Wizard Pemasangan Perkhidmatan Domain Direktori Aktif. Apakah Direktori Aktif - cara memasang dan mengkonfigurasi. Memasang Active Directory

Active Directory ialah perkhidmatan direktori Microsoft untuk keluarga sistem pengendalian Windows NT.

Perkhidmatan ini membenarkan pentadbir menggunakan dasar kumpulan untuk memastikan keseragaman tetapan persekitaran kerja pengguna, pemasangan perisian, kemas kini, dsb.

Apakah intipati Direktori Aktif dan apakah masalah yang diselesaikannya? Teruskan membaca.

Prinsip mengatur rangkaian peer-to-peer dan multi-peer

Tetapi masalah lain timbul, bagaimana jika pengguna2 pada PC2 memutuskan untuk menukar kata laluannya? Kemudian jika pengguna1 menukar kata laluan akaun, pengguna2 pada PC1 tidak akan dapat mengakses sumber tersebut.

Contoh lain: kami mempunyai 20 stesen kerja dengan 20 akaun yang kami ingin berikan akses kepada tertentu . Untuk melakukan ini, kami mesti mencipta 20 akaun pada pelayan fail dan menyediakan akses kepada sumber yang diperlukan.

Bagaimana jika tidak ada 20 tetapi 200 daripadanya?

Seperti yang anda faham, pentadbiran rangkaian dengan pendekatan ini bertukar menjadi neraka mutlak.

Oleh itu, pendekatan kumpulan kerja sesuai untuk rangkaian pejabat kecil dengan tidak lebih daripada 10 PC.

Jika terdapat lebih daripada 10 stesen kerja dalam rangkaian, pendekatan di mana satu nod rangkaian diwakilkan hak untuk melaksanakan pengesahan dan kebenaran menjadi wajar secara rasional.

Nod ini ialah pengawal domain - Active Directory.

Pengawal Domain

Pengawal menyimpan pangkalan data akaun, i.e. ia menyimpan akaun untuk kedua-dua PC1 dan PC2.

Kini semua akaun didaftarkan sekali pada pengawal, dan keperluan untuk akaun tempatan menjadi tidak bermakna.

Sekarang, apabila pengguna log masuk ke PC, memasukkan nama pengguna dan kata laluannya, data ini dihantar dalam bentuk peribadi kepada pengawal domain, yang melaksanakan prosedur pengesahan dan kebenaran.

Selepas itu, pengawal mengeluarkan pengguna yang telah melog masuk sesuatu seperti pasport, yang kemudiannya dia bekerja pada rangkaian dan yang dia berikan atas permintaan komputer rangkaian lain, pelayan yang sumbernya dia ingin sambungkan.

Penting! Pengawal domain ialah komputer yang menjalankan Active Directory yang mengawal akses pengguna kepada sumber rangkaian. Ia menyimpan sumber (cth pencetak, folder kongsi), perkhidmatan (cth e-mel), orang (akaun kumpulan pengguna dan pengguna), komputer (akaun komputer).

Bilangan sumber yang disimpan sedemikian boleh mencapai berjuta-juta objek.

Versi MS Windows berikut boleh bertindak sebagai pengawal domain: Windows Server 2000/2003/2008/2012 kecuali Web-Edition.

Pengawal domain, selain menjadi pusat pengesahan untuk rangkaian, juga merupakan pusat kawalan untuk semua komputer.

Sejurus selepas dihidupkan, komputer mula menghubungi pengawal domain, lama sebelum tetingkap pengesahan muncul.

Oleh itu, bukan sahaja pengguna yang memasukkan log masuk dan kata laluan disahkan, tetapi juga komputer pelanggan disahkan.

Memasang Active Directory

Mari lihat contoh memasang Active Directory pada Windows Server 2008 R2. Jadi, untuk memasang peranan Active Directory, pergi ke "Pengurus Pelayan":

Tambahkan peranan "Tambah Peranan":

Pilih peranan Perkhidmatan Domain Direktori Aktif:

Dan mari kita mulakan pemasangan:

Selepas itu kami menerima tetingkap pemberitahuan tentang peranan yang dipasang:

Selepas memasang peranan pengawal domain, mari teruskan memasang pengawal itu sendiri.

Klik "Mula" dalam medan carian program, masukkan nama wizard DCPromo, lancarkannya dan tandai kotak untuk tetapan pemasangan lanjutan:

Klik "Seterusnya" dan pilih untuk mencipta domain dan hutan baharu daripada pilihan yang ditawarkan.

Masukkan nama domain, contohnya, example.net.

Kami menulis nama domain NetBIOS, tanpa zon:

Pilih tahap fungsi domain kami:

Disebabkan keanehan fungsi pengawal domain, kami juga memasang pelayan DNS.

Lokasi pangkalan data, fail log dan volum sistem dibiarkan tidak berubah:

Masukkan kata laluan pentadbir domain:

Kami menyemak ketepatan pengisian dan jika semuanya teratur, klik "Seterusnya".

Selepas ini, proses pemasangan akan bermula, pada penghujungnya tetingkap akan muncul memberitahu anda bahawa pemasangan telah berjaya:

Pengenalan kepada Active Directory

Laporan ini membincangkan dua jenis rangkaian komputer yang boleh dibuat menggunakan sistem pengendalian Microsoft: kumpulan kerja dan domain Active Directory.

Active Directory (AD) ialah program utiliti yang direka untuk sistem pengendalian Microsoft Server. Ia pada asalnya dicipta sebagai algoritma ringan untuk mengakses direktori pengguna. Sejak versi Windows Server 2008, penyepaduan dengan perkhidmatan kebenaran telah muncul.

Membolehkan untuk mematuhi dasar kumpulan yang menggunakan jenis tetapan dan perisian yang sama pada semua PC terkawal menggunakan Pengurus Konfigurasi Pusat Sistem.

Dalam perkataan mudah untuk pemula, ini ialah peranan pelayan yang membolehkan anda mengurus semua akses dan kebenaran pada rangkaian tempatan dari satu tempat

Fungsi dan tujuan

Microsoft Active Directory – (yang dipanggil direktori) pakej alat yang membolehkan anda memanipulasi pengguna dan data rangkaian. tujuan utama penciptaan – memudahkan kerja pentadbir sistem dalam rangkaian besar.

Direktori mengandungi pelbagai maklumat yang berkaitan dengan pengguna, kumpulan, peranti rangkaian, sumber fail - dalam satu perkataan, objek. Sebagai contoh, atribut pengguna yang disimpan dalam direktori hendaklah seperti berikut: alamat, log masuk, kata laluan, nombor telefon mudah alih, dsb. Direktori digunakan sebagai titik pengesahan, yang dengannya anda boleh mengetahui maklumat yang diperlukan tentang pengguna.

Konsep asas yang dihadapi semasa bekerja

Terdapat beberapa konsep khusus yang digunakan semasa bekerja dengan AD:

  1. Pelayan ialah komputer yang mengandungi semua data.
  2. Pengawal ialah pelayan dengan peranan AD yang memproses permintaan daripada orang yang menggunakan domain.
  3. Domain AD ialah koleksi peranti yang disatukan di bawah satu nama unik, secara serentak menggunakan pangkalan data direktori biasa.
  4. Penyimpan data ialah sebahagian daripada direktori yang bertanggungjawab untuk menyimpan dan mendapatkan semula data daripada mana-mana pengawal domain.

Cara direktori aktif berfungsi

Prinsip operasi utama ialah:

  • Kebenaran, yang mana anda boleh menggunakan PC anda pada rangkaian hanya dengan memasukkan kata laluan peribadi anda. Dalam kes ini, semua maklumat daripada akaun dipindahkan.
  • Keselamatan. Active Directory mengandungi fungsi pengecaman pengguna. Untuk mana-mana objek rangkaian, anda boleh dari jauh, dari satu peranti, menetapkan hak yang diperlukan, yang akan bergantung pada kategori dan pengguna tertentu.
  • Pentadbiran rangkaian dari satu titik. Apabila bekerja dengan Active Directory, pentadbir sistem tidak perlu mengkonfigurasi semula semua PC jika perlu menukar hak akses, sebagai contoh, kepada pencetak. Perubahan dilakukan dari jauh dan global.
  • penuh Penyepaduan DNS. Dengan bantuannya, tidak ada kekeliruan dalam AD; semua peranti ditetapkan sama seperti di World Wide Web.
  • Skala besar. Satu set pelayan boleh dikawal oleh satu Active Directory.
  • Cari dilakukan mengikut pelbagai parameter, contohnya, nama komputer, log masuk.

Objek dan Atribut

Objek ialah satu set atribut, disatukan di bawah namanya sendiri, mewakili sumber rangkaian.

Atribut - ciri objek dalam katalog. Contohnya, ini termasuk nama penuh dan log masuk pengguna. Tetapi atribut akaun PC boleh menjadi nama komputer ini dan penerangannya.

"Pekerja" ialah objek yang mempunyai atribut "Nama", "Jawatan" dan "TabN".

Bekas dan nama LDAP

Bekas adalah sejenis objek yang boleh terdiri daripada objek lain. Domain, sebagai contoh, mungkin termasuk objek akaun.

Tujuan utama mereka ialah menyusun objek mengikut jenis tanda. Selalunya, bekas digunakan untuk mengumpulkan objek dengan atribut yang sama.

Hampir semua bekas memetakan koleksi objek dan sumber dipetakan ke objek Active Directory yang unik. Salah satu jenis utama bekas AD ialah modul organisasi, atau OU (unit organisasi). Objek yang diletakkan dalam bekas ini hanya milik domain di mana ia dicipta.

Lightweight Directory Access Protocol (LDAP) ialah algoritma asas untuk sambungan TCP/IP. Ia direka untuk mengurangkan jumlah nuansa apabila mengakses perkhidmatan direktori. LDAP juga mentakrifkan tindakan yang digunakan untuk membuat pertanyaan dan mengedit data direktori.

Pokok dan tapak

Pohon domain ialah struktur, koleksi domain yang mempunyai skema dan konfigurasi yang sama, yang membentuk ruang nama yang sama dan dikaitkan dengan hubungan kepercayaan.

Hutan domain ialah koleksi pokok yang bersambung antara satu sama lain.

Tapak ialah koleksi peranti dalam subnet IP, yang mewakili model fizikal rangkaian, yang perancangannya dijalankan tanpa mengira perwakilan logik pembinaannya. Active Directory mempunyai keupayaan untuk mencipta n-bilangan tapak atau menggabungkan n-bilangan domain di bawah satu tapak.

Memasang dan mengkonfigurasi Active Directory

Sekarang mari kita beralih terus ke menyediakan Active Directory menggunakan Windows Server 2008 sebagai contoh (prosedurnya sama pada versi lain):

Klik pada butang "OK". Perlu diingat bahawa nilai sedemikian tidak diperlukan. Anda boleh menggunakan alamat IP dan DNS daripada rangkaian anda.

  • Seterusnya, anda perlu pergi ke menu "Mula", pilih "Pentadbiran" dan "".
  • Pergi ke item "Peranan", pilih " Tambah peranan”.
  • Pilih "Perkhidmatan Domain Direktori Aktif", klik "Seterusnya" dua kali, dan kemudian "Pasang".
  • Tunggu pemasangan selesai.
  • Buka menu "Mula"-" Laksanakan" Masukkan dcpromo.exe dalam medan.
  • Klik “Seterusnya”.
  • Pilih “ Cipta domain baharu dalam hutan baharu” dan klik “Seterusnya” sekali lagi.
  • Dalam tetingkap seterusnya, masukkan nama dan klik "Seterusnya".
  • pilih Mod keserasian(Windows Server 2008).
  • Dalam tetingkap seterusnya, biarkan semuanya sebagai lalai.
  • Akan bermula tetingkap konfigurasiDNS. Memandangkan ia tidak pernah digunakan pada pelayan sebelum ini, tiada perwakilan dibuat.
  • Pilih direktori pemasangan.
  • Selepas langkah ini anda perlu tetapkan kata laluan pentadbiran.

Untuk selamat, kata laluan mesti memenuhi keperluan berikut:


Selepas AD melengkapkan proses konfigurasi komponen, anda mesti but semula pelayan.



Persediaan selesai, snap-in dan peranan dipasang pada sistem. Anda boleh memasang AD hanya pada keluarga Windows Server; versi biasa, contohnya 7 atau 10, mungkin hanya membenarkan anda memasang konsol pengurusan.

Pentadbiran dalam Active Directory

Secara lalai, dalam Pelayan Windows, konsol Pengguna dan Komputer Direktori Aktif berfungsi dengan domain yang dimiliki komputer itu. Anda boleh mengakses komputer dan objek pengguna dalam domain ini melalui pepohon konsol atau menyambung kepada pengawal lain.

Alat dalam konsol yang sama membolehkan anda melihat Pilihan tambahan objek dan mencarinya, anda boleh membuat pengguna baharu, kumpulan dan menukar kebenaran.

By the way, ada 2 jenis kumpulan dalam Direktori Aset - keselamatan dan pengedaran. Kumpulan keselamatan bertanggungjawab untuk mengehadkan hak akses kepada objek; mereka boleh digunakan sebagai kumpulan pengedaran.

Kumpulan pengedaran tidak boleh membezakan hak dan digunakan terutamanya untuk mengedarkan mesej pada rangkaian.

Apakah delegasi AD

Delegasi itu sendiri adalah pemindahan sebahagian kebenaran dan kawalan daripada ibu bapa kepada pihak lain yang bertanggungjawab.

Adalah diketahui bahawa setiap organisasi mempunyai beberapa pentadbir sistem di ibu pejabatnya. Tugas yang berbeza harus diberikan kepada bahu yang berbeza. Untuk menggunakan perubahan, anda mesti mempunyai hak dan kebenaran, yang dibahagikan kepada standard dan istimewa. Keizinan khusus digunakan pada objek tertentu, manakala kebenaran standard ialah satu set kebenaran sedia ada yang menjadikan ciri khusus tersedia atau tidak tersedia.

Mewujudkan amanah

Terdapat dua jenis hubungan kepercayaan dalam AD: "satu arah" dan "dua arah". Dalam kes pertama, satu domain mempercayai yang lain, tetapi bukan sebaliknya; oleh itu, yang pertama mempunyai akses kepada sumber yang kedua, tetapi yang kedua tidak mempunyai akses. Dalam jenis kedua, kepercayaan adalah "saling". Terdapat juga hubungan "keluar" dan "masuk". Dalam keluar, domain pertama mempercayai yang kedua, dengan itu membenarkan pengguna yang kedua menggunakan sumber yang pertama.

Semasa pemasangan, prosedur berikut harus diikuti:

  • Semak sambungan rangkaian antara pengawal.
  • Semak tetapan.
  • Tune resolusi nama untuk domain luaran.
  • Buat sambungan daripada domain yang dipercayai.
  • Buat sambungan dari sisi pengawal yang dialamatkan amanah.
  • Semak perhubungan sehala yang dibuat.
  • Jika keperluan itu timbul dalam mewujudkan hubungan dua hala - membuat pemasangan.

Katalog global

Ini ialah pengawal domain yang menyimpan salinan semua objek dalam hutan. Ia memberi pengguna dan program keupayaan untuk mencari objek dalam mana-mana domain yang digunakan oleh hutan semasa alat penemuan atribut termasuk dalam katalog global.

Katalog global (GC) termasuk set atribut terhad untuk setiap objek hutan dalam setiap domain. Ia menerima data daripada semua partition direktori domain dalam hutan, dan ia disalin menggunakan proses replikasi Active Directory standard.

Skema menentukan sama ada atribut akan disalin. Ada kemungkinan mengkonfigurasi ciri tambahan, yang akan dicipta semula dalam katalog global menggunakan "Skema Direktori Aktif". Untuk menambah atribut pada katalog global, anda perlu memilih atribut replikasi dan menggunakan pilihan "Salin". Ini akan mencipta replikasi atribut kepada katalog global. Nilai parameter atribut isMemberOfPartialAttributeSet akan menjadi benar.

Untuk mengetahui lokasi katalog global, anda perlu memasukkan pada baris arahan:

Pelayan Dsquery –isgc

Replikasi data dalam Active Directory

Replikasi ialah prosedur penyalinan yang dijalankan apabila perlu untuk menyimpan maklumat semasa yang sama yang wujud pada mana-mana pengawal.

Ia dihasilkan tanpa penyertaan operator. Terdapat jenis kandungan replika berikut:

  • Replika data dibuat daripada semua domain sedia ada.
  • Replika skema data. Memandangkan skema data adalah sama untuk semua objek dalam hutan Active Directory, replikanya dikekalkan merentas semua domain.
  • Data konfigurasi. Menunjukkan pembinaan salinan di kalangan pengawal. Maklumat tersebut diedarkan kepada semua domain dalam hutan.

Jenis utama replika ialah intra-nod dan antara-nod.

Dalam kes pertama, selepas perubahan, sistem menunggu, kemudian memberitahu rakan kongsi untuk membuat replika untuk melengkapkan perubahan. Walaupun tanpa perubahan, proses replikasi berlaku secara automatik selepas tempoh masa tertentu. Selepas perubahan pecah digunakan pada direktori, replikasi berlaku serta-merta.

Prosedur replikasi antara nod berlaku di antara beban minimum pada rangkaian, ini mengelakkan kehilangan maklumat.

Saya telah lama merancang untuk menulis beberapa artikel mengenai bekerja dengan Direktori Aktif. Baru-baru ini orang meminta bantuan dengan isu ini dalam komen dan saya memutuskan bahawa masanya telah tiba :))

Saya akan menyatakan dengan segera bahawa saya tidak mempunyai pengetahuan yang mendalam dalam topik ini, jadi anda tidak akan melihat sesuatu yang baharu di sini. Tetapi untuk pentadbir Windows yang baru, artikel ini boleh menjadi titik permulaan yang baik untuk mula mengkaji sistem direktori ini.

Saya sendiri telah lama berpindah dari pentadbiran Windows, tetapi disebabkan tugas saya (dan saya terlibat terutamanya dalam virtualisasi) saya sering perlu mengkonfigurasi banyak perkhidmatan tambahan yang berbeza daripada Microsoft(semua jenis ada AD, DNS, MSSQL dan sebagainya..).

Secara umum, sembang yang baik, mari kita mula berniaga.

Kami akan mempertimbangkan perkhidmatan direktori Direktori Aktif berasaskan Windows 2008 R2 sebagai yang paling biasa pada zaman kita.

Jadi, untuk memasang peranan, kami naik ke Pengurus Pelayan -> Tambah Peranan:

Kami memilih peranan yang kami minati - Perkhidmatan Domain Direktori Aktif:

Tambah Rangka Kerja .NET, jika diperlukan:

Mari mulakan pemasangan:

Proses bermula:

Pemasangan telah berjaya diselesaikan, kami hanya melihat amaran bahawa kemas kini dilumpuhkan (bagi mereka yang mengambil berat tentang ini, kami boleh mendayakannya), tetapi tidak ada yang kritikal - klik " tutup«:

Tandai kotak " Gunakan pemasangan mod lanjutan"kami adalah profesional 8-)

Kami membaca notis penting tentang algoritma penyulitan baharu dan klik “ Seterusnya«:

Pilihannya ialah: sambungkan pengawal domain kami ke domain sedia ada, buat domain baharu dalam hutan sedia ada atau buat hutan baharu dan domain baharu. Saya memilih yang kedua kerana... Saya belum mempunyai hutan atau domain lagi:

Masukkan nama domain. Jika pengawal domain anda tidak akan kelihatan "di luar" dan terikat pada zon domain luaran, maka di sini anda boleh menulis beberapa jenis zon gila seperti ".local" atau ".lab", yang sebenarnya saya lakukan:

Tidak ada masa untuk menerangkan, kami hanya menulis nama domain tanpa zon :))

Kami memilih fungsi domain kami. Saya mempunyai domain baharu, jadi saya memilih versi terbaharu untuk menikmati semua ciri yang menarik 2008 R2:

Apakah domain tanpa DNS pelayan:

Mengutuk tentang kekurangan zon induk. Dalam kes kami, ini adalah perkara biasa, kerana kami tidak berintegrasi dengan luaran DNS-pelayan:

Kami meninggalkan laluan lalai:

Masukkan kata laluan pentadbir domain, yang terbaik jangan lupa dan rahsiakan:

Kami menyemak semuanya sekali lagi dan klik " Seterusnya«:

Proses bermula:

Pemasangan selesai, klik " Selesai«:

Jika pengguna (bukan pentadbir) bekerja pada pelayan ini melalui desktop jauh ( RDP), maka selepas but semula kejutan akan menanti anda - secara lalai, hanya pengguna kumpulan pentadbir tempatan dan pentadbir domain berhak untuk menyambung kepada pengawal domain.

Saya menulis tentang cara mengubah ini.

Itu sahaja untuk hari ini, Khamis depan kita akan bercakap tentang cara menguruskan semua kebahagiaan ini dan melihat alat pentadbiran asas.

Selamat petang, hari ini saya akan memperkenalkan anda untuk memasang peranan AD (Direktori Aktif) dan DC (pengawal domain) pada sistem pengendalian pelayan baharu daripada Microsoft - Windows Server 2012 R2. Sebagai permulaan, kami menukar nama pelayan kami berdasarkan peraturan untuk menamakan PC dan pelayan dalam organisasi, atau menetapkannya berdasarkan kehendak kami. Saya menamakan pelayan ujian pelayan saya. Dengan nama inilah pelayan kami akan dipaparkan pada rangkaian. Kemudian kami melakukan langkah berikut: Pergi ke pengurus pelayan:

Pergi ke tab tambah peranan dan ciri

klik Selanjutnya
Pilih peranan dan komponen pemasangan dan klik Selanjutnya
Pilih pelayan yang kami mahu pasang peranan kami dan klik Selanjutnya
Pilih peranan berikut: Perkhidmatan DomainAktifDirektori dan klik seterusnya

Sahkan menambah komponen yang diperlukan untuk memasang peranan Perkhidmatan Domain Direktori Aktif

Biarkan ia seperti sedia ada atau tambah komponen yang diperlukan untuk pemasangan, klik seterusnya

Klik butang pasang

Selepas pemasangan, pergi ke pengurus pelayan dan lihat peranan yang dipasang

Pergi ke bahagian kebolehurusan

Klik pergi ke AD DS

Pergi ke tab butiran

Kami mula menggunakan pengawal domain pada pelayan kami. Pilih tab tambah hutan baru dan tetapkan nama untuk domain kami, kemudian klik Selanjutnya

Pilih mod pengendalian hutan dan domain, tetapkan kata laluan untuk mod pemulihan perkhidmatan direktori dan klik Selanjutnya

Pilih nama NetBIOS untuk domain kami dan klik Selanjutnya

Proses menyemak prasyarat bermula, selepas itu kami klik pasang

Selepas pemasangan, semak:

Jika anda melakukan semuanya dengan betul, anda akan melihat bahawa Kumpulan Kerja telah ditukar kepada domain.



ARTIKEL BERKAITAN