره پیکربندی ویژگی های اضافی ، که در کاتالوگ جهانی با " دوباره ایجاد می شود طرحواره های فعالفهرست راهنما". برای افزودن یک ویژگی به کاتالوگ جهانی، باید ویژگی تکرار را انتخاب کرده و از گزینه «کپی» استفاده کنید. این یک تکرار از ویژگی در کاتالوگ جهانی ایجاد می کند. مقدار پارامتر مشخصه isMemberOfPartialAttributeSetواقعی خواهد شد.

به منظور. واسه اینکه. برای اینکه مکان را پیدا کنیدکاتالوگ جهانی، شما نیاز دارید خط فرمانوارد:

سرور Dsquery –isgc

تکثیر داده ها در اکتیو دایرکتوری

Replication یک رویه کپی است که زمانی انجام می شود که لازم باشد اطلاعات به روزی که در هر کنترل کننده وجود دارد ذخیره شود.

آن تولید می شود بدون دخالت اپراتور. انواع زیر از محتوای کپی وجود دارد:

• کپی های داده از تمام دامنه های موجود ایجاد می شوند.
• کپی طرحواره داده. از آنجایی که طرح داده برای همه اشیا در جنگل Active Directory یکسان است، کپی های آن در همه دامنه ها حفظ می شوند.
• داده های پیکربندی کپی های ساختمانی را در بین کنترلرها نشان می دهد. اطلاعات برای همه دامنه های موجود در جنگل اعمال می شود.

انواع اصلی ماکت ها درون گره ای و درون گرهی هستند.

در حالت اول، پس از تغییرات، سیستم منتظر می ماند، سپس به شریک اطلاع می دهد که یک ماکت برای تکمیل تغییرات ایجاد کند. حتی در صورت عدم وجود تغییرات، فرآیند تکثیر پس از یک دوره زمانی مشخص به صورت خودکار انجام می شود. پس از اعمال تغییرات شکستن در دایرکتوری ها، تکثیر بلافاصله اتفاق می افتد.

روش تکثیر بین گره ها در این بین اتفاق می افتدکمترین بار در شبکه، از دست دادن اطلاعات جلوگیری می کند.

مدیران شبکه ویندوز نمی توانند از آشنایی با . این مقاله مروری به آنچه اکتیو دایرکتوری است و با چه چیزی خورده می شود اختصاص داده خواهد شد.

بنابراین، اکتیو دایرکتوری اجرای مایکروسافت از یک سرویس دایرکتوری است. خدمات زیر دایرکتوری در این موردبه معنی بسته نرم افزاری است که کمک می کند مدیر سیستمبا چنین کاری کار کنید منابع شبکه، چگونه پوشه های مشترک، سرورها، ایستگاه های کاری، چاپگرها، کاربران و گروه ها.

اکتیو دایرکتوری ساختاری سلسله مراتبی دارد که از اشیا تشکیل شده است. همه اشیا به سه دسته اصلی تقسیم می شوند.

• حساب های کاربری و رایانه؛
• منابع (به عنوان مثال، چاپگرها)؛
• خدمات (مثلا پست الکترونیک).

هر شی یک نام منحصر به فرد دارد و تعدادی ویژگی دارد. اشیاء را می توان گروه بندی کرد.

اکتیو دایرکتوری دارای ساختار جنگلی است. جنگل دارای چندین درخت است که دارای دامنه هستند. دامنه ها نیز به نوبه خود حاوی اشیاء فوق هستند.

به طور معمول، اشیاء در یک دامنه در OU گروه بندی می شوند. زیرمجموعه ها برای ایجاد یک سلسله مراتب در یک دامنه (سازمان ها، زیربخش های سرزمینی، بخش ها و غیره) خدمت می کنند. این امر به ویژه برای سازمان هایی که از نظر جغرافیایی پراکنده هستند بسیار مهم است. هنگام ساخت یک سازه، توصیه می شود تا حد امکان دامنه های کمتری ایجاد کنید و در صورت لزوم تقسیم بندی های جداگانه ایجاد کنید. اعمال سیاست های گروه بر روی آنها منطقی است.

راه دیگر برای ساختار اکتیو دایرکتوری هستند سایت های. سایت ها روشی برای گروه بندی فیزیکی و نه منطقی بر اساس بخش های شبکه هستند.

همانطور که قبلا ذکر شد، هر شی در اکتیو دایرکتوری یک نام منحصر به فرد دارد. به عنوان مثال، یک چاپگر HPLaserJet4350dtn، که در تقسیم قرار دارد وکلاو در حوزه primer.ruنام خواهد داشت CN=HPLaserJet4350dtn،OU=وکلا،DC=پرایمر،DC=ru. CNیک نام رایج است شما- زير مجموعه دی سی- کلاس شی دامنه. یک نام شیء می تواند بخش های بسیار بیشتری نسبت به این مثال داشته باشد.

شکل دیگری از نام شیء به شکل زیر است: primer.ru/Lawyers/HPLaserJet4350dtn. هر شیء همچنین دارای یک شناسه منحصر به فرد جهانی است ( GUID) یک رشته 128 بیتی منحصر به فرد و غیرقابل تغییر است که توسط Active Directory برای جستجو و تکرار استفاده می شود. برخی از اشیاء نیز یک نام اصلی کاربر دارند ( UPN) در قالب شی @ دامنه.

اینجا اطلاعات کلیدر مورد اینکه Active Directory چیست و چرا آنها در آن مورد نیاز هستند شبکه های محلیبر پایه ویندوز. در نهایت، منطقی است که بگوییم مدیر توانایی کار با اکتیو دایرکتوری از راه دور را دارد. منابع مالی مدیریت از راه دورسرور برای ویندوز 7 (KB958830)(دانلود) و ابزارهای مدیریت سرور از راه دور برای ویندوز 8.1 (KB2693643) (دانلود).