Apakah itu direktori aset? Mencipta akaun pengguna dalam Active Directory. Memasang dan mengkonfigurasi Active Directory

Bagaimana ia akan membantu Direktori Aktif pakar?

Berikut ialah senarai kecil "barangan" yang anda boleh dapatkan dengan menggunakan Active Directory:

  • pangkalan data pendaftaran pengguna tunggal, yang disimpan secara berpusat pada satu atau lebih pelayan; oleh itu, apabila pekerja baharu muncul di pejabat, anda hanya perlu membuat akaun untuknya di pelayan dan menunjukkan stesen kerja yang boleh dia akses;
  • Memandangkan semua sumber domain diindeks, ini memungkinkan untuk dengan mudah dan pencarian pantas untuk pengguna; sebagai contoh, jika anda perlu mencari pencetak warna dalam jabatan;
  • set aplikasi kebenaran NTFS, dasar kumpulan dan perwakilan kawalan akan membolehkan anda memperhalusi dan mengagihkan hak antara ahli domain;
  • profil pengguna perayauan membolehkan anda menyimpan maklumat penting dan tetapan konfigurasi pada pelayan; sebenarnya, jika pengguna dengan profil perayauan dalam domain duduk untuk bekerja di komputer lain dan memasukkan nama pengguna dan kata laluannya, dia akan melihat desktopnya dengan tetapan yang biasa digunakan;
  • menggunakan dasar kumpulan, anda boleh menukar tetapan sistem pengendalian pengguna, daripada membenarkan pengguna menetapkan kertas dinding pada desktop kepada tetapan keselamatan, dan juga mengedarkan perisian melalui rangkaian, contohnya, klien Volume Shadow Copy, dsb.;
  • Banyak program (pelayan proksi, pelayan pangkalan data, dll.) bukan sahaja dihasilkan oleh Microsoft hari ini telah belajar menggunakan pengesahan domain, jadi anda tidak perlu mencipta pangkalan data pengguna lain, tetapi boleh menggunakan pangkalan data sedia ada;
  • Menggunakan Perkhidmatan Pemasangan Jauh menjadikannya lebih mudah untuk memasang sistem pada stesen kerja, tetapi, sebaliknya, hanya berfungsi jika perkhidmatan direktori dilaksanakan.

Dan ia jauh dari senarai penuh kemungkinan, tetapi lebih lanjut mengenainya kemudian. Sekarang saya akan cuba memberitahu anda logik pembinaan Direktori Aktif, tetapi sekali lagi adalah berbaloi untuk mengetahui dari mana anak lelaki kami dibuat Direktori Aktif- ini ialah Domain, Pokok, Hutan, Unit organisasi, Kumpulan pengguna dan komputer.

Domain - Ini adalah unit logik asas pembinaan. Berbanding dengan kumpulan kerja domain AD ialah kumpulan keselamatan yang mempunyai pangkalan pendaftaran tunggal, manakala kumpulan kerja hanyalah persatuan logik mesin. AD menggunakan DNS untuk perkhidmatan penamaan dan carian ( Nama domain Pelayan – pelayan nama domain), bukan WINS ( Internet Windows Perkhidmatan Nama - Perkhidmatan nama Internet), seperti yang terdapat dalam versi terdahulu N.T. Oleh itu, nama komputer dalam domain kelihatan seperti, contohnya, buh.work.com, di mana buh ialah nama komputer dalam domain work.com (walaupun ini tidak selalu berlaku).

Kumpulan kerja menggunakan nama NetBIOS. Untuk menjadi tuan rumah struktur domain AD adalah mungkin untuk menggunakan pelayan DNS tanpa Microsoft. Tetapi ia mesti serasi dengan BIND 8.1.2 atau lebih tinggi dan menyokong rekod SRV() serta Protokol Pendaftaran Dinamik (RFC 2136). Setiap domain mempunyai sekurang-kurangnya satu pengawal domain yang menjadi tuan rumah pangkalan data pusat.

pokok - Ini adalah struktur berbilang domain. Punca struktur ini ialah domain utama yang anda buat domain kanak-kanak. Malah, Active Directory menggunakan sistem hierarki pembinaan, serupa dengan struktur domain dalam DNS.

Jika kita mempunyai domain work.com (domain peringkat pertama) dan mencipta dua domain kanak-kanak untuknya first.work.com dan second.work.com (di sini pertama dan kedua ialah domain peringkat kedua dan bukan komputer dalam domain , seperti dalam kes , yang diterangkan di atas), kita berakhir dengan pokok domain.

Pokok sebagai struktur logik digunakan apabila anda perlu membahagikan cawangan syarikat, contohnya, mengikut geografi, atau untuk beberapa sebab organisasi lain.

AD membantu untuk mencipta secara automatik hubungan percaya antara setiap domain dan domain anaknya.

Oleh itu, mencipta domain first.work.com membawa kepada organisasi automatik hubungan kepercayaan dua hala antara kerja ibu bapa.com dan anak first.work.com (sama dengan second.work.com). Oleh itu, kebenaran boleh digunakan daripada domain induk kepada kanak-kanak, dan sebaliknya. Tidak sukar untuk menganggap bahawa hubungan kepercayaan akan wujud untuk domain kanak-kanak.

Satu lagi sifat perhubungan amanah ialah transitif. Kami mendapat bahawa hubungan kepercayaan dengan domain work.com dicipta untuk domain net.first.work.com.

Hutan - Sama seperti pokok, ia adalah struktur berbilang domain. Tetapi hutan ialah gabungan pokok yang mempunyai domain akar yang berbeza.

Katakan anda memutuskan untuk mempunyai berbilang domain bernama work.com dan home.net dan mencipta domain kanak-kanak untuk mereka, tetapi kerana tld (domain peringkat atas) tidak berada di bawah kawalan anda, dalam kes ini anda boleh mengatur hutan dengan memilih salah satu daripada domain akar peringkat pertama. Keindahan mewujudkan hutan dalam kes ini ialah hubungan kepercayaan dua hala antara dua domain ini dan domain anak mereka.

Walau bagaimanapun, apabila bekerja dengan hutan dan pokok, anda mesti ingat perkara berikut:

  • anda tidak boleh menambah domain sedia ada pada pokok
  • Anda tidak boleh memasukkan pokok sedia ada di dalam hutan
  • Setelah domain diletakkan di dalam hutan, ia tidak boleh dipindahkan ke hutan lain
  • anda tidak boleh memadamkan domain yang mempunyai domain anak

Unit organisasi - Pada dasarnya, mereka boleh dipanggil subdomain. membenarkan pengumpulan dalam domain Akaun pengguna, kumpulan pengguna, komputer, saham, pencetak dan OU lain (Unit Organisasi). Faedah praktikal penggunaannya ialah kemungkinan mewakilkan hak untuk mentadbir unit-unit ini.

Ringkasnya, anda boleh melantik pentadbir dalam domain yang boleh mengurus OU, tetapi tidak mempunyai hak untuk mentadbir keseluruhan domain.

Ciri penting OU, tidak seperti kumpulan, ialah keupayaan untuk menggunakan dasar kumpulan kepada mereka. "Mengapa anda tidak boleh membahagikan domain asal kepada berbilang domain dan bukannya menggunakan OU?" - anda bertanya.

Ramai pakar menasihati mempunyai satu domain jika boleh. Sebab untuk ini adalah desentralisasi pentadbiran apabila mencipta domain tambahan, memandangkan pentadbir setiap domain tersebut menerima kawalan tanpa had (biar saya ingatkan anda bahawa apabila mewakilkan hak kepada pentadbir OU, anda boleh mengehadkan kefungsian mereka).

Di samping itu, untuk mencipta domain baharu (walaupun kanak-kanak) anda memerlukan pengawal lain. Jika anda mempunyai dua jabatan berasingan yang disambungkan oleh saluran komunikasi yang perlahan, masalah dengan replikasi mungkin timbul. Dalam kes ini, adalah lebih sesuai untuk mempunyai dua domain.

Terdapat juga satu lagi nuansa menggunakan dasar kumpulan: dasar yang mentakrifkan tetapan kata laluan dan sekatan akaun hanya boleh digunakan pada domain. Untuk OU, tetapan dasar ini diabaikan.

laman web - Ini ialah cara untuk memisahkan perkhidmatan direktori secara fizikal. Mengikut definisi, tapak ialah sekumpulan komputer yang disambungkan saluran pantas penghantaran data.

Jika anda mempunyai beberapa cawangan di bahagian yang berlainan di negara ini, dihubungkan dengan talian komunikasi berkelajuan rendah, maka untuk setiap cawangan anda boleh membuat tapak web anda sendiri. Ini dilakukan untuk meningkatkan kebolehpercayaan replikasi direktori.

Pembahagian AD ini tidak menjejaskan prinsip pembinaan logik, oleh itu, sama seperti tapak boleh mengandungi beberapa domain, dan sebaliknya, domain boleh mengandungi beberapa tapak. Tetapi terdapat tangkapan kepada topologi perkhidmatan direktori ini. Sebagai peraturan, Internet digunakan untuk berkomunikasi dengan cawangan - persekitaran yang sangat tidak selamat. Banyak syarikat menggunakan langkah keselamatan seperti tembok api. Perkhidmatan direktori menggunakan kira-kira satu setengah dozen port dan perkhidmatan dalam kerjanya, pembukaan yang untuk trafik AD melalui tembok api sebenarnya akan mendedahkannya "di luar". Penyelesaian kepada masalah ini adalah dengan menggunakan teknologi terowong, serta kehadiran pengawal domain di setiap tapak untuk mempercepatkan pemprosesan permintaan pelanggan AD.

Logik sarang komponen perkhidmatan direktori dibentangkan. Dapat dilihat bahawa hutan mengandungi dua pokok domain, di mana domain akar pokok itu, seterusnya, boleh mengandungi OU dan kumpulan objek, dan juga mempunyai domain kanak-kanak (dalam dalam kes ini ada satu untuk setiap satu). Domain kanak-kanak juga boleh mengandungi kumpulan objek dan OU serta mempunyai domain kanak-kanak (tidak ditunjukkan dalam rajah). Dan sebagainya. Biar saya ingatkan anda bahawa OU boleh mengandungi OU, objek dan kumpulan objek dan kumpulan boleh mengandungi kumpulan lain.

Kumpulan pengguna dan komputer - digunakan untuk tujuan pentadbiran dan mempunyai maksud yang sama seperti apabila digunakan pada mesin tempatan pada rangkaian. Tidak seperti OU, dasar kumpulan tidak boleh digunakan pada kumpulan, tetapi pengurusan boleh diwakilkan untuk mereka. dalam Skim aktif Direktori membezakan dua jenis kumpulan: kumpulan keselamatan (digunakan untuk membezakan hak akses kepada objek rangkaian) dan kumpulan pengedaran (digunakan terutamanya untuk pengedaran mesej mel, sebagai contoh, dalam pelayan Microsoft Exchange Pelayan).

Mereka dibahagikan mengikut skop:

  • kumpulan sejagat mungkin termasuk pengguna dalam hutan serta kumpulan sejagat lain atau kumpulan global mana-mana domain dalam hutan
  • kumpulan domain global mungkin termasuk pengguna domain dan kumpulan global lain dari domain yang sama
  • domain kumpulan tempatan digunakan untuk membezakan hak akses, boleh termasuk pengguna domain, serta kumpulan universal dan kumpulan global mana-mana domain dalam hutan
  • kumpulan komputer tempatan– kumpulan yang terkandung oleh SAM (pengurus akaun keselamatan) mesin tempatan. Skop mereka terhad hanya kepada mesin tertentu, tetapi mereka boleh memasukkan kumpulan tempatan domain tempat komputer berada, serta kumpulan universal dan global domain mereka sendiri atau kumpulan lain yang mereka percayai. Sebagai contoh, anda boleh memasukkan pengguna daripada domain kumpulan tempatan Pengguna kepada kumpulan Pentadbir mesin tempatan, dengan itu memberinya hak pentadbir, tetapi hanya untuk komputer ini

Alexander Emelyanov

Prinsip membina domain Active Directory

Active Directory telah lama dimasukkan ke dalam kategori prinsip konservatif reka bentuk logik infrastruktur rangkaian. Tetapi ramai pentadbir terus menggunakan kumpulan kerja dan domain Windows NT dalam kerja mereka. Melaksanakan perkhidmatan direktori akan menjadi menarik dan berguna untuk pentadbir baru dan berpengalaman untuk memusatkan pengurusan rangkaian dan memastikan tahap keselamatan yang betul.

Active Directory, teknologi yang muncul dalam barisan sistem Win2K enam tahun lalu, boleh digambarkan sebagai revolusioner. Dari segi fleksibiliti dan kebolehskalaan, ia adalah susunan magnitud yang lebih tinggi daripada domain NT 4, apatah lagi rangkaian yang terdiri daripada kumpulan kerja.

Sejak pengeluaran AD, sejumlah besar buku dan penerbitan telah diterbitkan mengenai topik perancangan, reka bentuk topologi, sokongan domain, keselamatan, dll.

Kursus pensijilan Microsoft menjanjikan bahawa dalam masa 40 jam anda boleh belajar cara menggunakan domain anda dan berjaya mentadbirnya.

Saya tak percaya. Pentadbiran ialah proses yang merangkumi pengalaman bertahun-tahun dengan "benjolan padat", sejumlah besar dokumentasi bacaan (kebanyakannya pada Bahasa Inggeris) dan perbualan "intim" dengan pengurusan dan pengguna.

Terdapat satu lagi nuansa - sebelum mengikuti kursus pelaksanaan Active Directory, anda mesti berjaya lulus kursus mentadbir infrastruktur rangkaian berdasarkan Pelayan Windows 2003, yang juga memerlukan sedikit kos kewangan di pihak pelajar. Sekali lagi kami yakin bahawa Microsoft tidak akan terlepas matlamatnya. Tetapi bukan itu maksudnya...

Mempelajari pelaksanaan AD tidak sesuai dengan rangka kerja kursus selama seminggu, apalagi satu penerbitan. Walau bagaimanapun, berbekalkan pengalaman artikel terdahulu, kami akan cuba memikirkan apakah perkhidmatan direktori pada asasnya, apakah kehalusan utama pemasangannya dan bagaimana ia boleh menjadikan kehidupan pentadbir sistem lebih mudah.

Mari lihat juga perkara baharu dalam Active Directory dengan Keluaran Windows Pelayan 2003.

Perlu diingat bahawa pada suku terakhir tahun lepas Microsoft dikeluarkan Windows Vista, dan dengannya perkhidmatan direktori yang dikemas kini. Walau bagaimanapun, teknologi lama tidak kehilangan kaitannya sehingga hari ini.

Dalam artikel ini, kita akan beralih daripada memahami intipati AD kepada mencipta domain kita sendiri. Konfigurasi dan pengurusan dan alat diagnostik selanjutnya akan diliputi dalam isu berikut.

Cara Active Directory Membantu

Berikut ialah senarai sebahagian daripada semua kebaikan yang anda akan dapat dengan menggunakan perkhidmatan direktori:

  • pangkalan data pendaftaran pengguna tunggal, yang disimpan secara berpusat pada satu atau lebih pelayan; oleh itu, apabila pekerja baharu muncul di pejabat, anda hanya perlu membuat akaun untuknya di pelayan dan menunjukkan stesen kerja yang boleh dia akses;
  • memandangkan semua sumber domain diindeks, ini membolehkan pengguna mencari dengan mudah dan cepat; sebagai contoh, jika anda perlu mencari pencetak warna di bahagian automasi;
  • gabungan penggunaan kebenaran NTFS, dasar kumpulan dan perwakilan kawalan akan membolehkan anda memperhalusi dan mengagihkan hak antara ahli domain;
  • profil pengguna perayauan memungkinkan untuk menyimpan maklumat penting dan tetapan konfigurasi pada pelayan; sebenarnya, jika pengguna dengan profil perayauan dalam domain duduk untuk bekerja di komputer lain dan memasukkan nama pengguna dan kata laluannya, dia akan melihat desktopnya dengan tetapan yang biasa digunakan;
  • menggunakan dasar kumpulan, anda boleh menukar tetapan sistem pengendalian pengguna, daripada membenarkan pengguna menetapkan kertas dinding pada desktop kepada tetapan keselamatan, dan juga mengedarkan perisian melalui rangkaian, contohnya, klien Volume Shadow Copy, dsb.;
  • Banyak program (pelayan proksi, pelayan pangkalan data, dll.) bukan sahaja dihasilkan oleh Microsoft hari ini telah belajar menggunakan pengesahan domain, jadi anda tidak perlu mencipta pangkalan data pengguna lain, tetapi boleh menggunakan pangkalan data sedia ada;
  • Menggunakan Perkhidmatan Pemasangan Jauh menjadikannya lebih mudah untuk memasang sistem pada stesen kerja, tetapi, sebaliknya, hanya berfungsi jika perkhidmatan direktori dilaksanakan.

Aspek negatif teknologi ini muncul dalam proses kerja sama ada dari kejahilan tentang asas atau dari keengganan untuk masuk ke selok-belok komponen AD. Belajar untuk menyelesaikan masalah yang timbul dengan betul, dan semua negatif akan hilang.

Saya hanya akan memberi tumpuan kepada fakta bahawa semua perkara di atas akan sah dengan kehadiran rangkaian homogen berdasarkan keluarga OS Windows 2000 dan lebih tinggi.

Logik pembinaan

Mari kita lihat komponen utama perkhidmatan direktori.

Domain

Ini adalah unit logik asas pembinaan. Berbanding dengan kumpulan kerja, domain AD ialah kumpulan keselamatan yang mempunyai satu pangkalan pendaftaran, manakala kumpulan kerja hanyalah kumpulan mesin yang logik. AD menggunakan DNS (Domain Name Server) untuk menamakan dan perkhidmatan carian, bukannya WINS (Windows Internet Name Service), seperti yang berlaku dalam versi NT yang terdahulu. Oleh itu, nama komputer dalam domain kelihatan seperti, contohnya, buh.work.com, di mana buh ialah nama komputer dalam domain work.com (walaupun ini tidak selalu berlaku, baca tentang perkara ini di bawah).

Kumpulan kerja menggunakan nama NetBIOS. Untuk mengehoskan struktur domain AD, adalah mungkin untuk menggunakan pelayan DNS bukan Microsoft. Tetapi ia mesti serasi dengan BIND 8.1.2 atau lebih tinggi dan menyokong rekod SRV (RFC 2052) serta Protokol Pendaftaran Dinamik (RFC 2136). Setiap domain mempunyai sekurang-kurangnya satu pengawal domain yang menjadi tuan rumah pangkalan data pusat.

pokok

Ini adalah struktur berbilang domain. Punca struktur ini ialah domain utama yang anda buat domain kanak-kanak. Malah, Active Directory menggunakan struktur hierarki yang serupa dengan struktur domain dalam DNS.

Contohnya, jika kita mempunyai domain work.com (domain peringkat pertama) dan mencipta dua domain anak untuknya first.work.com dan second.work.com (di sini pertama dan kedua ialah domain peringkat kedua dan bukan komputer dalam domain, seperti dalam kes yang diterangkan di atas), kita akan berakhir dengan pokok domain (lihat Rajah 1).

Pokok sebagai struktur logik digunakan apabila anda perlu membahagikan cawangan syarikat, contohnya, mengikut geografi, atau untuk beberapa sebab organisasi lain.

AD membantu mewujudkan hubungan kepercayaan secara automatik antara setiap domain dan domain anaknya.

Oleh itu, penciptaan domain first.work.com membawa kepada penubuhan automatik perhubungan kepercayaan dua hala antara work.com induk dan anak first.work.com (begitu juga untuk second.work.com). Oleh itu, kebenaran boleh digunakan daripada domain induk kepada anak, dan sebaliknya. Tidak sukar untuk menganggap bahawa hubungan kepercayaan akan wujud untuk domain kanak-kanak juga.

Satu lagi sifat perhubungan amanah ialah transitif. Kami mendapat bahawa hubungan kepercayaan dicipta untuk domain net.first.work.com dengan domain work.com.

Hutan

Sama seperti pokok, ia adalah struktur berbilang domain. Tetapi hutan ialah koleksi pokok yang mempunyai domain akar yang berbeza.

Katakan anda memutuskan untuk mempunyai beberapa domain bernama work.com dan home.net dan mencipta domain kanak-kanak untuk mereka, tetapi kerana tld (domain peringkat atas) tidak berada di bawah kawalan anda, dalam kes ini anda boleh mengatur hutan (lihat . Rajah. 2), memilih salah satu domain peringkat pertama sebagai akar. Keindahan mewujudkan hutan dalam kes ini ialah hubungan kepercayaan dua hala antara dua domain ini dan domain anak mereka.

Walau bagaimanapun, apabila bekerja dengan hutan dan pokok, anda mesti ingat perkara berikut:

  • anda tidak boleh menambah domain yang sedia ada pada pokok;
  • Pokok yang sedia ada tidak boleh dimasukkan ke dalam hutan;
  • Sebaik sahaja domain diletakkan di dalam hutan, ia tidak boleh dipindahkan ke hutan lain;
  • Anda tidak boleh memadamkan domain yang mempunyai domain anak.

Untuk mendapatkan maklumat yang lebih mendalam tentang kerumitan menggunakan dan mengkonfigurasi pokok dan hutan, anda boleh melawati pangkalan pengetahuan Microsoft TechNet dan kami akan meneruskan.

Unit organisasi (OU)

Mereka boleh dipanggil subdomain. OU membolehkan anda mengumpulkan akaun pengguna, kumpulan pengguna, komputer, saham, pencetak dan OU lain dalam domain. Faedah praktikal penggunaannya ialah kemungkinan mewakilkan hak untuk mentadbir unit-unit ini.

Ringkasnya, anda boleh menetapkan pentadbir dalam domain yang boleh mengurus OU, tetapi tidak mempunyai hak untuk mentadbir keseluruhan domain.

Ciri penting OU, tidak seperti kumpulan (mari kita maju sedikit), ialah keupayaan untuk menggunakan dasar kumpulan kepada mereka. "Mengapa anda tidak boleh membahagikan domain asal kepada berbilang domain dan bukannya menggunakan OU?" - anda bertanya.

Ramai pakar menasihati mempunyai satu domain jika boleh. Sebabnya ialah penyahpusatan pentadbiran apabila mencipta domain tambahan, kerana pentadbir setiap domain tersebut menerima kawalan tanpa had (biar saya ingatkan anda bahawa apabila mewakilkan hak kepada pentadbir OU, anda boleh mengehadkan fungsi mereka).

Di samping itu, untuk mencipta domain baharu (walaupun kanak-kanak) anda memerlukan pengawal lain. Jika anda mempunyai dua jabatan berasingan yang disambungkan oleh saluran komunikasi yang perlahan, masalah dengan replikasi mungkin timbul. Dalam kes ini, adalah lebih sesuai untuk mempunyai dua domain.

Terdapat juga satu lagi nuansa menggunakan dasar kumpulan: dasar yang mentakrifkan tetapan kata laluan dan sekatan akaun hanya boleh digunakan pada domain. Untuk OU, tetapan dasar ini diabaikan.

Kumpulan pengguna dan komputer

Ia digunakan untuk tujuan pentadbiran dan mempunyai maksud yang sama seperti apabila digunakan pada mesin tempatan pada rangkaian. Tidak seperti OU, dasar kumpulan tidak boleh digunakan pada kumpulan, tetapi pengurusan boleh diwakilkan untuk mereka. Dalam skema Active Directory, terdapat dua jenis kumpulan: kumpulan keselamatan (digunakan untuk membezakan hak akses kepada objek rangkaian) dan kumpulan pengedaran (digunakan terutamanya untuk mengedarkan mesej e-mel, contohnya, dalam Microsoft Exchange Server).

Mereka dibahagikan mengikut skop:

  • kumpulan sejagat mungkin termasuk pengguna dalam hutan serta kumpulan sejagat lain atau kumpulan global mana-mana domain dalam hutan;
  • kumpulan domain global mungkin termasuk pengguna domain dan kumpulan global lain dari domain yang sama;
  • domain kumpulan tempatan digunakan untuk membezakan hak akses, boleh termasuk pengguna domain, serta kumpulan universal dan kumpulan global mana-mana domain dalam hutan;
  • kumpulan komputer tempatan– kumpulan yang mengandungi SAM (pengurus akaun keselamatan) mesin tempatan. Skop mereka terhad kepada mesin tertentu sahaja, tetapi mereka boleh memasukkan kumpulan tempatan domain tempat komputer itu berada, serta kumpulan universal dan global domain mereka sendiri atau kumpulan lain yang mereka percayai. Sebagai contoh, anda boleh memasukkan pengguna daripada kumpulan Pengguna tempatan domain dalam kumpulan Pentadbir mesin tempatan, dengan itu memberinya hak pentadbir, tetapi hanya untuk komputer ini.

laman web

Ini ialah cara untuk memisahkan perkhidmatan direktori secara fizikal. Mengikut definisi, tapak ialah sekumpulan komputer yang disambungkan oleh saluran pemindahan data yang pantas.

Contohnya, jika anda mempunyai beberapa cawangan di bahagian yang berlainan di negara ini, disambungkan melalui talian komunikasi berkelajuan rendah, maka anda boleh membuat tapak web anda sendiri untuk setiap cawangan. Ini dilakukan untuk meningkatkan kebolehpercayaan replikasi direktori.

Pembahagian AD ini tidak menjejaskan prinsip pembinaan logik, oleh itu, sama seperti tapak boleh mengandungi beberapa domain, dan sebaliknya, domain boleh mengandungi beberapa tapak. Tetapi terdapat tangkapan kepada topologi perkhidmatan direktori ini. Sebagai peraturan, Internet digunakan untuk berkomunikasi dengan cawangan - persekitaran yang sangat tidak selamat. Banyak syarikat menggunakan langkah keselamatan seperti tembok api. Perkhidmatan direktori menggunakan kira-kira satu setengah dozen port dan perkhidmatan dalam kerjanya, pembukaan yang untuk trafik AD melalui tembok api sebenarnya akan mendedahkannya "di luar". Penyelesaian kepada masalah ini adalah dengan menggunakan teknologi terowong, serta kehadiran pengawal domain di setiap tapak untuk mempercepatkan pemprosesan permintaan pelanggan AD.

Dalam Rajah. Rajah 3 menunjukkan logik bersarang bagi komponen perkhidmatan direktori. Ia boleh dilihat bahawa hutan mengandungi dua pokok domain, di mana domain akar pokok itu, seterusnya, boleh mengandungi OU dan kumpulan objek, dan juga mempunyai domain kanak-kanak (dalam kes ini, satu untuk setiap satu). Domain kanak-kanak juga boleh mengandungi kumpulan objek dan OU serta mempunyai domain kanak-kanak (tidak ditunjukkan dalam rajah). Dan sebagainya. Biar saya ingatkan anda bahawa OU boleh mengandungi OU, objek dan kumpulan objek dan kumpulan boleh mengandungi kumpulan lain. Baca lebih lanjut mengenai sarang kumpulan dan komponennya dalam artikel seterusnya.

Entiti Perkhidmatan Direktori

Untuk menyediakan beberapa tahap keselamatan, mana-mana sistem pengendalian mesti mempunyai fail yang mengandungi pangkalan data pengguna. Dalam versi terdahulu Windows NT, fail SAM (Pengurus Akaun Keselamatan) telah digunakan untuk ini. Ia mengandungi bukti kelayakan pengguna dan telah disulitkan. Hari ini SAM juga digunakan dalam sistem operasi Keluarga NT 5 (Windows 2000 dan lebih tinggi).

Apabila anda mempromosikan pelayan ahli kepada pengawal domain menggunakan arahan DCPROMO (yang sebenarnya menjalankan Wizard Pemasangan Perkhidmatan Direktori), subsistem Keselamatan Windows Pelayan 2000/2003 mula menggunakan pangkalan data AD terpusat. Ini boleh disemak dengan mudah - selepas mencipta domain, cuba buka snap-in Pengurusan Komputer pada pengawal dan cari di sana " Pengguna tempatan dan kumpulan." Selain itu, cuba log masuk ke pelayan ini menggunakan akaun tempatan. Tidak mungkin anda akan berjaya.

Kebanyakan data pengguna disimpan dalam fail NTDS.DIT ​​​​(Directory Information Tree). NTDS.DIT ​​​​ ialah pangkalan data yang diubah suai. Ia dicipta menggunakan teknologi yang sama seperti asas data Microsoft Akses. Algoritma operasi pengawal domain mengandungi varian enjin pangkalan data JET Akses data, yang dipanggil ESE (Extensible Storage Engine - extensible storage engine). NTDS.DIT ​​​​dan perkhidmatan yang berinteraksi dengan fail ini sebenarnya adalah perkhidmatan direktori.

Struktur interaksi antara pelanggan AD dan stor data utama, serupa dengan ruang nama perkhidmatan direktori, dibentangkan dalam artikel. Untuk melengkapkan huraian, sebutan hendaklah dibuat tentang penggunaan pengecam global. Pengecam Unik Global (GUID) ialah nombor 128-bit yang dikaitkan dengan setiap objek apabila ia dicipta untuk memastikan keunikan. Nama objek AD boleh ditukar, tetapi GUID akan kekal tidak berubah.

Katalog global

Pasti anda telah menyedari bahawa struktur AD boleh menjadi sangat kompleks dan mengandungi sejumlah besar objek. Fikirkan tentang hakikat bahawa domain AD boleh merangkumi sehingga 1.5 juta objek. Tetapi ini boleh menyebabkan masalah prestasi semasa menjalankan operasi. Masalah ini diselesaikan menggunakan Katalog Global (GC). Ia mengandungi versi dipendekkan seluruh hutan AD, yang membantu mempercepatkan carian objek. Pemilik katalog global boleh menjadi pengawal domain yang ditetapkan khas untuk tujuan ini.

Peranan FSMO

Dalam AD ada senarai tertentu operasi yang hanya boleh dilakukan oleh satu pengawal. Ini dipanggil peranan FSMO (Flexible Single-Master Operations). Terdapat sejumlah 5 peranan FSMO dalam AD. Mari kita lihat mereka dengan lebih terperinci.

Di dalam hutan, mesti ada jaminan bahawa nama domain adalah unik apabila menambah domain baharu pada hutan domain. Jaminan ini disediakan oleh Master Penamaan Domain Master Skema melaksanakan semua perubahan pada skema direktori. Peranan Pemilik Nama Domain dan Pemilik Skema mestilah unik dalam hutan domain.

Seperti yang telah saya katakan, apabila objek dicipta, ia dikaitkan dengan pengecam global, yang menjamin keunikannya. Itulah sebabnya pengawal yang bertanggungjawab untuk menjana GUID dan bertindak sebagai pemilik pengecam relatif (Relative ID Master) mestilah satu-satunya dalam domain.

Tidak seperti domain NT, AD tidak mempunyai konsep PDC dan BDC (pengawal domain utama dan sandaran). Salah satu peranan FSMO ialah PDC Emulator (Primary Domain Controller Emulator). Pelayan di bawah Kawalan Windows NT Server boleh bertindak sebagai pengawal domain sandaran dalam AD. Tetapi diketahui bahawa domain NT hanya boleh menggunakan satu pengawal utama. Itulah sebabnya Microsoft telah membuatnya supaya dalam satu domain AD kami boleh menetapkan pelayan tunggal untuk menanggung peranan PDC Emulator. Oleh itu, berlepas dari istilah, kita boleh bercakap tentang kehadiran pengawal domain utama dan sandaran, yang bermaksud pemilik Peranan FSMO.

Apabila objek dipadamkan atau dialihkan, salah satu pengawal mesti mengekalkan rujukan kepada objek itu sehingga replikasi selesai. Peranan ini dimainkan oleh pemilik infrastruktur direktori (Infrastructure Master).

Tiga peranan terakhir memerlukan pelaku untuk menjadi unik dalam domain. Semua peranan diberikan kepada pengawal pertama yang dicipta dalam hutan. Apabila mencipta infrastruktur AD yang luas, anda boleh mewakilkan peranan ini kepada pengawal lain. Situasi juga mungkin timbul apabila pemilik salah satu peranan tidak tersedia (pelayan telah gagal). Dalam kes ini, adalah perlu untuk melaksanakan operasi menangkap peranan FSMO menggunakan utiliti NTDSUTIL (kita akan bercakap tentang penggunaannya dalam artikel berikut). Tetapi berhati-hati kerana apabila anda mengambil alih peranan, perkhidmatan direktori menganggapnya pemilik terdahulu tidak, dan tidak memanggilnya sama sekali. Pengembalian pemegang peranan sebelumnya ke rangkaian boleh menyebabkan gangguan fungsinya. Ini amat penting untuk pemilik skema, pemilik nama domain dan pemilik identiti.

Bagi prestasi: peranan emulator pengawal domain utama adalah yang paling menuntut pada sumber komputer, jadi ia boleh diberikan kepada pengawal lain. Peranan yang selebihnya tidak begitu menuntut, jadi apabila mengedarkannya, anda boleh dibimbing oleh nuansa pembinaan logik rajah AD anda.

Langkah terakhir ahli teori

Membaca artikel tidak sepatutnya memindahkan anda daripada ahli teori kepada pengamal. Kerana sehingga anda telah mengambil kira semua faktor dari penempatan fizikal nod rangkaian kepada pembinaan logik keseluruhan direktori, anda tidak sepatutnya turun ke perniagaan dan membina domain dengan jawapan mudah kepada soalan wizard pemasangan AD. Fikirkan tentang nama domain anda dan, jika anda akan mencipta domain kanak-kanak untuknya, cara nama domain tersebut. Jika terdapat beberapa segmen pada rangkaian yang disambungkan oleh saluran komunikasi yang tidak boleh dipercayai, pertimbangkan untuk menggunakan tapak.

Sebagai panduan untuk memasang AD, saya boleh mengesyorkan menggunakan artikel dan, serta pangkalan pengetahuan Microsoft.

Akhir sekali, beberapa petua:

  • Cuba, jika boleh, untuk tidak menggabungkan peranan PDC Emulator dan pelayan proksi pada mesin yang sama. Pertama, dengan sejumlah besar mesin pada rangkaian dan pengguna Internet, beban pada pelayan meningkat, dan kedua, dengan serangan yang berjaya pada proksi anda, bukan sahaja Internet, tetapi juga pengawal domain utama akan "jatuh", dan ini penuh kerja yang tidak betul keseluruhan rangkaian.
  • Jika anda sentiasa mentadbir rangkaian tempatan Jika anda tidak akan melaksanakan Direktori Aktif untuk pelanggan, tambahkan mesin pada domain secara beransur-ansur, katakan, empat atau lima sehari. Kerana jika anda mempunyai sejumlah besar mesin pada rangkaian anda (50 atau lebih) dan anda menguruskannya sendirian, maka anda tidak mungkin mengurusnya walaupun pada hujung minggu, dan walaupun anda menguruskannya, tidak diketahui sejauh mana semuanya betul. . Di samping itu, untuk bertukar dokumentasi dalam rangkaian, anda boleh menggunakan fail atau dalaman pelayan mel(Saya menerangkan ini dalam No. 11, 2006). Satu-satunya perkara dalam kes ini ialah memahami dengan betul cara mengkonfigurasi hak pengguna untuk mengakses pelayan fail. Kerana jika, sebagai contoh, ia tidak termasuk dalam domain, pengesahan pengguna akan dijalankan berdasarkan rekod pangkalan tempatan SAM. Tiada data tentang pengguna domain. Walau bagaimanapun, jika pelayan fail anda ialah salah satu mesin pertama yang disertakan dalam AD dan bukan pengawal domain, maka ia akan menjadi mungkin untuk mengesahkan melalui kedua-dua pangkalan data SAM tempatan dan pangkalan data akaun AD. Tetapi untuk pilihan terakhir anda perlu tetapan setempat keselamatan untuk membenarkan (jika ini belum dilakukan) akses kepada pelayan fail melalui rangkaian untuk kedua-dua ahli domain dan akaun tempatan.

TENTANG penyesuaian selanjutnya Perkhidmatan direktori (membuat dan mengurus akaun, menetapkan dasar kumpulan, dll.) baca artikel seterusnya.

Permohonan

Apa yang Baharu dalam Active Directory dalam Windows Server 2003

Dengan keluaran Windows Server 2003, perubahan berikut muncul dalam Active Directory:

  • Ia telah menjadi mungkin untuk menamakan semula domain selepas ia dibuat.
  • telah bertambah baik antaramuka pengguna pengurusan. Sebagai contoh, anda boleh menukar atribut beberapa objek sekaligus.
  • Muncul ubat yang baik pengurusan dasar kumpulan – Konsol Pengurusan Dasar Kumpulan (gpmc.msc, ia mesti dimuat turun dari tapak web Microsoft).
  • Domain dan tahap fungsi hutan telah berubah.

TENTANG peluang terakhir perlu diperkatakan dengan lebih terperinci. Domain AD dalam Windows Server 2003 boleh didapati pada salah satu daripada peringkat seterusnya, disenaraikan dalam urutan peningkatan fungsi:

  • Windows 2000 Mixed (campuran Windows 2000). Ia dibenarkan untuk mempunyai pengawal versi berbeza– kedua-dua Windows NT dan Windows 2000/2003. Lebih-lebih lagi, jika pelayan Windows 2000/2003 mempunyai hak yang sama, maka pelayan NT, seperti yang telah disebutkan, hanya boleh bertindak. pengawal sandaran domain.
  • Windows 2000 Native (Windows 2000 semula jadi). Ia dibenarkan untuk mempunyai pengawal yang menjalankan Windows Server 2000/2003. Tahap ini lebih berfungsi, tetapi mempunyai hadnya. Sebagai contoh, anda tidak akan dapat menamakan semula pengawal domain.
  • Windows Server 2003 Interim (perantaraan Windows Server 2003). Ia dibenarkan untuk mempunyai pengawal yang menjalankan Windows NT, serta Windows Server 2003. Digunakan, sebagai contoh, apabila pengawal domain utama sedang berjalan pelayan Windows NT sedang dikemas kini kepada W2K3. Tahap mempunyai fungsi lebih sedikit daripada Tahap Windows 2000 Asli.
  • Pelayan Windows 2003. Hanya pengawal yang menjalankan Windows Server 2003 dibenarkan dalam domain Pada tahap ini, anda boleh memanfaatkan semua keupayaan perkhidmatan Direktori Windows Pelayan 2003.

Tahap fungsi hutan domain pada asasnya sama dengan domain. Satu-satunya pengecualian ialah terdapat hanya satu tahap Windows 2000, di mana anda boleh menggunakan pengawal yang menjalankan Windows NT, serta Windows Server 2000/2003, di dalam hutan.

Perlu diingat bahawa mengubah tahap fungsi domain dan hutan adalah operasi yang tidak dapat dipulihkan. Iaitu, tidak ada keserasian ke belakang.

  1. Korobko I. Active Directory - teori pembinaan. //« Pentadbir Sistem", No. 1, 2004 – ms. 90-94. ().
  2. Markov R. Domain Windows 2000/2003 – tinggalkan kerja berkumpulan. //"Pentadbir Sistem", No. 9, 2005 – ms 8-11. ().
  3. Markov R. Memasang dan mengkonfigurasi Pelayan Windows 2K. //"Pentadbir Sistem", No. 10, 2004 - ms 88-94. ().

Active Directory - Perkhidmatan direktori Microsoft untuk OS Keluarga Windows N.T.

Perkhidmatan ini membenarkan pentadbir menggunakan dasar kumpulan untuk memastikan ketekalan dalam tetapan pengguna persekitaran kerja, pemasangan perisian, kemas kini, dsb.

Apakah intipati Direktori Aktif dan apakah masalah yang diselesaikannya? Teruskan membaca.

Prinsip mengatur rangkaian peer-to-peer dan multi-peer

Tetapi masalah lain timbul, bagaimana jika pengguna2 pada PC2 memutuskan untuk menukar kata laluannya? Kemudian jika pengguna1 menukar kata laluan akaun, pengguna2 pada PC1 tidak akan dapat mengakses sumber tersebut.

Contoh lain: kami mempunyai 20 stesen kerja dengan 20 akaun yang kami ingin berikan akses kepada 1 tertentu Untuk melakukan ini, kami mesti membuat 20 akaun pada pelayan fail dan menyediakan akses kepada sumber yang diperlukan.

Bagaimana jika tidak ada 20 tetapi 200 daripadanya?

Seperti yang anda faham, pentadbiran rangkaian dengan pendekatan ini bertukar menjadi neraka mutlak.

Oleh itu, pendekatan kumpulan kerja sesuai untuk kecil rangkaian pejabat dengan bilangan PC tidak melebihi 10 unit.

Jika terdapat lebih daripada 10 stesen kerja dalam rangkaian, pendekatan di mana satu nod rangkaian diwakilkan hak untuk melaksanakan pengesahan dan kebenaran menjadi wajar secara rasional.

Nod ini ialah pengawal domain - Active Directory.

Pengawal Domain

Pengawal menyimpan pangkalan data akaun, i.e. ia menyimpan akaun untuk kedua-dua PC1 dan PC2.

Kini semua akaun didaftarkan sekali pada pengawal, dan keperluan untuk akaun tempatan menjadi tidak bermakna.

Kini, apabila pengguna log masuk ke PC, memasukkan nama pengguna dan kata laluannya, data ini dihantar dalam bentuk peribadi kepada pengawal domain, yang menjalankan prosedur pengesahan dan kebenaran.

Selepas itu, pengawal mengeluarkan pengguna yang telah melog masuk sesuatu seperti pasport, yang kemudiannya dia bekerja pada rangkaian dan yang dia berikan atas permintaan komputer rangkaian lain, pelayan yang sumbernya ingin dia sambungkan.

Penting! Pengawal domain ialah komputer yang menjalankan Active Directory yang mengawal akses pengguna kepada sumber rangkaian. Ia menyimpan sumber (cth pencetak, folder kongsi), perkhidmatan (cth e-mel), orang (akaun kumpulan pengguna dan pengguna), komputer (akaun komputer).

Bilangan sumber yang disimpan sedemikian boleh mencapai berjuta-juta objek.

Versi MS Windows berikut boleh bertindak sebagai pengawal domain: Windows Server 2000/2003/2008/2012 kecuali Web-Edition.

Pengawal domain, selain menjadi pusat pengesahan untuk rangkaian, juga merupakan pusat kawalan untuk semua komputer.

Sejurus selepas dihidupkan, komputer mula menghubungi pengawal domain, lama sebelum tetingkap pengesahan muncul.

Oleh itu, bukan sahaja pengguna yang memasukkan log masuk dan kata laluan disahkan, tetapi juga komputer pelanggan.

Memasang Active Directory

Mari kita lihat satu contoh Pemasangan aktif Direktori pada Windows Server 2008 R2. Jadi, untuk memasang peranan Active Directory, pergi ke "Pengurus Pelayan":

Tambahkan peranan "Tambah Peranan":

Pilih peranan Perkhidmatan Domain Direktori Aktif:

Dan mari kita mulakan pemasangan:

Selepas itu kami menerima tetingkap pemberitahuan tentang peranan yang dipasang:

Selepas memasang peranan pengawal domain, mari teruskan memasang pengawal itu sendiri.

Klik "Mula" dalam medan carian program, masukkan nama wizard DCPromo, lancarkannya dan tandai kotak untuk tetapan pemasangan lanjutan:

Klik "Seterusnya" dan pilih untuk mencipta domain dan hutan baharu daripada pilihan yang ditawarkan.

Masukkan nama domain, contohnya, example.net.

Kami menulis nama domain NetBIOS, tanpa zon:

Pilih tahap fungsi domain kami:

Disebabkan keanehan fungsi pengawal domain, kami juga memasang pelayan DNS.

Teknologi Active Directory (AD) ialah perkhidmatan direktori yang dicipta oleh Microsoft. Perkhidmatan direktori mengandungi data dalam format tersusun dan menyediakan akses tersusun kepadanya. Active Directory bukan ciptaan Microsoft, tetapi pelaksanaan model industri sedia ada (iaitu X.500), protokol komunikasi(LDAP - Direktori Ringan Protokol Akses) dan teknologi pengambilan data (perkhidmatan DNS).

Pembelajaran tentang Active Directory harus bermula dengan memahami tujuan teknologi ini. Secara umum, direktori ialah bekas untuk menyimpan data.

Direktori telefon ialah contoh perkhidmatan direktori yang baik kerana ia mengandungi set data dan menyediakan keupayaan untuk mendapatkan maklumat yang diperlukan daripada direktori. Direktori mengandungi pelbagai entri, setiap satunya mempunyai nilai eigen, sebagai contoh, nama/nama keluarga pelanggan, alamat rumah mereka dan, sebenarnya, nombor telefon. Dalam direktori lanjutan, entri dikumpulkan mengikut lokasi geografi, jenis, atau kedua-duanya. Dengan cara ini, hierarki jenis rekod boleh dibentuk untuk setiap lokasi geografi. selain itu, operator telefon juga sesuai dengan definisi perkhidmatan direktori kerana ia mempunyai akses kepada data. Oleh itu, jika anda memberikan permintaan untuk mendapatkan sebarang data direktori, pengendali akan mengeluarkan respons yang diperlukan kepada permintaan yang diterima.

Perkhidmatan Direktori aktif Direktori direka untuk menyimpan maklumat tentang semua sumber rangkaian. Pelanggan mempunyai keupayaan untuk menanyakan Direktori Aktif untuk mendapatkan maklumat tentang sebarang objek rangkaian. Ciri Direktori Aktif termasuk yang berikut:

  • Penyimpanan data selamat. Setiap objek dalam Active Directory mempunyai senarai sendiri kawalan capaian (ACL), yang mengandungi senarai sumber yang telah diberikan akses kepada objek, serta tahap akses yang dipratakrifkan kepada objek itu.
  • Enjin pertanyaan yang kaya dengan ciri berdasarkan katalog global (GC) ciptaan Active Directory. Semua pelanggan yang menyokong Active Directory boleh mengakses direktori ini.
  • Meniru data direktori kepada semua pengawal domain memudahkan akses kepada maklumat, meningkatkan ketersediaan dan meningkatkan kebolehpercayaan keseluruhan perkhidmatan.
  • Konsep sambungan modular yang membolehkan anda menambah jenis objek baharu atau memanjangkan objek sedia ada. Sebagai contoh, anda boleh menambah atribut "gaji" pada objek "pengguna".
  • Komunikasi rangkaian menggunakan pelbagai protokol. Active Directory adalah berdasarkan model X.500, yang menyokong pelbagai protokol rangkaian cth LDAP 2, LDAP 3 dan HTTP.
  • Untuk melaksanakan perkhidmatan penamaan dan carian pengawal domain alamat rangkaian Perkhidmatan DNS digunakan dan bukannya NetBIOS.

Maklumat direktori diedarkan ke seluruh domain, dengan itu mengelakkan pertindihan data yang berlebihan.

Walaupun Active Directory mengedarkan maklumat direktori merentasi kedai yang berbeza, pengguna mempunyai keupayaan untuk menanyakan Active Directory untuk mendapatkan maklumat tentang domain lain. Katalog global mengandungi maklumat tentang semua objek dalam hutan perusahaan, membantu anda mencari data di seluruh hutan.

Apabila anda memulakan utiliti DCPROMO (program untuk menambah baik pelayan biasa kepada pengawal domain) pada komputer Windows untuk mencipta domain baharu, utiliti mencipta domain pada pelayan DNS. Pelanggan kemudiannya menghubungi pelayan DNS untuk mendapatkan maklumat tentang domainnya. Pelayan DNS menyediakan maklumat bukan sahaja tentang domain, tetapi juga tentang pengawal domain terdekat. Sistem klien pula menyambung ke pangkalan data domain Active Directory pada pengawal domain terdekat untuk mencari objek yang diperlukan (pencetak, pelayan fail, pengguna, kumpulan, unit organisasi) yang merupakan sebahagian daripada domain. Oleh kerana setiap pengawal domain menyimpan rujukan kepada domain lain dalam pepohon, pelanggan boleh mencari keseluruhan pepohon domain.

Rasa Active Directory yang menyenaraikan semua objek dalam hutan domain tersedia apabila anda perlu mencari data di luar pepohon domain pelanggan. Versi ini dipanggil katalog global. Katalog global boleh disimpan pada mana-mana pengawal domain dalam hutan AD.

Katalog global menyediakan akses pantas kepada setiap objek yang terletak dalam hutan domain, tetapi pada masa yang sama mengandungi hanya beberapa parameter objek. Untuk mendapatkan semua atribut, anda mesti menghubungi perkhidmatan Active Directory domain sasaran (pengawal domain yang diminati). Katalog global boleh dikonfigurasikan untuk menyediakan sifat objek yang diperlukan.

Untuk memudahkan proses mencipta objek Aktif Pengawal direktori domain mengandungi salinan dan hierarki kelas untuk keseluruhan hutan. Active Directory mengandungi struktur kelas dalam skema yang boleh dilanjutkan yang mana kelas baharu boleh ditambah.

Skema adalah sebahagian daripada ruang nama konfigurasi Windows yang disokong oleh semua pengawal domain dalam hutan. Ruang nama konfigurasi Windows terdiri daripada beberapa elemen struktur seperti lokasi fizikal, tapak Windows dan subnet.

Tapak terkandung dalam hutan dan boleh menyatukan komputer dari mana-mana domain, dan semua komputer di tapak mesti mempunyai cepat dan boleh dipercayai jaringan rangkaian untuk menyandarkan data pengawal domain.

Subnet ialah sekumpulan alamat IP yang diperuntukkan kepada tapak. Subnet membolehkan anda mempercepatkan replikasi data Active Directory antara pengawal domain.

Active Directory - Perkhidmatan direktori Active Directory yang boleh diperluas dan boleh skala membolehkan anda mengurus sumber rangkaian dengan berkesan.
Direktori Aktif ialah repositori data yang teratur secara hierarki tentang objek rangkaian, menyediakan cara yang mudah untuk mencari dan menggunakan data ini. Komputer yang menjalankan Active Directory dipanggil pengawal domain. Hampir semua tugas pentadbiran berkaitan dengan Active Directory.
Teknologi Active Directory adalah berdasarkan Internet standard- protokol dan membantu untuk mentakrifkan struktur rangkaian dengan jelas, baca lebih lanjut tentang cara menggunakan domain Active Directory dari awal di sini..

Direktori Aktif dan DNS

Penggunaan Active Directory sistem domain nama

Dengan bantuan Perkhidmatan aktif Direktori mencipta akaun komputer, menghubungkannya ke domain, mengurus komputer, pengawal domain dan unit organisasi(OP).

Untuk Kawalan aktif Direktori menyediakan alat pentadbiran dan sokongan. Alat yang disenaraikan di bawah juga dilaksanakan sebagai snap-in konsol MMC ( Pengurusan Microsoft Konsol):

Pengguna dan Komputer Direktori Aktif membolehkan anda mengurus pengguna, kumpulan, komputer dan unit organisasi (OU);

Direktori Aktif - domain dan amanah (Domain dan Amanah Direktori Aktif) digunakan untuk bekerja dengan domain, pokok domain dan hutan domain;

Tapak dan Perkhidmatan Direktori Aktif membolehkan anda mengurus tapak dan subnet;

Set Polisi Hasil digunakan untuk melihat dasar semasa pengguna atau sistem dan untuk menjadualkan perubahan pada dasar.

DALAM Microsoft Windows 2003 Server, anda boleh mengakses snap-in ini terus dari menu Alat Pentadbiran.

Alat pentadbiran lain, snap-in Skema Direktori Aktif, membolehkan anda mengurus dan mengubah suai skema direktori.

Terdapat alat untuk mengurus objek Active Directory baris arahan, yang membolehkan anda menjalankan pelbagai tugas pentadbiran:

DSADD - menambah komputer, kenalan, kumpulan, akaun dan pengguna ke Active Directory.

DSGET - memaparkan sifat komputer, kenalan, kumpulan, OU, pengguna, tapak, subnet dan pelayan yang didaftarkan dalam Active Directory.

DSMOD - menukar sifat komputer, kenalan, kumpulan, OP, pengguna dan pelayan yang didaftarkan dalam Active Directory.

DSMOVE - Memindahkan objek tunggal ke lokasi baharu dalam domain atau menamakan semula objek tanpa mengalihkannya.

DSQXJERY - mencari komputer, kenalan, kumpulan, OP, pengguna, tapak, subnet dan pelayan dalam Active Directory mengikut kriteria yang ditetapkan.

DSRM - mengalih keluar objek daripada Active Directory.

NTDSUTIL - membolehkan anda melihat maklumat tentang tapak, domain atau pelayan, mengurus induk operasi dan mengekalkan pangkalan data Active Directory.



ARTIKEL BERKAITAN