Active Directory - служба каталогов корпорации Microsoft для ОС семейства Windows NT.
Данная служба позволяет администраторам использование групповых политик для обеспечения единообразия настроек пользовательской рабочей среды, установки ПО , обновлений и пр.
В чем суть работы Active Directory и какие задачи она решает? Читайте дальше.
Принципы организации одноранговых и многоранговых сетей
Но возникает другая проблема, что если пользователь user2 на РС2 решит изменить свой пароль? Тогда если пользователь user1 сменит пароль учетной записи, доступ user2 на РС1 к ресурсу будет невозможен.
Еще один пример: у нас есть 20 рабочих станций с 20-ю учетными записями, которым мы хотим предоставить доступ к некоему , для этого мы должны создать 20 учетных записей на файловом сервере и предоставить доступ к необходимому ресурсу.
А если их будет не 20 а 200?
Как вы понимаете администрирование сети при таком подходе превращается в кромешный ад.
Поэтому подход с использованием рабочих групп подходит для небольших офисных сетей с количеством ПК не более 10 единиц.
При наличии в сетке более 10 рабочих станций, рационально оправданным стает подход, при котором одному узлу сети делегируют права выполнения аутентификации и авторизации.
Этим узлом и выступает контролер домена - Active Directory.
Контролер домена
Контролер хранит базу данных учетных записей, т.е. он хранит учетку и для РС1 и для РС2.
Теперь все учетные записи прописываются один раз на контролере, а необходимость в локальных учетных записях теряет смысл.
Теперь, когда пользователь заходит на ПК, вводя свой логин и пароль , эти данные передаются в закрытом виде на контролер домена, который выполняет процедуры аутентификации и авторизации.
После контролер выдает пользователю, осуществившему вход, что-то вроде паспорта, с которым он в дальнейшем работает в сети и который он предъявляет по запросу других компьютеров сетки, серверов к чьим ресурсам он хочет подключиться.
Важно! Контролер домена - это компьютер с поднятой службой Active Directory, который управляет доступом пользователей к ресурсам сети. Он хранит ресурсы (например, принтеры , папки с общим доступом), службы (например, электронная почта), людей (учетные записи пользователей и групп пользователей), компьютеры (учетные записи компьютеров).
Число таких сохраненных ресурсов может достигать миллионов объектов.
В качестве контролера домена могут выступать следующие версии MS Windows : Windows Server 2000/2003/2008/2012 кроме редакций Web-Edition.
Контролер домена помимо того, что является центром аутентификации сети, также является центром управления всеми компьютерами.
Сразу после включения компьютер начинает обращаться к контролеру домена, задолго до появления окна аутентификации.
Таким образом, выполняется аутентификация не только пользователя, вводящего логин и пароль, но и аутентификация клиентского компьютера.
Установка Active Directory
Рассмотрим пример установки Active Directory на Windows Server 2008 R2. Итак для установки роли Active Directory, заходим в «Server Manager»:
Добавляем роль «Add Roles»:
Выбираем роль Active Directory Domain Services:
И приступаем к установке:
После чего получаем окно уведомления, об установленной роли:
После установки роли контролера домена, приступим к установке самого контролера.
Нажимаем «Пуск» в поле поиска программ вводим название мастера DCPromo, запускаем его и ставим галочку для расширенных настроек установки:
Жмем «Next» из предложенных вариантов выбираем создание нового домена и леса.
Вводим имя домена, например, example.net.
Пишем NetBIOS имя домена, без зоны:
Выбираем функциональный уровень нашего домена:
Ввиду особенностей функционирования контролера домена, устанавливаем также DNS-сервер .
Расположения базы данных, файла логов, системного тома оставляем без изменений:
Вводим пароль администратора домена:
Проверяем правильность заполнения и если все в порядке жмем «Next».
После этого пойдет процесс установки, в конце которого появится окно, которое сообщает, об успешной установке:
Введение в Active Directory
В докладе рассматриваются два типа компьютерных сетей, которые можно создать при помощи операционных систем Microsoft: рабочая группа (workgroup) и домен Active Directory.
Active Directory (AD) — это служебные программы, разработанные для операционной системы Microsoft Server. Первоначально создавалась в качестве облегченного алгоритма доступа к каталогам пользователей. С версии Windows Server 2008 появилось интеграция с сервисами авторизации.
Дает возможность соблюдать групповую политику, применяющую однотипность параметров и ПО на всех подконтрольных ПК с помощью System Center Configuration Manager.
Если простыми словами для начинающих – это роль сервера, которая позволяет из одного места управлять всеми доступами и разрешениями в локальной сети
Функции и предназначения
Microsoft Active Directory – (так называемый каталог) пакет средств, позволяющий проводить манипуляции с пользователями и данными сети. Основная цель создания – облегчение работы системных администраторов в обширных сетях.
Каталоги содержат в себе разную информацию, относящуюся к юзерам, группам, устройствам сети, файловым ресурсам — одним словом, объектам. Например, атрибуты пользователя, которые хранятся в каталоге должны быть следующими: адрес, логин, пароль, номер мобильного телефона и т.д. Каталог используется в качестве точки аутентификации , с помощью которой можно узнать нужную информацию о пользователе.
Основные понятия, встречающиеся в ходе работы
Существует ряд специализированных понятий, которые применяются при работе с AD:
- Сервер – компьютер, содержащий все данные.
- Контроллер – сервер с ролью AD, который обрабатывает запросы от людей, использующих домен.
- Домен AD - совокупность устройств, объединенных под одним уникальным именем, одновременно использующих общую базу данных каталога.
- Хранилище данных — часть каталога, отвечающая за хранение и извлечение данных из любого контроллера домена.
Как работают активные директории
Основными принципами работы являются:
- Авторизация , с помощью которой появляется возможность воспользоваться ПК в сети просто введя личный пароль. При этом, вся информация из учетной записи переносится.
- Защищенность . Active Directory содержит функции распознавания пользователя. Для любого объекта сети можно удаленно, с одного устройства, выставить нужные права, которые будут зависеть от категорий и конкретных юзеров.
- Администрирование сети из одной точки. Во время работы с Актив Директори сисадмину не требуется заново настраивать все ПК, если нужно изменить права на доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
- Полная интеграция с DNS . С его помощью в AD не возникает путаниц, все устройства обозначаются точно так же, как и во всемирной паутине.
- Крупные масштабы . Совокупность серверов способна контролироваться одной Active Directory.
- Поиск производится по различным параметрам, например, имя компьютера, логин.
Объекты и атрибуты
Объект - совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.
Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.
“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.
Контейнер и имя LDAP
Контейнер — тип объектов, которые могут состоять из других объектов . Домен, к примеру, может включать в себя объекты учетных записей.
Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.
Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD - модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.
Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) - основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.
Дерево и сайт
Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.
Лес доменов – совокупность деревьев, связанных между собою.
Сайт - совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.
Установка и настройка Active Directory
Теперь перейдем непосредственно к настройке Active Directory на примере Windows Server 2008 (на других версиях процедура идентична):
![](https://i2.wp.com/composs.ru/wp-content/uploads/2018/09/active_directory_chto_eto2.jpg)
Нажать на кнопку “ОК”. Стоит заметить, что подобные значения не обязательны. Можно использовать IP адрес и DNS из своей сети.
- Далее нужно зайти в меню “Пуск”, выбрать “Администрирование” и “”.
- Перейти к пункту “Роли”, выбрать поле “Добавить роли
”.
- Выбрать пункт “Доменные службы Active Directory” дважды нажать “Далее”, а после “Установить”.
- Дождаться окончания установки.
- Открыть меню “Пуск”-“Выполнить
”. В поле ввести dcpromo.exe.
- Кликнуть “Далее”.
- Выбрать пункт “Создать новый домен в новом лесу
” и снова нажать “Далее”.
- В следующем окне ввести название, нажать “Далее”.
- Выбрать режим совместимости
(Windows Server 2008).
- В следующем окне оставить все по умолчанию.
- Запустится окно конфигурации
DNS
. Поскольку на сервере он не использовался до этого, делегирование создано не было.
- Выбрать директорию для установки.
- После этого шага нужно задать пароль администрирования .
Для надежности пароль должен соответствовать таким требованиям:
![](https://i0.wp.com/composs.ru/wp-content/uploads/2018/09/active_directory_chto_eto17.jpg)
После того как AD завершит процесс настройки компонентов, необходимо перезагрузить сервер.
![](https://i2.wp.com/composs.ru/wp-content/uploads/2018/09/active_directory_chto_eto18.jpg)
![](https://i1.wp.com/composs.ru/wp-content/uploads/2018/09/active_directory_chto_eto21.jpg)
Настройка завершена, оснастка и роль установлены в систему. Установить AD можно только на Windows семейства Server, обычные версии, например 7 или 10, могут позволить установить только консоль управления.
Администрирование в Active Directory
По умолчанию в Windows Server консоль Active Directory Users and Computers работает с доменом, к которому относится компьютер. Можно получить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли или подключиться к другому контроллеру.
Средства этой же консоли позволяют просматривать дополнительные параметры объектов и осуществлять их поиск, можно создавать новых пользователей, группы и изменять из разрешения.
К слову, существует 2 типа групп в Актив Директори – безопасности и распространения. Группы безопасности отвечают за разграничение прав доступа к объектам, они могут использоваться, как группы распространения.
Группы распространения не могут разграничивать права, а используются в основном для рассылки сообщений в сети.
Что такое делегирование AD
Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.
Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.
Установка доверительных отношений
В AD есть два вида доверительных отношений: «однонаправленные» и «двунаправленные». В первом случае один домен доверяет другому, но не наоборот, соответственно первый имеет доступ к ресурсам второго, а второй не имеет доступа. Во втором виде доверие “взаимное”. Также существуют «исходящие» и «входящие» отношения. В исходящих – первый домен доверяет второму, таким образом разрешая пользователям второго использовать ресурсы первого.
При установке следует провести такие процедуры:
- Проверить сетевые связи между котроллерами.
- Проверить настройки.
- Настроить разрешения имен для внешних доменов.
- Создать связь со стороны доверяющего домена.
- Создать связь со стороны контроллера, к которому адресовано доверие.
- Проверить созданные односторонние отношения.
- Если возникает небходимость в установлении двусторонних отношений – произвести установку.
Глобальный каталог
Это контроллер домена, который хранит копии всех объектов леса. Он дает юзерам и программам способность искать объекты в любом домене текущего леса с помощью средств обнаружения атрибутов , включенных в глобальный каталог.
Глобальный каталог (ГК) включает в себя ограниченный набор атрибутов для каждого объекта леса в каждом домене. Данные он получает из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы Active Directory.
Схема определяет, будет ли атрибут скопирован. Существует возможность конфигурирования дополнительных характеристик , которые будут создаваться повторно в глобальном каталоге с помощью “Схемы Active Directory”. Для добавления атрибута в глобальный каталог, нужно выбрать атрибут репликации и воспользоваться опцией “Копировать”. После этого создастся репликация атрибута в глобальный каталог. Значение параметра атрибута isMemberOfPartialAttributeSet станет истиной.
Для того чтобы узнать местоположение глобального каталога, нужно в командной строке ввести:
Dsquery server –isgc
Репликация данных в Active Directory
Репликация — это процедура копирования, которую проводят при необходимости хранения одинаково актуальных сведений, существующих на любом контроллере.
Она производится без участия оператора . Существуют такие виды содержимого реплик:
- Реплики данных создаются из всех существующих доменов.
- Реплики схем данных. Поскольку схема данных едина для всех объектов леса Активных Директорий, ее реплики сохраняются на всех доменах.
- Данные конфигурации. Показывает построение копий среди контроллеров. Сведения распространяются на все домены леса.
Основными типами реплик являются внутриузловая и межузловая.
В первом случае, после изменений система находится в ожидании, затем уведомляет партнера о создании реплики для завершения изменений. Даже при отсутствии перемен, процесс репликации происходит через определенный промежуток времени автоматически. После применения критических изменений к каталогам репликация происходит сразу.
Процедура репликации между узлами происходит в промежутках минимальной нагрузки на сеть, это позволяет избежать потерь информации.
Давно собирался написать несколько статей по работе с Active Directory . Недавно в комментариях попросили помочь с данным вопросом и я решил что время пришло:))
Говорю сразу, особо глубоких познаний в этой теме у меня нет, поэтому, ничего нового вы здесь не увидите. Но для начинающих админов-виндузятников данная статья может послужить хорошим отправительным «пинком» для начала изучения данной системы каталогов.
Сам я давно отошел от администрирования винды, но по долгу службы (а занимаюсь я в основном виртуализацией) приходится часто настраивать много всяких вспомогательных сервисов от Microsoft (всякие там AD, DNS, MSSQL и т.п..).
В общем хорош болтать, перейдем к делу.
Рассматривать будем службы каталогов Active Directory на основе Windows 2008 R2 как наиболее распространенную в наше время.
Итак для установки роли лезем в Server Manager -> Add Roles :
Собсна выбираем интересующую нас роль — Active Directory Domain Services :
Добавляем .NET Framework , если нужен:
Начинаем установку:
Процесс пошел:
Установка завершена успешно, видим только предупреждение о том, что отключены обновления, (кому это важно — можем включить), а так ничего критического — нажимаем «Close «:
Отметим галочку «Use advanced mode installation » мы же профессионалы 8-)
Читаем важное уведомление по поводу нового алгоритма шифрования и нажимаем «Next «:
Предлагаются варианты: подключить наш контроллер домена к существующему домену, создать новый домен в существующем лесу, или создать новый лес и новый домен. Я выбираю последнее, т.к. ни леса, ни домена у меня еще нет:
Вводим имя домена. Если ваш контроллер домена не будет смотреть «наружу» и привязываться к внешней доменной зоне, то здесь можно написать какую-то бредовую зону типа «.local» или «.lab», что я собственно и сделал:
Нет времени объяснять, просто пишем имя домена без зоны:))
Выбираем функциональность нашего домена. У меня домен новый, поэтому я выбрал самую новую версию что бы насладиться всеми замечательными возможностями 2008 R2 :
Какой же домен без DNS сервера:
Матюки по поводу отсутствия родительской зоны. В нашем случае это нормально, т.к. мы не интегрируемся с внешним DNS -сервером:
Пути оставляем стандартные:
Вводим пароль администратора домена, который лучше всего не забыть и сохранить в тайне:
Еще раз все проверяем и жмем «Next «:
Процесс пошел:
Установка завершена жмем «Finish «:
Если на данном сервере работают пользователи (не администраторы) посредством удаленных рабочих столов (RDP ), то после перезагрузки вас будет ожидать сюрприз — на контроллер домена, по-умолчанию имеют право подключаться только пользователи группы локальных администраторов и доменные админы.
О том, как это изменить я писал .
На сегодня все, в следующий четверг поговорим о том, как всем этим счастьем управлять и рассмотрим основные инструменты администрирования.
Добрый день , сегодня я познакомлю Вас с установкой роли AD (Active Directory) и DC (домен контроллера) на новой серверной операционной системе от компании Microsoft – Windows Server 2012 R2. Для начала изменяем имя нашего сервера исходя из регламента именования ПК и серверов в организации, или присваиваем его исходя из своих пожеланий. Для своего сервера я присвоил имя test server. Именно с этим именем наш сервер будет отображаться в сети. Затем выполняем следующие шаги:Заходим в диспетчер серверов:
Переходим во вкладку добавить роли и компоненты
Нажимаем далее
Выбираем установка ролей и компонентов и нажимаем далее
Выбираем сервер на который хотим установить нашу роль и нажимаем далее
Выбираем следующую роль: Доменные службы
Active
Directory
и нажимаем далее
Подтверждаем добавление компонентов необходимых для установки роли Доменных служб Active Directory
Оставляем как есть или добавляем необходимые компоненты для установки, нажимаем далее
Нажимаем кнопку установить
После установки переходим в диспетчер сервера и видим в установленных ролях
Переходим в раздел управляемость
Нажимаем перейти к AD DS
Переходим во вкладку подробнее
Начинаем развертывание домена контроллера на нашем сервере. Выбираем вкладкудобавить новый лес и присваиваем имя для нашего домена, затем нажимаем далее
Выбираем режим работы леса и домена, ставим пароль для режима восстановления служб каталогов и нажимаем далее
Выбираем NetBIOS имя для нашего домена и нажимаем далее
Начинается процесс проверки предварительных требований, по окончанию которого нажимаем установить
После установки проверяем:
Если вы все проделали правильно, вы увидите, что прошла смена рабочей группы Workgroup на домен.