Basit kelimelerle Active Directory (Temel). Aktif Dizin Nedir?

ne yardımcı olacak Aktif Dizin uzmanlar?

Active Directory'yi dağıtarak elde edilebilecek küçük bir "güzellik" listesi vereceğim:

• merkezi olarak bir veya daha fazla sunucuda depolanan tek bir kullanıcı kayıt veritabanı; bu nedenle, ofise yeni bir çalışan geldiğinde, yalnızca onun için sunucuda bir hesap oluşturmanız ve hangi iş istasyonlarına erişebileceğini belirtmeniz yeterli olacaktır;
• tüm etki alanı kaynakları dizine eklendiğinden, bu, kullanıcılar için basit ve hızlı arama sağlar; örneğin bir departmanda renkli yazıcı bulmanız gerekiyorsa;
• NTFS izinlerini, grup ilkelerini ve denetim yetkisini uygulama kombinasyonu, etki alanı üyeleri arasında ince ayar yapmanıza ve hakları dağıtmanıza olanak tanır;
• gezici kullanıcı profilleri depolama yeteneği sağlar önemli bilgi ve sunucudaki yapılandırma ayarları; aslında domainde roaming profili olan bir kullanıcı başka bir bilgisayarda çalışmak için oturup kullanıcı adını ve şifresini girerse masaüstünü her zamanki ayarlarıyla görecek;
• grup ilkelerini kullanarak, kullanıcının masaüstünde duvar kağıdını ayarlamasına izin vermekten güvenlik ayarlarına kadar kullanıcı işletim sistemlerinin ayarlarını değiştirebilir ve ayrıca yazılımı ağ üzerinden dağıtabilirsiniz, örneğin, Birim Gölge Kopyası istemcisi vb.;
• bugün yalnızca Microsoft tarafından üretilmeyen birçok program (proxy sunucuları, veritabanı sunucuları, vb.) etki alanı kimlik doğrulamasını kullanmayı öğrendi, bu nedenle başka bir kullanıcı veritabanı oluşturmanız gerekmez, ancak mevcut bir veritabanını kullanabilirsiniz;
• Uzaktan Kurulum Servislerinin kullanılması, sistemlerin iş istasyonlarına kurulumunu kolaylaştırır, ancak buna karşılık, yalnızca katıştırılmış dizin servisi ile çalışır.

Ve bu, özelliklerin tam bir listesi değil, daha sonra daha fazlası. Şimdi inşaatın mantığını anlatmaya çalışacağım. Aktif Dizin, ama yine de erkek çocuklarımızın nelerden yapıldığını bulmaya değer. Aktif Dizin Etki Alanları, Ağaçlar, Ormanlar, Organizasyon Birimleri, Kullanıcı ve Bilgisayar Gruplarıdır.

Etki alanları - Bu, temel mantıksal yapı birimidir. Çalışma grupları ile karşılaştırıldığında AD etki alanları tek bir kayıt tabanına sahip güvenlik gruplarıdır, çalışma grupları ise yalnızca makinelerin mantıksal bir gruplandırmasıdır. AD, adlandırma ve arama hizmetleri için WINS (Etki Alanı Adı Sunucusu) değil, DNS (Etki Alanı Adı Sunucusu) kullanır. Windows İnternetİsim Hizmeti - İnternet isim servisi), NT'nin ilk sürümlerinde olduğu gibi. Bu nedenle, bir etki alanındaki bilgisayar adları, örneğin buh.work.com'dur; burada buh, work.com etki alanındaki bir bilgisayarın adıdır (her zaman böyle olmasa da).

Çalışma grupları NetBIOS adlarını kullanır. Bir etki alanı yapısını barındırmak için AD Microsoft dışı bir DNS sunucusu kullanıyor olabilirsiniz. Ancak BIND 8.1.2 veya üstü ile uyumlu olmalı ve SRV() kayıtlarının yanı sıra Dinamik Kayıt Protokolünü (RFC 2136) desteklemelidir. Her etki alanı, merkezi veritabanını barındıran en az bir etki alanı denetleyicisine sahiptir.

ağaçlar - Bunlar çok alanlı yapılardır. Bu yapının kökü, alt etki alanları oluşturduğunuz ana etki alanıdır. Aslında Active Directory, DNS'deki etki alanlarının yapısına benzer bir hiyerarşik yapı sistemi kullanır.

Bir work.com etki alanımız (birinci düzey etki alanı) varsa ve bunun için iki alt etki alanı oluşturursak, first.work.com ve second.work.com (burada birinci ve ikinci, ikinci düzey etki alanlarıdır, sistemdeki bir bilgisayar değildir). etki alanı, yukarıda açıklanan durumda olduğu gibi), o zaman sonuç olarak bir etki alanı ağacı elde ederiz.

Mantıksal bir yapı olarak ağaçlar, bir şirketin şubelerini, örneğin coğrafi özelliklere göre veya diğer bazı organizasyonel nedenlerle ayırmanız gerektiğinde kullanılır.

AD her etki alanı ve alt etki alanları arasında otomatik olarak güven ilişkileri oluşturmaya yardımcı olur.

Bu nedenle, first.work.com etki alanının oluşturulması, work.com üst öğesi ile alt first.work.com (saniye.work.com için benzer şekilde) arasında iki yönlü bir güven ilişkisinin otomatik olarak düzenlenmesine yol açar. Bu nedenle, üst etki alanından alt etki alanına izinler uygulanabilir ve bunun tersi de geçerlidir. Alt etki alanları için de güven ilişkilerinin var olacağını varsaymak zor değildir.

Güven ilişkilerinin bir başka özelliği de geçişliliktir. Anlıyoruz - net.first.work.com etki alanı için work.com etki alanıyla bir güven ilişkisi yaratılıyor.

Orman - Tıpkı ağaçlar gibi, çok alanlı yapılardır. Ancak orman farklı kök alanlarına sahip ağaçların birleşimidir.

Work.com ve home.net adında birden fazla alan adı almaya karar verdiğinizi ve onlar için alt alan adı oluşturduğunuzu varsayalım, ancak tld (üst düzey alan adı) sizin kontrolünüz altında olmadığı için bu durumda ilk ormanlardan birini seçerek bir orman düzenleyebileceğinizi varsayalım. düzey etki alanları köktür. Bu durumda bir orman oluşturmanın güzelliği, bu iki etki alanı ile alt etki alanları arasındaki iki yönlü güven ilişkisidir.

Ancak, ormanlar ve ağaçlarla çalışırken aşağıdakileri unutmayın:

• ağaca mevcut bir etki alanı ekleyemezsiniz
• zaten var olan bir ağacı ormana dahil edemezsiniz
• etki alanları bir ormana yerleştirilirse başka bir ormana taşınamazlar
• alt etki alanları olan bir etki alanını silemezsiniz

Kuruluş birimleri - ilke olarak alt alanlar olarak adlandırılabilir. bir etki alanındaki kullanıcı hesaplarını, kullanıcı gruplarını, bilgisayarları, paylaşılan kaynakları, yazıcıları ve diğer kuruluş birimlerini (Kuruluş Birimleri) gruplandırmanıza olanak tanır. Bunları kullanmanın pratik yararı, bu birimleri yönetme haklarını devredebilme yeteneğidir.

Basitçe söylemek gerekirse, bir etki alanında OU'yu yönetebilen ancak tüm etki alanını yönetme haklarına sahip olmayan bir yönetici atamak mümkündür.

Gruplardan farklı olarak kuruluş birimlerinin önemli bir özelliği, bunlara grup ilkeleri uygulama yeteneğidir. "Orijinal etki alanı, bir kuruluş birimi kullanmak yerine neden birden çok etki alanına bölünemiyor?" - sen sor.

Birçok uzman, mümkün olduğunda tek bir alan adının olmasını tavsiye eder. Bunun nedeni, ek bir etki alanı oluştururken yönetimin ademi merkeziyetçi olmasıdır, çünkü bu tür her etki alanının yöneticileri sınırsız kontrole sahiptir (OU yöneticilerine haklar devrederken, işlevlerini sınırlayabileceğinizi hatırlatmama izin verin).

Buna ek olarak, yeni bir etki alanı (hatta bir alt etki alanı) oluşturmak için başka bir denetleyiciye ihtiyacınız olacaktır. Yavaş bir iletişim kanalıyla birbirine bağlanan iki ayrı bölümünüz varsa, çoğaltma sorunları ortaya çıkabilir. Bu durumda iki domain olması daha uygun olacaktır.

Grup ilkelerini uygulamanın başka bir nüansı daha vardır: Parola ayarlarını ve hesap kilitlemelerini tanımlayan ilkeler yalnızca etki alanlarına uygulanabilir. Kuruluş birimleri için bu ilke ayarları dikkate alınmaz.

Siteler - Bu, dizin hizmetini fiziksel olarak ayırmanın bir yoludur. Tanım olarak site, hızlı veri bağlantılarıyla birbirine bağlanan bir grup bilgisayardır.

Ülkenin farklı yerlerinde düşük hızlı iletişim hatlarıyla birbirine bağlı birkaç şubeniz varsa, her şube için kendi web sitenizi oluşturabilirsiniz. Bu, dizin çoğaltmanın güvenilirliğini artırmak için yapılır.

AD'nin böyle bir bölümü, mantıksal yapı ilkelerini etkilemez, bu nedenle, tıpkı bir sitenin birkaç etki alanı içerebileceği gibi ve bunun tersi de, bir etki alanı birkaç site içerebilir. Ancak bu dizin hizmeti topolojisi bir sorunla doludur. Kural olarak, İnternet şubelerle iletişim kurmak için kullanılır - bu çok güvensiz bir ortamdır. Birçok şirket, güvenlik duvarları gibi güvenlik önlemleri kullanır. Dizin hizmeti, çalışmasında yaklaşık bir buçuk düzine bağlantı noktası ve hizmet kullanır; bunların açılması, AD trafiğinin güvenlik duvarından geçmesi için açılması onu gerçekten "dışarıda" açığa çıkarır. Sorunun çözümü, AD istemcilerinden gelen isteklerin işlenmesini hızlandırmak için tünel teknolojisinin yanı sıra her sitede bir etki alanı denetleyicisinin bulunmasıdır.

Dizin hizmeti bileşenlerini iç içe yerleştirme mantığı sunulmuştur. Ormanın, ağacın kök etki alanının sırasıyla OU'ları ve nesne gruplarını içerebileceği ve ayrıca alt etki alanlarına (bu durumda, her biri için bir tane) sahip olabileceği iki etki alanı ağacı içerdiği görülebilir. Alt etki alanları ayrıca nesne grupları ve OU'lar içerebilir ve alt etki alanlarına sahip olabilir (şekilde gösterilmemiştir). Ve benzeri. OU'ların OU'ları, nesneleri ve nesne gruplarını içerebileceğini ve grupların başka grupları içerebileceğini hatırlatmama izin verin.

Kullanıcı ve bilgisayar grupları - yönetimsel amaçlar için kullanılırlar ve bir ağdaki yerel makinelerde kullanıldıkları anlamla aynı anlama gelirler. OU'lardan farklı olarak, Grup İlkeleri gruplara uygulanamaz, ancak kontrol yetkisi verilebilir. Active Directory şeması çerçevesinde iki tür grup vardır: güvenlik grupları (ağ nesnelerine erişim haklarını ayırmak için kullanılır) ve dağıtım grupları (esas olarak, örneğin Microsoft Exchange Server'da posta iletileri göndermek için kullanılır).

Kapsamlarına göre sınıflandırılırlar:

• evrensel gruplar ormandaki kullanıcıları ve ormandaki herhangi bir etki alanındaki diğer evrensel grupları veya genel grupları içerebilir
• etki alanı genel grupları etki alanı kullanıcılarını ve aynı etki alanındaki diğer genel grupları içerebilir
• etki alanı yerel grupları erişim haklarını ayırt etmek için kullanılır, etki alanı kullanıcılarının yanı sıra ormandaki herhangi bir etki alanının evrensel gruplarını ve genel gruplarını içerebilir
• yerel bilgisayar grupları– yerel makinenin SAM'sinin (güvenlik hesabı yöneticisi) içerdiği gruplar. Kapsamları yalnızca bu makineyle sınırlıdır, ancak bilgisayarın bulunduğu etki alanındaki yerel grupların yanı sıra kendi etki alanlarındaki veya güvendikleri başka bir etki alanındaki evrensel ve genel grupları içerebilirler. Örneğin, yerel makinenin Yöneticiler grubuna Kullanıcılar etki alanı yerel grubundan bir kullanıcıyı dahil edebilir, böylece ona yalnızca bu bilgisayar için yönetici hakları verebilirsiniz.

2002'de en sevdiğim üniversitenin bilgisayar bilimleri bölümünün koridorunda yürürken NT Systems ofisinin kapısında yeni bir poster gördüm. Poster, sırayla okların diğer simgelere gittiği gruplar halinde gruplandırılmış kullanıcı hesaplarının simgelerini gösterdi. Bütün bunlar şematik olarak belirli bir yapıda birleştirildi, tek giriş sistemi, yetkilendirme ve benzerleri hakkında bir şeyler yazıldı. Şimdi anladığım kadarıyla o poster Windows NT 4.0 Domains ve Windows 2000 Active Directory sistemlerinin mimarisini anlatıyordu. O andan itibaren Active Directory ile ilk tanışmam başladı ve hemen sona erdi, çünkü ardından zor bir oturum, eğlenceli bir tatil oldu, ardından bir arkadaşım FreeBSD 4 ve Red Hat Linux disklerini paylaştı ve sonraki birkaç yıl boyunca içine daldım. Unix benzeri sistemler dünyası ama posterin içeriğini hiç unutmadım.
Tüm BT altyapısının yönetiminin Active Directory'ye dayalı olduğu bir şirkette çalışmaya başladığımda, geri dönüp Windows Server sistemlerini daha yakından tanımam gerekti. O şirketin baş yöneticisinin her toplantıda bir tür Active Directory En İyi Uygulamaları hakkında bir şeyler söyleyip durduğunu hatırlıyorum. Şimdi, Active Directory ile 8 yıllık periyodik iletişimden sonra, bu sistemin nasıl çalıştığını ve Active Directory Best Practices'in ne olduğunu çok iyi anladım.
Muhtemelen zaten tahmin ettiğiniz gibi, Active Directory hakkında konuşacağız.
ilgilenen herkese bu konu, kediye hoş geldiniz.

Bu öneriler, Windows Server 2008/R2 düzeyi ve üzeri etki alanları ve ormanlar için Windows 7 ve üzeri ile başlayan istemci sistemleri için geçerlidir.

Standardizasyon
Active Directory için planlama, nesneleri ve bunların dizindeki konumlarını adlandırmak için kendi standartlarınızı geliştirerek başlamalıdır. Gerekli tüm standartları tanımlayacak bir belge oluşturmak gereklidir. Tabii ki, bu BT uzmanları için oldukça yaygın bir öneridir. “Önce dokümantasyon yazıyoruz, sonra bu dokümantasyona dayalı bir sistem kuruyoruz” ilkesi çok iyi, ancak birçok nedenden dolayı pratikte nadiren uygulanıyor. Bu nedenler arasında - basit insan tembelliği veya uygun yeterlilik eksikliği, nedenlerin geri kalanı ilk ikisinden türetilmiştir.
Öneririm - önce belgeleri yazın, üzerinde düşünün ve ancak bundan sonra ilk etki alanı denetleyicisinin kurulumuna devam edin.
Örneğin, Active Directory nesnelerini adlandırma standartları hakkında belgenin bir bölümünü vereceğim.
Nesne adlandırma

• İsim özel gruplar GRUS_ ön ekiyle başlamalıdır (GR - Grup, ABD - Kullanıcılar)
• Bilgisayar gruplarının adı GRCP_ önekiyle başlamamalıdır (GR - Grup, CP - Bilgisayarlar)
• Delegasyon gruplarının adı GRDL_ önekiyle başlamalıdır (GR - Grup, DL - Delegasyon)
• Kaynak erişim gruplarının adı GRRS_ önekiyle başlamalıdır (GR - Grup, RS - kaynaklar)
• İlkeler için grupların adı GPUS_, GPCP_ ön ekleriyle başlamalıdır (GP - Grup ilkesi, ABD - Kullanıcılar, CP - Bilgisayarlar)
• İstemci bilgisayarların adı, kuruluşun adından itibaren iki veya üç harften ve ardından tire ile bir sayıdan oluşmalıdır, örneğin, nnt-01.
• Sunucu adları yalnızca iki harfle başlamalı, ardından bir tire ve ardından sunucu rolü ve sunucu numarası gelmelidir, örneğin, nn-dc01.

Mümkün olan her şeyi basitleştirin, dengeyi sağlamaya çalışın
Bir Active Directory oluştururken, basit ve anlaşılır mekanizmalar tercih ederek, bir denge sağlama ilkesini izlemelisiniz.
Denge ilkesi, çözümün maksimum basitliği ile gerekli işlevsellik ve güvenliği sağlamaktır.
Sistemi, yapısı en deneyimsiz yönetici ve hatta kullanıcı için anlaşılır olacak şekilde oluşturmaya çalışmak gerekir. Örneğin, bir zamanlar birkaç etki alanından bir orman yapısı oluşturma önerisi vardı. Ayrıca, yalnızca çok alanlı yapıların değil, aynı zamanda birkaç ormandan yapıların da konuşlandırılması önerildi. Belki de "böl ve fethet" ilkesi nedeniyle veya Microsoft'un herkese etki alanının bir güvenlik sınırı olduğunu söylediği ve organizasyonu etki alanlarına bölerek, bireysel olarak kontrol edilmesi daha kolay olan ayrı yapılar elde edeceğimiz için böyle bir öneri vardı. Ancak uygulamanın gösterdiği gibi, güvenlik sınırlarının etki alanları değil, kuruluş birimleri (OU) olduğu tek etki alanlı sistemlerin bakımını yapmak ve kontrol etmek daha kolaydır. Bu nedenle, karmaşık çok alanlı yapılar oluşturmaktan kaçının, nesneleri OU'ya göre gruplandırmak daha iyidir.
Tabii ki, fanatizm olmadan hareket etmelisiniz - birkaç alan olmadan yapamıyorsanız, ormanlarla birlikte birkaç alan oluşturmanız gerekir. Önemli olan, ne yaptığınızı ve bunun neye yol açabileceğini anlamanızdır.
Basit bir Active Directory altyapısının yönetiminin ve kontrolünün daha kolay olduğunu anlamak önemlidir. Hatta ne kadar basitse o kadar güvenli diyebilirim.
Sadeleştirme ilkesini uygulayın. Dengeyi sağlamaya çalışın.

"nesne - grup" ilkesini takip edin
için bir grup oluşturarak Active Directory nesneleri oluşturmaya başlayın. bu nesne, ve zaten gruba gerekli hakları atayın. Bir örneğe bakalım. Bir ana yönetici hesabı oluşturmanız gerekir. Önce Head Admins grubunu oluşturun ve ancak ondan sonra hesabın kendisini oluşturun ve bu gruba ekleyin. Head Admins grubuna, örneğin Domain Admins grubuna ekleyerek ana yöneticinin haklarını atayın. Neredeyse her zaman, bir süre sonra benzer haklara ihtiyaç duyan başka bir çalışanın işe geldiği ve Active Directory'nin farklı bölümlerine haklar devretmek yerine, onu sistemin zaten sahip olduğu gerekli gruba eklemenin mümkün olacağı ortaya çıkıyor. rol tanımladı ve gerekli yetkiyi verdi.
Bir örnek daha. Sistem yöneticileri grubuna kullanıcılarla kuruluş birimine yetki vermeniz gerekir. Hakları doğrudan yönetici grubuna devretmeyin, ancak özel grup hakları atadığınız GRDL_OUName_Operator_Accounts gibi. Ardından, sorumlu yöneticiler grubunu GRDL_OUName_Operator_Accounts grubuna eklemeniz yeterlidir. Yakın gelecekte, bu kuruluş biriminin haklarını başka bir yönetici grubuna devretmeniz gerekeceği kesin olarak ortaya çıkacaktır. Ve bu durumda, yönetici veri grubunu GRDL_OUName_Operator_Accounts yetki grubuna ekleyeceksiniz.
Aşağıdaki grup yapısını öneriyorum.

• Kullanıcı grupları (GRUS_)
• Yönetici grupları (GRAD_)
• Yetki grupları (GRDL_)
• Politika Grupları (GRGP_)

• Sunucu grupları (GRSR_)
• İstemci Bilgisayar Grupları (GRCP_)

• Paylaşılan Kaynak Erişim Grupları (GRRS_)
• Yazıcı Erişim Grupları (GRPR_)

kuruluş birimi mimarisi.
Bir kuruluş biriminin mimarisi her şeyden önce güvenlik ve bu kuruluş birimine ilişkin hakların sistem yöneticilerine devredilmesi açısından düşünülmelidir. OU mimarisini, grup politikalarını bunlara bağlama açısından planlamanızı önermiyorum (bu genellikle yapılmasına rağmen). Bazıları için önerim biraz garip gelebilir, ancak grup ilkelerini bir kuruluş birimine bağlamayı hiç önermiyorum. Grup İlkeleri bölümünde daha fazlasını okuyun.
kuruluş birimi yöneticileri
Yönetici hesapları ve grupları için, tüm yöneticilerin ve mühendislerin hesaplarının ve gruplarının yerleştirileceği ayrı bir kuruluş birimi tahsis etmenizi öneririm. teknik Destek. Bu OU'ya erişim sıradan kullanıcılarla sınırlandırılmalı ve bu OU'daki nesnelerin yönetimi yalnızca ana yöneticilere devredilmelidir.
kuruluş birimi bilgisayarları
Bilgisayar kuruluş birimleri, bilgisayar coğrafyası ve bilgisayar türleri açısından en iyi şekilde planlanır. Farklı coğrafi konumlardaki bilgisayarları farklı kuruluş birimlerine dağıtın ve ardından onları istemci bilgisayarlara ve sunuculara bölün. Sunucular ayrıca Exchange, SQL ve diğerlerine ayrılabilir.

Kullanıcılar, Active Directory'deki haklar
Active Directory kullanıcı hesaplarına özel dikkat gösterilmelidir. Kuruluş birimleri ile ilgili bölümde belirtildiği gibi, kullanıcı hesapları, bu hesaplara yetki devri ilkesine göre gruplandırılmalıdır. En az ayrıcalık ilkesine uymak da önemlidir - bir kullanıcının sistemde ne kadar az hakkı varsa o kadar iyidir. Kullanıcının ayrıcalık seviyesini hemen hesabının adına koymanızı tavsiye ederim. Günlük iş için bir hesap, kullanıcının soyadından ve Latince baş harflerinden oluşmalıdır (örneğin, IvanovIV veya IVIvanov). Zorunlu alanlar şunlardır: Ad, Baş Harfler, Soyadı, Görünen Ad (Rusça), e-posta, cep telefonu, İş Unvanı, Yönetici.
Yönetici hesapları aşağıdaki türlerde olmalıdır:

• Kullanıcı bilgisayarlarında yönetici haklarına sahip, ancak sunucularda değil. Sahibinin baş harflerinden ve ardından yerel önekten oluşmalıdır (ör. iivlocal)
• Sunucuları ve Active Directory'yi yönetme haklarına sahip. Yalnızca baş harflerinden oluşmalıdır (Örneğin, iiv).

Etki alanı ve yerel grupların bileşimi. Kısıtlanmış Gruplar Mekanizması
Etki alanı bilgisayarlarındaki etki alanı ve yerel grupların bileşimi yalnızca otomatik mod, Kısıtlanmış Gruplar mekanizmasını kullanarak. Bunu neden sadece bu şekilde yapmak gerekli, aşağıdaki örnekle açıklayacağım. Genellikle, Active Directory etki alanı bozulduktan sonra, yöneticiler kendilerini Domain admins, Enterprise admins, add to gibi etki alanı gruplarına ekler. istenen gruplar teknik destek mühendisleri ve diğer kullanıcılar da gruplara ayrılmıştır. Bu etki alanını yönetme sürecinde, hak verme süreci birçok kez tekrarlanır ve dün muhasebeci Nina Petrovna'yı geçici olarak 1C yöneticiler grubuna eklediğinizi ve bugün onu bu gruptan çıkarmanız gerektiğini hatırlamak son derece zor olacaktır. Şirketin birkaç yöneticisi varsa ve her biri zaman zaman kullanıcılara benzer tarzda haklar verirse durum daha da kötüleşecektir. Bir yıl içinde hangi hakların kime verildiğini anlamak neredeyse imkansız olacak. Bu nedenle, grupların bileşimi yalnızca her uygulamada her şeyi düzene sokacak olan grup politikaları tarafından kontrol edilmelidir.
Yerleşik grupların bileşimi
Hesap Operatörleri, Yedekleme operatörleri, Crypt Operatörleri, Misafirler, Yazdırma Operatörleri, Sunucu Operatörleri gibi yerleşik grupların hem etki alanında hem de istemci bilgisayarlarda boş olması gerektiğini söylemekte fayda var. Bu gruplara öncelikle eski sistemlerle geriye dönük uyumluluk için ihtiyaç duyulur ve bu grupların kullanıcılarına sistemde çok fazla hak verilir ve ayrıcalık yükseltme saldırıları mümkün hale gelir.

Yerel yönetici hesapları
Kısıtlanmış Gruplar mekanizmasını kullanarak, yerel bilgisayarlardaki yerel yönetici hesaplarını kilitlemeli, konuk hesaplarını kilitlemeli ve yerel bilgisayarlarda yerel yöneticiler grubunu temizlemelisiniz. Yerel yönetici hesapları için parola ayarlamak üzere asla grup ilkeleri kullanmayın. Bu mekanizma güvenli değildir, parola doğrudan ilkeden alınabilir. Ancak, yerel yönetici hesaplarını engellememeye karar verirseniz, parolaları doğru şekilde ayarlamak ve döndürmek için LAPS mekanizmasını kullanın. Ne yazık ki, LAPS yapılandırması tamamen otomatik değildir ve bu nedenle özelliklerin manuel olarak eklenmesi gerekecektir. Aktif şema Dizin, onlara haklar verin, gruplar atayın vb. Bu nedenle, yerel yönetici hesaplarını engellemek daha kolaydır.
Hizmet Hesapları.
Hizmetleri başlatmak için hizmet hesaplarını ve gMSA mekanizmasını kullanın (Windows 2012 ve üzeri sistemlerde bulunur)

Grup İlkeleri
Politikaları oluşturmadan/değiştirmeden önce belgeleyin.
İlke oluştururken "İlke - grup" ilkesini kullanın. Yani bir ilke oluşturmadan önce, bu ilke için bir grup oluşturun, Authenticated users grubunu ilke kapsamından çıkarın ve oluşturulan grubu ekleyin. İlkeyi bir OU'ya değil, etki alanının köküne bağlayın ve ilke grubuna nesneler ekleyerek uygulamasının kapsamını düzenleyin. Böyle bir mekanizmanın, bir politikayı bir kuruluş birimine bağlamaktan daha esnek ve anlaşılır olduğunu düşünüyorum. (OU Mimarisi bölümünde yazdığım şey buydu).
Her zaman ilkenin kapsamını ayarlayın. Yalnızca kullanıcılar için bir ilke oluşturduysanız, bilgisayar yapısını devre dışı bırakın ve tersi, yalnızca bilgisayarlar için bir ilke oluşturduysanız kullanıcı yapısını devre dışı bırakın. Bu ayarlar sayesinde politikalar daha hızlı uygulanacaktır.
Günlük ayarla destek olmak Power Shell kullanan politikalar, böylece yapılandırma hataları olması durumunda ayarları her zaman orijinal ayarlara döndürebilirsiniz.
Merkezi Mağaza Şablonları (Merkezi Mağaza)
Windows 2008'den başlayarak, Grup İlkesi ADMX şablonlarını SYSVOL'de merkezi bir depoda depolamak mümkün hale geldi. Bundan önce, varsayılan olarak, tüm ilke şablonları istemcilerde yerel olarak depolanıyordu. ADMX şablonlarını merkezi depoya yerleştirmek için, %SystemDrive%\Windows\PolicyDefinitions klasörünün içeriğini istemci sistemlerden (Windows 7/8/8.1) alt klasörlerle birlikte etki alanı denetleyicisinin %SystemDrive%\Windows\SYSVOL\domain alanına kopyalayın İçerik birleştirmeli ancak değiştirme yapılmayan \Policies\PolicyDefinitions dizini. Ardından, en eskisinden başlayarak sunucu sistemlerinden aynı kopyayı oluşturmalısınız. Son olarak, klasörleri ve dosyaları kopyalarken En son sürüm sunucusu, birleştirme ve DEĞİŞTİRME ile bir kopya yapın.

ADMX Şablonlarını Kopyalama

Ek olarak, herhangi bir yazılım ürünü için ADMX şablonları, örneğin aşağıdakiler gibi merkezi depolamaya yerleştirilebilir: Microsoft Office, Adobe, Google ve diğerlerinin ürünleri. Yazılım satıcısının web sitesine gidin, Grup İlkesi ADMX şablonunu indirin ve herhangi bir etki alanı denetleyicinizdeki %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions klasörüne çıkarın. Artık ihtiyacınız olan yazılım ürününü grup ilkeleri üzerinden yönetebilirsiniz.
WMI filtreleri
WMI filtreleri çok hızlı değildir, bu nedenle öğe düzeyinde hedefleme tercih edilir. Ancak, öğe düzeyinde hedefleme kullanılamıyorsa ve WMI kullanmaya karar verirseniz, hemen kendiniz için en yaygın filtrelerden birkaçını oluşturmanızı öneririm: "Yalnızca istemci işletim sistemleri" filtresi, "Yalnızca sunucu işletim sistemleri" filtresi, filtreler "Windows 7", "Windows 8", "Windows 8.1", "Windows 10" filtrelerini kullanır. Hazır WMI filtre kümeleriniz varsa, istenen filtreyi daha sonra istenen ilkeye uygulamak daha kolay olacaktır.

Active Directory Olaylarını Denetleme
Etki alanı denetleyicilerinde ve diğer sunucularda olay denetimini etkinleştirdiğinizden emin olun. Aşağıdaki nesnelerin denetlenmesini etkinleştirmenizi öneririm:

• Denetim Bilgisayar Hesap Yönetimi - Başarı, Başarısızlık
• Diğer Hesap Yönetimi Olaylarını Denetle - Başarı, Başarısızlık
• Denetim Güvenliği Grup Yönetimi - Başarı, Başarısızlık
• Denetim Kullanıcı Hesabı Yönetimi - Başarı, Başarısızlık

• Kerberos Kimlik Doğrulama Hizmetini Denetle - Başarısız
• Diğer Hesap Oturum Açma Olaylarını Denetle - Başarısız
• Denetim Denetim Politikası Değişikliği - Başarı, Başarısızlık

Gelişmiş denetim ayarları

Web'de bu konuya ayrılmış yeterli sayıda makale olduğundan, denetim ayarları üzerinde ayrıntılı olarak durmayacağım. Yalnızca, denetimi etkinleştirmeye ek olarak, kritik güvenlik olayları hakkında e-posta uyarıları yapılandırmanız gerektiğini ekleyeceğim. Ayrıca, çok sayıda olay içeren sistemlerde, günlük dosyalarını toplamak ve analiz etmek için ayrı sunucular tahsis etmeye değer.

Yönetim ve temizleme betikleri
Aynı türdeki ve sıklıkla tekrarlanan tüm eylemler, yönetim komut dosyaları kullanılarak gerçekleştirilmelidir. Bu eylemler arasında: kullanıcı hesapları oluşturmak, yönetici hesapları oluşturmak, gruplar oluşturmak, kuruluş birimleri oluşturmak vb. Komut dosyası oluşturma nesneleri, doğrudan komut dosyalarınızda sözdizimi kontrolleri oluşturarak Active Directory nesne adlandırma mantığınızı onurlandırmanıza olanak tanır.
Grupların yapısını otomatik olarak kontrol edecek, etki alanına uzun süredir bağlanmamış kullanıcıları ve bilgisayarları belirleyecek, diğer standartlarınızın ihlallerini tespit edecek vb. Temizleme komut dosyaları yazmaya da değer.
Standartlara uyumu izlemek ve arka plan işlemlerini gerçekleştirmek için yönetim komut dosyalarının kullanılmasını açık bir resmi tavsiye olarak görmedim. Ancak ben komut dosyalarını kullanarak otomatik modda kontrolleri ve prosedürleri tercih ediyorum, çünkü bu çok zaman kazandırıyor ve birçok hatayı ortadan kaldırıyor ve tabii ki yönetime yönelik biraz Unix yaklaşımım, birkaç komut yazmak daha kolay olduğunda burada etkiliyor pencerelere tıklamaktansa .

Manuel yönetim
Yönetim işlemlerinin bir kısmını sizin ve iş arkadaşlarınızın manuel olarak yapmanız gerekecek. Bu amaçlar için, ek bileşenler eklenmiş mmc konsolunu kullanmanızı öneririm.
Daha sonra tartışılacağı gibi, etki alanı denetleyicileriniz Sunucu Çekirdeği modunda çalışmalıdır, yani tüm AD ortamının yönetimi konsollar kullanılarak yalnızca bilgisayarınızdan gerçekleştirilmelidir. Active Directory'yi yönetmek için bilgisayarınıza Uzak Sunucu Yönetim Araçlarını yüklemeniz gerekir. Konsollar, bilgisayarınızda denetim yetkisi verilmiş Active Directory yönetici haklarına sahip bir kullanıcı olarak çalıştırılmalıdır.
Active Directory'yi konsolları kullanarak yönetme sanatı ayrı bir makale ve hatta belki ayrı bir eğitim videosu gerektirir, bu yüzden burada sadece prensibin kendisinden bahsediyorum.

Etki alanı denetleyicileri
Herhangi bir etki alanında en az iki denetleyici bulunmalıdır. Etki alanı denetleyicilerinde mümkün olduğunca az hizmet bulunmalıdır. Bir etki alanı denetleyicisinden bir dosya sunucusu yapmamalı veya Tanrı korusun, bunun üzerinde bir terminal sunucusunun rolünü yükseltmemelisiniz. Etki alanı denetleyicilerinde Sunucu Çekirdeği modunda işletim sistemlerini kullanın, WoW64 desteğini tamamen kaldırın, bu, WoW64 sayısını önemli ölçüde azaltacaktır. gerekli güncellemeler ve güvenliklerini artırın.
Microsoft daha önce, anlık görüntülerden geri yükleme yapılırken çözülmesi zor çoğaltma çakışmalarının mümkün olması nedeniyle etki alanı denetleyicilerinin sanallaştırılmasını önermedi. Başka nedenleri de olabilir, kesin olarak söyleyemem. Artık hipervizörler, denetleyicilere onları anlık görüntülerden geri yüklemelerini söylemeyi öğrendi ve bu sorun ortadan kalktı. Herhangi bir anlık görüntü almadan denetleyicileri her zaman sanallaştırdım, çünkü etki alanı denetleyicilerinde böyle bir işlemin neden gerekli olabileceğini anlamıyorum. bence yapması daha kolay destek olmak standart yollarla etki alanı denetleyicisi. Bu nedenle, mümkün olan tüm etki alanı denetleyicilerini sanallaştırmanızı öneririm. Bu yapılandırma daha esnek olacaktır. Etki alanı denetleyicilerini sanallaştırırken, bunları farklı fiziksel ana bilgisayarlara yerleştirin.
Bir etki alanı denetleyicisini güvenli olmayan bir yere yerleştirmeniz gerekirse fiziki çevre veya kuruluşunuzun bir şubesinde, RODC'yi bu amaçlar için kullanın.

FSMO rolleri, birincil ve ikincil denetleyiciler
Etki alanı denetleyicisi FSMO rolleri, acemi yöneticilerin kafasında korku uyandırmaya devam ediyor. Yeni başlayanlar genellikle eski belgeleri kullanarak Active Directory'yi inceler veya bir yerlerde bir şeyler okumuş olan diğer yöneticilerin hikayelerini dinler.
Beş + 1 rolün tümü için kısaca şunları söylemek gerekir. Windows Server 2008'den başlayarak, artık birincil ve ikincil etki alanı denetleyicileri yoktur. Beş etki alanı denetleyicisi rolünün tümü taşınabilirdir ancak aynı anda birden fazla etki alanı denetleyicisinde barındırılamaz. Örneğin 4 rolün sahibi olan denetleyicilerden birini alıp silersek, tüm bu rolleri kolayca diğer denetleyicilere aktarabiliriz ve etki alanında korkunç bir şey olmaz, hiçbir şey bozulmaz. Bu, belirli bir rolle ilişkilendirilen çalışma hakkındaki tüm bilgilerin sahibi tarafından doğrudan Active Directory'de saklanması nedeniyle mümkündür. Ve rolü başka bir denetleyiciye aktarırsak, o zaman öncelikle Active Directory'de depolanan bilgileri ister ve hizmet vermeye başlar. Alan adı yeterli olabilir uzun zamandır rol ustaları olmadan var olur. Her zaman Active Directory'de olması gereken ve onsuz her şeyin çok kötü olacağı tek "rol", genel kataloğun (GC) rolüdür, etki alanındaki tüm denetleyiciler tarafından taşınabilir. Etki alanındaki her denetleyiciye GC rolü atamanızı öneririm, ne kadar çok olursa o kadar iyi. Elbette, GC rolünü bir etki alanı denetleyicisine yüklememeniz gereken durumlar da bulabilirsiniz. Peki, zorunda değilsen, zorunda değilsin. Fanatizm olmadan tavsiyelere uyun.

DNS hizmeti
DNS hizmeti, Active Directory'nin çalışması için kritik öneme sahiptir ve sorunsuz çalışmalıdır. DNS hizmeti en iyi şekilde her etki alanı denetleyicisine konur ve DNS bölgelerini Active Directory'nin kendisinde depolar. DNS bölgelerini depolamak için Active Directory kullanacaksanız, etki alanı denetleyicilerindeki TCP / IP bağlantısının özelliklerini, her denetleyicinin birincil DNS sunucusu olarak başka bir DNS sunucusuna sahip olacağı ve ikincil DNS sunucusunu ayarlayabileceğiniz şekilde yapılandırmanız gerekir. adres 127.0.0.1. Active Directory hizmetinin normal başlatılması için çalışan bir DNS gerektiğinden ve DNS bölgesinin kendisini içerdiğinden, DNS'nin başlaması için Active Directory hizmetinin çalışıyor olması gerektiğinden, bu yapılandırma gereklidir.
Tüm ağlarınız için geriye doğru arama bölgeleri kurduğunuzdan ve otomatik etkinleştirdiğinizden emin olun. güvenli güncelleme PTR kayıtları.
Ek olarak, bölgenin eski DNS kayıtlarından otomatik olarak temizlenmesini (dns atma) etkinleştirmenizi öneririm.
Coğrafi konumunuzda daha hızlı başka sunucular yoksa, güvenli Yandex sunucularını DNS Yönlendiricileri olarak belirlemenizi öneririm.

Siteler ve çoğaltma
Birçok yönetici, siteleri coğrafi bir bilgisayar grubu olarak düşünme eğilimindedir. Örneğin, Moskova sitesi, St. Petersburg sitesi. Bu görüş, çoğaltma ağ trafiğini dengelemek ve ayırmak için Active Directory'nin sitelere orijinal bölünmesinin yapılması nedeniyle ortaya çıktı. Moskova'daki etki alanı denetleyicilerinin, şu anda St. Petersburg'da on bilgisayar hesabının oluşturulduğunu bilmesine gerek yok. Ve bu nedenle, değişikliklerle ilgili bu tür bilgiler bir programa göre saatte bir iletilebilir. Hatta bant genişliğinden tasarruf etmek için değişiklikleri günde bir kez ve yalnızca geceleri çoğaltın.
Siteler hakkında şunu söyleyebilirim: siteler mantıksal bilgisayar gruplarıdır. Birbirine iyi bağlanan bilgisayarlar ağ bağlantısı. Ve sitelerin kendileri küçük bir bağlantıyla birbirine bağlanır. verim Bu günlerde nadir görülen bir durum. Bu nedenle, Active Directory'yi replikasyon trafiğini dengelemek için değil, genel olarak ağ yükünü dengelemek ve site bilgisayarlarından gelen istemci isteklerini daha hızlı işlemek için sitelere ayırıyorum. Bir örnekle açıklayayım. Kuruluşun iki adet etki alanı denetleyicisi tarafından hizmet verilen 100 megabitlik bir yerel ağı ve diğer iki bulut denetleyicisi ile bu kuruluşun uygulama sunucularının bulunduğu bir bulut bulunmaktadır. Böyle bir ağı, yerel ağdaki denetleyicilerin yerel ağdan gelen istemci isteklerini işlemesi ve buluttaki denetleyicilerin uygulama sunucularından gelen istekleri işlemesi için iki siteye ayıracağım. Ek olarak, bu, DFS ve Exchange hizmetlerine yönelik istekleri ayıracaktır. Ve artık saniyede 10 megabitten daha az bir İnternet kanalını nadiren gördüğüm için, Bildirim Tabanlı Çoğaltma'yı etkinleştireceğim, bu, Active Directory'de herhangi bir değişiklik olur olmaz verilerin çoğaltıldığı zamandır.

Çözüm
Bu sabah insan bencilliğinin toplumda neden hoş karşılanmadığını ve derin bir algı düzeyinde bir yerlerde son derece olumsuz duygulara neden olduğunu düşünüyordum. Ve aklıma gelen tek cevap, fiziksel ve entelektüel kaynakları nasıl paylaşacağını öğrenmemiş olsaydı, insan ırkının bu gezegende hayatta kalamayacağıydı. Bu nedenle bu makaleyi sizinle paylaşıyorum ve önerilerimin sistemlerinizi geliştirmenize yardımcı olacağını ve sorun gidermeye çok daha az zaman harcayacağınızı umuyorum. Bütün bunlar, yaratıcılık için daha fazla zaman ve enerjinin salınmasına yol açacaktır. Yaratıcı ve özgür insanların dünyasında yaşamak çok daha keyifli.
Bilgi ve uygulamalarınızı mümkünse yorumlarda paylaşırsanız iyi olur. Aktif oluşturur dizin.
Herkese barış ve iyilik!

Sitenin gelişimi için bazı fonlara yardım edebilir ve aktarabilirsiniz.

Kısacası AD, yayınlanan tüm kaynaklar için tek bir yönetim noktası kullanmanıza olanak tanır. AD, X.500 adlandırma standardını temel alır, Etki Alanı Adı Sistemi (DNS) konum belirleme için kullanılır ve temel protokol olarak Basit Dizin kullanılır Erişim Protokolü(LDAP).

AD, bir ağın mantıksal ve fiziksel yapısını birleştirir. AD mantıksal yapısı aşağıdaki öğelerden oluşur:

• kuruluş birimi - kural olarak şirketin yapısını yansıtan bir bilgisayar alt grubu;
• ihtisas – ortak bir dizin veri tabanını paylaşan bir grup bilgisayar;
• etki alanı ağacı – bitişik bir ad alanını paylaşan bir veya daha fazla etki alanı;
• etki alanı ormanı – dizin bilgilerini paylaşan bir veya daha fazla ağaç.

Fiziksel yapı aşağıdaki unsurları içerir:

• alt ağ – belirli bir IP adresi aralığına ve bir ağ maskesine sahip bir ağ grubu;
• alan bir veya daha fazla alt ağ. Site, dizin erişimini yapılandırmak ve çoğaltma için kullanılır.

Dizin üç tür bilgiyi depolar: etki alanı verileri, şema verileri ve yapılandırma verileri. AD yalnızca etki alanı denetleyicilerini kullanır. Etki alanı verileri, tüm etki alanı denetleyicilerine çoğaltılır. Tüm etki alanı denetleyicileri eşittir, yani herhangi bir etki alanı denetleyicisinden yapılan tüm değişiklikler diğer tüm etki alanı denetleyicilerine kopyalanacaktır. Şema ve yapılandırma verileri, bir ağaç veya ormandaki tüm etki alanlarına çoğaltılır. Ayrıca, tüm bağımsız etki alanı nesneleri ve bazı orman nesnesi özellikleri, genel kataloğa (GC) çoğaltılır. Bu, etki alanı denetleyicisinin ağaç veya orman şemasını, ağaç veya ormandaki tüm etki alanları için yapılandırma bilgilerini ve kendi etki alanı için tüm dizin nesnelerini ve özelliklerini depoladığı ve çoğalttığı anlamına gelir.

GC'yi barındıran etki alanı denetleyicisi, orman için şema bilgilerini, ormandaki tüm etki alanları için yapılandırma bilgilerini ve ormandaki tüm dizin nesneleri için sınırlı bir özellik kümesini (yalnızca GC sunucuları arasında çoğaltılır) tutar ve çoğaltır. ve etki alanınız için tüm dizin nesneleri ve özellikleri.

Etki alanı denetleyicilerinin farklı işlem yöneticisi rolleri olabilir. İşlem yöneticisi, çok yöneticili çoğaltma modelinde gerçekleştirmesi uygun olmayan görevleri gerçekleştirir.

Bir veya daha fazla etki alanı denetleyicisine atanabilecek beş işlem yöneticisi rolü vardır. Bazı rollerin orman düzeyinde, diğerleri etki alanı düzeyinde benzersiz olması gerekir.

Her AD ormanında aşağıdaki roller bulunur:

• şema yöneticisi – güncellemeleri ve dizin şeması değişikliklerini yönetir. Katalog şemasını güncellemek, şema yöneticisine erişim gerektirir. Etki alanında şu anda hangi sunucunun şema yöneticisi olduğunu belirlemek için, komut satırı penceresine komutu yazmanız gerekir. dsquery sunucusu -hasfsmo şeması
• etki alanı adlandırma ustası - ormandaki etki alanlarının eklenmesini ve kaldırılmasını yönetir. Bir etki alanı eklemek veya kaldırmak, etki alanı adlandırma yöneticisine erişim gerektirir. Şu anda hangi sunucunun etki alanı adlandırma yöneticisi olduğunu belirlemek için, bir komut istemi penceresinde dsquery server -hasismo name yazın

Bu roller bir bütün olarak ormanda ortaktır ve ormanda benzersizdir.

Her AD etki alanı aşağıdaki rollere sahiptir:

• Göreli kimlik yöneticisi - İlgili tanımlayıcıları etki alanı denetleyicilerine tahsis eder. Bir kullanıcı, grup veya bilgisayar nesnesi her oluşturulduğunda, denetleyiciler nesneye bir etki alanı SID'sinden ve ilgili tanımlayıcı yöneticisi tarafından tahsis edilen benzersiz bir tanımlayıcıdan oluşan benzersiz bir SID atar. Şu anda hangi sunucunun göreli etki alanı tanımlayıcılarının yöneticisi olduğunu belirlemek için, komut isteminde dsquery server -hasfsmo rid yazın.
• PDC emülatörü (PDC emülatörü) - Karma veya hazırlama etki alanı modunda bir Windows NT birincil etki alanı denetleyicisi olarak işlev görür. Windows oturumunun kimliğini doğrular, parola değişikliklerini işler ve varsa güncellemeleri BDC'ye çoğaltır. Şu anda hangi sunucunun etki alanının PDC öykünücüsü olduğunu belirlemek için, komut isteminde dsquery server -hasfsmo pdc yazın.
• altyapı ustası - Dizin verilerini GC verileriyle karşılaştırarak nesne referanslarını günceller. Veriler güncel değilse, GC'den güncellemeler ister ve bunları diğer etki alanı denetleyicilerine çoğaltır. Şu anda hangi sunucunun etki alanı altyapısı yöneticisi olduğunu belirlemek için, komut isteminde dsquery server -hasfsmo infr yazın.

Bu roller tüm etki alanı için ortaktır ve kendi içinde benzersiz olmalıdır.

Operasyon yöneticisi rolleri, etki alanındaki ilk denetleyiciye otomatik olarak atanır, ancak daha sonra sizin tarafınızdan yeniden atanabilir. Etki alanında yalnızca bir denetleyici varsa, o zaman tüm işlem yöneticilerinin rollerini aynı anda gerçekleştirir.

Şema yöneticisi ve etki alanı adlandırma yöneticisi rollerini ayırmanızı önermiyoruz. Mümkünse, bunları aynı etki alanı denetleyicisine atayın. En fazla verimlilik için, ilgili tanımlayıcı yöneticisinin ve PDC öykünücüsünün de aynı denetleyicide bulunması arzu edilir, ancak gerekirse bu roller ayrılabilir. İÇİNDE büyük ağ ağır iş yüklerinin performansı düşürdüğü durumlarda, ilgili kimlik yöneticisi ve PDC öykünücüsü farklı denetleyicilere yerleştirilmelidir. Ayrıca, altyapı yöneticisinin genel kataloğu tutan bir etki alanı denetleyicisinde barındırılmasını önermiyoruz.

Active Directory Kurulum Sihirbazını Kullanarak Windows Server 2003 Etki Alanı Denetleyicisi (DC) Kurma

Etki alanı denetleyicisi, Active Directory Kurulum Sihirbazı kullanılarak kurulur. Bir sunucuyu etki alanı denetleyicisine yükseltmek için, bunun için gerekli tüm gereksinimlerin karşılandığından emin olmanız gerekir:

1. SYSVOL sistem birimini barındırmak için sunucunun en az bir NTFS bölümü olmalıdır.
2. Sunucunun DNS sunucusuna erişimi olmalıdır. DNS hizmetinin aynı sunucuya kurulması tavsiye edilir. Bağımsız bir sunucu kullanılıyorsa, Hizmet Konumu Kaynak Kayıtlarını (RFC 2052) ve Dinamik Güncellemeler Protokolünü (RFC 2136) desteklediğinden emin olunmalıdır.
3. Sunucuda yerel yönetici haklarına sahip bir hesabınızın olması gerekir.

Sunucu rolünün Active Directory etki alanı denetleyicisine yükseltilmesini adım adım ayrıntılı olarak ele alalım:

Active Directory Etki Alanı Yönetimi Temelleri

Microsoft Yönetim Konsolu (MMC) ek bileşenlerindeki bir dizi araç, Active Directory ile çalışmayı kolaylaştırır.

(Active Directory Users and Computers) ek bileşeni, dizinde bilgi yönetmek ve yayınlamak için kullanabileceğiniz bir MMC yönetim konsoludur. Active Directory'nin ana yönetim aracıdır ve kullanıcılar, gruplar ve bilgisayarlarla ilgili tüm görevleri gerçekleştirmek ve kuruluş birimlerini yönetmek için kullanılır.

Ek bileşeni (Active Directory Kullanıcıları ve Bilgisayarları) başlatmak için Yönetimsel Araçlar menüsünden aynı adlı komutu seçin.

Varsayılan olarak, Active Directory Kullanıcıları ve Bilgisayarları konsolu, bilgisayarınızın ait olduğu etki alanıyla çalışır. Bu etki alanındaki bilgisayar ve kullanıcı nesnelerine konsol ağacından erişebilir veya başka bir etki alanına bağlanabilirsiniz. Aynı konsolun araçları, nesnelerin ek parametrelerini görüntülemenize ve bunları aramanıza olanak tanır.

Etki alanına erişim kazandıktan sonra, standart bir klasör grubu göreceksiniz:

• Kayıtlı Sorgular (Kayıtlı sorgular) - Active Directory'de daha önce gerçekleştirilen bir aramayı hızlı bir şekilde tekrarlamanıza izin veren kayıtlı arama kriterleri;
• Yerleşik – yerleşik kullanıcı hesaplarının listesi;
• bilgisayarlar – bilgisayar hesapları için varsayılan kapsayıcı;
• Etki Alanı Denetleyicileri – etki alanı denetleyicileri için varsayılan kapsayıcı;
• Dış GüvenlikMüdürleri – güvenilir bir harici etki alanındaki nesneler hakkında bilgi içerir. Tipik olarak, bu nesneler, geçerli etki alanı grubuna harici bir etki alanından bir nesne eklendiğinde oluşturulur;
• Kullanıcılar kullanıcılar için varsayılan kapsayıcıdır.

Bazı konsol klasörleri varsayılan olarak görüntülenmez. Bunları görüntülemek için Görünüm menüsünden (Görünüm) Gelişmiş Özellikler komutunu seçin. Ek fonksyonlar). Bu ek klasörler şunlardır:

• Kayıp eşya bürosu – kayıp sahipler, dizin nesneleri;
• NTDS Kotaları – dizin hizmeti kotalarına ilişkin veriler;
• Program verisi – Microsoft uygulamaları için dizin hizmetinde saklanan veriler;
• Sistem – yerleşik sistem parametreleri.

AD ağacına kuruluş birimleri için klasörler ekleyebilirsiniz.

Bir etki alanı kullanıcı hesabı oluşturmaya ilişkin bir örneği ele alalım. Bir kullanıcı hesabı oluşturmak için, kullanıcı hesabını yerleştirmek istediğiniz kapsayıcıya sağ tıklayın, aşağıdakiler arasından seçim yapın: bağlam menüsü Yeni (Oluştur) ve ardından - Kullanıcı (Kullanıcı). Yeni Nesne – Kullanıcı sihirbazı penceresi açılacaktır:

1. Uygun alanlara kullanıcının adını, adının baş harfini ve soyadını girin. Bu bilgi, kullanıcının görünen adını oluşturmak için gerekli olacaktır.
2. Tam adı düzenleyin. Etki alanı içinde benzersiz olmalı ve 64 karakterden uzun olmamalıdır.
3. Oturum açma adınızı girin. Hesabın ilişkilendirileceği etki alanını seçmek için açılır listeyi kullanın.
4. Gerekirse, Windows NT 4.0 veya önceki sürümlerini çalıştıran sistemler için oturum açma kullanıcı adını değiştirin. Varsayılan olarak, Windows'un önceki sürümlerini çalıştıran sistemlerde oturum açma adı olarak kullanıcının tam adının ilk 20 karakteri kullanılır. Bu ad, etki alanı içinde de benzersiz olmalıdır.
5. Tıklamak Sonraki (Sonraki). Kullanıcı için bir şifre belirleyin. Ayarları, parola politikanızla eşleşmelidir;
   Parolayı Onayla - girilen parolanın doğruluğunu onaylamak için kullanılan bir alan;
   Kullanıcı bir sonraki oturum açışında parolayı değiştirmeli(Bir sonraki girişte şifre değişikliği iste) - bu kutu işaretlenirse, kullanıcının bir sonraki girişte şifreyi değiştirmesi gerekecektir;
   Kullanıcı parolayı değiştiremez - bu kutu işaretlenirse, kullanıcı parolayı değiştiremez;
   Parolanın süresi asla dolmaz - bu kutu işaretlenirse, bu hesabın parolasının süresi dolmaz (bu ayar, etki alanı hesap politikasını geçersiz kılar);
   Hesap devre dışı bırakıldı - İşaretlenirse, hesap devre dışı bırakılır (birinin hesabı kullanmasını geçici olarak engellemek için kullanışlıdır).

Hesaplar, kullanıcı iletişim bilgilerinin yanı sıra çeşitli etki alanı gruplarına katılım, profil yolu, oturum açma komut dosyası, ana klasör yolu, kullanıcının etki alanına girmesine izin verilen bilgisayarların listesi vb. hakkında bilgileri saklamanıza olanak tanır.

Oturum açma komut dosyaları, her oturum açmada yürütülen komutları tanımlar. Sistem saatini, ağ yazıcılarını, ağ sürücüsü yollarını vb. yapılandırmanıza izin verirler. Komut dosyaları, komutları bir kez çalıştırmak için kullanılır ve komut dosyaları tarafından ayarlanan ortam ayarları daha sonra kullanılmak üzere kaydedilmez. Oturum açma komut dosyaları, .VBS, .JS ve diğerleri uzantılı Windows Komut Dosyası Sunucusu dosyaları, .BAT uzantılı toplu iş dosyaları, .CMD uzantılı komut dosyaları, .EXE uzantılı programlar olabilir.

Kullanıcı dosyalarını depolamak ve geri yüklemek için her hesaba kendi ana klasörünü atayabilirsiniz. Çoğu uygulama, dosya açma ve kaydetme işlemleri için varsayılan olarak giriş klasörünü açarak kullanıcıların verilerini bulmasını kolaylaştırır. Komut satırında, ana klasör ilk geçerli dizindir. Ana klasör, kullanıcının yerel sabit sürücüsünde veya paylaşılan bir ağ sürücüsünde bulunabilir.

Grup ilkeleri, etki alanı bilgisayarına ve kullanıcı hesaplarına uygulanabilir. Grup İlkesi, yöneticilere kullanıcıların ve bilgisayarların ayrıcalıkları, izinleri ve yetenekleri üzerinde merkezi denetim sağlayarak yönetimi basitleştirir. Grup İlkesi şunları yapmanızı sağlar:

• merkezi olarak yönetilen oluştur özel klasörler, örneğin Belgelerim (Belgelerim);
• Windows bileşenlerine, sistem ve ağ kaynaklarına, kontrol paneli araçlarına, masaüstüne ve Başlat menüsüne erişimi yönetin;
• belirli bir zamanda bir görevi yürütmek için kullanıcı ve bilgisayar komut dosyalarını yapılandırın;
• parolalar ve hesap kilitlemeleri, denetim, kullanıcı hakları atamaları ve güvenlik için ilkeleri yapılandırın.

Kullanıcı hesaplarını ve gruplarını yönetmeye ek olarak, başka birçok alan yönetimi görevi vardır. Bunun için başka araçlar ve uygulamalar var.

arma Active Directory Etki Alanları ve Güvenleri(Active Directory - Domains and Trusts) domainler, domain ağaçları ve domain ormanları ile çalışmak için kullanılır.

arma Aktif Dizin Siteleri ve Hizmetleri(Active Directory - Siteler ve Hizmetler), siteleri ve alt ağları ve ayrıca siteler arası çoğaltmayı yönetmenize olanak tanır.

AD nesnelerini yönetmek için, çok çeşitli yönetim görevlerini gerçekleştirmenize izin veren komut satırı araçları vardır:

• Dsadd - Active Directory'ye bilgisayarlar, kişiler, gruplar, kuruluş birimleri ve kullanıcılar ekler. Yardım için dsadd /? dsadd bilgisayar/?
• dsmod - Active Directory'de kayıtlı bilgisayarların, kişilerin, grupların, kuruluş birimlerinin, kullanıcıların ve sunucuların özelliklerini değiştirir. Yardım için dsmod /? , örneğin dsmod sunucusu /?
• Dsmove – Tek bir nesneyi etki alanı içinde yeni bir konuma taşır veya bir nesneyi taşımadan yeniden adlandırır.
• Dsget - Active Directory'de kayıtlı bilgisayarların, kişilerin, grupların, kuruluş birimlerinin, kullanıcıların, sitelerin, alt ağların ve sunucuların özelliklerini görüntüler. Yardım için dsget /? , örneğin dsget alt ağı /?
• dsquery – Active Directory'de belirtilen kriterlere göre bilgisayarları, kişileri, grupları, kuruluş birimlerini, kullanıcıları, siteleri, alt ağları ve sunucuları arar.
• dsrm – Active Directory'den bir nesneyi siler.
• Ntdsutil - site, etki alanı veya sunucu bilgilerini görüntülemenize, işlem yöneticilerini yönetmenize ve Active Directory veritabanını korumanıza olanak tanır.

Active Directory destek araçları da vardır:

• ldp – LDAP protokolünü kullanarak Active Directory Yönetiminde işlemler gerçekleştirir.
• Replmon – Çoğaltmayı yönetir ve sonuçlarını grafik bir arayüzde görüntüler.
• Dsacls – Active Directory nesneleri için ACL'leri (Erişim Kontrol Listeleri) yönetir.
• Dfsutil - Dağıtılmış bir dosya sistemini yönetir (Dağıtılmış Dosya sistemi, DFS) ve çalışmasıyla ilgili bilgileri görüntüler.
• dnscmd – Sunucuların, bölgelerin ve DNS kaynak kayıtlarının özelliklerini yönetir.
• Hareket Ağacı – Nesneleri bir etki alanından diğerine taşır.
• Repadmin – Çoğaltmayı yönetir ve sonuçlarını bir komut satırı penceresinde görüntüler.
• sdcbeck – Erişim kontrol listelerinin dağıtımını, replikasyonunu ve kalıtımını analiz eder.
• kaldırımcı – Önceden taşınmış, silinmiş veya sahipsiz hesaplara ait olan nesneler için erişim kontrol listelerini belirtir.
• ağ – Etki alanlarını ve güven ilişkilerini komut satırından yönetmenize olanak tanır.

Bu makaleden de görülebileceği gibi, bilgisayar gruplarını Active Directory tabanlı etki alanlarında birleştirmek, bilgisayarlar ve kullanıcılar için etki alanı hesaplarının yönetimini merkezileştirerek yönetim görevlerinin maliyetlerini önemli ölçüde azaltmanıza ve ayrıca kullanıcı haklarını esnek bir şekilde yönetmenize olanak tanır. güvenlik ve bir dizi başka parametre. Etki alanlarının organizasyonuyla ilgili daha ayrıntılı materyaller ilgili literatürde bulunabilir.

Dipnot: Bu ders, Active Directory dizin hizmetlerinin temel kavramlarını açıklar. Ağ güvenliği yönetiminin uygulamalı örnekleri verilmektedir. Grup politikalarının mekanizması açıklanmıştır. Görevler hakkında bilgi sağlar ağ yöneticisi bir dizin hizmeti altyapısını yönetirken

Modern ağlar genellikle birçok farklı yazılım platformundan, çok çeşitli donanım ve yazılımdan oluşur. Kullanıcılar, çeşitli ağ kaynaklarına erişmek için genellikle çok sayıda parolayı hatırlamaya zorlanır. Erişim hakları, birlikte çalıştığı kaynaklara bağlı olarak aynı çalışan için farklı olabilir. Tüm bu karşılıklı ilişkiler, yönetici ve kullanıcıdan analiz, ezberleme ve öğrenme için çok fazla zaman gerektirir.

Böylesine heterojen bir ağı yönetme sorununun çözümü, dizin hizmetinin geliştirilmesiyle bulundu. Dizin Hizmetleri, ağ boyutu, işletim sistemleri veya donanım karmaşıklığından bağımsız olarak herhangi bir kaynak veya hizmeti herhangi bir yerden yönetme yeteneği sağlar. Kullanıcı hakkındaki bilgiler, dizin hizmetine bir kez girilir ve bundan sonra tüm ağda kullanılabilir hale gelir. adresler E-posta, gruplara üyelik, farklı işletim sistemleriyle çalışmak için gerekli erişim hakları ve hesaplar - tüm bunlar otomatik olarak oluşturulur ve güncel tutulur. Bir yönetici tarafından dizin hizmetinde yapılan herhangi bir değişiklik, ağ genelinde anında güncellenir. Yöneticilerin artık işten çıkarılan çalışanlar için endişelenmesine gerek yok; yalnızca bir kullanıcı hesabını dizin hizmetinden silerek, garanti verebilirler otomatik silme daha önce bu çalışana verilen ağ kaynaklarına tüm erişim hakları.

Şu anda, çeşitli şirketlerin rehber hizmetlerinin çoğu standarda dayanmaktadır. X.500. Dizin hizmetlerinde depolanan bilgilere erişmek için genellikle bir protokol kullanılır. (LDAP). Bağlantılı olarak hızlı gelişim TCP/IP ağları, LDAP, dizin hizmetleri ve dizin odaklı uygulamalar için standart haline gelmektedir.

Dizin hizmeti Active Directory, Windows sistemine dayalı kurumsal ağların mantıksal yapısının temelidir. Dönem " Katalog"en geniş anlamda" anlamına gelir dizin", A dizin hizmeti kurumsal ağ, merkezi bir kurumsal dizindir. Kurumsal dizin, çeşitli türlerdeki nesneler hakkında bilgi içerebilir. Dizin hizmeti Active Directory, öncelikle güvenlik sisteminin dayandığı nesneleri içerir. Windows ağları, - kullanıcı, grup ve bilgisayar hesapları. Hesaplar mantıksal yapılar halinde düzenlenir: etki alanı, ağaç, orman, kuruluş birimleri.

"Ağ" dersinin materyalini incelemek açısından yönetim"Öğreticiyi şu şekilde incelemek oldukça mümkündür: önce bu bölümün ilk bölümünü inceleyin (temel kavramlardan etki alanı denetleyicilerinin kurulumuna kadar), ardından "Dosya ve Yazdırma Hizmeti"ne gidin ve "Dosya ve Yazdırma Hizmeti"ni inceledikten sonra dizin hizmetlerinin daha gelişmiş kavramlarını öğrenmek için "Active Directory Hizmet Dizini"ne dönün.

6.1 Temel terimler ve kavramlar (orman, ağaç, etki alanı, kuruluş birimi). Bir AD ad alanı için planlama. Etki Alanı Denetleyicilerini Yükleme

Güvenlik Yönetimi Modelleri: Çalışma Grubu Modeli ve Merkezi Etki Alanı Modeli

Yukarıda bahsedildiği gibi, dizin hizmetlerinin temel amacı ağ güvenliğini yönetmektir. Ağ güvenliğinin temeli, ağ kaynaklarına erişimin kontrol edildiği kullanıcıların, kullanıcı gruplarının ve bilgisayarların hesaplarından (hesaplarından) oluşan bir veritabanıdır. Active Directory dizin hizmetinden bahsetmeden önce, bir dizin hizmetleri veritabanı oluşturmak ve kaynaklara erişimi yönetmek için iki modeli karşılaştıralım.

Model "Çalışma Grubu"

Bu kurumsal ağ güvenlik yönetimi modeli en ilkel olanıdır. Küçük kullanım için tasarlanmıştır eşler arası ağlar(3–10 bilgisayar) ve Windows NT/2000/XP/2003 işletim sistemli ağdaki her bilgisayarın kendi yerel hesap veritabanına sahip olduğu ve bu yerel veritabanının bu bilgisayarın kaynaklarına erişimi kontrol ettiği gerçeğine dayanır. Yerel hesap veritabanına veritabanı denir. SAM (Güvenlik Hesabı Yöneticisi) ve işletim sisteminin kayıt defterinde saklanır. Bireysel bilgisayarların veritabanları birbirinden tamamen izole edilmiştir ve hiçbir şekilde bağlantılı değildir.

Böyle bir model kullanan bir erişim kontrolü örneği, Şekil 1'de gösterilmektedir. 6.1.

Pirinç. 6.1.

İÇİNDE bu örnek iki sunucu (SRV-1 ve SRV-2) ve iki iş istasyonu (WS-1 ve WS-2) gösterilmektedir. SAM veritabanları sırasıyla SAM-1, SAM-2, SAM-3 ve SAM-4 olarak etiketlenmiştir (SAM veritabanları şekilde oval olarak gösterilmiştir). Her veritabanı, Kullanıcı1 ve Kullanıcı2 kullanıcı hesaplarına sahiptir. SRV-1 sunucusundaki Kullanıcı1'in tam kullanıcı adı "SRV-1\Kullanıcı1" gibi görünür ve WS-1 iş istasyonundaki Kullanıcı1'in tam adı "WS-1\Kullanıcı1" gibi görünür. SRV-1 sunucusunda, Kullanıcı1 kullanıcılarına - okuma (R), Kullanıcı2 - okuma ve yazma (RW) için ağ üzerinden erişim verilen bir Klasör klasörünün oluşturulduğunu düşünelim. Bu modeldeki ana nokta, SRV-1 bilgisayarının, ağdaki diğer tüm bilgisayarların yanı sıra SRV-2, WS-1, WS-2 bilgisayarlarının hesapları hakkında hiçbir şey "bilmemesi"dir. Kullanıcı1 adlı bir kullanıcı, WS-2 gibi bir bilgisayarda yerel olarak oturum açarsa (veya dedikleri gibi, " yerel ad WS-2 bilgisayarındaki User1"), bu bilgisayar ağ üzerinden SRV-1 sunucusundaki Klasör klasörüne erişmeye çalışırsa, sunucu kullanıcıdan bir ad ve parola ister (aynı ada sahip kullanıcıların aynı ada sahip olmaları dışında). şifreler).

Çalışma Grubu modelinin öğrenilmesi daha kolaydır, öğrenmeye gerek yoktur karmaşık kavramlar Aktif dizin. Ancak, çok sayıda bilgisayar ve ağ kaynağına sahip bir ağda kullanıldığında, kullanıcı adlarını ve bunların parolalarını yönetmek çok zor hale gelir - her bilgisayarda (paylaşım için kaynaklarını sağlayan) aynı parolalarla aynı hesapları manuel olarak oluşturmanız gerekir. ağ), çok zahmetli veya tüm kullanıcılar için tek bir parola ile (veya hiç parola olmadan) tek bir hesap oluşturmak, bu da bilgi koruma düzeyini büyük ölçüde azaltır. Bu nedenle, "Çalışma grubu" modeli, tüm bilgisayarlar arasında Windows Server sistemine sahip bir bilgisayar olmaması koşuluyla, yalnızca 3 ila 10 bilgisayarlı (ve daha da iyisi - 5'ten fazla olmayan) ağlar için önerilir.

etki alanı modeli

Etki alanı modelinde, ağdaki tüm bilgisayarlar tarafından kullanılabilen tek bir dizin hizmetleri veritabanı vardır. Bunu yapmak için, ağa adı verilen özel sunucular kurulur. etki alanı denetleyicileriüzerlerinde saklanan sabit diskler bu taban Şek. 6.2. etki alanı modelinin diyagramı gösterilmektedir. DC-1 ve DC-2 sunucuları etki alanı denetleyicileridir, etki alanı hesap veritabanını depolarlar (her denetleyici veritabanının kendi kopyasını tutar, ancak sunuculardan birinde veritabanında yapılan tüm değişiklikler diğer denetleyicilere kopyalanır).

Böyle bir modelde, örneğin, etki alanının bir üyesi olan SRV-1 sunucusunda ise, genel erişim Klasör klasörüne, daha sonra bu kaynağa erişim hakları yalnızca bu sunucunun yerel SAM veritabanının hesaplarına değil, en önemlisi etki alanı veritabanında depolanan hesaplara da atanabilir. Klasöre erişmek için resimde verilen klasör SRV-1 bilgisayarının bir yerel hesabına ve birkaç etki alanı hesabına (kullanıcı ve kullanıcı grupları) erişim hakları. Etki alanı güvenlik yönetimi modelinde, bir kullanıcı bir bilgisayarda oturum açar ("oturum açar") etki alanı hesabı ve kaydın yapıldığı bilgisayardan bağımsız olarak gerekli ağ kaynaklarına erişim sağlar. Ve her bilgisayarda çok sayıda yerel hesap oluşturmaya gerek yoktur, tüm girişler oluşturulur etki alanı veritabanında bir kez. Ve bir etki alanı veritabanı yardımıyla gerçekleştirilir merkezi erişim kontrolü ağ kaynaklarına ağdaki bilgisayar sayısından bağımsız olarak.

Active Directory dizin hizmetinin amacı

Dizin (dizin) saklayabilir çeşitli bilgiler, kullanıcılar, gruplar, bilgisayarlar, ağ yazıcıları, dosya paylaşımları vb. ile ilgili - tüm bu nesneleri arayacağız. Dizin ayrıca nesnenin kendisi veya öznitelikler adı verilen özellikleri hakkındaki bilgileri de saklar. Örneğin, bir kullanıcı hakkında dizinde saklanan öznitelikler, yöneticinin adı, telefon numarası, adres, oturum açma adı, parola, ait oldukları gruplar ve daha fazlası olabilir. Katalog depolamanın kullanıcılar için yararlı olabilmesi için katalogla etkileşim halinde olan servislerin olması gerekir. Örneğin, bir dizini, bir kullanıcının kimliğinin doğrulanacağı bir bilgi deposu olarak veya bir nesne hakkında bilgi bulmak için bir sorgunun gönderileceği bir yer olarak kullanabilirsiniz.

Active Directory, yalnızca bu küçük nesnelerin oluşturulmasından ve düzenlenmesinden değil, aynı zamanda etki alanları, OU'lar (kuruluş birimleri) ve siteler gibi büyük nesneler için de sorumludur.

Active Directory dizin hizmeti bağlamında kullanılan temel terimler için aşağıyı okuyun.

Dizin hizmeti Active Directory (AD olarak kısaltılır), aşağıdaki özellikleri sağlayarak karmaşık bir kurumsal ortamın verimli çalışmasını sağlar:

• Çevrimiçi tek oturum açma; Kullanıcılar, tek bir kullanıcı adı ve parola ile ağa giriş yapabilir ve yine de tüm ağ kaynaklarına ve hizmetlerine (ağ altyapı hizmetleri, dosya ve yazdırma hizmetleri, uygulama ve veritabanı sunucuları vb.) erişebilir;
• Bilgi Güvenliği. Active Directory'de yerleşik olarak bulunan kimlik doğrulama ve kaynak erişim denetimleri, merkezi ağ güvenliği sağlar;
• Merkezi Yönetim. Yöneticiler, tüm kurumsal kaynakları merkezi olarak yönetebilir;
• Grup İlkesi kullanarak yönetim. Bir bilgisayar önyüklendiğinde veya bir kullanıcı sistemde oturum açtığında, grup ilkelerinin gereksinimleri karşılanır; onların ayarları saklanır grup ilkesi nesneleri( GPO ) ve sitelerde, etki alanlarında veya kuruluş birimlerinde bulunan tüm kullanıcı ve bilgisayar hesapları için geçerlidir;
• DNS entegrasyonu. Dizin hizmetlerinin çalışması tamamen DNS hizmetinin çalışmasına bağlıdır. Buna karşılık, DNS sunucuları bölgeler hakkındaki bilgileri Active Directory veritabanında depolayabilir;
• Dizin genişletilebilirliği. Yöneticiler, katalog şemasına yeni nesne sınıfları ekleyebilir veya mevcut sınıflara yeni nitelikler ekleyebilir;
• ölçeklenebilirlik. Active Directory hizmeti, hem bir etki alanını hem de birçok etki alanını bir etki alanı ağacında bir araya getirebilir ve birkaç etki alanı ağacından bir orman oluşturulabilir;
• Bilgi çoğaltma. Active Directory, çok yöneticili bir şemada ( çoklu usta), herhangi bir etki alanı denetleyicisinde Active Directory veritabanını değiştirmenize izin verir. Etki alanında birkaç denetleyicinin bulunması, hata toleransı ve ağ yükünü dağıtma yeteneği sağlar;
• Dizin sorgularının esnekliği. Bir Active Directory veritabanı, özelliklerini (örneğin, kullanıcı adı veya e-posta adresi, yazıcı türü veya konumu vb.) kullanarak herhangi bir AD nesnesini hızlı bir şekilde aramak için kullanılabilir;
• Standart programlama arayüzleri. Yazılım geliştiriciler için dizin hizmeti, dizinin tüm özelliklerine (araçlarına) erişim sağlar ve kabul edilen standartları ve programlama arabirimlerini (API'ler) destekler.

Active Directory'de çok çeşitli farklı nesneler oluşturulabilir. Bir nesne, bir Katalog içindeki benzersiz bir varlıktır ve genellikle onu tanımlamaya ve tanımaya yardımcı olan birçok özniteliğe sahiptir. Kullanıcı hesabı, bir nesne örneğidir. Bu nesne türü ad, soyad, parola, telefon numarası, adres ve daha pek çok özniteliğe sahip olabilir. Aynı şekilde paylaşılan yazıcı ayrıca Active Directory'de bir nesne olabilir ve öznitelikleri adı, konumu vb. Nesne nitelikleri yalnızca bir nesneyi tanımlamaya yardımcı olmakla kalmaz, aynı zamanda Dizin içinde nesneleri aramanıza da olanak tanır.

terminoloji

Dizin hizmeti Windows Server, genel kabul görmüş teknoloji standartları üzerine kurulmuştur. Dizin hizmetleri için orijinal standart şuydu: X.500, her bir sınıfın hem nesne sınıflarını hem de öznitelik kümelerini (özellikler) genişletme becerisiyle hiyerarşik ağaç benzeri ölçeklenebilir dizinler oluşturmayı amaçlıyordu. Ancak, bu standardın pratik uygulamasının performans açısından verimsiz olduğu kanıtlanmıştır. Ardından, X.500 standardı temelinde, dizin oluşturma standardının basitleştirilmiş (hafif) bir versiyonu geliştirildi. LDAP (Basit Dizin Erişim Protokolü). LDAP protokolü, X.500'ün tüm temel özelliklerini (hiyerarşik dizin oluşturma sistemi, ölçeklenebilirlik, genişletilebilirlik ), ancak aynı zamanda bu standardı pratikte etkili bir şekilde uygulamanıza izin verir. Dönem " hafif " (" hafif") LDAP adına, protokolü geliştirmenin ana amacını yansıtır: temel görevleri çözmek için yeterli işlevsel güce sahip, ancak dizin hizmetlerinin uygulanmasını verimsiz hale getiren karmaşık teknolojilerle aşırı yüklenmemiş bir dizin hizmeti oluşturmak için bir araç seti oluşturmak. • Şu anda LDAP, bilgilere çevrimiçi dizinlere erişim için standart yöntemdir ve aşağıdakiler gibi çeşitli ürünlerde temel bir rol oynar: kimlik doğrulama sistemleri, e-posta programları ve e-ticaret uygulamaları. Bugün piyasada 60'tan fazla ticari LDAP sunucusu bulunmaktadır ve bunların yaklaşık %90'ı bağımsız LDAP dizin sunucularıdır ve geri kalanı diğer uygulamaların bileşenleri olarak sunulur.

LDAP protokolü, bir dizin işlemlerinin aralığını açıkça tanımlar. müşteri uygulaması. Bu işlemler beş gruba ayrılır:

• rehberle bağlantı kurmak;
• içindeki bilgileri arayın;
• içeriğinin değiştirilmesi;
• bir nesne eklemek;
• bir nesneyi silmek.

LDAP dışında dizin hizmeti Active Directory ayrıca bir kimlik doğrulama protokolü kullanır. Kerberos ve dizin hizmetleri bileşenlerinin (etki alanı denetleyicileri, küresel katalog sunucuları, Kerberos hizmeti vb.).

İhtisas

Active Directory güvenlik sisteminin temel birimi, ihtisas. Domain, idari sorumluluk alanını oluşturur. Etki alanı veritabanı hesapları içerir kullanıcılar, gruplar Ve bilgisayarlar. Dizin yönetimi işlevlerinin çoğu etki alanı düzeyinde çalışır (kullanıcı kimlik doğrulaması, kaynak erişim denetimi, hizmet denetimi, çoğaltma denetimi, güvenlik ilkeleri).

Active Directory etki alanı adları, DNS ad alanındaki adlarla aynı kalıbı izler. Ve bu tesadüf değil. DNS hizmeti, öncelikle etki alanı denetleyicileri olmak üzere etki alanı bileşenlerini bulmanın bir yoludur.

Etki alanı denetleyicileri- Active Directory veritabanının bu etki alanına karşılık gelen kısmını depolayan özel sunucular. Etki alanı denetleyicilerinin ana işlevleri:

• Active Directory veritabanının depolanması(bu bilgilerin yönetimi ve değiştirilmesi dahil olmak üzere katalogda yer alan bilgilere erişimin organizasyonu);
• AD'deki değişikliklerin senkronizasyonu(AD veritabanındaki değişiklikler herhangi bir etki alanı denetleyicisinde yapılabilir, denetleyicilerden birinde yapılan herhangi bir değişiklik, diğer denetleyicilerde depolanan kopyalarla eşitlenir);
• Kullanıcı doğrulama(etki alanı denetleyicilerinden herhangi biri, istemci sistemlerde oturum açan kullanıcıların kimlik bilgilerini kontrol eder).

Her etki alanına en az iki etki alanı denetleyicisi kurmanız önemle tavsiye edilir - ilk olarak, bir denetleyici arızası durumunda Active Directory veritabanının kaybolmasına karşı koruma sağlamak ve ikinci olarak, yükü controllers.it.company.ru arasında dağıtmak için. BT hizmetinin yazılım geliştirme departmanı için oluşturulmuş dev.it.company.ru alt etki alanına sahiptir.

• rehber hizmetlerinin yönetimini merkezden dağıtmak (örneğin, bir şirketin coğrafi olarak birbirinden uzak şubeleri olduğu ve teknik nedenlerle merkezi yönetimin zor olduğu durumlarda);
• performansı artırmak için (çok sayıda kullanıcı ve sunucuya sahip şirketler için, etki alanı denetleyicilerinin performansını artırma konusu önemlidir);
• çoğaltmayı daha verimli bir şekilde yönetmek için (etki alanı denetleyicileri birbirinden uzaksa, birindeki çoğaltma daha uzun sürebilir ve eşitlenmemiş verileri kullanırken sorunlara neden olabilir);
orman kök alanı ( orman kök etki alanı), bu etki alanı silinemez (ormanın yapılandırması ve onu oluşturan etki alanı ağaçları hakkında bilgi depolar).

Kuruluş birimleri (OD).

Kuruluş birimleri (Organizasyon Birimleri, sen) - amaçları doğrultusunda nesneleri bir arada gruplandırmak için oluşturulan AD içindeki kaplar idari hakların devredilmesi Ve grup ilkelerini uygulama etki alanında. OP var yalnızca etki alanları içinde ve birleştirebilir yalnızca kendi etki alanındaki nesneler. OP'ler birbirlerinin içine yerleştirilebilir, bu da bir etki alanı içinde kapsayıcıların ağaç benzeri karmaşık bir hiyerarşisinin oluşturulmasına ve daha esnek yönetim denetiminin uygulanmasına olanak tanır. Ek olarak, bir şirketin idari hiyerarşisini ve organizasyon yapısını yansıtacak şekilde OP'ler oluşturulabilir.

genel dizin

genel dizin bir listedir tüm nesneler Active Directory ormanında var olan. Varsayılan olarak, etki alanı denetleyicileri yalnızca etki alanlarındaki nesneler hakkında bilgi içerir. Global Katalog Sunucusu ormandaki her nesne (bu nesnelerin tüm nitelikleri olmasa da) hakkında bilgi tutan bir etki alanı denetleyicisidir.

Uzun zamandır ağ altyapısının mantıksal inşasının muhafazakar ilkeleri kategorisine dahil edilmiştir. Ancak birçok yönetici çalışmalarında çalışma gruplarını ve Windows NT etki alanlarını kullanmaya devam ediyor. Bir dizin hizmetinin tanıtılması, hem acemi hem de deneyimli yöneticiler için ağ yönetimini merkezileştirme ve uygun güvenlik düzeyini sağlama açısından ilginç ve yararlı olacaktır.

Altı yıl önce Win2K sistemlerinde ortaya çıkan bir teknoloji olan Active Directory, devrim niteliğinde olarak tanımlanabilir. Esneklik ve ölçeklenebilirlik açısından, çalışma grubu ağları bir yana, NT 4 etki alanlarını büyüklük sırasına göre geride bırakır.

Kapsamlarına göre sınıflandırılırlar:

• evrensel gruplar, ormandaki kullanıcıları ve ayrıca ormandaki herhangi bir etki alanındaki diğer evrensel grupları veya genel grupları içerebilir;
• etki alanı genel grupları, etki alanı kullanıcılarını ve aynı etki alanındaki diğer genel grupları içerebilir;
• etki alanı yerel grupları, erişim haklarını ayırt etmek için kullanılır, etki alanı kullanıcılarının yanı sıra ormandaki herhangi bir etki alanının evrensel gruplarını ve genel gruplarını içerebilir;
• yerel bilgisayar grupları - yerel makinenin SAM'sinin (güvenlik hesabı yöneticisi) içerdiği gruplar. Kapsamları yalnızca bu makineyle sınırlıdır, ancak bilgisayarın bulunduğu etki alanındaki yerel grupların yanı sıra kendi etki alanlarındaki veya güvendikleri başka bir etki alanındaki evrensel ve genel grupları içerebilirler. Örneğin, Kullanıcılar etki alanı yerel grubundan bir kullanıcıyı yerel makinenin Yöneticiler grubuna dahil edebilir, böylece ona yalnızca bu bilgisayar için yönetici hakları verebilirsiniz.

Siteler

Bu, dizin hizmetini fiziksel olarak ayırmanın bir yoludur. Tanım olarak site, hızlı veri bağlantılarıyla birbirine bağlanan bir grup bilgisayardır.

Örneğin, ülkenin farklı yerlerinde düşük hızlı iletişim hatlarıyla birbirine bağlı birkaç şubeniz varsa, her şube için kendi web sitenizi oluşturabilirsiniz. Bu, dizin çoğaltmanın güvenilirliğini artırmak için yapılır.

AD'nin böyle bir bölümü, mantıksal yapı ilkelerini etkilemez, bu nedenle, tıpkı bir sitenin birkaç etki alanı içerebileceği gibi ve bunun tersi de, bir etki alanı birkaç site içerebilir. Ancak bu dizin hizmeti topolojisi bir sorunla doludur. Kural olarak, İnternet şubelerle iletişim kurmak için kullanılır - bu çok güvensiz bir ortamdır. Birçok şirket, güvenlik duvarları gibi güvenlik önlemleri kullanır. Dizin hizmeti, çalışmasında yaklaşık bir buçuk düzine bağlantı noktası ve hizmet kullanır; bunların açılması, AD trafiğinin güvenlik duvarından geçmesi için açılması onu gerçekten "dışarıda" açığa çıkarır. Sorunun çözümü, AD istemcilerinden gelen isteklerin işlenmesini hızlandırmak için tünel teknolojisinin yanı sıra her sitede bir etki alanı denetleyicisinin bulunmasıdır.

Dizin Hizmeti Varlığı

Bir düzeyde güvenlik sağlamak için, herhangi bir işletim sisteminin kullanıcı veritabanını içeren dosyalara sahip olması gerekir. Windows NT'nin ilk sürümleri bunun için bir SAM (Güvenlik Hesapları Yöneticisi) dosyası kullanıyordu. Kullanıcı kimlik bilgilerini içeriyordu ve şifrelenmişti. Günümüzde SAM, NT 5 ailesinin (Windows 2000 ve üzeri) işletim sistemlerinde de kullanılmaktadır.

DCPROMO komutunu (aslında Dizin Hizmetleri Kurulum Sihirbazını başlatan) kullanarak bir üye sunucuyu etki alanı denetleyicisine yükselttiğinizde, Windows Server 2000/2003 güvenlik alt sistemi merkezi AD veritabanını kullanmaya başlar. Bu kolayca kontrol edilebilir - etki alanını oluşturduktan sonra, denetleyicide Bilgisayar Yönetimi ek bileşenini açmayı ve orada "Yerel Kullanıcılar ve Gruplar" bulmayı deneyin. Ayrıca, bu sunucuya yerel bir hesapla giriş yapmayı deneyin. Başarılı olmanız pek mümkün değil.

Kullanıcı verilerinin çoğu NTDS.DIT ​​(Dizin Bilgi Ağacı) dosyasında saklanır. NTDS.DIT ​​​​değiştirilmiş bir veritabanıdır. Veritabanı ile aynı teknoloji kullanılarak oluşturulur. Microsoft Erişimi. Etki alanı denetleyicisi algoritmaları, ESE (Genişletilebilir Depolama Motoru - genişletilebilir depolama motoru) adı verilen Access veritabanı JET motorunun bir varyantını içerir. NTDS.DIT ​​ve bu dosya ile etkileşimi sağlayan servisler aslında dizin servisidir.

Dizin hizmetinin ad alanına benzer şekilde, AD istemcileri ile ana veri deposu arasındaki etkileşimin yapısı makalede sunulmaktadır. Bütünlük adına, küresel tanımlayıcıların kullanımından bahsedilmelidir. Küresel Benzersiz Tanımlayıcı (GUID), benzersizliği sağlamak için oluşturulduğunda her nesneyle ilişkilendirilen 128 bitlik bir sayıdır. AD nesnesi adı değiştirilebilir, ancak GUID değişmeden kalır.

genel dizin

Elbette, AD yapısının oldukça karmaşık olabileceğini ve çok sayıda nesne içerebileceğini zaten fark etmişsinizdir. Yalnızca bir AD etki alanının 1,5 milyona kadar nesne içerebileceği gerçeğine değer. Ancak bu, işlemleri gerçekleştirirken performans sorunlarına neden olabilir. Bu sorun Global Katalog ( , ) kullanılarak çözülür. Nesne aramalarını hızlandırmaya yardımcı olan tüm AD ormanının küçültülmüş bir sürümünü içerir. Genel katalog, belirlenmiş etki alanı denetleyicilerine ait olabilir.

Roller

AD'de, yalnızca bir denetleyiciye atanabilen belirli bir işlem listesi vardır. Bunlara rol denir. FSMO (Esnek Tek Yönetici İşlemleri). AD'de toplam 5 FSMO rolü vardır. Onları daha ayrıntılı olarak ele alalım.

Orman içinde, etki alanı ormanına yeni bir etki alanı eklendiğinde etki alanı adlarının benzersiz olduğuna dair bir garanti olmalıdır. Böyle bir garanti, etki alanı adlandırma işleminin sahibi rolünü yürüten kişi tarafından sağlanır ( Etki Alanı Adlandırma Uzmanı) Şema sahibi rolü yürütücüsü ( Şema Yöneticisi) dizin şemasındaki tüm değişiklikleri yapar. Etki alanı adı sahibi ve şema sahibi rolleri, etki alanı ormanı içinde benzersiz olmalıdır.

Dediğim gibi, bir nesne oluşturulduğunda, benzersizliğini garanti eden global bir tanımlayıcı atanır. Bu nedenle, GUID'i oluşturmaktan ve ilgili tanımlayıcıların sahibi olarak hareket etmekten sorumlu denetleyici ( Bağıl Kimlik Yöneticisi), etki alanındaki tek kişi olmalıdır.

NT etki alanlarından farklı olarak AD, PDC ve BDC (birincil ve yedek etki alanı denetleyicileri) kavramına sahip değildir. FSMO'nun rollerinden biri PDC Emülatörü(birincil etki alanı denetleyici öykünücüsü). Windows NT Server çalıştıran bir sunucu, AD'de bir yedek etki alanı denetleyicisi görevi görebilir. Ancak NT etki alanlarında yalnızca bir birincil denetleyicinin kullanılabileceği bilinmektedir. Bu nedenle Microsoft, bir AD etki alanı içinde tek bir sunucu - PDC Emulator rolünün taşıyıcısı - atayabilmemiz için yaptı. Böylece terminolojiden yola çıkarak, FSMO rolünün sahibi anlamına gelen ana ve yedek etki alanı denetleyicilerinin varlığından bahsedebiliriz.

Nesneleri silerken ve taşırken, denetleyicilerden birinin çoğaltma tamamen tamamlanana kadar bu nesneye yönelik bir referansı elinde tutması gerekir. Bu rol, dizin altyapısının sahibi tarafından gerçekleştirilir ( Altyapı Ustası).

Son üç rol, etki alanı içinde icracının benzersizliğini gerektirir. Tüm roller, ormanda oluşturulan ilk denetleyiciye atanır. Dallanmış bir AD altyapısı oluştururken, bu rolleri diğer denetleyicilere aktarabilirsiniz. Rollerden birinin sahibinin müsait olmadığı durumlar da olabilir (sunucu başarısız oldu). Bu durumda, yardımcı programı kullanarak FSMO rol yakalama işlemini gerçekleştirmeniz gerekir. NTDSUTIL(kullanımına ilerleyen yazılarda değineceğiz). Ancak dikkatli olmalısınız, çünkü bir rolü ele geçirirken, dizin hizmeti önceki bir sahibin olmadığını varsayar ve ona hiç erişmez. Eski rol yürütücünün ağına geri dönüşü, işleyişinin bozulmasına neden olabilir. Bu özellikle şema sahibi, alan adı sahibi ve kimlik sahibi için kritiktir.

Performans açısından, birincil etki alanı denetleyicisi öykünücüsünün rolü, bilgisayarın kaynaklarını en çok talep edendir, bu nedenle başka bir denetleyiciye atanabilir. Rollerin geri kalanı o kadar zorlayıcı değil, bu yüzden onları dağıtırken, AD şemanızın mantıksal yapısının nüansları size rehberlik edebilir.
teorisyenin son adımı

Makaleyi okumak sizi teorisyenlerden pratiğe hiç götürmemeli. Çünkü ana bilgisayarların fiziksel konumundan tüm dizinin mantıksal yapısına kadar tüm faktörleri hesaba katana kadar, AD kurulum sihirbazının sorularına basit yanıtlar vererek işe başlayıp bir etki alanı oluşturmamalısınız. . Etki alanınızın adının ne olacağını ve bunun için alt öğeler oluşturacaksanız bunların nasıl adlandırılacağını düşünün. Ağda güvenilir olmayan iletişim kanallarıyla bağlanan birkaç bölüm varsa, siteleri kullanmayı düşünün.

AD yükleme kılavuzu olarak, makaleleri ve ayrıca Microsoft bilgi tabanını kullanmanızı tavsiye edebilirim.

Son olarak, birkaç ipucu:

• PDC Öykünücüsü ve Proxy Sunucusu rollerini mümkün olduğunca aynı makinede birleştirmemeye çalışın. Birincisi, ağdaki çok sayıda makine ve İnternet kullanıcısı ile sunucu üzerindeki yük artar ve ikincisi, proxy'nize yapılan başarılı bir saldırı ile yalnızca İnternet değil, aynı zamanda ana etki alanı denetleyicisi de "düşecektir" ve bu, tüm ağın yanlış çalışmasıyla doludur.
• Sürekli olarak bir yerel ağı yönetiyorsanız ve müşteriler için Active Directory'yi kullanmayacaksanız, etki alanına kademeli olarak, örneğin günde dört veya beş makine ekleyin. Çünkü ağda çok sayıda makineniz varsa (50 veya daha fazla) ve bunu tek başınıza yönetiyorsanız, hafta sonu bile yönetmeniz pek olası değildir ve yönetirseniz her şeyin ne kadar doğru olacağı bilinmemektedir. . Ek olarak, ağ içinde belge alışverişi için bir dosya veya dahili posta sunucusu kullanabilirsiniz (bu, benim tarafımdan #11, 2006'da açıklanmıştır). Bu durumda yapılacak tek şey, dosya sunucusuna erişim için kullanıcı hakları ayarını doğru anlamaktır. Çünkü, örneğin etki alanına dahil değilse, kullanıcıların kimlik doğrulaması yerel SAM veritabanının kayıtlarına göre yapılacaktır. Etki alanı kullanıcıları hakkında veri yok. Ancak, dosya sunucunuz AD'ye dahil edilen ilk makineler arasındaysa ve bir etki alanı denetleyicisi değilse, hem yerel SAM tabanı hem de AD kimlik bilgileri aracılığıyla kimlik doğrulaması yapmak mümkün olacaktır. Ancak son seçenek için ihtiyacınız olacak yerel ayarlar Hem etki alanı üyeleri hem de yerel hesaplar tarafından ağ üzerinden dosya sunucusuna erişime (henüz yapılmadıysa) izin verin.

Rehber hizmetinin daha fazla yapılandırılması için (hesap oluşturma ve yönetme, grup ilkeleri atama vb.) aşağıdaki makaleyi okuyun.

Başvuru

Windows Server 2003'te Active Directory'deki Yenilikler

Windows Server 2003'ün piyasaya sürülmesiyle, Active Directory'de aşağıdaki değişiklikler ortaya çıktı:

• Bir etki alanını oluşturulduktan sonra yeniden adlandırmak mümkün hale geldi.
• Kullanıcı arayüzü iyileştirildi. Örneğin, birkaç nesnenin niteliklerini aynı anda değiştirebilirsiniz.
• İyi bir grup ilkesi yönetim aracı ortaya çıktı - Grup İlkesi Yönetim Konsolu (gpmc.msc, bunu Microsoft web sitesinden indirmeniz gerekir).
• Etki alanı ve orman işlev düzeyleri değişti.

HAKKINDA son değişiklik daha ayrıntılı olarak söylemek gerekiyor. Windows Server 2003'teki bir AD etki alanı, artan işlevsellik sırasına göre listelenen aşağıdaki düzeylerden birinde olabilir:

• Windows 2000 Karışık (karma Windows 2000). Hem Windows NT hem de Windows 2000/2003 olmak üzere farklı sürümlerde denetleyicilere sahip olmasına izin verilir. Ayrıca, Windows 2000/2003 sunucuları eşitse, daha önce de belirtildiği gibi NT sunucusu yalnızca yedek etki alanı denetleyicisi olarak işlev görebilir.
• Windows 2000 Yerel (doğal Windows 2000). Windows Server 2000/2003 çalıştıran denetleyicilere sahip olmasına izin verilir. Bu seviye daha işlevseldir, ancak sınırlamaları vardır. Örneğin, etki alanı denetleyicilerini yeniden adlandıramazsınız.
• Windows Server 2003 Geçici (Geçici Windows Server 2003). Windows NT ve Windows Server 2003 çalıştıran denetleyicilere sahip olabilirsiniz. Örneğin, Windows NT sunucusu çalıştıran bir PDC W2K3'e yükseltildiğinde kullanılır. Düzey, şundan biraz daha fazla işlevselliğe sahiptir: Windows seviyesi 2000 yerli.
• Windows Server 2003. Bir etki alanında yalnızca Windows Server 2003 çalıştıran denetleyicilere izin verilir.Bu düzeyde, Windows Server 2003 dizin hizmetinden tam olarak yararlanabilirsiniz.

Bir etki alanı ormanının işlevsel seviyeleri, esas olarak etki alanları ile aynıdır. Bunun tek istisnası, ormanda Windows NT ve Windows Server 2000/2003 çalıştıran denetleyicileri kullanabilen yalnızca bir Windows 2000 katmanı olmasıdır.

Etki alanı ve ormanın işlevsel düzeyini değiştirmenin geri alınamaz bir işlem olduğunu belirtmekte fayda var. Yani geriye dönük uyumluluk yoktur.

1. Korobko I. Active Directory - inşaat teorisi. // "Sistem Yöneticisi", No. 1, 2004 - C. 90-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=01.2004;a=11).

2. Markov R. Etki Alanları Windows 2000/2003 - çalışma grubunu terk etme. // "Sistem Yöneticisi", No. 9, 2005 - C. 8-11. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=09.2005; a=01).

3. Markov R. Windows 2K Server'ı kurma ve yapılandırma. // "Sistem Yöneticisi", No. 10, 2004 - C. 88-94. (http://www.samag.ru/cgi-bin/go.pl?q=articles;n=10.2004;a=12).

Alexander Emelyanov