Direktori Aktif

Direktori Aktif(“Direktori aktif”, AD) - LDAP-Pelaksanaan serasi perkhidmatan direktori perbadanan Microsoft untuk sistem pengendalian keluarga Windows NT. Direktori Aktif membenarkan pentadbir menggunakan dasar kumpulan untuk memastikan konfigurasi seragam persekitaran kerja pengguna, menggunakan perisian pada berbilang komputer melalui dasar kumpulan atau melalui Pengurus Konfigurasi Pusat Sistem(sebelum ini Pelayan Pengurusan Sistem Microsoft), pasang kemas kini sistem pengendalian, aplikasi dan perisian pelayan pada semua komputer pada rangkaian menggunakan Perkhidmatan Kemas Kini Pelayan Windows . Direktori Aktif menyimpan data dan tetapan persekitaran dalam pangkalan data berpusat. Rangkaian Direktori Aktif boleh jadi pelbagai saiz: daripada beberapa puluh kepada beberapa juta objek.

Prestasi Direktori Aktif berlaku pada tahun 1999, produk ini pertama kali dikeluarkan dengan Pelayan Windows 2000, dan kemudiannya diubah suai dan dipertingkatkan selepas dikeluarkan Pelayan Windows 2003. Seterusnya Direktori Aktif telah ditambah baik dalam Windows Server 2003 R2, Pelayan Windows 2008 Dan Windows Server 2008 R2 dan dinamakan semula kepada Perkhidmatan Domain Direktori Aktif. Perkhidmatan direktori sebelum ini dipanggil Perkhidmatan Direktori NT (NTDS), nama ini masih boleh ditemui dalam beberapa fail boleh laku.

Tidak seperti versi Windows sebelum ini Windows 2000, yang kebanyakannya menggunakan protokol NetBIOS Untuk rangkaian, perkhidmatan Direktori Aktif bersepadu dengan DNS Dan TCP/IP. Protokol pengesahan lalai ialah Kerberos. Jika klien atau aplikasi tidak menyokong pengesahan Kerberos, protokol digunakan NTLM .

Peranti

Objek

Direktori Aktif mempunyai struktur hierarki yang terdiri daripada objek. Objek dibahagikan kepada tiga kategori utama: sumber (seperti pencetak), perkhidmatan (seperti e-mel), dan akaun pengguna dan komputer. Direktori Aktif menyediakan maklumat tentang objek, membolehkan anda mengatur objek, mengawal akses kepadanya, dan juga menetapkan peraturan keselamatan.

Objek boleh menjadi bekas untuk objek lain (kumpulan keselamatan dan pengedaran). Objek dikenal pasti secara unik dengan namanya dan mempunyai set atribut—ciri dan data—yang boleh terkandung di dalamnya; yang terakhir, seterusnya, bergantung pada jenis objek. Atribut membentuk asas struktur objek dan ditakrifkan dalam skema. Skema mentakrifkan jenis objek yang boleh wujud.

Skema itu sendiri terdiri daripada dua jenis objek: objek kelas skema dan objek atribut skema. Satu objek kelas skema mentakrifkan satu jenis objek Direktori Aktif(seperti objek Pengguna), dan satu objek atribut skema mentakrifkan atribut yang boleh dimiliki oleh objek itu.

Setiap objek atribut boleh digunakan dalam beberapa objek kelas skema yang berbeza. Objek ini dipanggil objek skema (atau metadata) dan membolehkan anda menukar dan melanjutkan skema mengikut keperluan. Walau bagaimanapun, setiap objek skema adalah sebahagian daripada definisi objek Direktori Aktif, jadi melumpuhkan atau menukar objek ini boleh membawa akibat yang serius, kerana akibat daripada tindakan ini struktur akan diubah Direktori Aktif. Perubahan pada objek skema disebarkan secara automatik ke Direktori Aktif. Setelah dibuat, objek skema tidak boleh dipadam, ia hanya boleh dilumpuhkan. Biasanya, semua perubahan skema dirancang dengan teliti.

bekas serupa objek dalam erti kata bahawa ia juga mempunyai atribut dan tergolong dalam ruang nama, tetapi, tidak seperti objek, bekas tidak bermaksud sesuatu yang khusus: ia boleh mengandungi sekumpulan objek atau bekas lain.

Struktur

Tahap atas struktur ialah hutan - koleksi semua objek, atribut dan peraturan (sintaks atribut) dalam Direktori Aktif. Hutan mengandungi satu atau lebih pokok yang dihubungkan dengan transitif hubungan kepercayaan . Pokok itu mengandungi satu atau lebih domain, juga dipautkan ke dalam hierarki oleh perhubungan kepercayaan transitif. Domain dikenal pasti dengan struktur nama DNS mereka - ruang nama.

Objek dalam domain boleh dikumpulkan ke dalam bekas - bahagian. Bahagian membenarkan anda membuat hierarki dalam domain, memudahkan pentadbirannya dan membolehkan anda memodelkan struktur organisasi dan/atau geografi syarikat dalam Direktori Aktif. Bahagian mungkin mengandungi bahagian lain. Perbadanan Microsoft mengesyorkan menggunakan sebanyak mungkin lebih sedikit domain V Direktori Aktif, dan menggunakan bahagian untuk penstrukturan dan dasar. Selalunya dasar kumpulan digunakan secara khusus kepada jabatan. Dasar kumpulan sendiri adalah objek. Pembahagian adalah yang paling banyak Level rendah, yang mana kuasa pentadbiran boleh diwakilkan.

Satu lagi cara pembahagian Direktori Aktif adalah tapak , yang merupakan kaedah pengumpulan fizikal (bukan logik) berdasarkan segmen rangkaian. Tapak dibahagikan kepada tapak yang mempunyai sambungan melalui saluran berkelajuan rendah (contohnya, melalui saluran rangkaian global, menggunakan rangkaian peribadi maya) dan melalui saluran berkelajuan tinggi (contohnya, melalui rangkaian tempatan). Tapak web boleh mengandungi satu atau lebih domain dan domain boleh mengandungi satu atau lebih tapak web. Apabila mereka bentuk Direktori Aktif Adalah penting untuk mempertimbangkan trafik rangkaian yang dibuat apabila data disegerakkan antara tapak.

Keputusan reka bentuk utama Direktori Aktif adalah keputusan untuk membahagikan infrastruktur maklumat kepada domain dan bahagian hierarki tingkat atas. Model biasa yang digunakan untuk pemisahan tersebut ialah model pemisahan mengikut bahagian fungsian syarikat, mengikut lokasi geografi dan mengikut peranan dalam infrastruktur maklumat syarikat. Gabungan model ini sering digunakan.

Struktur fizikal dan replikasi

Secara fizikal, maklumat disimpan pada satu atau lebih pengawal domain yang setara, menggantikan yang digunakan dalam Windows NT pengawal domain utama dan sandaran, walaupun pelayan yang dipanggil "operasi induk tunggal" dikekalkan untuk beberapa operasi, yang boleh meniru pengawal domain utama. Setiap pengawal domain mengekalkan salinan baca-tulis data. Perubahan yang dibuat pada satu pengawal disegerakkan kepada semua pengawal domain melalui replikasi. Pelayan di mana perkhidmatan itu sendiri Direktori Aktif tidak dipasang, tetapi yang merupakan sebahagian daripada domain Direktori Aktif, dipanggil pelayan ahli.

Replikasi Direktori Aktif dilakukan atas permintaan. Perkhidmatan Penyemak Ketekalan Pengetahuan mencipta topologi replikasi yang menggunakan tapak yang ditakrifkan dalam sistem untuk mengawal trafik. Replikasi intrasite berlaku dengan kerap dan secara automatik menggunakan penyemak ketekalan (memberitahu rakan kongsi replikasi tentang perubahan). Replikasi merentas tapak boleh dikonfigurasikan untuk setiap saluran tapak (bergantung pada kualiti saluran) - "skor" (atau "kos") yang berbeza boleh diberikan kepada setiap saluran (cth. DS3, , ISDN dsb.), dan trafik replikasi akan dihadkan, dijadualkan dan dihalakan mengikut anggaran pautan yang ditetapkan. Data replikasi boleh dihantar secara transitif merentas berbilang tapak melalui jambatan pautan tapak jika "skor" rendah, walaupun AD secara automatik memberikan lebih banyak rating rendah untuk sambungan tapak ke tapak berbanding sambungan transitif. Replikasi tapak ke tapak dilakukan oleh pelayan bridgehead di setiap tapak, yang kemudiannya mereplikasi perubahan pada setiap pengawal domain dalam tapaknya. Replikasi intra-domain mengikut protokol RPC mengikut protokol IP, interdomain - juga boleh menggunakan protokol SMTP.

Jika struktur Direktori Aktif mengandungi beberapa domain, ia digunakan untuk menyelesaikan masalah mencari objek katalog global: Pengawal domain yang mengandungi semua objek dalam hutan, tetapi dengan set atribut terhad (replika separa). Katalog disimpan pada pelayan katalog global yang ditentukan dan menyediakan permintaan merentas domain.

Keupayaan hos tunggal membolehkan permintaan diproses apabila replikasi berbilang hos tidak dapat dilakukan. Terdapat lima jenis operasi sedemikian: emulasi pengawal domain induk (emulator PDC), induk pengecam relatif (tuan pengecam relatif atau induk RID), induk infrastruktur (induk infrastruktur), induk skema (induk skema) dan induk penamaan domain. (domain ahli sihir penamaan). Tiga peranan pertama adalah unik dalam domain, dua yang terakhir adalah unik dalam keseluruhan hutan.

Pangkalan Direktori Aktif boleh dibahagikan kepada tiga stor logik atau "partition". Rajah ialah templat untuk Direktori Aktif dan mentakrifkan semua jenis objek, kelas dan atributnya, sintaks atribut (semua pokok berada dalam hutan yang sama kerana ia mempunyai skema yang sama). Konfigurasi adalah struktur hutan dan pokok Direktori Aktif. Domain menyimpan semua maklumat tentang objek yang dibuat dalam domain tersebut. Dua kedai pertama direplikasi kepada semua pengawal domain dalam hutan, partition ketiga direplikasi sepenuhnya antara pengawal replika dalam setiap domain dan sebahagiannya direplikasi kepada pelayan katalog global.

Penamaan

Direktori Aktif menyokong format penamaan objek berikut: nama jenis generik UNC, URL Dan URL LDAP. Versi LDAP Format penamaan X.500 digunakan secara dalaman Direktori Aktif.

Setiap objek mempunyai nama terbilang (Bahasa Inggeris) nama terbilang, DN). Sebagai contoh, objek pencetak bernama HPLaser3 dalam OU Pemasaran dan dalam domain foo.org akan mempunyai nama ternama berikut: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , dengan CN ialah nama biasa, OU ialah bahagian, DC ialah domain kelas objek. Nama terbilang boleh mempunyai lebih banyak bahagian daripada empat bahagian dalam contoh ini. Objek juga mempunyai nama kanonik. Ini adalah nama terkenal yang ditulis dalam susunan terbalik, tanpa pengecam dan menggunakan garis miring ke hadapan sebagai pembatas: foo.org/Marketing/HPLaser3. Untuk menentukan objek di dalam bekasnya, gunakan nama terbilang relatif : CN=HPLaser3 . Setiap objek juga mempunyai pengecam unik secara global ( GUID) ialah rentetan 128-bit yang unik dan tidak berubah yang digunakan dalam Direktori Aktif untuk carian dan replikasi. Objek tertentu juga mempunyai UPN ( UPN, sesuai dengan RFC 822) dalam format object@domain.

Penyepaduan UNIX

Pelbagai tahap interaksi dengan Direktori Aktif boleh dilaksanakan dalam kebanyakan UNIX-seperti sistem pengendalian melalui patuh standard LDAP pelanggan, tetapi sistem sedemikian, sebagai peraturan, tidak melihat kebanyakan atribut yang berkaitan dengan komponen Windows, seperti dasar kumpulan dan sokongan untuk surat kuasa wakil sehala.

Vendor pihak ketiga menawarkan penyepaduan Direktori Aktif pada platform UNIX, termasuk UNIX, Linux, Mac OS X dan beberapa permohonan berdasarkan Jawa, dengan pakej produk:

Penambahan skema disertakan dengan Windows Server 2003 R2 termasuk atribut yang cukup rapat berkaitan dengan RFC 2307 untuk digunakan secara umum. Pelaksanaan asas RFC 2307, nss_ldap dan pam_ldap, dicadangkan PADL.com, menyokong secara langsung atribut ini. Skim standard untuk keahlian kumpulan mengikut RFC 2307bis (dicadangkan). Windows Server 2003 R2 termasuk Konsol Pengurusan Microsoft untuk mencipta dan mengedit atribut.

Pilihan alternatif ialah menggunakan perkhidmatan direktori lain, seperti 389 Pelayan Direktori(sebelum ini Pelayan Direktori Fedora, FDS), eB2Bcom ViewDS v7.1 Direktori Didayakan XML atau Pelayan Direktori Sistem Java Sun daripada Sistem Mikro Matahari, yang melakukan penyegerakan dua hala dengan Direktori Aktif, dengan itu merealisasikan integrasi "dicerminkan" apabila pelanggan UNIX Dan Linux adalah disahkan FDS, dan pelanggan Windows adalah disahkan Direktori Aktif. Pilihan lain ialah menggunakan OpenLDAP dengan keupayaan tindanan lut sinar memanjangkan elemen pelayan jauh LDAP atribut tambahan yang disimpan dalam pangkalan data tempatan.

Direktori Aktif adalah automatik menggunakan Powershell .

kesusasteraan

• Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Pelayan Microsoft Exchange 2003. Panduan Lengkap = Microsoft Exchange Server 2003 Unleashed. - M.: “Williams”, 2006. - P. 1024. - ISBN 0-672-32581-0

lihat juga

Pautan

Nota

Komponen Microsoft Windows
asas
Perkhidmatan pengurusan
Aplikasi	Kenalan Pembuat DVD Faks dan pengimbasan internet Explorer Majalah Pembesar Pusat media Windows Media Player Program Kerjasama Pusat Peranti Windows Mobile Pusat Mobiliti Cat Pencerita Editor simbol peribadi Bantuan Jauh Pengenalan suara WordPad Buku nota Panel sisi Rakaman bunyi Kalendar Kalkulator Gunting Mel jadual simbol Bersejarah: Pembuat Filem NetMeeting Outlook Express Pengurus Program Pengurus Fail album gambar
Permainan
kernel OS
Perkhidmatan
Fail sistem
pelayan	Direktori Aktif Perkhidmatan Kerahan Perkhidmatan Replikasi Fail Domain DNS Ubah hala folder Perkhidmatan Media Hyper-V IIS MSMQ Perlindungan Akses Rangkaian (NAP) Perkhidmatan Cetak untuk UNIX Pemampatan pembezaan jauh Perkhidmatan Pemasangan Jauh Perkhidmatan Pengurusan Hak Profil pengguna perayauan SharePoint Penghantar sumber sistem Desktop Jauh WSUS Dasar Kumpulan Penyelaras Transaksi Teragih
Seni bina
Keselamatan
Keserasian

Microsoft
OLEH
Perisian pelayan
Teknologi
Internet
Permainan
Perkakasan keselamatan
Pendidikan
Pelesenan
Bahagian

Domain ialah unit pentadbiran asas dalam infrastruktur rangkaian perusahaan, yang merangkumi semua objek rangkaian seperti pengguna, komputer, pencetak, saham, dsb. Koleksi (hierarki) domain dipanggil hutan. Setiap syarikat boleh mempunyai domain luaran dan dalaman.

Sebagai contoh, tapak web ialah domain luaran di Internet yang dibeli daripada pendaftar nama. Domain ini mengehoskan tapak WEB dan pelayan mel kami. lankey.local ialah domain dalaman perkhidmatan direktori Active Directory yang mengehoskan akaun pengguna, komputer, pencetak, pelayan dan aplikasi korporat. Kadang-kadang luaran dan dalaman nama domain jadikan mereka sama.

Microsoft Active Directory telah menjadi standard untuk sistem direktori bersatu perusahaan. Domain berdasarkan Active Directory telah dilaksanakan di hampir semua syarikat di dunia, dan Microsoft hampir tidak mempunyai pesaing lagi dalam pasaran ini, bahagian Perkhidmatan Direktori Novell (NDS) yang sama diabaikan, dan syarikat yang selebihnya berhijrah secara beransur-ansur ke Direktori Aktif.

Active Directory (Perkhidmatan Direktori) ialah pangkalan data teragih yang mengandungi semua objek dalam domain. Persekitaran domain Active Directory menyediakan satu titik pengesahan dan kebenaran untuk pengguna dan aplikasi di seluruh perusahaan. Dengan organisasi domain dan penggunaan Active Directory, pembinaan infrastruktur IT perusahaan bermula. Pangkalan data Active Directory disimpan pada pelayan khusus – pengawal domain. Active Directory ialah peranan pengendalian pelayan sistem Microsoft Pelayan Windows. LanKey sedang melaksanakan domain Active Directory berdasarkan sistem pengendalian Windows Server 2008 R2.

Menggunakan Direktori Aktif melalui Kumpulan Kerja menyediakan faedah berikut:

• Satu titik pengesahan. Apabila komputer bekerja dalam kumpulan kerja, mereka tidak mempunyai pangkalan data pengguna tunggal; setiap komputer mempunyai pangkalan datanya sendiri. Oleh itu, secara lalai, tiada pengguna mempunyai akses rangkaian ke komputer atau pelayan pengguna lain. Dan, seperti yang anda ketahui, titik rangkaian adalah tepat supaya pengguna boleh berinteraksi. Pekerja perlu berkongsi dokumen atau permohonan. Dalam kumpulan kerja, pada setiap komputer atau pelayan anda perlu menambah secara manual senarai penuh pengguna yang memerlukan akses rangkaian. Jika tiba-tiba salah seorang pekerja ingin menukar kata laluannya, maka ia perlu ditukar pada semua komputer dan pelayan. Adalah baik jika rangkaian terdiri daripada 10 komputer, tetapi jika terdapat 100 atau 1000 daripadanya, maka penggunaan kumpulan kerja tidak boleh diterima. Apabila menggunakan domain Active Directory, semua akaun pengguna disimpan dalam satu pangkalan data dan semua komputer melihatnya untuk mendapatkan kebenaran. Semua pengguna domain disertakan dalam kumpulan yang sesuai, contohnya, "Perakaunan", "SDM", "Jabatan Kewangan", dsb. Ia cukup untuk menetapkan kebenaran untuk kumpulan tertentu sekali, dan semua pengguna akan mempunyai akses yang sesuai kepada dokumen dan aplikasi. Jika pekerja baharu menyertai syarikat itu, akaun dibuat untuknya, yang termasuk dalam kumpulan yang sesuai, dan itu sahaja! Selepas beberapa minit, pekerja baharu itu mendapat akses kepada semua sumber rangkaian yang dia patut dibenarkan akses, pada semua pelayan dan komputer. Jika pekerja berhenti, maka sudah cukup untuk menyekat atau memadam akaunnya, dan dia akan kehilangan akses kepada semua komputer, dokumen dan aplikasi dengan serta-merta.
• Titik tunggal pengurusan dasar. Dalam rangkaian peer-to-peer (kumpulan kerja), semua komputer mempunyai hak yang sama. Tiada komputer boleh mengawal yang lain, semua komputer dikonfigurasikan secara berbeza, dan adalah mustahil untuk memantau pematuhan dengan dasar seragam atau peraturan keselamatan. Apabila menggunakan Direktori Aktif tunggal, semua pengguna dan komputer diedarkan secara hierarki merentas unit organisasi, setiap satu tertakluk pada dasar kumpulan yang sama. Dasar membenarkan anda menetapkan tetapan seragam dan tetapan keselamatan untuk sekumpulan komputer dan pengguna. Apabila komputer atau pengguna baharu ditambahkan pada domain, ia secara automatik menerima tetapan yang mematuhi piawaian korporat yang diterima. Selain itu, menggunakan dasar, anda boleh menetapkan secara berpusat kepada pengguna pencetak rangkaian, pasang aplikasi yang diperlukan, tetapkan tetapan keselamatan pelayar Internet, konfigurasikan aplikasi Microsoft Office dan lain-lain.
• Integrasi dengan aplikasi perusahaan dan peralatan. Kelebihan besar Active Directory ialah pematuhannya dengan standard LDAP, yang disokong oleh ratusan aplikasi seperti pelayan mel(Exchange, Lotus, Mdaemon), sistem ERP (Dynamics, CRM), pelayan proksi (ISA Server, Squid), dll. Dan ini bukan sahaja aplikasi untuk Microsoft Windows, tetapi juga pelayan berdasarkan Linux. Kelebihan penyepaduan sedemikian ialah pengguna tidak perlu mengingati sejumlah besar log masuk dan kata laluan untuk mengakses aplikasi tertentu; dalam semua aplikasi pengguna mempunyai kelayakan yang sama, kerana pengesahannya berlaku dalam satu Active Directory. Di samping itu, pekerja tidak perlu memasukkan nama pengguna dan kata laluannya beberapa kali, cukup untuk log masuk sekali apabila memulakan komputer, dan pada masa akan datang pengguna akan disahkan secara automatik dalam semua aplikasi. Pelayan Windows menyediakan protokol RADIUS untuk penyepaduan dengan Active Directory, yang disokong oleh sejumlah besar peralatan rangkaian. Dengan cara ini, anda boleh, sebagai contoh, menyediakan pengesahan untuk pengguna domain apabila menyambung ke penghala Cisco melalui VPN.
• Repositori konfigurasi aplikasi bersatu. Sesetengah aplikasi menyimpan konfigurasinya dalam Active Directory, seperti Exchange Server atau Office Communications Server. Penggunaan perkhidmatan direktori Active Directory adalah prasyarat untuk aplikasi ini berfungsi. Anda juga boleh menyimpan konfigurasi pelayan nama domain DNS dalam perkhidmatan direktori. Menyimpan konfigurasi aplikasi dalam perkhidmatan direktori menawarkan faedah fleksibiliti dan kebolehpercayaan. Sebagai contoh, sekiranya berlaku kegagalan sepenuhnya pelayan Exchange, keseluruhan konfigurasinya akan kekal utuh, kerana disimpan dalam Active Directory. Dan untuk memulihkan fungsi mel korporat, sudah cukup untuk memasang semula Pelayan pertukaran dalam mod pemulihan.
• Peningkatan tahap keselamatan maklumat. Menggunakan Active Directory meningkatkan tahap keselamatan rangkaian dengan ketara. Pertama, ia adalah storan akaun tunggal dan selamat. Dalam rangkaian peer-to-peer, bukti kelayakan pengguna disimpan dalam pangkalan data akaun tempatan (SAM), yang secara teorinya boleh digodam dengan mengambil alih komputer. Dalam persekitaran domain, semua kata laluan pengguna domain disimpan pada pelayan pengawal domain khusus, yang biasanya dilindungi daripada akses luaran. Kedua, apabila menggunakan persekitaran domain, protokol Kerberos digunakan untuk pengesahan, yang jauh lebih selamat daripada NTLM, yang digunakan dalam kumpulan kerja. Sebagai alternatif, anda boleh menggunakan pengesahan dua faktor menggunakan kad pintar. Itu. Untuk membolehkan pekerja mendapat akses kepada komputer, dia perlu memasukkan nama pengguna dan kata laluannya, serta memasukkan kad pintarnya.

Kebolehskalaan dan Ketahanan Direktori Aktif

Perkhidmatan direktori Microsoft Active Directory sangat berskala. Lebih daripada 2 bilion objek boleh dibuat dalam hutan Active Directory, yang membolehkan perkhidmatan direktori dilaksanakan dalam syarikat yang mempunyai ratusan ribu komputer dan pengguna. Struktur hierarki domain membolehkan anda menskalakan infrastruktur IT secara fleksibel kepada semua cawangan dan bahagian serantau syarikat. Untuk setiap cawangan atau bahagian syarikat, domain yang berasingan boleh dibuat, dengan dasarnya sendiri, pengguna dan kumpulannya sendiri. Untuk setiap domain kanak-kanak, kuasa pentadbiran boleh diwakilkan kepada pentadbir sistem tempatan. Pada masa yang sama, domain kanak-kanak masih berada di bawah ibu bapa mereka.

Selain itu, Active Directory membolehkan anda mengkonfigurasi perhubungan kepercayaan antara hutan domain. Setiap syarikat mempunyai hutan domain sendiri, masing-masing mempunyai sumber sendiri. Tetapi kadangkala anda perlu menyediakan akses kepada anda sumber korporat pekerja daripada syarikat rakan kongsi. Sebagai contoh, apabila mengambil bahagian dalam projek bersama, pekerja daripada syarikat rakan kongsi mungkin perlu bekerjasama dengan dokumen am atau aplikasi. Untuk melakukan ini, hubungan kepercayaan boleh disediakan antara hutan organisasi, yang akan membolehkan pekerja dari satu organisasi untuk log masuk ke domain yang lain.

Toleransi kesalahan perkhidmatan direktori dipastikan dengan menggunakan 2 atau lebih pelayan - pengawal domain dalam setiap domain. Semua perubahan direplikasi secara automatik antara pengawal domain. Jika salah satu pengawal domain gagal, kefungsian rangkaian tidak terjejas, kerana yang selebihnya terus bekerja. Tahap ketahanan tambahan disediakan dengan meletakkan pelayan DNS pada pengawal domain dalam Active Directory, yang membolehkan setiap domain mempunyai berbilang pelayan DNS yang melayani zon utama domain. Dan jika salah satu pelayan DNS gagal, yang selebihnya akan terus berfungsi, dan ia boleh diakses untuk membaca dan menulis, yang tidak dapat dipastikan menggunakan, sebagai contoh, pelayan DNS BIND berdasarkan Linux.

Faedah menaik taraf kepada Windows Server 2008 R2

Walaupun syarikat anda sudah mempunyai perkhidmatan direktori Active Directory yang dijalankan pada Windows Server 2003, anda boleh meraih beberapa faedah dengan menaik taraf kepada Windows Server 2008 R2. Windows Server 2008 R2 menyediakan ciri tambahan berikut:

Pengawal Domain Baca sahaja RODC (Pengawal Domain Baca sahaja). Pengawal domain menyimpan akaun pengguna, sijil dan banyak maklumat sensitif lain. Jika pelayan terletak di pusat data selamat, maka anda boleh bertenang tentang keselamatan maklumat ini, tetapi apa yang perlu dilakukan jika pengawal domain terletak di pejabat cawangan di tempat yang boleh diakses secara umum. Dalam kes ini, terdapat kemungkinan bahawa pelayan akan dicuri oleh penyerang dan digodam. Dan kemudian mereka menggunakan data ini untuk mengatur serangan ke atas rangkaian korporat anda untuk mencuri atau memusnahkan maklumat. Untuk mengelakkan kes sedemikian, pejabat cawangan memasang pengawal domain baca sahaja (RODC). Pertama, pengawal RODC tidak menyimpan kata laluan pengguna, tetapi hanya cache mereka untuk mempercepatkan akses, dan kedua, mereka menggunakan replikasi sehala, hanya dari pelayan pusat ke cawangan, tetapi tidak kembali. Dan walaupun penyerang mengambil alih pengawal domain RODC, mereka tidak akan menerima kata laluan pengguna dan tidak akan dapat menyebabkan kerosakan pada rangkaian utama.

Memulihkan objek Direktori Aktif yang dipadamkan. Hampir setiap pentadbir sistem telah menghadapi keperluan untuk memulihkan akaun pengguna yang dipadam secara tidak sengaja atau keseluruhan kumpulan pengguna. Dalam Windows 2003, ini memerlukan memulihkan perkhidmatan direktori daripada sandaran, yang selalunya tidak wujud, tetapi walaupun terdapat satu, pemulihan mengambil masa yang agak lama. Windows Server 2008 R2 memperkenalkan Active Directory Recycle Bin. Kini, apabila anda memadamkan pengguna atau komputer, ia pergi ke tong kitar semula, yang mana ia boleh dipulihkan dalam beberapa minit dalam masa 180 hari, mengekalkan semua sifat asal.

Pengurusan yang dipermudahkan. Windows Server 2008 R2 termasuk beberapa perubahan yang mengurangkan beban pentadbir sistem dengan ketara dan menjadikan infrastruktur IT lebih mudah untuk diurus. Contohnya, alatan seperti: Audit perubahan Aktif Direktori yang menunjukkan siapa yang mengubah apa dan bila; dasar kerumitan kata laluan boleh dikonfigurasikan pada peringkat kumpulan pengguna; sebelum ini ini hanya boleh dilakukan pada peringkat domain; pengguna baharu dan alat pengurusan komputer; templat dasar; kawalan oleh baris arahan PowerShell, dsb.

Melaksanakan Active Directory

Perkhidmatan direktori Active Directory ialah nadi kepada infrastruktur IT perusahaan. Jika gagal, seluruh rangkaian, semua pelayan, dan kerja semua pengguna akan lumpuh. Tiada siapa yang akan dapat log masuk ke komputer atau mengakses dokumen dan aplikasi mereka. Oleh itu, perkhidmatan direktori mesti direka bentuk dan digunakan dengan teliti, dengan mengambil kira semua nuansa yang mungkin. Sebagai contoh, struktur tapak harus dibina berdasarkan topologi fizikal rangkaian dan kapasiti saluran antara cawangan atau pejabat syarikat, kerana Ini secara langsung mempengaruhi kelajuan log masuk pengguna, serta replikasi antara pengawal domain. Di samping itu, berdasarkan topologi tapak, Exchange Server 2007/2010 melaksanakan penghalaan mel. Anda juga perlu mengira dengan betul bilangan dan penempatan pelayan katalog global yang menyimpan senarai kumpulan universal dan banyak atribut lain yang biasa digunakan merentas semua domain dalam hutan. Itulah sebabnya syarikat memberikan tugas untuk melaksanakan, menyusun semula atau memindahkan perkhidmatan direktori Active Directory kepada penyepadu sistem. Walau bagaimanapun, anda tidak seharusnya membuat kesilapan apabila memilih penyepadu sistem; anda harus memastikan bahawa dia diperakui untuk melaksanakan jenis kerja ini dan mempunyai kecekapan yang sesuai.

LanKey ialah penyepadu sistem yang diperakui dan mempunyai status Rakan Kongsi Sah Microsoft Gold. LanKey mempunyai kecekapan Platform Pusat Data (Penyelesaian Infrastruktur Lanjutan), yang mengesahkan pengalaman dan kelayakan kami dalam perkara yang berkaitan dengan penggunaan Direktori Aktif dan pelaksanaan penyelesaian pelayan daripada Microsoft.

Semua kerja dalam projek dilakukan oleh jurutera bertauliah Microsoft MCSE, MCITP, yang mempunyai pengalaman luas dalam projek besar dan kompleks untuk membina infrastruktur IT dan melaksanakan domain Active Directory.

LanKey akan membangunkan infrastruktur IT, menggunakan perkhidmatan direktori Active Directory dan memastikan penyatuan semua sumber perusahaan sedia ada ke dalam ruang maklumat tunggal. Pelaksanaan Active Directory akan membantu mengurangkan jumlah kos pemilikan sistem maklumat, serta meningkatkan kecekapan perkongsian sumber bersama. LanKey juga menyediakan perkhidmatan untuk migrasi domain, penyatuan dan pengasingan infrastruktur IT semasa penggabungan dan pemerolehan, penyelenggaraan dan sokongan sistem maklumat.

Contoh beberapa projek pelaksanaan Active Directory yang dilaksanakan oleh LanKey:

Pelanggan	Penerangan tentang penyelesaian
	Sehubungan dengan transaksi pembelian 100% saham syarikat OJSC SIBUR-Minudobreniya (kemudian dinamakan semula OJSC SDS-Azot) dari Kesatuan Perniagaan Siberia Syarikat Induk pada Disember 2011, keperluan timbul untuk memisahkan infrastruktur IT OJSC SDS -Azot" daripada rangkaian SIBUR Holding. LanKey telah memindahkan perkhidmatan direktori Aktif Bahagian direktori SIBUR-Minudobreniya daripada rangkaian SIBUR yang memegang infrastruktur baharu. Akaun pengguna, komputer dan aplikasi juga telah dipindahkan. Berdasarkan hasil projek, surat ucapan terima kasih diterima daripada pelanggan.
	Disebabkan oleh penstrukturan semula perniagaan, perkhidmatan direktori Active Directory telah digunakan untuk pejabat pusat dan 50 Moscow dan kedai serantau. Perkhidmatan direktori menyediakan pengurusan terpusat bagi semua sumber perusahaan, serta pengesahan dan kebenaran semua pengguna.
	Sebagai sebahagian daripada projek komprehensif untuk mencipta infrastruktur IT perusahaan, LanKey menggunakan domain Active Directory untuk syarikat pengurusan dan 3 bahagian wilayah. Tapak berasingan telah dibuat untuk setiap cawangan; 2 pengawal domain telah digunakan dalam setiap tapak. Perkhidmatan pensijilan juga telah digunakan. Semua perkhidmatan telah digunakan pada mesin maya ah terkawal Microsoft Hyper-V. Kualiti kerja syarikat LanKey telah diperhatikan oleh semakan.
	Sebagai sebahagian daripada projek komprehensif untuk mewujudkan sebuah korporat sistem informasi, perkhidmatan direktori Active Directory telah digunakan berdasarkan Windows Server 2008 R2. Sistem ini digunakan menggunakan teknologi virtualisasi pelayan yang menjalankan Microsoft Hyper-V. Perkhidmatan direktori yang disediakan pengesahan tunggal dan kebenaran semua pekerja hospital, dan juga memastikan fungsi aplikasi seperti Exchange, TMG, SQL, dll.
	Perkhidmatan direktori Active Directory telah digunakan pada Windows Server 2008 R2. Bagi mengurangkan kos, pemasangan telah dijalankan dalam sistem virtualisasi pelayan berasaskan Microsoft Hyper-V.
	Sebagai sebahagian daripada projek komprehensif untuk mencipta infrastruktur IT perusahaan, perkhidmatan direktori berdasarkan Windows Server 2008 R2 telah digunakan. Semua pengawal domain telah digunakan menggunakan sistem virtualisasi pelayan Microsoft Hiper-V. Kualiti kerja disahkan oleh maklum balas yang diterima daripada pelanggan.
	Kefungsian perkhidmatan direktori Active Directory telah dipulihkan dalam masa yang sesingkat mungkin dalam situasi perniagaan yang kritikal. Pakar LanKey benar-benar memulihkan kefungsian domain akar dalam hanya beberapa jam dan menulis arahan untuk memulihkan replikasi 80 pejabat cawangan. Kami menerima maklum balas daripada pelanggan untuk kecekapan dan kualiti kerja.
	Sebagai sebahagian daripada projek komprehensif untuk mencipta infrastruktur IT, domain Active Directory telah digunakan berdasarkan Windows Server 2008 R2. Kefungsian perkhidmatan direktori telah dipastikan menggunakan 5 pengawal domain yang digunakan pada kelompok mesin maya. Sandaran perkhidmatan direktori telah dilaksanakan menggunakan Pengurus Perlindungan Data Microsoft 2010 dan telah disemak untuk kualiti.
	Sebagai sebahagian daripada projek komprehensif untuk membina sistem maklumat korporat, perkhidmatan direktori bersatu Direktori Aktif telah digunakan berdasarkan Windows Server 2008. Infrastruktur IT dibina menggunakan Virtualisasi Hyper-V. Selepas projek siap, satu perjanjian telah dibuat untuk penyelenggaraan selanjutnya sistem maklumat. Kualiti kerja disahkan oleh semakan.
Teknologi minyak dan gas	Sebagai sebahagian daripada projek komprehensif untuk mencipta infrastruktur IT, satu direktori Active Directory telah digunakan berdasarkan Windows Server 2008 R2. Projek siap dalam masa 1 bulan. Selepas projek selesai, perjanjian telah dibuat untuk penyelenggaraan selanjutnya sistem. Kualiti kerja disahkan oleh semakan.
	Active Directory telah digunakan pada Windows Server 2008 sebagai sebahagian daripada projek pelaksanaan Exchange Server 2007.
	Perkhidmatan direktori Active Directory berdasarkan Windows Server 2003 telah disusun semula sebelum ini pelaksanaan Pertukaran Pelayan 2007. Kualiti kerja disahkan oleh semakan.
	Perkhidmatan direktori Active Directory telah digunakan pada Windows Server 2003 R2. Selepas projek selesai, kontrak telah ditandatangani untuk penyelenggaraan selanjutnya sistem. Kualiti kerja disahkan oleh semakan.
	Active Directory telah digunakan pada Windows Server 2003. Selepas projek selesai, perjanjian telah ditandatangani untuk sokongan lanjut sistem.

• Tutorial

Dalam kerja saya, saya sering terpaksa berurusan dengan grid yang nampaknya berfungsi, tetapi di mana sebarang insiden kecil boleh mengakibatkan masa henti berjam-jam secara tiba-tiba. KD mati? Tiada masalah, kami ada yang kedua. Bagaimana bola tidak terbuka? Mengapa pintu masuk tidak bertindak balas? Dan, pada CD itu terdapat satu pelayan DHCP dan kini kesemuanya telah hilang.

Dalam artikel ini saya akan cuba menerangkan penyelesaian yang betul, dari sudut pandangan saya, untuk mencipta infrastruktur rangkaian perniagaan kecil. Dan sudah tentu, artikel ini menggambarkan amalan baik peribadi pengarang dan mungkin berbeza daripada cita-cita pembaca.

Jadi. Kami mempunyai sehingga 100 pelanggan. Semuanya adalah standard, pengguna pergi ke Internet, menghantar mel, menggunakan storan fail, bekerja dalam 1C, mahu komputer yang lebih sejuk dan cuba menangkap virus. Dan ya, kami belum tahu cara mengawan.

Beberapa tiang hampir semua infrastruktur,

dan kemudian kita akan membincangkan nuansa yang jelas dan tidak begitu jelas. Dengan cara ini, saya ulangi, kami adalah perniagaan kecil-sederhana, jangan memburukkan keadaan.

Keselamatan data. "Sebuah periuk api melanda bilik pelayan."

Jika periuk api melanda bilik pelayan anda, kemungkinan besar keselamatan data anda akan menjadi perkara terakhir yang anda ambil berat. Berkemungkinan besar pada 31 Disember paip di atas pecah, menyebabkan kebakaran di sana dan menyebabkan lantai runtuh.
- Data adalah segala-galanya. Salah satu pelayan sandaran mesti terletak di luar bilik pelayan. Ini adalah talian hayat. Walaupun ia mengandungi hanya perkara yang paling penting, dalam satu atau dua hari anda boleh membeli atau menyewa pelayan sekali lagi dan menggunakan infrastruktur yang berfungsi. Anda tidak akan dapat memulihkan pangkalan data 1C yang hilang tidak dapat dipulihkan. Ngomong-ngomong, lelaki tua a la P4-2400/1024 biasanya mengatasi sandaran yang teratur dengan betul.

Pemantauan. “01/01/2013 02:24 | Daripada: Zabbix | Subjek: Pelancaran nuklear dikesan!”

Anda berseronok meraikan Tahun Baru bersama rakan-rakan. By the way, bukan anda sahaja, penjaga bangunan tempat anda menyewa premis juga tidak membuang masa. Oleh itu, bilik terbakar yang dibanjiri air akan menjadi bonus yang menyenangkan untuk kepala anda yang sakit pada waktu pagi untuk Selamat Tahun Baru.
- Jika berlaku masalah, anda hanya perlu menjadi orang pertama yang mengetahuinya. Pemberitahuan SMS yang sama tentang peristiwa kritikal adalah perkara biasa. Ngomong-ngomong, jika pada waktu pagi 5 minit selepas jam penggera berbunyi, pelayan pemantauan tidak bertindak balas kepada anda, sudah tiba masanya untuk membunyikan penggera. Lagipun, pelayan yang memantau pelayan pemantauan juga tidak menulis apa-apa. Secara umum, tidak mengapa, anda mempunyai pelayan sandaran di luar bilik pelayan, yang bagaimanapun menulis kepada anda bahawa ia telah kehilangan semua orang, tetapi masih beroperasi.

Pelan pemulihan. "Tenang, Kazladoev, mari duduk!"

Ini adalah Tahun Baru yang paling dahsyat dalam pengalaman anda. Ya, setelah menerima SMS dan menilai keadaan, anggota bomba dipanggil segera, dan mereka tiba dalam hampir 5 minit dan memadamkan api dengan cepat. Bagaimanapun, satu bahagian bilik pelayan telah terbakar, bahagian kedua dipenuhi buih, dan bahagian ketiga akhirnya jatuh di bawah lantai.
- Pembohongan, sudah tentu. Ini bukan yang paling menyenangkan, tetapi juga bukan Tahun Baru yang paling teruk. Ya, anda mempunyai minggu yang sibuk di hadapan, tetapi terima kasih kepada rancangan yang jelas, anda tahu di mana untuk bermula dan apa yang perlu dilakukan. Saya mengesyorkan bahawa dalam pelan pemulihan bencana anda menerangkan segala-galanya dengan terperinci, termasuk arahan konsol. Jika anda perlu memulihkan beberapa pelayan MySQL yang telah dikonfigurasikan tiga tahun yang lalu, adakah tidak mungkin anda akan mengingati beberapa nuansa kecil yang akhirnya memerlukan anda menghabiskan setengah hari. Ngomong-ngomong, semuanya akan berjalan agak berbeza daripada yang anda rancangkan, mungkin juga berbeza, bersiaplah untuk ini.

Sekarang kepada asas rangkaian pada AD.

Saya tidak akan menerangkan faedah pengelompokan dan LiveMigration yang lain. Kami adalah perniagaan kecil dan tidak mempunyai wang untuk vMotions. Sebenarnya, ia tidak perlu; kebanyakan perkhidmatan disandarkan dengan sempurna di luar kotak. Di bawah tidak akan ada cara untuk tetapan, tetapi saya akan cuba memberikan arah yang betul untuk belajar sendiri.

• Direktori Aktif. Mesti ada dua pengawal domain, secara fizikal pada bahagian perkakasan yang berbeza. Dengan cara ini, Microsoft tidak mengesyorkan (tidak mengesyorkan) memasukkan semua CD mesin maya, iaitu sekurang-kurangnya satu CD mestilah besi semata-mata. Secara umum, ini adalah karut, anda boleh melakukan CD yang berbeza pada hos fizikal yang berbeza, lakukan sahaja cadangan am Microsoft dalam menyediakan CD dalam persekitaran maya. Dengan cara ini, jangan lupa untuk menyimpan GC pada kedua-dua pengawal domain.
• DNS hanyalah asas. Jika Perkhidmatan Nama Domain anda berfungsi dengan tidak betul, anda akan sentiasa menimbulkan masalah secara tiba-tiba. Mesti ada sekurang-kurangnya dua pelayan DNS, dan untuk tujuan ini CD agak sesuai untuk kita. Dan bertentangan dengan cadangan "Penganalisis Pematuhan Cadangan", saya menasihati anda untuk menentukan diri anda sebagai tuan pada CD itu sendiri. Dan satu lagi, lupakan tentang amalan mendaftarkan pelayan pada pelanggan melalui alamat IP: jika ini adalah pelayan NTP, maka pelanggan harus mengetahuinya sebagai ntp.company.xyz, jika ia adalah proksi, maka sesuatu seperti gate.company. xyz, Secara umum, ia jelas. By the way, ini boleh menjadi pelayan yang sama dengan nama srv0.domain.xyz, tetapi dengan CNAME yang berbeza. Ini akan sangat membantu apabila mengembangkan atau memindahkan perkhidmatan.
• Pelayan NTP mengikut DNS. CD anda hendaklah sentiasa memberikan masa yang tepat.
  Terima kasih foxmuldercp atas nasihat
• Terdapat juga dua pelayan DHCP. Pada CD yang sama ini, agak gambar rajah kerja. Hanya konfigurasikannya supaya julat yang mengeluarkan tidak bertindih, tetapi supaya setiap DHCP boleh meliputi keseluruhan kumpulan mesin. Dan ya, biarkan setiap pelayan DHCP mengenal pasti dirinya sebagai pelayan DNS pertama. Saya rasa sudah jelas mengapa.
• Pelayan fail. Semuanya mudah di sini juga. Kami membuat DFS dengan replikasi, pada CD yang sama. Secara umum, replikasi tidak ada kaitan dengannya, cuma sentiasa daftarkan pautan ke perkongsian melalui DFS, cuba patuhi amalan ini berhubung dengan semua sumber fail. Apabila anda perlu mengalihkan bahagian ke lokasi baharu, cuma alihkan bahagian tersebut dan tukar pautan dalam DFS. Pelanggan mungkin tidak perasan apa-apa langsung.
• Pelayan MSSQL 1c. Bukan senang lagi. Dan mahal. Anda mempunyai sebahagiannya tapak besar, dan mengekalkan pelayan SQL sandaran adalah dilarang. Perkara ini tidak boleh ditempah; dalam apa jua keadaan, anda memerlukan contoh baharu, yang memerlukan wang. Sandaran adalah segala-galanya, bukan masalah besar. Fikirkan tentang tempat anda boleh menggunakan pelayan DBMS sementara dengan cepat. Dengan cara ini, terdapat MSSQL Express percuma dengan had saiz pangkalan data, mungkin ia akan mencukupi untuk anda.
• Gerbang. Linux dan FreeBSD lain. Tak sedap mana pun, tak ada duit untuk TMG dan kerios lain. Anda masih perlu memahami iptables. Di sini saya boleh memberi nasihat yang tidak jelas - jika anda berkawan dengan OSI, tidak akan ada masalah, jika anda tidak berkawan, akan ada masalah dengan Kerio. Ngomong-ngomong, jika anda fikir anda seorang pentadbir dan tidak tahu apa perbezaan antara bingkai dan bingkai, maka ia akan menjadi sukar untuk anda.
• Keselamatan. Ini adalah topik yang sangat luas, jadi perenggan berikut adalah mengenai isu intim ini.
  Pengguna mesti bekerja di bawah Pengguna Domain. Mana-mana, saya tekankan, sebarang aplikasi boleh dikonfigurasikan untuk berfungsi dalam persekitaran dengan hak terhad. Kadang-kadang sudah cukup untuk menambah kebenaran menulis ke direktori dengan atur cara yang dipasang dan lumpuhkan rakaman di dalam fail boleh laku. Kadangkala, untuk mengetahui secara spesifik, anda perlu memantau sistem pendaftaran dan fail. Kadang-kadang anda mahu membunuh dan memberikan hak pentadbir. Kadang-kadang masuk akal. Pilihan di tangan anda, tetapi jangan sekali-kali melumpuhkan UAC. Dan anda, yang duduk di tempat kerja anda, sekurang-kurangnya harus mempunyai hak pentadbir tempatan ke atas semua stesen kerja, dan anda tidak sepatutnya menjadi pentadbir domain. Jika perlu, uruskan pelayan melalui terminal.
• Akaun. Saya tidak akan mengatakan apa-apa tentang pengguna, saya rasa jelas bahawa terdapat satu akaun bagi setiap pengguna. Tetapi tidak semua orang memahami bahawa setiap perkhidmatan harus mempunyai akaun sendiri. Sebagai contoh, MSSQL berjalan dalam persekitaran AD tidak memerlukan hak pentadbir domain. Cipta akaun pengguna biasa dan nyatakannya apabila memasang DBMS. Pemasang akan menulisnya sendiri hak yang diperlukan dan semuanya akan berfungsi dengan baik. Begitu juga dengan hampir semua perkhidmatan. Jika sesetengah openfire meminta akaun pentadbir untuk menyambung ke AD - itu satu nama, ia hanya perlu membaca perkhidmatan direktori.
• Kemas Kini Perisian. Gunakan WSUS dan jangan lupa untuk log masuk sekurang-kurangnya pada hari Rabu kedua setiap bulan dan semak kemas kini baharu. Pilih 10-15 kereta daripada armada anda dan masukkannya dalam kumpulan ujian. Semak kemas kini baharu dalam kumpulan ini dan apabila anda tidak menemui sebarang pepijat, gunakannya kepada semua orang. By the way, di sini

Pada tahun 2002, semasa berjalan di sepanjang koridor jabatan sains komputer universiti kegemaran saya, saya melihat poster baru di pintu pejabat "NT Systems". Poster itu menggambarkan ikon akaun pengguna yang dikumpulkan ke dalam kumpulan, dari mana anak panah seterusnya membawa kepada ikon lain. Semua ini digabungkan secara skematik ke dalam struktur tertentu, sesuatu telah ditulis tentang sistem log masuk tunggal, kebenaran dan sebagainya. Setakat yang saya faham sekarang, poster itu menggambarkan seni bina Windows NT 4.0 Domains dan sistem Windows 2000 Active Directory. Sejak saat itu perkenalan pertama saya dengan Active Directory bermula dan serta-merta berakhir, sejak itu terdapat sesi yang sukar, percutian yang menyeronokkan, selepas itu seorang rakan berkongsi FreeBSD 4 dan topi merah Linux, dan untuk beberapa tahun akan datang saya terjun ke dunia sistem seperti Unix, tetapi saya tidak pernah melupakan kandungan poster itu.
Saya terpaksa kembali ke sistem berdasarkan platform Windows Server dan menjadi lebih akrab dengan mereka apabila saya berpindah untuk bekerja untuk sebuah syarikat di mana pengurusan keseluruhan infrastruktur IT adalah berdasarkan Active Directory. Saya masih ingat bahawa ketua pentadbir syarikat itu terus mengulangi sesuatu tentang beberapa Amalan Terbaik Direktori Aktif pada setiap mesyuarat. Kini, selepas 8 tahun komunikasi berkala dengan Active Directory, saya faham dengan baik cara sistem ini berfungsi dan apakah Amalan Terbaik Active Directory.
Seperti yang anda mungkin sudah meneka, kami akan bercakap tentang Active Directory.
Untuk semua yang berminat topik ini, selamat datang ke kucing.

Pengesyoran ini sah untuk sistem pelanggan bermula dari Windows 7 dan lebih tinggi, untuk domain dan hutan pada tahap Windows Server 2008/R2 dan lebih tinggi.

Penyeragaman
Perancangan untuk Direktori Aktif harus bermula dengan membangunkan piawaian anda untuk menamakan objek dan lokasinya dalam direktori. Ia adalah perlu untuk membuat dokumen di mana untuk menentukan segala-galanya piawaian yang diperlukan. Sudah tentu, ini adalah cadangan yang agak biasa untuk profesional IT. Prinsip "mula-mula kami menulis dokumentasi, dan kemudian kami membina sistem menggunakan dokumentasi ini" adalah sangat baik, tetapi ia jarang dilaksanakan dalam amalan kerana banyak sebab. Antara sebab-sebab ini adalah kemalasan manusia yang mudah atau kekurangan kecekapan yang sesuai; sebab yang selebihnya diperoleh daripada dua yang pertama.
Saya mengesyorkan agar anda menulis dokumentasi dahulu, memikirkannya, dan kemudian meneruskan dengan memasang pengawal domain pertama.
Sebagai contoh, saya akan memberikan bahagian dokumen mengenai piawaian untuk menamakan objek Active Directory.
Menamakan objek.

• Nama kumpulan pengguna mesti bermula dengan awalan GRUS_ (GR - Kumpulan, AS - Pengguna)
• Nama kumpulan komputer mesti bermula dengan awalan GRCP_ (GR - Kumpulan, CP - Komputer)
• Nama perwakilan kumpulan kuasa mesti bermula dengan awalan GRDL_ (GR - Kumpulan, DL - Perwakilan)
• Nama kumpulan akses sumber mesti bermula dengan awalan GRRS_ (GR - Kumpulan, RS - sumber)
• Nama kumpulan untuk dasar mesti bermula dengan awalan GPUS_, GPCP_ (GP - Dasar kumpulan, AS - Pengguna, CP - Komputer)
• Nama komputer pelanggan mestilah terdiri daripada dua atau tiga huruf daripada nama organisasi, diikuti dengan nombor yang dipisahkan oleh tanda sempang, contohnya, nnt-01.
• Nama pelayan mesti bermula dengan hanya dua huruf, diikuti dengan tanda sempang dan diikuti dengan peranan pelayan dan nombornya, sebagai contoh, nn-dc01.

Saya mengesyorkan menamakan objek Active Directory supaya anda tidak perlu mengisi medan Penerangan. Sebagai contoh, daripada nama kumpulan GPCP_Restricted_Groups adalah jelas bahawa ini adalah kumpulan dasar yang digunakan pada komputer dan melaksanakan kerja mekanisme Kumpulan Terhad.
Pendekatan anda untuk menulis dokumentasi haruslah sangat teliti, ini akan menjimatkan banyak masa pada masa hadapan.

Permudahkan segalanya sebaik mungkin, cuba mencapai keseimbangan
Apabila membina Active Directory, adalah perlu untuk mengikut prinsip mencapai keseimbangan, memilih mekanisme yang mudah dan boleh difahami.
Prinsip keseimbangan adalah untuk mencapai fungsi dan keselamatan yang diperlukan dengan kesederhanaan maksimum penyelesaian.
Ia adalah perlu untuk cuba membina sistem supaya strukturnya dapat difahami oleh pentadbir atau pengguna yang paling tidak berpengalaman. Sebagai contoh, pada satu masa terdapat cadangan untuk mewujudkan struktur hutan beberapa domain. Selain itu, adalah disyorkan untuk menggunakan bukan sahaja struktur berbilang domain, tetapi juga struktur dari beberapa hutan. Mungkin cadangan ini wujud kerana prinsip "bahagi dan takluk", atau kerana Microsoft memberitahu semua orang bahawa domain itu adalah sempadan keselamatan dan dengan membahagikan organisasi kepada domain, kami akan mendapat struktur berasingan yang lebih mudah dikawal secara individu. Tetapi seperti yang ditunjukkan oleh amalan, adalah lebih mudah untuk mengekalkan dan mengawal sistem domain tunggal, di mana sempadan keselamatan adalah unit organisasi (OU) dan bukannya domain. Oleh itu, elakkan membuat struktur berbilang domain yang kompleks; adalah lebih baik untuk mengumpulkan objek mengikut OU.
Sudah tentu, anda harus bertindak tanpa fanatik - jika mustahil untuk dilakukan tanpa beberapa domain, maka anda perlu membuat beberapa domain, juga dengan hutan. Perkara utama ialah anda memahami apa yang anda lakukan dan apa yang boleh menyebabkannya.
Adalah penting untuk memahami bahawa infrastruktur Active Directory yang ringkas adalah lebih mudah untuk ditadbir dan dipantau. Saya juga akan mengatakan bahawa lebih mudah, lebih selamat.
Mengaplikasi prinsip penyederhanaan. Cuba untuk mencapai keseimbangan.

Ikut prinsip - "objek - kumpulan"
Mula mencipta objek Active Directory dengan mencipta kumpulan untuk daripada objek ini, dan sudah diberikan kepada kumpulan hak yang diperlukan. Mari kita lihat satu contoh. Anda perlu membuat akaun pentadbir utama. Mula-mula buat kumpulan Pentadbir Ketua dan kemudian buat akaun itu sendiri dan tambahkannya pada kumpulan ini. Berikan hak pentadbir ketua kepada kumpulan Pentadbir Ketua, contohnya, dengan menambahkannya pada kumpulan Pentadbir Domain. Ia hampir selalu ternyata bahawa selepas beberapa ketika pekerja lain datang bekerja yang memerlukan hak yang sama, dan bukannya mewakilkan hak kepada bahagian Direktori Aktif yang berbeza, adalah mungkin untuk menambahkannya ke kumpulan yang diperlukan yang mana sistem telah menentukan peranannya. dan kuasa yang diperlukan diwakilkan.
Satu lagi contoh. Anda perlu mewakilkan hak kepada OU dengan pengguna kepada kumpulan pentadbir sistem. Jangan wakilkan hak terus kepada kumpulan pentadbir, tetapi buat kumpulan khas seperti GRDL_OUName_Operator_Accounts yang anda berikan haknya. Kemudian hanya tambahkan kumpulan pentadbir yang bertanggungjawab ke kumpulan GRDL_OUName_Operator_Accounts. Ia pasti akan berlaku bahawa dalam masa terdekat anda perlu mewakilkan hak kepada OU ini kepada kumpulan pentadbir lain. Dan dalam kes ini, anda hanya akan menambah kumpulan data pentadbir pada kumpulan perwakilan GRDL_OUName_Operator_Accounts.
saya mencadangkan struktur berikut kumpulan.

• Kumpulan pengguna (GRUS_)
• Kumpulan Pentadbir (GRAD_)
• Kumpulan perwakilan (GRDL_)
• Kumpulan dasar (GRGP_)

Kumpulan komputer

• Kumpulan pelayan (GRSR_)
• Kumpulan komputer pelanggan (GRCP_)

Kumpulan Akses Sumber

• Kumpulan Akses Sumber Dikongsi (GRRS_)
• Kumpulan Akses Pencetak (GRPR_)

Dalam sistem yang dibina mengikut cadangan ini, hampir semua pentadbiran akan terdiri daripada menambah kumpulan kepada kumpulan.
Kekalkan keseimbangan dengan mengehadkan bilangan peranan untuk kumpulan dan ingat bahawa nama kumpulan harus menggambarkan sepenuhnya peranannya secara ideal.

seni bina OU.
Seni bina OU pertama sekali harus difikirkan dari sudut keselamatan dan pendelegasian hak kepada OU ini kepada pentadbir sistem. Saya tidak mengesyorkan merancang seni bina OU dari sudut pandangan menghubungkan dasar kumpulan kepada mereka (walaupun ini paling kerap dilakukan). Bagi sesetengah orang, cadangan saya mungkin kelihatan agak pelik, tetapi saya tidak mengesyorkan untuk mengikat dasar kumpulan kepada OU sama sekali. Baca lebih lanjut dalam bahagian Dasar Kumpulan.
Pentadbir OU
Saya mengesyorkan anda membuat OU yang berasingan untuk akaun dan kumpulan pentadbiran, di mana anda boleh meletakkan akaun dan kumpulan semua pentadbir dan jurutera sokongan teknikal. Akses kepada OU ini hendaklah dihadkan kepada pengguna biasa dan pengurusan objek daripada OU ini hendaklah diwakilkan hanya kepada pentadbir utama.
Komputer OU
OU Komputer paling baik dirancang dari segi lokasi geografi komputer dan jenis komputer. Mengedarkan komputer dari lokasi geografi yang berbeza ke dalam OU yang berbeza, dan seterusnya membahagikannya kepada komputer dan pelayan pelanggan. Pelayan juga boleh dibahagikan kepada Exchange, SQL dan lain-lain.

Pengguna, hak dalam Active Directory
Akaun pengguna Active Directory harus diberikan Perhatian istimewa. Seperti yang dinyatakan dalam bahagian tentang OU, akaun pengguna hendaklah dikumpulkan berdasarkan prinsip pewakilan kuasa kepada akaun ini. Ia juga penting untuk mematuhi prinsip keistimewaan yang paling sedikit - semakin sedikit hak pengguna dalam sistem, semakin baik. Saya mengesyorkan agar anda segera memasukkan tahap keistimewaan pengguna dalam nama akaunnya. Akaun untuk kerja harian hendaklah terdiri daripada nama keluarga dan inisial pengguna dalam bahasa Latin (Contohnya, IvanovIV atau IVIvanov). Medan yang diperlukan ialah: Nama Pertama, Inisial, Nama Keluarga, Nama Paparan (dalam bahasa Rusia), e-mel, mudah alih, Jawatan Pekerjaan, Pengurus.
Akaun pentadbir mestilah daripada jenis berikut:

• Dengan hak pentadbir kepada komputer pengguna, tetapi bukan pelayan. Mesti terdiri daripada parap pemilik dan awalan tempatan (Contohnya, iivlocal)
• Dengan hak untuk mentadbir pelayan dan Active Directory. Mesti terdiri daripada huruf awal sahaja (Contohnya, iiv).

Medan Nama keluarga kedua-dua jenis akaun pentadbiran hendaklah bermula dengan huruf I (Sebagai contoh, iPetrov P Vasily)
Biar saya terangkan sebab anda perlu mengasingkan akaun pentadbiran kepada pentadbir pelayan dan pentadbir komputer pelanggan. Ini mesti dilakukan atas sebab keselamatan. Pentadbir komputer pelanggan akan mempunyai hak untuk memasang perisian pada komputer pelanggan. Tidak mungkin untuk mengatakan dengan pasti perisian apa yang akan dipasang dan mengapa. Oleh itu, adalah tidak selamat untuk menjalankan pemasangan program dengan hak pentadbir domain; keseluruhan domain boleh terjejas. Anda mesti mentadbir komputer pelanggan hanya dengan hak pentadbir tempatan untuk komputer itu. Ini akan menjadikannya mustahil untuk beberapa serangan pada akaun pentadbir domain, seperti "Pass The Hash". Selain itu, pentadbir komputer pelanggan perlu menutup sambungan melalui Perkhidmatan Terminal dan sambungan rangkaian ke komputer. Sokongan teknikal dan komputer pentadbiran harus diletakkan dalam VLAN yang berasingan untuk mengehadkan akses kepada mereka daripada rangkaian komputer klien.
Memberikan hak pentadbir kepada pengguna
Jika anda perlu memberikan hak pentadbir kepada pengguna, jangan letakkan akaun kerja hariannya dalam kumpulan. pentadbir tempatan komputer. Akaun untuk kerja harian harus sentiasa mempunyai hak terhad. Cipta akaun pentadbiran yang berasingan untuknya seperti namelocal dan tambahkan akaun ini pada kumpulan pentadbir tempatan menggunakan dasar, mengehadkan aplikasinya hanya pada komputer pengguna menggunakan penyasaran peringkat item. Pengguna akan dapat menggunakan akaun ini menggunakan mekanisme Run AS.
Dasar Kata Laluan
Buat dasar kata laluan yang berasingan untuk pengguna dan pentadbir menggunakan dasar kata laluan yang terperinci. Adalah dinasihatkan bahawa kata laluan pengguna terdiri daripada sekurang-kurangnya 8 aksara dan ditukar sekurang-kurangnya sekali setiap suku tahun. Adalah dinasihatkan untuk pentadbir menukar kata laluan setiap dua bulan, dan ia mestilah sekurang-kurangnya 10-15 aksara dan memenuhi keperluan kerumitan.

Komposisi domain dan kumpulan tempatan. Mekanisme Kumpulan Terhad
Komposisi domain dan kumpulan tempatan pada komputer domain hendaklah dikawal secara automatik sahaja, menggunakan mekanisme Kumpulan Terhad. Saya akan menerangkan mengapa ia perlu dilakukan hanya dengan cara ini menggunakan contoh berikut. Biasanya, selepas domain Active Directory ditamatkan, pentadbir menambah diri mereka kumpulan domain seperti pentadbir Domain, pentadbir Perusahaan, tambah pada kumpulan yang diperlukan jurutera sokongan teknikal dan pengguna lain juga dibahagikan kepada kumpulan. Dalam proses mentadbir domain ini, proses mengeluarkan hak diulang berkali-kali dan amat sukar untuk diingat bahawa semalam anda menambah akauntan Nina Petrovna buat sementara waktu ke kumpulan pentadbir 1C dan hari ini anda perlu mengeluarkannya daripada kumpulan ini. Keadaan akan menjadi lebih buruk jika syarikat mempunyai beberapa pentadbir dan setiap daripada mereka dari semasa ke semasa memberikan hak kepada pengguna dalam gaya yang sama. Dalam masa setahun sahaja, hampir mustahil untuk mengetahui hak yang diberikan kepada siapa. Oleh itu, komposisi kumpulan harus dikawal hanya oleh dasar kumpulan, yang akan mengatur segala-galanya dengan setiap aplikasi.
Komposisi kumpulan terbina dalam
Perlu dikatakan bahawa kumpulan terbina dalam seperti Operator Akaun, Pengendali Sandaran, Operator Krip, Tetamu, Operator Cetakan, Operator Pelayan harus kosong, dalam domain dan pada komputer klien. Kumpulan ini terutamanya perlu untuk memastikan keserasian ke belakang dengan sistem yang lebih lama, dan pengguna kumpulan ini diberikan terlalu banyak hak dalam sistem, dan serangan peningkatan keistimewaan menjadi mungkin.

Akaun Pentadbir Tempatan
Menggunakan mekanisme Kumpulan Terhad, adalah perlu untuk menyekat akaun pentadbir tempatan komputer tempatan, sekat akaun tetamu dan kosongkan kumpulan pentadbir tempatan pada komputer tempatan. Jangan sekali-kali menggunakan dasar kumpulan untuk menetapkan kata laluan untuk akaun pentadbir tempatan. Mekanisme ini tidak selamat; kata laluan boleh diekstrak terus daripada dasar. Tetapi, jika anda memutuskan untuk tidak menyekat akaun pentadbir tempatan, kemudian gunakan mekanisme LAPS untuk menetapkan kata laluan dengan betul dan memutarnya. Malangnya, menyediakan LAPS tidak automatik sepenuhnya, dan oleh itu anda perlu menambah atribut secara manual pada skema Active Directory, memberikan hak kepada mereka, menetapkan kumpulan dan sebagainya. Oleh itu, lebih mudah untuk menyekat akaun pentadbir tempatan.
Akaun perkhidmatan.
Untuk menjalankan perkhidmatan, gunakan akaun perkhidmatan dan mekanisme gMSA (tersedia pada Windows 2012 dan sistem yang lebih tinggi)

Dasar Kumpulan
Dokumen dasar sebelum membuat/mengubah suainya.
Apabila membuat dasar, gunakan Dasar - prinsip Kumpulan. Iaitu, sebelum membuat dasar, mula-mula buat kumpulan untuk dasar ini, alih keluar kumpulan pengguna Disahkan daripada skop dasar dan tambah kumpulan yang dibuat. Pautkan dasar bukan kepada OU, tetapi kepada akar domain dan kawal skop penggunaannya dengan menambahkan objek pada kumpulan dasar. Saya menganggap mekanisme ini lebih fleksibel dan mudah difahami daripada mengaitkan dasar dengan OU. (Ini betul-betul apa yang saya tulis dalam bahagian tentang OU Architecture).
Sentiasa laraskan skop dasar. Jika anda membuat dasar hanya untuk pengguna, kemudian lumpuhkan struktur komputer dan sebaliknya, lumpuhkan struktur pengguna jika anda mencipta dasar hanya untuk komputer. Terima kasih kepada tetapan ini, dasar akan digunakan dengan lebih cepat.
Sediakan setiap hari sandaran dasar menggunakan Power Shell, supaya sekiranya berlaku ralat konfigurasi, anda sentiasa boleh mengembalikan tetapan kepada tetapan asal.
Stor Pusat
Bermula dengan Windows 2008, ia menjadi mungkin untuk menyimpan templat Dasar Kumpulan ADMX di lokasi storan pusat, SYSVOL. Sebelum ini, secara lalai, semua templat dasar disimpan secara setempat pada pelanggan. Untuk meletakkan templat ADMX dalam storan pusat, anda perlu menyalin kandungan folder %SystemDrive%\Windows\PolicyDefinitions bersama-sama dengan subfolder daripada sistem klien (Windows 7/8/8.1) ke direktori pengawal domain %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions dengan kandungan digabungkan, tetapi tanpa penggantian. Seterusnya, anda harus membuat salinan yang sama daripada sistem pelayan, bermula dengan yang tertua. Akhir sekali, apabila menyalin folder dan fail daripada versi pelayan terkini, lakukan salinan GABUNGAN DAN GANTIKAN.

Menyalin templat ADMX

Selain itu, templat ADMX untuk sebarang produk perisian, contohnya, Microsoft Office, produk Adobe, produk Google dan lain-lain, boleh diletakkan dalam storan pusat. Pergi ke tapak web vendor perisian, muat turun templat ADMX Group Policy dan buka peknya ke folder %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions pada mana-mana pengawal domain. Kini anda boleh mengurus produk perisian yang anda perlukan melalui dasar kumpulan.
Penapis WMI
Penapis WMI tidak begitu pantas, jadi lebih baik menggunakan mekanisme penyasaran peringkat item. Tetapi jika penyasaran peringkat item tidak boleh digunakan dan anda memutuskan untuk menggunakan WMI, maka saya syorkan anda segera membuat beberapa penapis yang paling biasa untuk diri anda sendiri: penapis "Sistem pengendalian pelanggan sahaja", "Sistem pengendalian pelayan sahaja", "Windows 7 ” penapis, penapis “Windows” 8", "Windows 8.1", "Windows 10". Jika anda mempunyai set penapis WMI siap sedia, maka lebih mudah untuk menggunakan penapis yang diingini pada dasar yang diingini.

Mengaudit Acara Direktori Aktif
Pastikan untuk mendayakan pengauditan acara pada pengawal domain dan pelayan lain. Saya mengesyorkan membolehkan pengauditan objek berikut:

• Audit Pengurusan Akaun Komputer - Kejayaan, Kegagalan
• Audit Acara Pengurusan Akaun Lain - Kejayaan, Kegagalan
• Pengurusan Kumpulan Keselamatan Audit - Kejayaan, Kegagalan
• Pengurusan Akaun Pengguna Audit - Kejayaan, Kegagalan

• Audit Perkhidmatan Pengesahan Kerberos - Kegagalan
• Audit Acara Log Masuk Akaun Lain - Kegagalan
• Perubahan Dasar Audit Audit - Kejayaan, Kegagalan

Pengauditan mesti dikonfigurasikan dalam bahagian Konfigurasi Dasar Audit Lanjutan dan pastikan untuk mendayakan tetapan dalam bahagian Pilihan Dasar/Keselamatan Tempatan - Paksa tetapan subkategori dasar audit (Windows Vista atau lebih baru) untuk mengatasi tetapan kategori dasar audit, yang akan mengatasi tetapan peringkat atas dan menggunakan tetapan lanjutan.

Tetapan audit lanjutan

Saya tidak akan membincangkan secara terperinci tentang tetapan audit, kerana terdapat sejumlah artikel yang mencukupi di Internet yang dikhaskan untuk topik ini. Saya hanya akan menambah bahawa selain mendayakan pengauditan, anda harus menyediakan makluman e-mel tentang peristiwa keselamatan kritikal. Ia juga patut dipertimbangkan bahawa dalam sistem dengan sejumlah besar acara ia patut ditonjolkan pelayan berasingan untuk mengumpul dan menganalisis fail log.

Skrip pentadbiran dan pembersihan
Semua tindakan yang serupa dan kerap diulang mesti dilakukan menggunakan skrip pentadbiran. Tindakan ini termasuk: membuat akaun pengguna, mencipta akaun pentadbir, membuat kumpulan, membuat OU dan sebagainya. Mencipta objek menggunakan skrip membolehkan anda menghormati logik penamaan objek Active Directory anda dengan membina semakan sintaks terus ke dalam skrip.
Ia juga bernilai menulis skrip pembersihan yang secara automatik akan memantau komposisi kumpulan, mengenal pasti pengguna dan komputer yang tidak bersambung ke domain untuk masa yang lama, mengenal pasti pelanggaran piawaian lain, dan sebagainya.
Saya tidak melihatnya sebagai pengesyoran rasmi yang jelas untuk menggunakan skrip pentadbir untuk memantau pematuhan dan melaksanakan operasi latar belakang. Tetapi saya sendiri lebih suka semakan dan prosedur dalam mod automatik menggunakan skrip, kerana ini menjimatkan banyak masa dan menghapuskan sejumlah besar ralat dan, sudah tentu, di sinilah pendekatan Unix saya yang sedikit untuk pentadbiran dimainkan, apabila lebih mudah untuk menaip beberapa arahan daripada klik pada windows .

Pentadbiran manual
Anda dan rakan sekerja anda perlu melakukan beberapa operasi pentadbiran secara manual. Untuk tujuan ini, saya mengesyorkan menggunakan konsol mmc dengan snap-in ditambahkan padanya.
Seperti yang akan dinyatakan kemudian, pengawal domain anda harus beroperasi dalam mod Teras Pelayan, iaitu, anda harus mentadbir keseluruhan persekitaran AD hanya dari komputer anda menggunakan konsol. Untuk mentadbir Active Directory, anda perlu memasang Alat Pentadbiran Pelayan Jauh pada komputer anda. Konsol harus dijalankan pada komputer anda sebagai pengguna dengan hak pentadbir Active Directory dan kawalan yang diwakilkan.
Seni mengurus Direktori Aktif menggunakan konsol memerlukan artikel yang berasingan, dan mungkin juga video latihan yang berasingan, jadi di sini saya hanya bercakap tentang prinsip itu sendiri.

Pengawal domain
Dalam mana-mana domain, mesti ada sekurang-kurangnya dua pengawal. Pengawal domain harus mempunyai perkhidmatan sesedikit mungkin. Anda tidak seharusnya menukar pengawal domain menjadi pelayan fail atau, Insya-Allah, naik tarafnya kepada peranan pelayan terminal. Gunakan sistem pengendalian dalam mod Teras Pelayan pada pengawal domain, mengalih keluar sokongan sepenuhnya untuk WoW64, ini akan mengurangkan bilangannya dengan ketara kemas kini yang diperlukan dan meningkatkan keselamatan mereka.
Microsoft sebelum ini tidak mengesyorkan memayakan pengawal domain kerana fakta bahawa apabila memulihkan dari syot kilat Konflik replikasi yang sukar dikawal mungkin berlaku. Mungkin ada sebab lain, saya tidak boleh katakan dengan pasti. Kini hypervisor telah belajar untuk memberitahu pengawal untuk memulihkannya daripada syot kilat, dan masalah ini telah hilang. Saya telah memayakan pengawal sepanjang masa, tanpa mengambil sebarang syot kilat, kerana saya tidak faham mengapa mungkin ada keperluan untuk mengambil syot kilat sedemikian pada pengawal domain. Pada pendapat saya, lebih mudah untuk membuat salinan sandaran pengawal domain cara standard. Oleh itu, saya mengesyorkan untuk memayakan semua pengawal domain yang mungkin. Konfigurasi ini akan menjadi lebih fleksibel. Apabila memayakan pengawal domain, letakkannya pada hos fizikal yang berbeza.
Jika anda perlu meletakkan pengawal domain dalam persekitaran fizikal yang tidak selamat atau di pejabat cawangan organisasi anda, kemudian gunakan RODC untuk tujuan ini.

Peranan FSMO, pengawal primer dan sekunder
Peranan pengawal domain FSMO terus menimbulkan ketakutan dalam fikiran pentadbir baharu. Selalunya, pemula mempelajari Active Directory daripada dokumentasi lapuk atau mendengar cerita daripada pentadbir lain yang membaca sesuatu di suatu tempat sekali.
Untuk semua lima + 1 peranan, perkara berikut harus dinyatakan secara ringkas. Bermula dengan Windows Server 2008, tiada lagi pengawal domain primer dan sekunder. Kesemua lima peranan pengawal domain adalah mudah alih, tetapi tidak boleh berada pada lebih daripada satu pengawal pada satu masa. Jika kita mengambil salah satu daripada pengawal, yang, sebagai contoh, adalah pemilik 4 peranan dan memadamkannya, maka kita boleh dengan mudah memindahkan semua peranan ini kepada pengawal lain, dan tiada perkara buruk akan berlaku dalam domain, tiada apa yang akan pecah. Ini mungkin kerana pemilik menyimpan semua maklumat tentang kerja yang berkaitan dengan peranan tertentu secara langsung dalam Active Directory. Dan jika kita memindahkan peranan kepada pengawal lain, maka pertama sekali ia beralih kepada maklumat yang disimpan dalam Active Directory dan mula melaksanakan perkhidmatan. Domain boleh wujud untuk masa yang agak lama tanpa pemilik peranan. Satu-satunya "peranan" yang harus sentiasa ada dalam Active Directory, dan tanpanya semuanya akan menjadi sangat buruk, ialah peranan katalog global (GC), yang boleh ditanggung oleh semua pengawal dalam domain. Saya syorkan untuk memberikan peranan GC kepada setiap pengawal dalam domain, lebih banyak terdapat, lebih baik. Sudah tentu, anda boleh menemui kes yang tidak berbaloi untuk memasang peranan GC pada pengawal domain. Nah, jika anda tidak memerlukannya, maka jangan. Ikut cadangan tanpa fanatik.

perkhidmatan DNS
Perkhidmatan DNS adalah penting untuk pengendalian Active Directory dan mesti berfungsi tanpa gangguan. perkhidmatan DNS Lebih baik memasangnya pada setiap pengawal domain dan menyimpan zon DNS dalam Active Directory itu sendiri. Jika anda akan menggunakan Active Directory untuk menyimpan zon DNS, maka anda harus mengkonfigurasi sifat sambungan TCP/IP pada pengawal domain supaya pada setiap pengawal sebagai pelayan DNS utama terdapat mana-mana pelayan DNS lain, dan anda boleh menetapkan alamat 127.0.0.1 sebagai alamat kedua. Tetapan ini mesti dilakukan kerana untuk perkhidmatan Active Directory bermula seperti biasa, DNS yang berfungsi diperlukan dan untuk DNS bermula, ia mesti berjalan Perkhidmatan aktif Direktori, kerana ia mengandungi zon DNS itu sendiri.
Pastikan anda menyediakan zon carian terbalik untuk semua rangkaian anda dan dayakan kemas kini rekod PTR selamat automatik.
Saya mengesyorkan anda juga membolehkan pembersihan zon automatik bagi rekod DNS yang sudah lapuk (dns scavenging).
Saya mengesyorkan untuk menentukan pelayan Yandex yang dilindungi sebagai DNS-Forwarders jika tiada pelayan lain yang lebih pantas di lokasi geografi anda.

Tapak dan replikasi
Ramai pentadbir terbiasa berfikir bahawa laman web adalah kumpulan geografi komputer. Sebagai contoh, tapak Moscow, tapak St. Idea ini timbul kerana fakta bahawa pembahagian asal Direktori Aktif ke dalam tapak telah dilakukan untuk tujuan pengimbangan dan pemisahan trafik rangkaian replikasi. Pengawal domain di Moscow tidak perlu tahu bahawa sepuluh akaun komputer kini telah dibuat di St. Petersburg. Oleh itu, maklumat sedemikian tentang perubahan boleh dihantar sekali sejam mengikut jadual. Atau bahkan meniru perubahan sekali sehari dan hanya pada waktu malam, untuk menjimatkan lebar jalur.
Saya akan mengatakan ini tentang tapak web: tapak web ialah kumpulan komputer yang logik. Komputer yang saling berhubung dengan baik sambungan rangkaian. Dan laman web itu sendiri disambungkan antara satu sama lain dengan sambungan dengan yang kecil daya pengeluaran, yang sangat jarang berlaku pada hari ini. Oleh itu, saya membahagikan Active Directory kepada tapak bukan untuk mengimbangi trafik replikasi, tetapi untuk mengimbangi beban rangkaian secara umum dan untuk lebih banyak lagi. pemprosesan cepat permintaan pelanggan daripada komputer tapak. Biar saya jelaskan dengan contoh. Terdapat rangkaian tempatan 100 megabit organisasi, yang disediakan oleh dua pengawal domain, dan terdapat awan di mana pelayan aplikasi organisasi ini terletak dengan dua pengawal awan yang lain. Saya akan membahagikan rangkaian sedemikian kepada dua tapak supaya pengawal rangkaian tempatan permintaan pelanggan diproses daripada rangkaian tempatan, dan pengawal dalam awan diproses permintaan daripada pelayan aplikasi. Selain itu, ini akan membolehkan anda memisahkan permintaan kepada perkhidmatan DFS dan Exchange. Dan oleh kerana sekarang saya jarang melihat saluran Internet kurang daripada 10 megabit sesaat, saya akan mendayakan Notify Based Replication, ini adalah apabila replikasi data berlaku serta-merta sebaik sahaja sebarang perubahan berlaku dalam Active Directory.

Kesimpulan
Pagi ini saya memikirkan mengapa sikap mementingkan diri manusia tidak dialu-alukan dalam masyarakat dan di suatu tempat pada tahap persepsi yang mendalam menyebabkan emosi yang sangat negatif. Dan satu-satunya jawapan yang terlintas di fikiran saya ialah umat manusia tidak akan bertahan di planet ini jika ia tidak belajar perkongsian sumber fizikal dan intelek. Itulah sebabnya saya berkongsi artikel ini dengan anda dan saya berharap cadangan saya akan membantu anda memperbaik sistem anda dan anda akan menghabiskan lebih sedikit masa untuk menyelesaikan masalah. Semua ini akan membawa kepada membebaskan lebih banyak masa dan tenaga untuk kreativiti. Adalah lebih menyenangkan untuk hidup dalam dunia orang yang kreatif dan bebas.
Adalah baik jika, jika boleh, anda berkongsi pengetahuan dan amalan anda dalam membina Direktori Aktif dalam ulasan.
Damai dan kebaikan kepada semua orang!

Anda boleh membantu dan memindahkan beberapa dana untuk pembangunan tapak

Mana-mana pengguna pemula, berhadapan dengan singkatan AD, tertanya-tanya apakah Direktori Aktif? Active Directory ialah perkhidmatan direktori yang dibangunkan oleh Microsoft untuk rangkaian domain Windows. Termasuk dalam kebanyakan sistem pengendalian Windows Server sebagai satu set proses dan perkhidmatan. Pada mulanya, perkhidmatan hanya berurusan dengan domain. Walau bagaimanapun, bermula dengan Windows Server 2008, AD menjadi nama untuk pelbagai perkhidmatan identiti berasaskan direktori. Ini menjadikan Active Directory untuk pemula pengalaman pembelajaran yang lebih baik.

Definisi asas

Pelayan yang menjalankan Perkhidmatan Direktori Domain Direktori Aktif dipanggil pengawal domain. Ia mengesahkan dan membenarkan semua pengguna dan komputer dalam domain rangkaian Windows, memberikan dan menguatkuasakan dasar keselamatan untuk semua PC, dan memasang atau mengemas kini perisian. Contohnya, apabila pengguna log masuk ke komputer yang dihidupkan domain Windows, Active Directory menyemak kata laluan yang dibekalkan dan menentukan sama ada objek tersebut ialah pentadbir sistem atau pengguna standard. Ia juga membolehkan anda mengurus dan menyimpan maklumat, menyediakan mekanisme pengesahan dan kebenaran, dan mewujudkan rangka kerja untuk menggunakan perkhidmatan berkaitan: Perkhidmatan sijil, perkhidmatan direktori bersekutu dan ringan, dan pengurusan hak.

Active Directory menggunakan LDAP versi 2 dan 3, versi Microsoft Kerberos dan DNS.

Direktori Aktif - apakah itu? Dalam kata mudah tentang kompleks

Memantau data rangkaian adalah tugas yang memakan masa. Walaupun dalam rangkaian kecil Pengguna biasanya mengalami kesukaran mencari fail rangkaian dan pencetak. Tanpa beberapa jenis direktori, rangkaian sederhana hingga besar tidak dapat diurus dan sering menghadapi kesukaran untuk mencari sumber.

Sebelumnya versi Microsoft Perkhidmatan termasuk Windows untuk membantu pengguna dan pentadbir mencari data. Kejiranan Rangkaian berguna dalam banyak persekitaran, tetapi kelemahan yang jelas ialah antara muka yang kikuk dan tidak dapat diramalkan. Pengurus WINS dan Pengurus Pelayan boleh digunakan untuk melihat senarai sistem, tetapi tidak disediakan kepada pengguna akhir. Pentadbir menggunakan Pengurus Pengguna untuk menambah dan mengalih keluar data daripada jenis objek rangkaian yang sama sekali berbeza. Aplikasi ini didapati tidak berkesan untuk rangkaian besar dan menimbulkan persoalan, mengapa syarikat memerlukan Active Directory?

Direktori, dalam erti kata yang paling umum, ialah senarai lengkap objek. Buku telefon ialah sejenis direktori yang menyimpan maklumat tentang orang, perniagaan dan organisasi kerajaan, danMereka biasanya merekodkan nama, alamat dan nombor telefon. Tertanya-tanya Direktori Aktif - apakah itu, dalam kata mudah kita boleh mengatakan bahawa teknologi ini serupa dengan direktori, tetapi jauh lebih fleksibel. AD menyimpan maklumat tentang organisasi, tapak, sistem, pengguna, sumber yang dikongsi dan sebarang objek rangkaian lain.

Pengenalan kepada Konsep Direktori Aktif

Mengapa sesebuah organisasi memerlukan Active Directory? Seperti yang dinyatakan dalam pengenalan kepada Active Directory, perkhidmatan menyimpan maklumat tentang komponen rangkaian. Panduan Active Directory for Beginners menerangkan bahawa ini Membenarkan pelanggan mencari objek dalam ruang nama mereka. Ini t Istilah (juga dipanggil pokok konsol) merujuk kepada kawasan di mana komponen rangkaian boleh ditempatkan. Sebagai contoh, jadual kandungan buku mencipta ruang nama di mana bab boleh diberikan kepada nombor halaman.

DNS ialah pokok konsol yang menyelesaikan nama hos kepada alamat IP, sepertiBuku telefon menyediakan ruang nama untuk menyelesaikan nama untuk nombor telefon. Bagaimanakah ini berlaku dalam Active Directory? AD menyediakan pokok konsol untuk menyelesaikan nama objek rangkaian kepada objek itu sendiri danboleh menyelesaikan pelbagai entiti, termasuk pengguna, sistem dan perkhidmatan pada rangkaian.

Objek dan Atribut

Apa-apa sahaja yang dijejaki Active Directory dianggap sebagai objek. Kita boleh mengatakan dengan perkataan mudah bahawa ini adalah dalam Active Directory ialah mana-mana pengguna, sistem, sumber atau perkhidmatan. Objek istilah biasa digunakan kerana AD mampu menjejaki banyak elemen dan banyak objek boleh berkongsi atribut biasa. Apakah maksudnya?

Atribut menerangkan objek dalam Active Directory, contohnya, semua objek pengguna berkongsi atribut untuk menyimpan nama pengguna. Ini juga terpakai pada huraian mereka. Sistem juga merupakan objek, tetapi mereka mempunyai set atribut berasingan yang termasuk nama hos, alamat IP dan lokasi.

Set atribut yang tersedia untuk mana-mana jenis objek tertentu dipanggil skema. Ia menjadikan kelas objek berbeza antara satu sama lain. Maklumat skema sebenarnya disimpan dalam Active Directory. Bahawa tingkah laku protokol keselamatan ini sangat penting ditunjukkan oleh fakta bahawa reka bentuk membenarkan pentadbir menambah atribut pada kelas objek dan mengedarkannya merentas rangkaian ke semua sudut domain tanpa memulakan semula mana-mana pengawal domain.

Bekas dan nama LDAP

Bekas ialah jenis objek khas yang digunakan untuk mengatur operasi perkhidmatan. Ia tidak mewakili entiti fizikal seperti pengguna atau sistem. Sebaliknya, ia digunakan untuk mengumpulkan elemen lain. Objek bekas boleh bersarang dalam bekas lain.

Setiap elemen dalam AD mempunyai nama. Ini bukan yang anda biasa, contohnya, Ivan atau Olga. Ini adalah nama terbilang LDAP. Nama terbilang LDAP adalah kompleks, tetapi ia membolehkan anda mengenal pasti secara unik sebarang objek dalam direktori, tanpa mengira jenisnya.

Pokok istilah dan laman web

Pokok istilah digunakan untuk menerangkan set objek dalam Active Directory. Apakah ini? Dengan kata mudah, ini boleh dijelaskan menggunakan persatuan pokok. Apabila bekas dan objek digabungkan secara hierarki, mereka cenderung untuk membentuk cawangan - oleh itu namanya. Istilah yang berkaitan ialah subtree berterusan, yang merujuk kepada batang utama pokok yang tidak patah.

Meneruskan metafora, istilah "hutan" menerangkan koleksi yang bukan sebahagian daripada ruang nama yang sama, tetapi berkongsi skema, konfigurasi dan direktori global yang sama. Objek dalam struktur ini tersedia untuk semua pengguna jika keselamatan membenarkan. Organisasi yang dibahagikan kepada berbilang domain harus mengumpulkan pokok ke dalam satu hutan.

Tapak ialah lokasi geografi yang ditakrifkan dalam Active Directory. Tapak sepadan dengan subnet IP logik dan, oleh itu, boleh digunakan oleh aplikasi untuk mencari pelayan terdekat pada rangkaian. Menggunakan maklumat tapak daripada Active Directory boleh mengurangkan trafik pada WAN dengan ketara.

Pengurusan Direktori Aktif

Komponen snap-in Pengguna Direktori Aktif. Ini adalah alat yang paling mudah untuk mentadbir Active Directory. Ia boleh diakses terus daripada kumpulan program Alat Pentadbiran dalam menu Mula. Ia menggantikan dan menambah baik Pengurus Pelayan dan Pengurus Pengguna daripada Windows NT 4.0.

Keselamatan

Active Directory memainkan peranan penting dalam masa hadapan rangkaian Windows. Pentadbir mesti boleh melindungi direktori mereka daripada penyerang dan pengguna semasa mewakilkan tugas kepada pentadbir lain. Semua ini boleh dilakukan menggunakan model keselamatan Active Directory, yang mengaitkan senarai kawalan akses (ACL) dengan setiap atribut bekas dan objek dalam direktori.

Tahap tinggi Kawalan membolehkan pentadbir memberikan pengguna individu dan kumpulan tahap kebenaran yang berbeza pada objek dan sifatnya. Mereka juga boleh menambah atribut pada objek dan menyembunyikan atribut tersebut daripada kumpulan pengguna tertentu. Contohnya, anda boleh menetapkan ACL supaya hanya pengurus boleh melihat telefon rumah pengguna lain.

Pentadbiran yang diwakilkan

Konsep baharu kepada Pelayan Windows 2000 ialah pentadbiran yang diwakilkan. Ini membolehkan anda memberikan tugasan kepada pengguna lain tanpa memberikannya hak tambahan akses. Pentadbiran yang diwakilkan boleh diberikan melalui objek tertentu atau subpokok direktori bersebelahan. Ia lebih banyak lagi kaedah yang berkesan memberikan kuasa ke atas rangkaian.

DALAM tempat seseorang diberikan semua hak pentadbir domain global, pengguna hanya boleh diberi kebenaran dalam subpokok tertentu. Active Directory menyokong warisan, jadi mana-mana objek baharu mewarisi ACL bekasnya.

Istilah "hubungan fidusiari"

Istilah "hubungan fidusiari" masih digunakan, tetapi mempunyai fungsi yang berbeza. Tidak ada perbezaan antara amanah sehala dan dua hala. Lagipun, semua perhubungan kepercayaan Active Directory adalah dua hala. Lebih-lebih lagi, mereka semua transitif. Jadi, jika domain A mempercayai domain B, dan B mempercayai C, maka terdapat hubungan kepercayaan tersirat automatik antara domain A dan domain C.

Pengauditan dalam Direktori Aktif - apakah itu dalam perkataan mudah? Ini ialah ciri keselamatan yang membolehkan anda menentukan siapa yang cuba mengakses objek dan sejauh mana percubaan itu berjaya.

Menggunakan DNS (Sistem Nama Domain)

Sistem, atau dikenali sebagai DNS, diperlukan untuk mana-mana organisasi yang disambungkan ke Internet. DNS menyediakan resolusi nama antara nama biasa, seperti mspress.microsoft.com, dan alamat IP mentah yang digunakan oleh komponen lapisan rangkaian untuk komunikasi.

Active Directory menggunakan teknologi DNS secara meluas untuk mencari objek. Ini adalah perubahan yang ketara berbanding sebelum ini sistem operasi Windows yang memerlukan nama NetBIOS untuk diselesaikan dengan alamat IP dan bergantung pada WINS atau teknik resolusi nama NetBIOS yang lain.

Active Directory berfungsi paling baik apabila digunakan dengan pelayan DNS di bawah Kawalan Windows 2000. Microsoft telah memudahkan pentadbir untuk berhijrah ke pelayan DNS berasaskan Windows 2000 dengan menyediakan wizard migrasi yang membimbing pentadbir melalui proses tersebut.

Pelayan DNS lain boleh digunakan. Walau bagaimanapun, ini memerlukan pentadbir untuk menghabiskan lebih banyak masa mengurus pangkalan data DNS. Apakah nuansa? Jika anda memilih untuk tidak menggunakan pelayan DNS yang menjalankan Windows 2000, anda mesti memastikan bahawa pelayan DNS anda mematuhi protokol kemas kini dinamik DNS baharu. Pelayan bergantung pada mengemas kini rekod mereka secara dinamik untuk mencari pengawal domain. Ia tidak selesa. Lagipun, eJika pengemaskinian dinamik tidak disokong, anda mesti mengemas kini pangkalan data secara manual.

Domain Windows dan domain Internet kini serasi sepenuhnya. Sebagai contoh, nama seperti mspress.microsoft.com akan mengenal pasti pengawal domain Active Directory yang bertanggungjawab untuk domain tersebut, jadi mana-mana pelanggan yang mempunyai akses DNS boleh mencari pengawal domain.Pelanggan boleh menggunakan resolusi DNS untuk mencari sebarang bilangan perkhidmatan kerana pelayan Active Directory menerbitkan senarai alamat ke DNS menggunakan ciri kemas kini dinamik baharu. Data ini ditakrifkan sebagai domain dan diterbitkan melalui rekod sumber perkhidmatan. SRV RR ikut format service.protocol.domain.

Pelayan Direktori Aktif menyediakan perkhidmatan LDAP untuk pengehosan objek, dan LDAP menggunakan TCP sebagai protokol lapisan pengangkutan asas. Oleh itu, pelanggan yang mencari pelayan Direktori Aktif dalam domain mspress.microsoft.com akan mencari entri DNS untuk ldap.tcp.mspress.microsoft.com.

Katalog global

Active Directory menyediakan katalog global (GC) danmenyediakan satu sumber untuk mencari sebarang objek pada rangkaian organisasi.

Katalog Global ialah perkhidmatan dalam Pelayan Windows 2000 yang membolehkan pengguna mencari sebarang objek yang telah dikongsi. Fungsi ini jauh lebih baik daripada aplikasi Cari Komputer yang disertakan dalam versi Windows sebelumnya. Lagipun, pengguna boleh mencari sebarang objek dalam Active Directory: pelayan, pencetak, pengguna dan aplikasi.