Didedikasikan untuk menggunakan PowerShell untuk mentadbir AD. Sebagai titik permulaan, penulis memutuskan untuk mengambil 10 tugas pentadbiran AD biasa dan melihat bagaimana ia boleh dipermudahkan menggunakan PowerShell:
- Tetapkan semula kata laluan pengguna
- Aktifkan dan nyahaktifkan akaun
- Buka kunci akaun pengguna
- Padam akaun anda
- Cari kumpulan kosong
- Tambahkan pengguna pada kumpulan
- Senaraikan ahli kumpulan
- Cari akaun komputer lapuk
- Nyahaktifkan akaun komputer
- Cari komputer mengikut jenis
Di samping itu, pengarang mengekalkan blog (menggunakan PowerShell, sudah tentu), kami mengesyorkan anda melihat - jdhitsolutions.com/blog. Dan anda boleh mendapatkan maklumat terkini daripada Twitter beliau twitter.com/jeffhicks.
Jadi, di bawah ialah terjemahan artikel "10 Tugas Direktori Aktif Teratas Diselesaikan dengan PowerShell".
Mengurus Active Directory (AD) menggunakan Windows PowerShell adalah lebih mudah daripada yang anda fikirkan dan saya ingin membuktikannya kepada anda. Anda hanya boleh mengambil skrip di bawah dan menggunakannya untuk menyelesaikan beberapa tugas pengurusan AD.
Keperluan
Untuk menggunakan PowerShell untuk mengurus AD, anda perlu memenuhi beberapa keperluan. Saya akan menunjukkan bagaimana cmdlet AD berfungsi menggunakan komputer Windows 7 sebagai contoh.
Untuk menggunakan cmdlet, anda mesti mempunyai pengawal domain Windows Server 2008 R2 atau anda boleh memuat turun dan memasang Active Directory Management Gateway Service pada DC legasi. Sila baca dokumentasi dengan teliti sebelum pemasangan; But semula CD diperlukan.
Pada sisi klien, muat turun dan pasang (RSAT) untuk Windows 7 atau Windows 8. Pada Windows 7, anda perlu membuka masuk Panel Kawalan bab Program dan pilih Hidupkan atau Matikan Ciri Windows. Cari Alat Pentadbiran Pelayan Jauh dan kembangkan bahagian tersebut Alat Pentadbiran Peranan. Pilih item yang sesuai untuk AD DS dan AD LDS Tools, terutamanya ambil perhatian bahawa item mesti dipilih Modul Direktori Aktif untuk Windows PowerShell, seperti yang ditunjukkan dalam Rajah 1. (Dalam Windows 8, semua alatan dipilih secara lalai). Sekarang kami bersedia untuk bekerja.
Rajah.1 Mendayakan Alat AD DS dan AD LDS
Saya telah log masuk dengan akaun dengan hak pentadbir domain. Kebanyakan cmdlet yang saya tunjukkan akan membolehkan anda menentukan kelayakan alternatif. Walau apa pun, saya syorkan membaca bantuan ( Dapatkan-Bantuan) dan contoh yang akan saya tunjukkan di bawah.
Mulakan sesi PowerShell dan import modul:
PS C:\> Import-Modul ActiveDirectory
Import mencipta PSDrive baharu, tetapi kami tidak akan menggunakannya. Walau bagaimanapun, anda boleh melihat arahan yang tersedia dalam modul yang diimport.
PS C:\> get-command -module ActiveDirectory
Keindahan arahan ini ialah jika saya boleh menggunakan arahan pada satu objek AD, maka ia boleh digunakan pada 10, 100, dan juga 1000. Mari lihat bagaimana beberapa cmdlet ini berfungsi.
Tugasan 1: Tetapkan semula kata laluan pengguna
Mari kita mulakan dengan tugas biasa: menetapkan semula kata laluan pengguna. Anda boleh melakukan ini dengan mudah dan ringkas menggunakan cmdlet Set-ADAccountPassword. Bahagian yang sukar ialah kata laluan baharu mesti layak sebagai rentetan selamat: sekeping teks yang disulitkan dan disimpan dalam ingatan untuk tempoh sesi PowerShell. Mula-mula, mari buat pembolehubah dengan kata laluan baharu:
PS C:\> $new=Read-Host "Masukkan kata laluan baharu" -AsSecureString
Kemudian, masukkan kata laluan baharu:
Sekarang kita boleh mengekstrak akaun (menggunakan samaAccountname– pilihan terbaik) dan tetapkan kata laluan baharu. Berikut ialah contoh untuk pengguna Jack Frost:
PS C:\> Set-ADAccountPassword jfrost -NewPassword $new
Malangnya, terdapat pepijat dengan cmdlet ini: -Passthru, -Whatif, Dan –Sahkan tidak berfungsi. Jika anda lebih suka jalan pintas, cuba ini:
PS C:\> Set-ADAccountPassword jfrost -NewPassword (ConvertTo-SecureString -AsPlainText -String "P@ssw0rd1z3" -force)
Akibatnya, saya memerlukan Jack untuk menukar kata laluannya pada kali seterusnya dia log masuk, jadi saya mengubah suai akaun menggunakan Set-ADUuser.
PS C:\> Set-ADUser jfrost -ChangePasswordAtLogon $True
Keputusan menjalankan cmdlet tidak ditulis ke konsol. Jika ini perlu dilakukan, gunakan -Benar. Tetapi saya boleh mengetahui sama ada operasi itu berjaya atau tidak dengan mendapatkan semula nama pengguna menggunakan cmdlet Dapatkan-ADUser dan menyatakan harta Kata Laluan Tamat Tempoh, seperti yang ditunjukkan dalam Rajah 2.
nasi. 2. Keputusan Get-ADUser Cmdlet dengan sifat PasswordExpired
Intinya: Menetapkan semula kata laluan pengguna menggunakan PowerShell tidak sukar sama sekali. Saya mengakui bahawa menetapkan semula kata laluan juga mudah melalui snap Pengguna dan Komputer Direktori Aktif konsol Konsol Pengurusan Microsoft (MMC). Tetapi menggunakan PowerShell adalah sesuai jika anda perlu mewakilkan tugas, tidak mahu menggunakan snap-in yang disebutkan di atas, atau menetapkan semula kata laluan sebagai sebahagian daripada proses IT automatik yang besar.
Tugasan 2: Aktifkan dan nyahaktifkan akaun
Sekarang mari kita nyahaktifkan akaun. Mari teruskan bekerja dengan Jack Frost. Kod ini menggunakan parameter –Bagaimana pula, yang boleh anda temui dalam comadlet lain yang membuat perubahan untuk menguji arahan saya tanpa menjalankannya.
PS C:\> Lumpuhkan-ADAccount jfrost -whatif Bagaimana jika: Melakukan operasi "Tetapkan" pada Sasaran "CN=Jack Frost, OU=staf,OU=Ujian,DC=GLOBOMANTICS,DC=local".
Sekarang mari kita nyahaktifkannya secara nyata:
PS C:\> Lumpuhkan-ADAAccount jfrost
Dan apabila tiba masanya untuk mengaktifkan akaun, cmdlet manakah yang akan membantu kami?
PS C:\> Dayakan-ADAccount jfrost
Cmdlet ini boleh digunakan dalam ungkapan saluran paip, membolehkan anda mengaktifkan atau menyahaktifkan seberapa banyak akaun yang anda suka. Sebagai contoh, kod ini akan menyahaktifkan semua akaun di bahagian Jualan
PS C:\> get-aduser -filter "jabatan -eq "sales"" | lumpuhkan-adakaun
Sudah tentu, tulis penapis untuk Dapatkan-ADUser agak rumit, tetapi di sinilah penggunaan parameter –Bagaimana pula bersama-sama dengan cmdlet Lumpuhkan-ADAccount datang untuk menyelamatkan.
Tugasan 3: Buka kunci akaun pengguna
Pertimbangkan situasi di mana Jack mengunci akaunnya semasa cuba memasukkan kata laluan baharu. Daripada cuba mencari akaunnya melalui GUI, prosedur membuka kunci boleh dilakukan menggunakan arahan mudah.
PS C:\> Buka Kunci-ADAAccount jfrost
Cmdlet juga menyokong parameter -Whatif Dan -Sahkan.
Tugasan 4: Padam akaun
Tidak kira berapa ramai pengguna yang anda alih keluar - ia mudah dilakukan menggunakan cmdlet Buang-ADUser. Saya tidak mahu mengeluarkan Jack Frost, tetapi jika saya mahu, saya akan menggunakan kod seperti ini:
PS C:\> Remove-ADUser jfrost -whatif Bagaimana jika: Melakukan operasi "Remove" pada Sasaran "CN=Jack Frost,OU=staff,OU=Ujian,DC=GLOBOMANTICS,DC=local".
Atau saya boleh memasukkan berbilang pengguna dan memadamnya dengan satu arahan mudah:
PS C:\> get-aduser -filter "enabled -eq "false"" -property WhenChanged -SearchBase "OU=Employees, DC=Globomantics,DC=Local" | di mana ($_.WhenChanged -le (Get-Date).AddDays(-180)) | Remove-ADuser -whatif
Perintah ini akan mencari dan memadam mana-mana akaun OU Pekerja yang dilumpuhkan yang tidak diubah suai selama 180 hari atau lebih.
Tugasan 5: Mencari kumpulan kosong
Mengurus kumpulan adalah tugas yang tidak berkesudahan dan tidak berterima kasih. Terdapat banyak cara untuk mencari kumpulan kosong. Sesetengah ungkapan mungkin berfungsi lebih baik daripada yang lain, bergantung pada organisasi anda. Kod di bawah akan menemui semua kumpulan dalam domain, termasuk yang terbina dalam.
PS C:\> get-adgroup -filter * | di mana (-Bukan ($_ | dapatkan-ahli kumpulan iklan)) | Pilih Nama
Jika anda mempunyai kumpulan dengan ratusan ahli, maka menggunakan arahan ini boleh mengambil masa yang lama; Dapatkan-ADGroupMember menyemak setiap kumpulan. Jika anda boleh mengehadkan atau menyesuaikan ia akan menjadi lebih baik.
Berikut adalah pendekatan lain:
PS C:\> dapatkan-kumpulan iklan -tapis "ahli -tidak seperti "*" -AND GroupScope -eq "Universal"" -SearchBase "OU=Kumpulan,OU=Pekerja,DC=Globomantics, DC=local" | Pilih Nama, Kumpulan*
Perintah ini mencari semua kumpulan Universal yang tidak mempunyai keahlian dalam Kumpulan OU dan memaparkan beberapa sifat. Hasilnya ditunjukkan dalam Rajah 3. 
nasi. 3. Cari dan tapis kumpulan universal
Tugasan 6: Menambah pengguna pada kumpulan
Mari tambah Jack Frost ke kumpulan IT Chicago:
PS C:\> tambah ahli kumpulan iklan "chicago IT" -Ahli jfrost
Ya, semudah itu. Anda juga boleh menambahkan ratusan pengguna ke kumpulan dengan mudah, walaupun saya rasa ini agak janggal:
PS C:\> Ahli Add-ADGroup "Pekerja Chicago" -ahli (get-aduser -filter "city -eq "Chicago"")
Saya menggunakan ungkapan saluran paip kurungan untuk mencari semua pengguna yang mempunyai harta City di Chicago. Kod dalam kurungan dilaksanakan dan objek yang terhasil dihantar ke parameter –Ahli. Setiap objek pengguna ditambahkan pada kumpulan Pekerja Chicago. Tidak kira sama ada kami berurusan dengan 5 atau 5000 pengguna, mengemas kini keahlian kumpulan mengambil masa beberapa saat sahaja. Ungkapan ini juga boleh ditulis menggunakan ForEach-Object apa yang mungkin lebih mudah:
PS C:\> Get-ADUser -filter "city -eq "Chicago"" | foreach (Add-ADGroupMember "Chicago Employees" -Ahli $_)
Tugasan 7: Senaraikan ahli kumpulan
Anda mungkin ingin tahu siapa yang berada dalam kumpulan tertentu. Sebagai contoh, anda harus mengetahui secara berkala siapa ahli kumpulan Pentadbir Domain:
PS C:\> Dapatkan-ADGroupMember "Pentadbir Domain"
Rajah 4 menunjukkan keputusan.
nasi. 4. Ahli kumpulan Pentadbir Domain
Cmdlet memaparkan objek AD untuk setiap ahli kumpulan. Apa yang perlu dilakukan dengan kumpulan bersarang? Kumpulan saya Chicago All Users ialah koleksi kumpulan bersarang. Untuk mendapatkan senarai semua akaun, saya hanya perlu menggunakan parameter –Rekursif.
PS C:\> Dapatkan-ADGroupMember "Chicago All Users" -Rekursif | Pilih DistinguishedName
Jika anda mahu pergi ke arah lain - cari kumpulan yang mana pengguna berada - gunakan sifat pengguna Ahli kepada:
PS C:\> get-aduser jfrost -property Ahli | Pilih -ExpandProperty memberOf CN=NewTest,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local CN=Chicago Test,OU=Groups,OU=Employees, DC=GLOBOMANTICS,DC=local CN=Chicago IT,OU= Kumpulan,OU=Pekerja, DC=GLOBOMANTICS,DC=lokal CN=Pengguna Jualan Chicago,OU=Kumpulan,OU=Pekerja, DC=GLOBOMANTICS,DC=lokal
Saya menggunakan parameter -ExpandProperty untuk memaparkan nama Ahli kepada seperti garisan.
Tugasan 8: Cari akaun komputer lapuk
Saya sering ditanya soalan ini: "Bagaimanakah saya mencari akaun komputer yang sudah lapuk?" Dan saya selalu menjawab: "Apa yang ketinggalan zaman untuk anda?" Syarikat mempunyai takrifan berbeza apabila akaun komputer (atau akaun pengguna, tidak mengapa) dianggap usang dan tidak boleh digunakan lagi. Bagi saya, saya memberi perhatian kepada akaun yang kata laluannya tidak ditukar untuk tempoh masa tertentu. Tempoh ini bagi saya ialah 90 hari - jika komputer tidak menukar kata laluan bersama domain dalam tempoh ini, kemungkinan besar ia adalah di luar talian dan ketinggalan zaman. Cmdlet digunakan Dapatkan-ADComputer:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Pilih nama, set kata laluan terakhir
Penapis berfungsi hebat dengan nilai keras, tetapi kod ini akan dikemas kini untuk semua akaun komputer yang tidak menukar kata laluan mereka sejak 1 Januari 2012. Keputusan ditunjukkan dalam Rajah 5.
nasi. 5. Cari akaun komputer yang lapuk
Pilihan lain: mari kita anggap anda sekurang-kurangnya pada tahap fungsi domain Windows 2003. Tapis mengikut harta LastLogontimeStamp. Nilai ini ialah bilangan 100 selang nanosaat sejak 1 Januari 1601, dan disimpan dalam GMT, jadi bekerja dengan nilai ini agak sukar:
PS C:\> dapatkan-komputer -penapis "LastlogonTimestamp -gt 0" -properties * | pilih nama,lastlogontimestamp, @(Name="LastLogon";Expression=(::FromFileTime ($_.Lastlogontimestamp))),passwordlastset | Isih LastLogonTimeStamp
nasi. 6. Tukar nilai LastLogonTimeStamp kepada format biasa
Untuk membuat penapis, saya perlu menukar tarikh, contohnya 1 Januari 2012, ke dalam format yang betul. Penukaran dijalankan dalam FileTime:
PS C:\> $cutoff=(Dapatkan Tarikh "1/1/2012").ToFileTime() PS C:\> $cutoff 129698676000000000
Sekarang saya boleh menggunakan pembolehubah ini dalam penapis untuk Dapatkan-ADComputer:
PS C:\> Get-ADComputer -Filter "(lastlogontimestamp -lt $cutoff) -atau (lastlogontimestamp -tidak seperti "*")" -property * | Pilih Nama,LastlogonTimestamp,PasswordLastSet
Kod di atas menemui komputer yang sama yang ditunjukkan dalam Rajah 5.
Tugasan 9: Nyahaktifkan akaun komputer
Mungkin apabila anda menemui akaun yang tidak aktif atau ketinggalan zaman, anda akan mahu menyahaktifkannya. Ini agak mudah dilakukan. Kami akan menggunakan cmdlet yang sama yang kami gunakan untuk bekerja dengan akaun pengguna. Anda boleh menjelaskannya dengan menggunakan samaAccountname akaun.
PS C:\> Disable-ADAccount -Identiti "chi-srv01$" -whatif Bagaimana jika: Melakukan operasi "Set" pada Sasaran "CN=CHI-SRV01, CN=Computers,DC=GLOBOMANTICS,DC=local".
Atau menggunakan ungkapan saluran paip:
PS C:\> dapatkan-komputer "chi-srv01" | Lumpuhkan-ADAccount
Saya juga boleh menggunakan kod saya untuk mencari akaun lapuk dan menyahaktifkan kesemuanya:
PS C:\> get-adcomputer -filter "Passwordlastset -lt "1/1/2012"" -properties *| Lumpuhkan-ADAccount
Tugasan 10: Cari komputer mengikut jenis
Saya juga sering ditanya cara mencari akaun komputer mengikut jenis, seperti pelayan atau stesen kerja. Ini memerlukan sedikit kreativiti di pihak anda. Tiada apa-apa dalam AD yang membezakan pelayan daripada klien, kecuali mungkin OS. Jika komputer anda menjalankan Windows Server 2008, anda perlu melakukan beberapa langkah tambahan.
Mula-mula, anda perlu mendapatkan senarai sistem pengendalian, dan kemudian kami menapis akaun mengikut sistem pengendalian yang tersedia.
PS C:\> Dapatkan-ADKomputer -Penapis * -Sistem Operasi Properties | Pilih Sistem Operasi -unik | Isih Sistem Operasi
Keputusan ditunjukkan dalam Rajah 7.
nasi. 7. Mendapatkan semula senarai OS
Saya ingin mencari semua komputer yang menjalankan OS pelayan:
PS C:\> Get-ADComputer -Tapis "OperatingSystem -like "*Server*"" -properties OperatingSystem,OperatingSystem ServicePack | Pilih Nama, Op* | senarai format
Keputusan ditunjukkan dalam Rajah 8.
Seperti cmdlet AD Get yang lain, anda boleh menyesuaikan parameter carian dan mengehadkan permintaan kepada OU tertentu jika perlu. Semua ungkapan yang saya tunjukkan boleh disepadukan ke dalam ungkapan PowerShell yang lebih besar. Contohnya, anda boleh mengisih, mengumpulkan, menggunakan penapis, mengeksport ke CSV atau membuat dan menghantar e-mel laporan HTML - semuanya daripada PowerShell! Dalam kes ini, anda tidak perlu menulis satu skrip.
Berikut ialah bonus: laporan umur kata laluan pengguna, disimpan dalam fail HTML:
PS C:\> Get-ADUser -Penapis "Didayakan -eq "True" -DAN Kata LaluanTidak Pernah Tamat Tempoh -eq "Salah"" -Properties PasswordLastSet,PasswordNeverExpires,PasswordExpires | Pilih DistinguishedName,Name,pass*,@(Name="PasswordAge"; Expression=((Dapatkan-Tarikh)-$_.PasswordLastSet)) |isih Kata LaluanUmur -Turun | ConvertTo-Html -Title "Laporan Umur Kata Laluan" | Out-File c:\Work\pwage.htm !}
Walaupun ungkapan ini mungkin kelihatan sedikit menakutkan, ia mudah digunakan dengan pengetahuan minimum tentang PowerShell. Dan hanya tinggal satu nasihat terakhir: bagaimana untuk menentukan harta tersuai yang dipanggil Usia Kata Laluan. Nilai mewakili jurang antara hari ini dan sifat PasswordLastSet. Kemudian saya menyusun keputusan untuk hartanah baharu saya. Rajah 9 menunjukkan output untuk domain ujian kecil saya.
Kemas kini:
Catatan itu mengandungi terjemahan artikel di portal
Setelah Active Directory dipasang, anda boleh mula mencipta dan mengurus objek.
6.5.1. Penciptaan jabatan dan objek di dalamnya
6.5.1.1. Penciptaan unit organisasi (OU)
OU boleh dibuat dalam domain, objek Pengawal Domain atau OU lain (Gamb. 6.3). Anda boleh menambah objek pada OP yang dibuat.
Untuk membuat OU, anda mesti mempunyai kuasa untuk menambah jabatan pada OU induk, domain atau nod Pengawal Domain tempat OU akan dibuat. Secara lalai, kuasa ini diberikan kepada kumpulan Pentadbir.
strators).
Anda tidak boleh membuat OP dalam kebanyakan konteks standard.
ners, seperti Komputer atau Pengguna.
nasi. 6.3. EP Jabatan OTZI dalam nod Pengawal Domain
OP dicipta untuk memudahkan pentadbiran rangkaian. Struktur EP hendaklah berdasarkan tugas khusus iklan-
melayan. Anda boleh menukar struktur OP atau memindahkan objek antara OP dengan mudah.
OP dibuat dalam kes berikut:
untuk memberikan hak pentadbiran kepada pengguna atau pentadbir lain;
untuk mengumpulkan objek di mana operasi pentadbiran yang serupa dilakukan; ini memudahkan pencarian sumber rangkaian yang serupa dan penyelenggaraannya - dengan itu, anda boleh menggabungkan semua objek dalam satu OP Pengguna untuk pekerja sementara;
untuk mengehadkan keterlihatan sumber rangkaian dalam storan Active Directory, pengguna hanya akan melihat objek yang mereka ada akses; kebenaran untuk OP boleh ditukar dengan mudah, mengehadkan akses kepada maklumat sulit.
6.5.1.2. Menambah objek pada OP
Untuk menambah objek pada OP, anda mesti mempunyai kebenaran yang sesuai di dalamnya. Secara lalai, hak ini diberikan kepada kumpulan Pentadbir. Jenis objek yang dicipta bergantung pada peraturan skema dan wizard atau snap-in yang digunakan. Sesetengah atribut objek hanya boleh ditentukan selepas ia dibuat.
6.5.2. Menguruskan Objek Direktori Aktif
Mengurus objek Direktori Aktif termasuk mencari objek, menukarnya, memusnahkannya atau mengalihkannya. Dalam dua kes terakhir, anda mesti mempunyai kebenaran yang sesuai untuk objek atau untuk OP tempat anda mengalihkan objek. Secara lalai, semua ahli kumpulan Pentadbir mempunyai kebenaran ini.
6.5.2.1. Cari objek
Katalog global (GC) mengandungi replika sebahagian daripada keseluruhan katalog dan menyimpan maklumat tentang semua objek dalam pokok domain atau hutan. Oleh itu, pengguna boleh mencari objek tanpa mengira lokasinya dalam domain atau hutan. Kandungan Kanun Sivil dijana secara automatik berdasarkan maklumat daripada domain yang membentuk katalog.
Untuk mencari objek, buka snap-in, pintasan yang terletak dalam kumpulan program Alat Pentadbiran. Dalam pokok konsol, klik kanan
klik domain atau OP dan pilih arahan Cari dalam menu konteks. Kotak dialog Cari dibuka.
(Cari) (Gamb. 6.4).
nasi. 6.4. Cari Kotak Dialog
Jika anda mengembangkan menu konteks objek Folder kongsi dan pilih arahan Cari
(Cari), fungsi carian Windows Explorer akan dilancarkan dan anda boleh mencari folder kongsi untuk fail dan subfolder.
Kotak dialog Cari termasuk pilihan carian GL yang membolehkan anda mencari akaun, kumpulan dan pencetak.
6.5.2.2. Menukar Nilai Atribut
Dan memadam objek
Untuk menukar nilai atribut, buka Ac- snap-in
Pengguna Direktori Dan Komputer dan pilih contoh objek
ta. Daripada menu Tindakan, pilih Properties. Dalam dialog sifat objek
projek, tukar atribut objek yang dikehendaki. Kemudian buat perubahan pada perihalan objek, contohnya, ubah suai objek Pengguna untuk menukar nama pengguna, lokasi dan alamat e-mel. Jika objek tidak lagi diperlukan, padamkannya atas sebab keselamatan: dengan membuka Active Directory Users And
Komputer , pilih contoh objek yang hendak dipadamkan, dan kemudian pilih Padam daripada menu Tindakan
(Padam).
6.5.2.3. objek bergerak
Dalam storan Active Directory, anda boleh memindahkan objek, contohnya antara OU, untuk mencerminkan perubahan dalam struktur perusahaan apabila pekerja dipindahkan dari satu jabatan ke jabatan lain.
goy. Untuk melakukan ini, buka snap-in Pengguna Direktori Aktif Dan Kom-
puters , pilih objek yang hendak dialihkan, pilih arahan Move daripada menu Action dan
nyatakan lokasi baharu objek tersebut.
6.5.3. Mengawal akses kepada objek Active Directory
Untuk mengawal akses kepada objek Active Directory, model keselamatan berorientasikan objek digunakan, sama dengan model keselamatan NTFS.
Setiap objek Active Directory mempunyai deskriptor keselamatan yang menentukan siapa yang mempunyai akses kepada objek dan jenis akses. Pelayan Windows menggunakan deskriptor keselamatan untuk mengawal akses kepada objek.
Untuk memudahkan pentadbiran, anda boleh mengumpulkan objek dengan keperluan keselamatan yang sama dalam OP dan menetapkan kebenaran akses untuk keseluruhan OP dan semua objek di dalamnya.
6.5.3.1. Menguruskan Kebenaran Direktori Aktif
Kebenaran Active Directory melindungi sumber dengan membenarkan anda mengawal akses kepada kejadian objek atau atribut objek dan menentukan jenis akses yang diberikan.
Perlindungan Direktori Aktif
Pentadbir atau pemilik objek mesti memberikan kebenaran akses kepada objek sebelum pengguna boleh mengakses objek tersebut. Pelayan Windows mengekalkan senarai kawalan akses (ACL) untuk setiap satu
objek Active Directory ke.
ACL objek termasuk senarai pengguna yang dibenarkan akses kepada objek, serta set tindakan yang dibenarkan pada objek.
Anda boleh menggunakan kebenaran untuk memberikan kebenaran pentadbiran kepada pengguna atau kumpulan tertentu untuk PO, hierarki PO atau objek individu, tanpa memberikan kebenaran pentadbiran untuk mengurus orang lain.
objek Active Directory yang lain.
Kebenaran Akses Objek
Bergantung pada jenis objek - contohnya, kebenaran Tetapkan Semula Kata Laluan adalah sah untuk objek Pengguna, tetapi bukan untuk objek
Komputer.
Pengguna boleh menjadi ahli berbilang kumpulan, dengan kebenaran berbeza untuk setiap kumpulan, memberikan tahap akses yang berbeza kepada objek. Apabila anda memberikan kebenaran kepada objek kepada ahli kumpulan yang mempunyai kebenaran lain, hak berkesan pengguna ialah jumlah kebenarannya dan kebenaran kumpulan itu.
Anda boleh memberikan atau membatalkan kebenaran. Keizinan yang dibatalkan untuk pengguna dan kumpulan diutamakan daripada sebarang kebenaran yang diberikan.
Jika pengguna dinafikan akses kepada objek, pengguna tidak akan dapat mengaksesnya walaupun sebagai ahli kumpulan yang berwibawa.
Menetapkan kebenaran Active Directory
Snap-in membolehkan anda mengkonfigurasi kebenaran objek dan atributnya Pengguna Direktori Aktif Dan Komputer. Tetapkan masa
penyelesaian juga boleh didapati pada tab Keselamatan kotak dialog sifat objek.
Keizinan standard mencukupi untuk melaksanakan kebanyakan tugas pentadbiran.
Pada tahun 2002, semasa berjalan di sepanjang koridor jabatan sains komputer universiti kegemaran saya, saya melihat poster baru di pintu pejabat "NT Systems". Poster itu menggambarkan ikon akaun pengguna yang dikumpulkan ke dalam kumpulan, dari mana anak panah seterusnya membawa kepada ikon lain. Semua ini digabungkan secara skematik ke dalam struktur tertentu, sesuatu telah ditulis tentang sistem log masuk tunggal, kebenaran dan sebagainya. Setakat yang saya faham sekarang, poster itu menggambarkan seni bina Windows NT 4.0 Domains dan sistem Windows 2000 Active Directory. Sejak saat itu perkenalan pertama saya dengan Active Directory bermula dan serta-merta berakhir, kerana kemudian terdapat sesi yang sukar, percutian yang menyeronokkan, selepas itu seorang rakan berkongsi cakera FreeBSD 4 dan Red Hat Linux, dan untuk beberapa tahun akan datang saya terjun ke dunia sistem seperti Unix , tetapi saya tidak pernah melupakan kandungan poster itu.
Saya terpaksa kembali ke sistem berdasarkan platform Windows Server dan menjadi lebih akrab dengan mereka apabila saya berpindah untuk bekerja untuk sebuah syarikat di mana pengurusan keseluruhan infrastruktur IT adalah berdasarkan Active Directory. Saya masih ingat bahawa ketua pentadbir syarikat itu terus mengulangi sesuatu tentang beberapa Amalan Terbaik Direktori Aktif pada setiap mesyuarat. Kini, selepas 8 tahun komunikasi berkala dengan Active Directory, saya faham dengan baik cara sistem ini berfungsi dan apakah Amalan Terbaik Active Directory.
Seperti yang anda mungkin sudah meneka, kami akan bercakap tentang Active Directory.
Sesiapa yang berminat dengan topik ini dialu-alukan untuk kucing.
Pengesyoran ini sah untuk sistem pelanggan bermula dari Windows 7 dan lebih tinggi, untuk domain dan hutan pada tahap Windows Server 2008/R2 dan lebih tinggi.
Penyeragaman
Perancangan untuk Direktori Aktif harus bermula dengan membangunkan piawaian anda untuk menamakan objek dan lokasinya dalam direktori. Ia adalah perlu untuk mencipta dokumen yang mentakrifkan semua piawaian yang diperlukan. Sudah tentu, ini adalah cadangan yang agak biasa untuk profesional IT. Prinsip "mula-mula kami menulis dokumentasi, dan kemudian kami membina sistem menggunakan dokumentasi ini" adalah sangat baik, tetapi ia jarang dilaksanakan dalam amalan kerana banyak sebab. Antara sebab-sebab ini adalah kemalasan manusia yang mudah atau kekurangan kecekapan yang sesuai; sebab yang selebihnya diperoleh daripada dua yang pertama.
Saya mengesyorkan agar anda menulis dokumentasi dahulu, memikirkannya, dan kemudian meneruskan dengan memasang pengawal domain pertama.
Sebagai contoh, saya akan memberikan bahagian dokumen mengenai piawaian untuk menamakan objek Active Directory.
Menamakan objek.
- Nama kumpulan pengguna mesti bermula dengan awalan GRUS_ (GR - Kumpulan, AS - Pengguna)
- Nama kumpulan komputer mesti bermula dengan awalan GRCP_ (GR - Kumpulan, CP - Komputer)
- Nama perwakilan kumpulan kuasa mesti bermula dengan awalan GRDL_ (GR - Kumpulan, DL - Perwakilan)
- Nama kumpulan akses sumber mesti bermula dengan awalan GRRS_ (GR - Kumpulan, RS - sumber)
- Nama kumpulan untuk dasar mesti bermula dengan awalan GPUS_, GPCP_ (GP - Dasar kumpulan, AS - Pengguna, CP - Komputer)
- Nama komputer pelanggan mestilah terdiri daripada dua atau tiga huruf daripada nama organisasi, diikuti dengan nombor yang dipisahkan oleh tanda sempang, contohnya, nnt-01.
- Nama pelayan mesti bermula dengan hanya dua huruf, diikuti dengan tanda sempang dan diikuti dengan peranan pelayan dan nombornya, sebagai contoh, nn-dc01.
Pendekatan anda untuk menulis dokumentasi haruslah sangat teliti, ini akan menjimatkan banyak masa pada masa hadapan.
Permudahkan segalanya sebaik mungkin, cuba mencapai keseimbangan
Apabila membina Active Directory, adalah perlu untuk mengikut prinsip mencapai keseimbangan, memilih mekanisme yang mudah dan boleh difahami.
Prinsip keseimbangan adalah untuk mencapai fungsi dan keselamatan yang diperlukan dengan kesederhanaan maksimum penyelesaian.
Ia adalah perlu untuk cuba membina sistem supaya strukturnya dapat difahami oleh pentadbir atau pengguna yang paling tidak berpengalaman. Sebagai contoh, pada satu masa terdapat cadangan untuk mewujudkan struktur hutan beberapa domain. Selain itu, adalah disyorkan untuk menggunakan bukan sahaja struktur berbilang domain, tetapi juga struktur dari beberapa hutan. Mungkin cadangan ini wujud kerana prinsip "bahagi dan takluk", atau kerana Microsoft memberitahu semua orang bahawa domain itu adalah sempadan keselamatan dan dengan membahagikan organisasi kepada domain, kami akan mendapat struktur berasingan yang lebih mudah dikawal secara individu. Tetapi seperti yang ditunjukkan oleh amalan, adalah lebih mudah untuk mengekalkan dan mengawal sistem domain tunggal, di mana sempadan keselamatan adalah unit organisasi (OU) dan bukannya domain. Oleh itu, elakkan membuat struktur berbilang domain yang kompleks; adalah lebih baik untuk mengumpulkan objek mengikut OU.
Sudah tentu, anda harus bertindak tanpa fanatik - jika mustahil untuk dilakukan tanpa beberapa domain, maka anda perlu membuat beberapa domain, juga dengan hutan. Perkara utama ialah anda memahami apa yang anda lakukan dan apa yang boleh menyebabkannya.
Adalah penting untuk memahami bahawa infrastruktur Active Directory yang ringkas adalah lebih mudah untuk ditadbir dan dipantau. Saya juga akan mengatakan bahawa lebih mudah, lebih selamat.
Mengaplikasi prinsip penyederhanaan. Cuba untuk mencapai keseimbangan.
Ikut prinsip - "objek - kumpulan"
Mula mencipta objek Direktori Aktif dengan mencipta kumpulan untuk objek ini dan berikan hak yang diperlukan kepada kumpulan itu. Mari kita lihat satu contoh. Anda perlu membuat akaun pentadbir utama. Mula-mula buat kumpulan Pentadbir Ketua dan kemudian buat akaun itu sendiri dan tambahkannya pada kumpulan ini. Berikan hak pentadbir ketua kepada kumpulan Pentadbir Ketua, contohnya, dengan menambahkannya pada kumpulan Pentadbir Domain. Ia hampir selalu ternyata bahawa selepas beberapa ketika pekerja lain datang bekerja yang memerlukan hak yang sama, dan bukannya mewakilkan hak kepada bahagian Direktori Aktif yang berbeza, adalah mungkin untuk menambahkannya ke kumpulan yang diperlukan yang mana sistem telah menentukan peranannya. dan kuasa yang diperlukan diwakilkan.
Satu lagi contoh. Anda perlu mewakilkan hak kepada OU dengan pengguna kepada kumpulan pentadbir sistem. Jangan wakilkan hak terus kepada kumpulan pentadbir, tetapi buat kumpulan khas seperti GRDL_OUName_Operator_Accounts yang anda berikan haknya. Kemudian hanya tambahkan kumpulan pentadbir yang bertanggungjawab ke kumpulan GRDL_OUName_Operator_Accounts. Ia pasti akan berlaku bahawa dalam masa terdekat anda perlu mewakilkan hak kepada OU ini kepada kumpulan pentadbir lain. Dan dalam kes ini, anda hanya akan menambah kumpulan data pentadbir pada kumpulan perwakilan GRDL_OUName_Operator_Accounts.
Saya mencadangkan struktur kumpulan berikut.
- Kumpulan pengguna (GRUS_)
- Kumpulan Pentadbir (GRAD_)
- Kumpulan perwakilan (GRDL_)
- Kumpulan dasar (GRGP_)
- Kumpulan pelayan (GRSR_)
- Kumpulan komputer pelanggan (GRCP_)
- Kumpulan Akses Sumber Dikongsi (GRRS_)
- Kumpulan Akses Pencetak (GRPR_)
Kekalkan keseimbangan dengan mengehadkan bilangan peranan untuk kumpulan dan ingat bahawa nama kumpulan harus menggambarkan sepenuhnya peranannya secara ideal.
seni bina OU.
Seni bina OU pertama sekali harus difikirkan dari sudut keselamatan dan pendelegasian hak kepada OU ini kepada pentadbir sistem. Saya tidak mengesyorkan merancang seni bina OU dari sudut pandangan menghubungkan dasar kumpulan kepada mereka (walaupun ini paling kerap dilakukan). Bagi sesetengah orang, cadangan saya mungkin kelihatan agak pelik, tetapi saya tidak mengesyorkan untuk mengikat dasar kumpulan kepada OU sama sekali. Baca lebih lanjut dalam bahagian Dasar Kumpulan.
Pentadbir OU
Saya mengesyorkan anda membuat OU yang berasingan untuk akaun dan kumpulan pentadbiran, di mana anda boleh meletakkan akaun dan kumpulan semua pentadbir dan jurutera sokongan teknikal. Akses kepada OU ini hendaklah dihadkan kepada pengguna biasa dan pengurusan objek daripada OU ini hendaklah diwakilkan hanya kepada pentadbir utama.
Komputer OU
OU Komputer paling baik dirancang dari segi lokasi geografi komputer dan jenis komputer. Mengedarkan komputer dari lokasi geografi yang berbeza ke dalam OU yang berbeza, dan seterusnya membahagikannya kepada komputer dan pelayan pelanggan. Pelayan juga boleh dibahagikan kepada Exchange, SQL dan lain-lain.
Pengguna, hak dalam Active Directory
Akaun pengguna Active Directory harus diberi perhatian khusus. Seperti yang dinyatakan dalam bahagian tentang OU, akaun pengguna hendaklah dikumpulkan berdasarkan prinsip pewakilan kuasa kepada akaun ini. Ia juga penting untuk mematuhi prinsip keistimewaan yang paling sedikit - semakin sedikit hak pengguna dalam sistem, semakin baik. Saya mengesyorkan agar anda segera memasukkan tahap keistimewaan pengguna dalam nama akaunnya. Akaun untuk kerja harian hendaklah terdiri daripada nama keluarga dan inisial pengguna dalam bahasa Latin (Contohnya, IvanovIV atau IVIvanov). Medan yang diperlukan ialah: Nama Pertama, Inisial, Nama Keluarga, Nama Paparan (dalam bahasa Rusia), e-mel, mudah alih, Jawatan Pekerjaan, Pengurus.
Akaun pentadbir mestilah daripada jenis berikut:
- Dengan hak pentadbir kepada komputer pengguna, tetapi bukan pelayan. Mesti terdiri daripada parap pemilik dan awalan tempatan (Contohnya, iivlocal)
- Dengan hak untuk mentadbir pelayan dan Active Directory. Mesti terdiri daripada huruf awal sahaja (Contohnya, iiv).
Biar saya terangkan sebab anda perlu mengasingkan akaun pentadbiran kepada pentadbir pelayan dan pentadbir komputer pelanggan. Ini mesti dilakukan atas sebab keselamatan. Pentadbir komputer pelanggan akan mempunyai hak untuk memasang perisian pada komputer pelanggan. Tidak mungkin untuk mengatakan dengan pasti perisian apa yang akan dipasang dan mengapa. Oleh itu, adalah tidak selamat untuk menjalankan pemasangan program dengan hak pentadbir domain; keseluruhan domain boleh terjejas. Anda mesti mentadbir komputer pelanggan hanya dengan hak pentadbir tempatan untuk komputer itu. Ini akan menjadikannya mustahil untuk beberapa serangan pada akaun pentadbir domain, seperti "Pass The Hash". Selain itu, pentadbir komputer pelanggan perlu menutup sambungan melalui Perkhidmatan Terminal dan sambungan rangkaian ke komputer. Sokongan teknikal dan komputer pentadbiran harus diletakkan dalam VLAN yang berasingan untuk mengehadkan akses kepada mereka daripada rangkaian komputer klien.
Memberikan hak pentadbir kepada pengguna
Jika anda perlu memberikan hak pentadbir kepada pengguna, jangan sekali-kali meletakkan akaun mereka untuk kegunaan seharian dalam kumpulan pentadbir tempatan komputer. Akaun untuk kerja harian harus sentiasa mempunyai hak terhad. Cipta akaun pentadbiran yang berasingan untuknya seperti namelocal dan tambahkan akaun ini pada kumpulan pentadbir tempatan menggunakan dasar, mengehadkan aplikasinya hanya pada komputer pengguna menggunakan penyasaran peringkat item. Pengguna akan dapat menggunakan akaun ini menggunakan mekanisme Run AS.
Dasar Kata Laluan
Buat dasar kata laluan yang berasingan untuk pengguna dan pentadbir menggunakan dasar kata laluan yang terperinci. Adalah dinasihatkan bahawa kata laluan pengguna terdiri daripada sekurang-kurangnya 8 aksara dan ditukar sekurang-kurangnya sekali setiap suku tahun. Adalah dinasihatkan untuk pentadbir menukar kata laluan setiap dua bulan, dan ia mestilah sekurang-kurangnya 10-15 aksara dan memenuhi keperluan kerumitan.
Komposisi domain dan kumpulan tempatan. Mekanisme Kumpulan Terhad
Komposisi domain dan kumpulan tempatan pada komputer domain hendaklah dikawal secara automatik sahaja, menggunakan mekanisme Kumpulan Terhad. Saya akan menerangkan mengapa ia perlu dilakukan hanya dengan cara ini menggunakan contoh berikut. Biasanya, selepas domain Active Directory dipecahkan, pentadbir menambah diri mereka pada kumpulan domain seperti Pentadbir domain, pentadbir Perusahaan, menambah jurutera sokongan teknikal kepada kumpulan yang diperlukan dan juga mengedarkan pengguna yang lain ke dalam kumpulan. Dalam proses mentadbir domain ini, proses mengeluarkan hak diulang berkali-kali dan amat sukar untuk diingat bahawa semalam anda menambah akauntan Nina Petrovna buat sementara waktu ke kumpulan pentadbir 1C dan hari ini anda perlu mengeluarkannya daripada kumpulan ini. Keadaan akan menjadi lebih buruk jika syarikat mempunyai beberapa pentadbir dan setiap daripada mereka dari semasa ke semasa memberikan hak kepada pengguna dalam gaya yang sama. Dalam masa setahun sahaja, hampir mustahil untuk mengetahui hak yang diberikan kepada siapa. Oleh itu, komposisi kumpulan harus dikawal hanya oleh dasar kumpulan, yang akan mengatur segala-galanya dengan setiap aplikasi.
Komposisi kumpulan terbina dalam
Perlu dikatakan bahawa kumpulan terbina dalam seperti Operator Akaun, Pengendali Sandaran, Operator Krip, Tetamu, Operator Cetakan, Operator Pelayan harus kosong, dalam domain dan pada komputer klien. Kumpulan ini diperlukan terutamanya untuk memastikan keserasian ke belakang dengan sistem yang lebih lama, dan pengguna kumpulan ini diberikan terlalu banyak hak dalam sistem, dan serangan peningkatan keistimewaan menjadi mungkin.
Akaun Pentadbir Tempatan
Menggunakan mekanisme Kumpulan Terhad, anda mesti menyekat akaun pentadbir tempatan pada komputer tempatan, menyekat akaun tetamu dan mengosongkan kumpulan pentadbir tempatan pada komputer tempatan. Jangan sekali-kali menggunakan dasar kumpulan untuk menetapkan kata laluan untuk akaun pentadbir tempatan. Mekanisme ini tidak selamat; kata laluan boleh diekstrak terus daripada dasar. Tetapi, jika anda memutuskan untuk tidak menyekat akaun pentadbir tempatan, kemudian gunakan mekanisme LAPS untuk menetapkan kata laluan dengan betul dan memutarnya. Malangnya, menyediakan LAPS tidak automatik sepenuhnya, dan oleh itu anda perlu menambah atribut secara manual pada skema Active Directory, memberikan hak kepada mereka, menetapkan kumpulan dan sebagainya. Oleh itu, lebih mudah untuk menyekat akaun pentadbir tempatan.
Akaun perkhidmatan.
Untuk menjalankan perkhidmatan, gunakan akaun perkhidmatan dan mekanisme gMSA (tersedia pada Windows 2012 dan sistem yang lebih tinggi)
Dasar Kumpulan
Dokumen dasar sebelum membuat/mengubah suainya.
Apabila membuat dasar, gunakan Dasar - prinsip Kumpulan. Iaitu, sebelum membuat dasar, mula-mula buat kumpulan untuk dasar ini, alih keluar kumpulan pengguna Disahkan daripada skop dasar dan tambah kumpulan yang dibuat. Pautkan dasar bukan kepada OU, tetapi kepada akar domain dan kawal skop penggunaannya dengan menambahkan objek pada kumpulan dasar. Saya menganggap mekanisme ini lebih fleksibel dan mudah difahami daripada mengaitkan dasar dengan OU. (Ini betul-betul apa yang saya tulis dalam bahagian tentang OU Architecture).
Sentiasa laraskan skop dasar. Jika anda membuat dasar hanya untuk pengguna, kemudian lumpuhkan struktur komputer dan sebaliknya, lumpuhkan struktur pengguna jika anda mencipta dasar hanya untuk komputer. Terima kasih kepada tetapan ini, dasar akan digunakan dengan lebih cepat.
Sediakan sandaran dasar harian menggunakan Power Shell supaya jika ralat konfigurasi berlaku, anda sentiasa boleh mengembalikan tetapan kepada tetapan asalnya.
Stor Pusat
Bermula dengan Windows 2008, ia menjadi mungkin untuk menyimpan templat Dasar Kumpulan ADMX di lokasi storan pusat, SYSVOL. Sebelum ini, secara lalai, semua templat dasar disimpan secara setempat pada pelanggan. Untuk meletakkan templat ADMX dalam storan pusat, anda perlu menyalin kandungan folder %SystemDrive%\Windows\PolicyDefinitions bersama-sama dengan subfolder daripada sistem klien (Windows 7/8/8.1) ke direktori pengawal domain %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions dengan kandungan digabungkan, tetapi tanpa penggantian. Seterusnya, anda harus membuat salinan yang sama daripada sistem pelayan, bermula dengan yang tertua. Akhir sekali, apabila menyalin folder dan fail daripada versi pelayan terkini, lakukan salinan GABUNGAN DAN GANTIKAN.
Menyalin templat ADMX
Selain itu, templat ADMX untuk sebarang produk perisian, contohnya, Microsoft Office, produk Adobe, produk Google dan lain-lain, boleh diletakkan dalam storan pusat. Pergi ke tapak web vendor perisian, muat turun templat ADMX Group Policy dan buka peknya ke folder %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions pada mana-mana pengawal domain. Kini anda boleh mengurus produk perisian yang anda perlukan melalui dasar kumpulan.
Penapis WMI
Penapis WMI tidak begitu pantas, jadi lebih baik menggunakan mekanisme penyasaran peringkat item. Tetapi jika penyasaran peringkat item tidak boleh digunakan dan anda memutuskan untuk menggunakan WMI, maka saya syorkan anda segera membuat beberapa penapis yang paling biasa untuk diri anda sendiri: penapis "Sistem pengendalian pelanggan sahaja", "Sistem pengendalian pelayan sahaja", "Windows 7 ” penapis, penapis “Windows” 8", "Windows 8.1", "Windows 10". Jika anda mempunyai set penapis WMI siap sedia, maka lebih mudah untuk menggunakan penapis yang diingini pada dasar yang diingini.
Mengaudit Acara Direktori Aktif
Pastikan untuk mendayakan pengauditan acara pada pengawal domain dan pelayan lain. Saya mengesyorkan membolehkan pengauditan objek berikut:
- Audit Pengurusan Akaun Komputer - Kejayaan, Kegagalan
- Audit Acara Pengurusan Akaun Lain - Kejayaan, Kegagalan
- Pengurusan Kumpulan Keselamatan Audit - Kejayaan, Kegagalan
- Pengurusan Akaun Pengguna Audit - Kejayaan, Kegagalan
- Audit Perkhidmatan Pengesahan Kerberos - Kegagalan
- Audit Acara Log Masuk Akaun Lain - Kegagalan
- Perubahan Dasar Audit Audit - Kejayaan, Kegagalan
Tetapan audit lanjutan
Saya tidak akan membincangkan secara terperinci tentang tetapan audit, kerana terdapat sejumlah artikel yang mencukupi di Internet yang dikhaskan untuk topik ini. Saya hanya akan menambah bahawa selain mendayakan pengauditan, anda harus menyediakan makluman e-mel tentang peristiwa keselamatan kritikal. Ia juga patut dipertimbangkan bahawa dalam sistem dengan sejumlah besar acara, adalah bernilai mendedikasikan pelayan berasingan untuk mengumpul dan menganalisis fail log.
Skrip pentadbiran dan pembersihan
Semua tindakan yang serupa dan kerap diulang mesti dilakukan menggunakan skrip pentadbiran. Tindakan ini termasuk: membuat akaun pengguna, mencipta akaun pentadbir, membuat kumpulan, membuat OU dan sebagainya. Mencipta objek menggunakan skrip membolehkan anda menghormati logik penamaan objek Active Directory anda dengan membina semakan sintaks terus ke dalam skrip.
Ia juga bernilai menulis skrip pembersihan yang secara automatik akan memantau komposisi kumpulan, mengenal pasti pengguna dan komputer yang tidak bersambung ke domain untuk masa yang lama, mengenal pasti pelanggaran piawaian lain, dan sebagainya.
Saya tidak melihatnya sebagai pengesyoran rasmi yang jelas untuk menggunakan skrip pentadbir untuk memantau pematuhan dan melaksanakan operasi latar belakang. Tetapi saya sendiri lebih suka semakan dan prosedur dalam mod automatik menggunakan skrip, kerana ini menjimatkan banyak masa dan menghapuskan sejumlah besar ralat dan, sudah tentu, di sinilah pendekatan Unix saya yang sedikit untuk pentadbiran dimainkan, apabila lebih mudah untuk menaip beberapa arahan daripada klik pada windows .
Pentadbiran manual
Anda dan rakan sekerja anda perlu melakukan beberapa operasi pentadbiran secara manual. Untuk tujuan ini, saya mengesyorkan menggunakan konsol mmc dengan snap-in ditambahkan padanya.
Seperti yang akan dinyatakan kemudian, pengawal domain anda harus beroperasi dalam mod Teras Pelayan, iaitu, anda harus mentadbir keseluruhan persekitaran AD hanya dari komputer anda menggunakan konsol. Untuk mentadbir Active Directory, anda perlu memasang Alat Pentadbiran Pelayan Jauh pada komputer anda. Konsol harus dijalankan pada komputer anda sebagai pengguna dengan hak pentadbir Active Directory dan kawalan yang diwakilkan.
Seni mengurus Direktori Aktif menggunakan konsol memerlukan artikel yang berasingan, dan mungkin juga video latihan yang berasingan, jadi di sini saya hanya bercakap tentang prinsip itu sendiri.
Pengawal domain
Dalam mana-mana domain, mesti ada sekurang-kurangnya dua pengawal. Pengawal domain harus mempunyai perkhidmatan sesedikit mungkin. Anda tidak seharusnya menukar pengawal domain menjadi pelayan fail atau, Insya-Allah, naik tarafnya kepada peranan pelayan terminal. Gunakan sistem pengendalian pada pengawal domain dalam mod Teras Pelayan, mengalih keluar sepenuhnya sokongan WoW64; ini akan mengurangkan dengan ketara bilangan kemas kini yang diperlukan dan meningkatkan keselamatan mereka.
Microsoft sebelum ini tidak menggalakkan pengawalan domain virtualisasi kerana potensi konflik replikasi yang sukar dikawal apabila memulihkan daripada syot kilat. Mungkin ada sebab lain, saya tidak boleh katakan dengan pasti. Kini hypervisor telah belajar untuk memberitahu pengawal untuk memulihkannya daripada syot kilat, dan masalah ini telah hilang. Saya telah memayakan pengawal sepanjang masa, tanpa mengambil sebarang syot kilat, kerana saya tidak faham mengapa mungkin ada keperluan untuk mengambil syot kilat sedemikian pada pengawal domain. Pada pendapat saya, lebih mudah untuk membuat salinan sandaran pengawal domain menggunakan cara standard. Oleh itu, saya mengesyorkan untuk memayakan semua pengawal domain yang mungkin. Konfigurasi ini akan menjadi lebih fleksibel. Apabila memayakan pengawal domain, letakkannya pada hos fizikal yang berbeza.
Jika anda perlu meletakkan pengawal domain dalam persekitaran fizikal yang tidak selamat atau di pejabat cawangan organisasi anda, kemudian gunakan RODC untuk tujuan ini.
Peranan FSMO, pengawal primer dan sekunder
Peranan pengawal domain FSMO terus menimbulkan ketakutan dalam fikiran pentadbir baharu. Selalunya, pemula mempelajari Active Directory daripada dokumentasi lapuk atau mendengar cerita daripada pentadbir lain yang membaca sesuatu di suatu tempat sekali.
Untuk semua lima + 1 peranan, perkara berikut harus dinyatakan secara ringkas. Bermula dengan Windows Server 2008, tiada lagi pengawal domain primer dan sekunder. Kesemua lima peranan pengawal domain adalah mudah alih, tetapi tidak boleh berada pada lebih daripada satu pengawal pada satu masa. Jika kita mengambil salah satu daripada pengawal, yang, sebagai contoh, adalah pemilik 4 peranan dan memadamkannya, maka kita boleh dengan mudah memindahkan semua peranan ini kepada pengawal lain, dan tiada perkara buruk akan berlaku dalam domain, tiada apa yang akan pecah. Ini mungkin kerana pemilik menyimpan semua maklumat tentang kerja yang berkaitan dengan peranan tertentu secara langsung dalam Active Directory. Dan jika kita memindahkan peranan kepada pengawal lain, maka pertama sekali ia beralih kepada maklumat yang disimpan dalam Active Directory dan mula melaksanakan perkhidmatan. Domain boleh wujud untuk masa yang agak lama tanpa pemilik peranan. Satu-satunya "peranan" yang harus sentiasa ada dalam Active Directory, dan tanpanya semuanya akan menjadi sangat buruk, ialah peranan katalog global (GC), yang boleh ditanggung oleh semua pengawal dalam domain. Saya syorkan untuk memberikan peranan GC kepada setiap pengawal dalam domain, lebih banyak terdapat, lebih baik. Sudah tentu, anda boleh menemui kes yang tidak berbaloi untuk memasang peranan GC pada pengawal domain. Nah, jika anda tidak memerlukannya, maka jangan. Ikut cadangan tanpa fanatik.
perkhidmatan DNS
Perkhidmatan DNS adalah penting untuk pengendalian Active Directory dan mesti berfungsi tanpa gangguan. Adalah lebih baik untuk memasang perkhidmatan DNS pada setiap pengawal domain dan menyimpan zon DNS dalam Active Directory itu sendiri. Jika anda akan menggunakan Active Directory untuk menyimpan zon DNS, maka anda harus mengkonfigurasi sifat sambungan TCP/IP pada pengawal domain supaya setiap pengawal mempunyai mana-mana pelayan DNS lain sebagai pelayan DNS utama dan anda boleh menetapkan yang kedua kepada alamat 127.0. 0.1. Tetapan ini mesti dilakukan kerana untuk perkhidmatan Active Directory bermula seperti biasa, DNS yang berfungsi diperlukan dan untuk DNS bermula, perkhidmatan Active Directory mesti berjalan, kerana zon DNS itu sendiri terletak di dalamnya.
Pastikan anda menyediakan zon carian terbalik untuk semua rangkaian anda dan dayakan kemas kini selamat automatik rekod PTR.
Saya mengesyorkan anda juga membolehkan pembersihan zon automatik bagi rekod DNS yang sudah lapuk (dns scavenging).
Saya mengesyorkan untuk menentukan pelayan Yandex yang dilindungi sebagai DNS-Forwarders jika tiada pelayan lain yang lebih pantas di lokasi geografi anda.
Tapak dan replikasi
Ramai pentadbir terbiasa berfikir bahawa laman web adalah kumpulan geografi komputer. Sebagai contoh, tapak Moscow, tapak St. Idea ini timbul kerana fakta bahawa pembahagian asal Direktori Aktif kepada tapak telah dilakukan untuk tujuan mengimbangi dan mengasingkan trafik rangkaian replikasi. Pengawal domain di Moscow tidak perlu tahu bahawa sepuluh akaun komputer kini telah dibuat di St. Petersburg. Oleh itu, maklumat sedemikian tentang perubahan boleh dihantar sekali sejam mengikut jadual. Atau bahkan meniru perubahan sekali sehari dan hanya pada waktu malam, untuk menjimatkan lebar jalur.
Saya akan mengatakan ini tentang tapak web: tapak web ialah kumpulan komputer yang logik. Komputer yang disambungkan antara satu sama lain melalui sambungan rangkaian yang baik. Dan tapak itu sendiri disambungkan antara satu sama lain dengan sambungan lebar jalur rendah, yang jarang berlaku pada hari ini. Oleh itu, saya membahagikan Active Directory kepada tapak bukan untuk mengimbangi trafik replikasi, tetapi untuk mengimbangi beban rangkaian secara umum dan untuk pemprosesan permintaan pelanggan yang lebih pantas daripada komputer tapak. Biar saya jelaskan dengan contoh. Terdapat rangkaian tempatan 100 megabit organisasi, yang disediakan oleh dua pengawal domain, dan terdapat awan di mana pelayan aplikasi organisasi ini terletak dengan dua pengawal awan yang lain. Saya akan membahagikan rangkaian sedemikian kepada dua tapak supaya pengawal pada proses rangkaian tempatan meminta daripada pelanggan daripada rangkaian tempatan, dan pengawal dalam permintaan proses awan daripada pelayan aplikasi. Selain itu, ini akan membolehkan anda memisahkan permintaan kepada perkhidmatan DFS dan Exchange. Dan oleh kerana sekarang saya jarang melihat saluran Internet kurang daripada 10 megabit sesaat, saya akan mendayakan Notify Based Replication, ini adalah apabila replikasi data berlaku serta-merta sebaik sahaja sebarang perubahan berlaku dalam Active Directory.
Kesimpulan
Pagi ini saya memikirkan mengapa sikap mementingkan diri manusia tidak dialu-alukan dalam masyarakat dan di suatu tempat pada tahap persepsi yang mendalam menyebabkan emosi yang sangat negatif. Dan satu-satunya jawapan yang terlintas di fikiran saya ialah umat manusia tidak akan bertahan di planet ini jika mereka tidak belajar berkongsi sumber fizikal dan intelek. Itulah sebabnya saya berkongsi artikel ini dengan anda dan saya berharap cadangan saya akan membantu anda memperbaik sistem anda dan anda akan menghabiskan lebih sedikit masa untuk menyelesaikan masalah. Semua ini akan membawa kepada membebaskan lebih banyak masa dan tenaga untuk kreativiti. Adalah lebih menyenangkan untuk hidup dalam dunia orang yang kreatif dan bebas.
Adalah baik jika, jika boleh, anda berkongsi pengetahuan dan amalan anda dalam membina Direktori Aktif dalam ulasan.
Damai dan kebaikan kepada semua orang!
Anda boleh membantu dan memindahkan beberapa dana untuk pembangunan tapak
Mana-mana pengguna pemula, berhadapan dengan singkatan AD, tertanya-tanya apakah Direktori Aktif? Active Directory ialah perkhidmatan direktori yang dibangunkan oleh Microsoft untuk rangkaian domain Windows. Termasuk dalam kebanyakan sistem pengendalian Windows Server sebagai satu set proses dan perkhidmatan. Pada mulanya, perkhidmatan hanya berurusan dengan domain. Walau bagaimanapun, bermula dengan Windows Server 2008, AD menjadi nama untuk pelbagai perkhidmatan identiti berasaskan direktori. Ini menjadikan Active Directory untuk pemula pengalaman pembelajaran yang lebih baik.
Definisi asas
Pelayan yang menjalankan Perkhidmatan Direktori Domain Direktori Aktif dipanggil pengawal domain. Ia mengesahkan dan membenarkan semua pengguna dan komputer dalam domain rangkaian Windows, memberikan dan menguatkuasakan dasar keselamatan untuk semua PC, dan memasang atau mengemas kini perisian. Sebagai contoh, apabila pengguna log masuk ke komputer yang disambungkan ke domain Windows, Active Directory menyemak kata laluan yang diberikan dan menentukan sama ada subjek ialah pentadbir sistem atau pengguna standard. Ia juga membolehkan pengurusan dan penyimpanan maklumat, menyediakan mekanisme pengesahan dan kebenaran, dan mewujudkan rangka kerja untuk menggunakan perkhidmatan lain yang berkaitan: perkhidmatan sijil, perkhidmatan direktori bersekutu dan ringan, dan pengurusan hak.
Active Directory menggunakan LDAP versi 2 dan 3, versi Microsoft Kerberos dan DNS.
Direktori Aktif - apakah itu? Dalam kata mudah tentang kompleks
Memantau data rangkaian adalah tugas yang memakan masa. Walaupun pada rangkaian kecil, pengguna biasanya mengalami kesukaran mencari fail rangkaian dan pencetak. Tanpa beberapa jenis direktori, rangkaian sederhana hingga besar tidak dapat diurus dan sering menghadapi kesukaran untuk mencari sumber.
Versi sebelumnya Microsoft Windows termasuk perkhidmatan untuk membantu pengguna dan pentadbir mencari maklumat. Kejiranan Rangkaian berguna dalam banyak persekitaran, tetapi kelemahan yang jelas ialah antara muka yang kikuk dan tidak dapat diramalkan. Pengurus WINS dan Pengurus Pelayan boleh digunakan untuk melihat senarai sistem, tetapi ia tidak tersedia kepada pengguna akhir. Pentadbir menggunakan Pengurus Pengguna untuk menambah dan mengalih keluar data daripada jenis objek rangkaian yang sama sekali berbeza. Aplikasi ini didapati tidak berkesan untuk rangkaian besar dan menimbulkan persoalan, mengapa syarikat memerlukan Active Directory?
Direktori, dalam erti kata yang paling umum, ialah senarai lengkap objek. Buku telefon ialah sejenis direktori yang menyimpan maklumat tentang orang, perniagaan dan organisasi kerajaan, danMereka biasanya merekodkan nama, alamat dan nombor telefon. Tertanya-tanya Direktori Aktif - apakah itu, dengan kata mudah kita boleh mengatakan bahawa teknologi ini serupa dengan direktori, tetapi jauh lebih fleksibel. AD menyimpan maklumat tentang organisasi, tapak, sistem, pengguna, saham dan mana-mana entiti rangkaian lain.
Pengenalan kepada Konsep Direktori Aktif
Mengapa sesebuah organisasi memerlukan Active Directory? Seperti yang dinyatakan dalam pengenalan kepada Active Directory, perkhidmatan menyimpan maklumat tentang komponen rangkaian. Panduan Active Directory for Beginners menerangkan bahawa ini Membenarkan pelanggan mencari objek dalam ruang nama mereka. Ini t Istilah (juga dipanggil pokok konsol) merujuk kepada kawasan di mana komponen rangkaian boleh ditempatkan. Sebagai contoh, jadual kandungan buku mencipta ruang nama di mana bab boleh diberikan kepada nombor halaman.
DNS ialah pokok konsol yang menyelesaikan nama hos kepada alamat IP, sepertiBuku telefon menyediakan ruang nama untuk menyelesaikan nama untuk nombor telefon. Bagaimanakah ini berlaku dalam Active Directory? AD menyediakan pokok konsol untuk menyelesaikan nama objek rangkaian kepada objek itu sendiri danboleh menyelesaikan pelbagai entiti, termasuk pengguna, sistem dan perkhidmatan pada rangkaian.
Objek dan Atribut
Apa-apa sahaja yang dijejaki Active Directory dianggap sebagai objek. Kita boleh mengatakan dengan perkataan mudah bahawa ini adalah dalam Active Directory ialah mana-mana pengguna, sistem, sumber atau perkhidmatan. Objek istilah biasa digunakan kerana AD mampu menjejaki banyak elemen dan banyak objek boleh berkongsi atribut biasa. Apakah maksudnya?
Atribut menerangkan objek dalam Active Directory, contohnya, semua objek pengguna berkongsi atribut untuk menyimpan nama pengguna. Ini juga terpakai pada huraian mereka. Sistem juga merupakan objek, tetapi mereka mempunyai set atribut berasingan yang termasuk nama hos, alamat IP dan lokasi.
Set atribut yang tersedia untuk mana-mana jenis objek tertentu dipanggil skema. Ia menjadikan kelas objek berbeza antara satu sama lain. Maklumat skema sebenarnya disimpan dalam Active Directory. Bahawa tingkah laku protokol keselamatan ini sangat penting ditunjukkan oleh fakta bahawa reka bentuk membenarkan pentadbir menambah atribut pada kelas objek dan mengedarkannya merentas rangkaian ke semua sudut domain tanpa memulakan semula mana-mana pengawal domain.
Bekas dan nama LDAP
Bekas ialah jenis objek khas yang digunakan untuk mengatur operasi perkhidmatan. Ia tidak mewakili entiti fizikal seperti pengguna atau sistem. Sebaliknya, ia digunakan untuk mengumpulkan elemen lain. Objek bekas boleh bersarang dalam bekas lain.
Setiap elemen dalam AD mempunyai nama. Ini bukan yang anda biasa, contohnya, Ivan atau Olga. Ini adalah nama terbilang LDAP. Nama terbilang LDAP adalah kompleks, tetapi ia membolehkan anda mengenal pasti secara unik sebarang objek dalam direktori, tanpa mengira jenisnya.
Pokok istilah dan laman web
Pokok istilah digunakan untuk menerangkan set objek dalam Active Directory. Apakah ini? Dengan kata mudah, ini boleh dijelaskan menggunakan persatuan pokok. Apabila bekas dan objek digabungkan secara hierarki, mereka cenderung untuk membentuk cawangan - oleh itu namanya. Istilah yang berkaitan ialah subtree berterusan, yang merujuk kepada batang utama pokok yang tidak patah.
Meneruskan metafora, istilah "hutan" menerangkan koleksi yang bukan sebahagian daripada ruang nama yang sama, tetapi berkongsi skema, konfigurasi dan direktori global yang sama. Objek dalam struktur ini tersedia untuk semua pengguna jika keselamatan membenarkan. Organisasi yang dibahagikan kepada berbilang domain harus mengumpulkan pokok ke dalam satu hutan.
Tapak ialah lokasi geografi yang ditakrifkan dalam Active Directory. Tapak sepadan dengan subnet IP logik dan, oleh itu, boleh digunakan oleh aplikasi untuk mencari pelayan terdekat pada rangkaian. Menggunakan maklumat tapak daripada Active Directory boleh mengurangkan trafik pada WAN dengan ketara.
Pengurusan Direktori Aktif
Komponen snap-in Pengguna Direktori Aktif. Ini adalah alat yang paling mudah untuk mentadbir Active Directory. Ia boleh diakses terus daripada kumpulan program Alat Pentadbiran dalam menu Mula. Ia menggantikan dan menambah baik Pengurus Pelayan dan Pengurus Pengguna daripada Windows NT 4.0.
Keselamatan
Active Directory memainkan peranan penting dalam masa hadapan rangkaian Windows. Pentadbir mesti boleh melindungi direktori mereka daripada penyerang dan pengguna semasa mewakilkan tugas kepada pentadbir lain. Semua ini boleh dilakukan menggunakan model keselamatan Active Directory, yang mengaitkan senarai kawalan akses (ACL) dengan setiap atribut bekas dan objek dalam direktori.
Tahap kawalan yang tinggi membolehkan pentadbir memberikan pengguna individu dan kumpulan tahap kebenaran yang berbeza pada objek dan sifatnya. Mereka juga boleh menambah atribut pada objek dan menyembunyikan atribut tersebut daripada kumpulan pengguna tertentu. Contohnya, anda boleh menetapkan ACL supaya hanya pengurus boleh melihat telefon rumah pengguna lain.
Pentadbiran yang diwakilkan
Konsep baharu kepada Pelayan Windows 2000 ialah pentadbiran yang diwakilkan. Ini membolehkan anda memberikan tugas kepada pengguna lain tanpa memberikan hak akses tambahan. Pentadbiran yang diwakilkan boleh diberikan melalui objek tertentu atau subpokok direktori bersebelahan. Ini adalah kaedah yang lebih cekap untuk memberikan kuasa merentas rangkaian.
DALAM tempat seseorang diberikan semua hak pentadbir domain global, pengguna hanya boleh diberi kebenaran dalam subpokok tertentu. Active Directory menyokong warisan, jadi mana-mana objek baharu mewarisi ACL bekasnya. 
Istilah "hubungan fidusiari"
Istilah "hubungan fidusiari" masih digunakan, tetapi mempunyai fungsi yang berbeza. Tidak ada perbezaan antara amanah sehala dan dua hala. Lagipun, semua perhubungan kepercayaan Active Directory adalah dua hala. Lebih-lebih lagi, mereka semua transitif. Jadi, jika domain A mempercayai domain B, dan B mempercayai C, maka terdapat hubungan kepercayaan tersirat automatik antara domain A dan domain C.
Pengauditan dalam Direktori Aktif - apakah itu dalam perkataan mudah? Ini ialah ciri keselamatan yang membolehkan anda menentukan siapa yang cuba mengakses objek dan sejauh mana percubaan itu berjaya.
Menggunakan DNS (Sistem Nama Domain)
Sistem, atau dikenali sebagai DNS, diperlukan untuk mana-mana organisasi yang disambungkan ke Internet. DNS menyediakan peleraian nama antara nama biasa, seperti mspress.microsoft.com, dan alamat IP mentah, yang digunakan oleh komponen lapisan rangkaian untuk komunikasi.
Active Directory menggunakan teknologi DNS secara meluas untuk mencari objek. Ini adalah perubahan ketara daripada sistem pengendalian Windows sebelumnya, yang memerlukan nama NetBIOS untuk diselesaikan dengan alamat IP dan bergantung pada WINS atau teknik resolusi nama NetBIOS yang lain.
Active Directory berfungsi paling baik apabila digunakan dengan pelayan DNS yang menjalankan Windows 2000. Microsoft telah memudahkan pentadbir untuk berhijrah ke pelayan DNS berasaskan Windows 2000 dengan menyediakan wizard migrasi yang membimbing pentadbir melalui proses tersebut.
Pelayan DNS lain boleh digunakan. Walau bagaimanapun, ini memerlukan pentadbir untuk menghabiskan lebih banyak masa mengurus pangkalan data DNS. Apakah nuansa? Jika anda memilih untuk tidak menggunakan pelayan DNS yang menjalankan Windows 2000, anda mesti memastikan bahawa pelayan DNS anda mematuhi protokol kemas kini dinamik DNS baharu. Pelayan bergantung pada mengemas kini rekod mereka secara dinamik untuk mencari pengawal domain. Ia tidak selesa. Lagipun, eJika pengemaskinian dinamik tidak disokong, anda mesti mengemas kini pangkalan data secara manual. 
Domain Windows dan domain Internet kini serasi sepenuhnya. Sebagai contoh, nama seperti mspress.microsoft.com akan mengenal pasti pengawal domain Active Directory yang bertanggungjawab untuk domain tersebut, jadi mana-mana pelanggan yang mempunyai akses DNS boleh mencari pengawal domain.Pelanggan boleh menggunakan resolusi DNS untuk mencari sebarang bilangan perkhidmatan kerana pelayan Active Directory menerbitkan senarai alamat ke DNS menggunakan ciri kemas kini dinamik baharu. Data ini ditakrifkan sebagai domain dan diterbitkan melalui rekod sumber perkhidmatan. SRV RR ikut format service.protocol.domain.
Pelayan Direktori Aktif menyediakan perkhidmatan LDAP untuk pengehosan objek, dan LDAP menggunakan TCP sebagai protokol lapisan pengangkutan asas. Oleh itu, pelanggan yang mencari pelayan Direktori Aktif dalam domain mspress.microsoft.com akan mencari entri DNS untuk ldap.tcp.mspress.microsoft.com.
Katalog global
Active Directory menyediakan katalog global (GC) danmenyediakan satu sumber untuk mencari sebarang objek pada rangkaian organisasi.
Katalog Global ialah perkhidmatan dalam Pelayan Windows 2000 yang membolehkan pengguna mencari sebarang objek yang telah dikongsi. Fungsi ini jauh lebih baik daripada aplikasi Cari Komputer yang disertakan dalam versi Windows sebelumnya. Lagipun, pengguna boleh mencari sebarang objek dalam Active Directory: pelayan, pencetak, pengguna dan aplikasi.
Active Directory ialah perkhidmatan direktori Microsoft untuk keluarga sistem pengendalian Windows NT.
Perkhidmatan ini membenarkan pentadbir menggunakan dasar kumpulan untuk memastikan keseragaman tetapan persekitaran kerja pengguna, pemasangan perisian, kemas kini, dsb.
Apakah intipati Direktori Aktif dan apakah masalah yang diselesaikannya? Teruskan membaca.
Prinsip mengatur rangkaian peer-to-peer dan multi-peer
Tetapi masalah lain timbul, bagaimana jika pengguna2 pada PC2 memutuskan untuk menukar kata laluannya? Kemudian jika pengguna1 menukar kata laluan akaun, pengguna2 pada PC1 tidak akan dapat mengakses sumber tersebut.
Contoh lain: kami mempunyai 20 stesen kerja dengan 20 akaun yang kami ingin berikan akses kepada tertentu . Untuk melakukan ini, kami mesti mencipta 20 akaun pada pelayan fail dan menyediakan akses kepada sumber yang diperlukan.
Bagaimana jika tidak ada 20 tetapi 200 daripadanya?
Seperti yang anda faham, pentadbiran rangkaian dengan pendekatan ini bertukar menjadi neraka mutlak.
Oleh itu, pendekatan kumpulan kerja sesuai untuk rangkaian pejabat kecil dengan tidak lebih daripada 10 PC.
Jika terdapat lebih daripada 10 stesen kerja dalam rangkaian, pendekatan di mana satu nod rangkaian diwakilkan hak untuk melaksanakan pengesahan dan kebenaran menjadi wajar secara rasional.
Nod ini ialah pengawal domain - Active Directory.
Pengawal Domain
Pengawal menyimpan pangkalan data akaun, i.e. ia menyimpan akaun untuk kedua-dua PC1 dan PC2.
Kini semua akaun didaftarkan sekali pada pengawal, dan keperluan untuk akaun tempatan menjadi tidak bermakna.
Sekarang, apabila pengguna log masuk ke PC, memasukkan nama pengguna dan kata laluannya, data ini dihantar dalam bentuk peribadi kepada pengawal domain, yang melaksanakan prosedur pengesahan dan kebenaran.
Selepas itu, pengawal mengeluarkan pengguna yang telah melog masuk sesuatu seperti pasport, yang kemudiannya dia bekerja pada rangkaian dan yang dia berikan atas permintaan komputer rangkaian lain, pelayan yang sumbernya dia ingin sambungkan.
Penting! Pengawal domain ialah komputer yang menjalankan Active Directory yang mengawal akses pengguna kepada sumber rangkaian. Ia menyimpan sumber (cth pencetak, folder kongsi), perkhidmatan (cth e-mel), orang (akaun kumpulan pengguna dan pengguna), komputer (akaun komputer).
Bilangan sumber yang disimpan sedemikian boleh mencapai berjuta-juta objek.
Versi MS Windows berikut boleh bertindak sebagai pengawal domain: Windows Server 2000/2003/2008/2012 kecuali Web-Edition.
Pengawal domain, selain menjadi pusat pengesahan untuk rangkaian, juga merupakan pusat kawalan untuk semua komputer.
Sejurus selepas dihidupkan, komputer mula menghubungi pengawal domain, lama sebelum tetingkap pengesahan muncul.
Oleh itu, bukan sahaja pengguna yang memasukkan log masuk dan kata laluan disahkan, tetapi juga komputer pelanggan disahkan.
Memasang Active Directory
Mari lihat contoh memasang Active Directory pada Windows Server 2008 R2. Jadi, untuk memasang peranan Active Directory, pergi ke "Pengurus Pelayan":
Tambahkan peranan "Tambah Peranan":
Pilih peranan Perkhidmatan Domain Direktori Aktif:
Dan mari kita mulakan pemasangan:
Selepas itu kami menerima tetingkap pemberitahuan tentang peranan yang dipasang:
Selepas memasang peranan pengawal domain, mari teruskan memasang pengawal itu sendiri.
Klik "Mula" dalam medan carian program, masukkan nama wizard DCPromo, lancarkannya dan tandai kotak untuk tetapan pemasangan lanjutan:
Klik "Seterusnya" dan pilih untuk mencipta domain dan hutan baharu daripada pilihan yang ditawarkan.
Masukkan nama domain, contohnya, example.net.
Kami menulis nama domain NetBIOS, tanpa zon:
Pilih tahap fungsi domain kami:
Disebabkan keanehan fungsi pengawal domain, kami juga memasang pelayan DNS.
Lokasi pangkalan data, fail log dan volum sistem dibiarkan tidak berubah:
Masukkan kata laluan pentadbir domain:
Kami menyemak ketepatan pengisian dan jika semuanya teratur, klik "Seterusnya".
Selepas ini, proses pemasangan akan bermula, pada penghujungnya tetingkap akan muncul memberitahu anda bahawa pemasangan telah berjaya:
Pengenalan kepada Active Directory
Laporan ini membincangkan dua jenis rangkaian komputer yang boleh dibuat menggunakan sistem pengendalian Microsoft: kumpulan kerja dan domain Active Directory.
