Direktori Aktif(AD) ialah utiliti yang direka untuk sistem pengendalian Pelayan Microsoft. Ia pada asalnya dicipta sebagai algoritma ringan untuk mengakses direktori pengguna. Dari versi Pelayan Windows 2008: penyepaduan dengan perkhidmatan kebenaran muncul.

Membolehkan untuk mematuhi dasar kumpulan yang menggunakan jenis tetapan dan perisian yang sama pada semua PC terkawal menggunakan Pengurus Konfigurasi Pusat Sistem.

Jika dalam kata mudah untuk pemula, ini ialah peranan pelayan yang membolehkan anda mengurus semua akses dan kebenaran di satu tempat rangkaian tempatan

Fungsi dan tujuan

Microsoft Active Directory – (yang dipanggil direktori) pakej alat yang membolehkan anda memanipulasi pengguna dan data rangkaian. tujuan utama penciptaan – memudahkan kerja pentadbir sistem dalam rangkaian besar.

Direktori mengandungi pelbagai maklumat yang berkaitan dengan pengguna, kumpulan, peranti rangkaian, sumber fail- dalam satu perkataan, objek. Sebagai contoh, atribut pengguna yang disimpan dalam direktori hendaklah seperti berikut: alamat, log masuk, kata laluan, nombor telefon mudah alih, dsb. Direktori digunakan sebagai titik pengesahan, yang dengannya anda boleh mengetahui maklumat yang diperlukan tentang pengguna.

Konsep asas yang dihadapi semasa bekerja

Terdapat beberapa konsep khusus yang digunakan semasa bekerja dengan AD:

1. Pelayan ialah komputer yang mengandungi semua data.
2. Pengawal ialah pelayan dengan peranan AD yang memproses permintaan daripada orang yang menggunakan domain.
3. Domain AD ialah koleksi peranti yang disatukan di bawah satu nama unik, secara serentak menggunakan pangkalan data direktori biasa.
4. Penyimpan data ialah sebahagian daripada direktori yang bertanggungjawab untuk menyimpan dan mendapatkan semula data daripada mana-mana pengawal domain.

Cara direktori aktif berfungsi

Prinsip operasi utama ialah:

• Kebenaran, yang mana anda boleh menggunakan PC anda pada rangkaian hanya dengan memasukkan kata laluan peribadi anda. Dalam kes ini, semua maklumat daripada akaun dipindahkan.
• Keselamatan. Active Directory mengandungi fungsi pengecaman pengguna. Untuk mana-mana objek rangkaian, anda boleh dari jauh, dari satu peranti, menetapkan hak yang diperlukan, yang akan bergantung pada kategori dan pengguna tertentu.
• Pentadbiran rangkaian dari satu titik. Apabila bekerja dengan Active Directory, pentadbir sistem tidak perlu mengkonfigurasi semula semua PC jika perlu menukar hak akses, sebagai contoh, kepada pencetak. Perubahan dilakukan dari jauh dan global.
• penuh Penyepaduan DNS. Dengan bantuannya, tidak ada kekeliruan dalam AD; semua peranti ditetapkan sama seperti di World Wide Web.
• Skala besar. Satu set pelayan boleh dikawal oleh satu Active Directory.
• Cari dihasilkan mengikut pelbagai parameter, sebagai contoh, nama komputer, log masuk.

Objek dan Atribut

Objek ialah satu set atribut, disatukan di bawah namanya sendiri, mewakili sumber rangkaian.

Atribut - ciri objek dalam katalog. Contohnya, ini termasuk nama penuh dan log masuk pengguna. Tetapi atribut akaun PC boleh menjadi nama komputer ini dan penerangannya.

"Pekerja" ialah objek yang mempunyai atribut "Nama", "Jawatan" dan "TabN".

Bekas dan nama LDAP

Bekas adalah sejenis objek yang boleh terdiri daripada objek lain. Domain, sebagai contoh, mungkin termasuk objek akaun.

Tujuan utama mereka ialah menyusun objek mengikut jenis tanda. Selalunya, bekas digunakan untuk mengumpulkan objek dengan atribut yang sama.

Hampir semua bekas memetakan koleksi objek dan sumber dipetakan ke objek Active Directory yang unik. Salah satu jenis utama bekas AD ialah modul organisasi, atau OU (unit organisasi). Objek yang diletakkan dalam bekas ini hanya milik domain di mana ia dicipta.

Lightweight Directory Access Protocol (LDAP) ialah algoritma asas untuk sambungan TCP/IP. Ia direka untuk mengurangkan jumlah nuansa apabila mengakses perkhidmatan direktori. LDAP juga mentakrifkan tindakan yang digunakan untuk membuat pertanyaan dan mengedit data direktori.

Pokok dan tapak

Pohon domain ialah struktur, koleksi domain yang mempunyai reka letak dan konfigurasi biasa yang terbentuk ruang bersama nama dan terikat dengan hubungan yang saling mempercayai.

Hutan domain ialah koleksi pokok yang bersambung antara satu sama lain.

Tapak - koleksi peranti dalam subnet IP, mewakili model fizikal rangkaian, perancangan yang dijalankan tanpa mengira perwakilan logik pembinaannya. Active Directory mempunyai keupayaan untuk mencipta n-bilangan tapak atau menggabungkan n-bilangan domain di bawah satu tapak.

Memasang dan mengkonfigurasi Active Directory

Sekarang mari kita beralih terus ke menyediakan Active Directory dihidupkan Contoh Windows Pelayan 2008 (prosedur adalah sama pada versi lain):

Klik pada butang "OK". Perlu diperhatikan bahawa nilai yang serupa tidak dikehendaki. Anda boleh menggunakan alamat IP dan DNS daripada rangkaian anda.

• Seterusnya, anda perlu pergi ke menu "Mula", pilih "Pentadbiran" dan "".
  
• Pergi ke item "Peranan", pilih " Tambah peranan”.
  
• Pilih "Perkhidmatan Domain Direktori Aktif", klik "Seterusnya" dua kali, dan kemudian "Pasang".
  
• Tunggu pemasangan selesai.
  
• Buka menu "Mula"-" Laksanakan" Masukkan dcpromo.exe dalam medan.
  
• Klik “Seterusnya”.
  
• Pilih “ Buat domain baharu di hutan baru” dan klik “Seterusnya” sekali lagi.
  
• Dalam tetingkap seterusnya, masukkan nama dan klik "Seterusnya".
  
• pilih Mod keserasian(Windows Server 2008).
  
• Dalam tetingkap seterusnya, biarkan semuanya sebagai lalai.
  
• Akan bermula tetingkap konfigurasiDNS. Memandangkan ia tidak pernah digunakan pada pelayan sebelum ini, tiada perwakilan dibuat.
  
• Pilih direktori pemasangan.
  
• Selepas langkah ini anda perlu tetapkan kata laluan pentadbiran.

Untuk selamat, kata laluan mesti memenuhi keperluan berikut:

Selepas AD melengkapkan proses konfigurasi komponen, anda mesti but semula pelayan.

Persediaan selesai, snap-in dan peranan dipasang pada sistem. Anda boleh memasang AD hanya pada keluarga Windows Server; versi biasa, contohnya 7 atau 10, mungkin hanya membenarkan anda memasang konsol pengurusan.

Pentadbiran dalam Active Directory

Secara lalai, dalam Pelayan Windows, konsol Pengguna dan Komputer Direktori Aktif berfungsi dengan domain yang dimiliki komputer itu. Anda boleh mengakses komputer dan objek pengguna dalam domain ini melalui pepohon konsol atau menyambung kepada pengawal lain.

Alat dalam konsol yang sama membolehkan anda melihat Pilihan tambahan objek dan mencarinya, anda boleh membuat pengguna baharu, kumpulan dan menukar kebenaran.

By the way, ada 2 jenis kumpulan dalam Direktori Aset - keselamatan dan pengedaran. Kumpulan keselamatan bertanggungjawab untuk mengehadkan hak akses kepada objek; mereka boleh digunakan sebagai kumpulan pengedaran.

Kumpulan pengedaran tidak boleh membezakan hak dan digunakan terutamanya untuk mengedarkan mesej pada rangkaian.

Apakah delegasi AD

Delegasi itu sendiri adalah pemindahan sebahagian kebenaran dan kawalan daripada ibu bapa kepada pihak lain yang bertanggungjawab.

Adalah diketahui bahawa setiap organisasi mempunyai beberapa pentadbir sistem di ibu pejabatnya. Tugas yang berbeza harus diberikan kepada bahu yang berbeza. Untuk menggunakan perubahan, anda mesti mempunyai hak dan kebenaran, yang dibahagikan kepada standard dan istimewa. Keizinan khusus digunakan pada objek tertentu, manakala kebenaran standard ialah satu set kebenaran sedia ada yang menjadikan ciri khusus tersedia atau tidak tersedia.

Mewujudkan amanah

Terdapat dua jenis hubungan kepercayaan dalam AD: "satu arah" dan "dua arah". Dalam kes pertama, satu domain mempercayai yang lain, tetapi bukan sebaliknya; oleh itu, yang pertama mempunyai akses kepada sumber yang kedua, tetapi yang kedua tidak mempunyai akses. Dalam jenis kedua, kepercayaan adalah "saling". Terdapat juga hubungan "keluar" dan "masuk". Dalam keluar, domain pertama mempercayai yang kedua, dengan itu membenarkan pengguna yang kedua menggunakan sumber yang pertama.

Semasa pemasangan, prosedur berikut harus diikuti:

• Semak sambungan rangkaian antara pengawal.
• Semak tetapan.
• Tune resolusi nama untuk domain luaran.
• Buat sambungan daripada domain yang dipercayai.
• Buat sambungan dari sisi pengawal yang dialamatkan amanah.
• Semak perhubungan sehala yang dibuat.
• Jika keperluan itu timbul dalam mewujudkan hubungan dua hala - membuat pemasangan.

Katalog global

Ini ialah pengawal domain yang menyimpan salinan semua objek dalam hutan. Ia memberi pengguna dan program keupayaan untuk mencari objek dalam mana-mana domain yang digunakan oleh hutan semasa alat penemuan atribut termasuk dalam katalog global.

Katalog global (GC) termasuk set atribut terhad untuk setiap objek hutan dalam setiap domain. Ia menerima data daripada semua partition direktori domain dalam hutan, dan ia disalin menggunakan proses replikasi Active Directory standard.

Skema menentukan sama ada atribut akan disalin. Ada kemungkinan mengkonfigurasi ciri tambahan, yang akan dicipta semula dalam katalog global menggunakan "Skema Direktori Aktif". Untuk menambah atribut pada katalog global, anda perlu memilih atribut replikasi dan menggunakan pilihan "Salin". Ini akan mencipta replikasi atribut kepada katalog global. Nilai parameter atribut isMemberOfPartialAttributeSet akan menjadi benar.

Untuk mengetahui lokasi katalog global, anda perlu memasukkan pada baris arahan:

Pelayan Dsquery –isgc

Replikasi data dalam Active Directory

Replikasi ialah prosedur penyalinan yang dijalankan apabila perlu untuk menyimpan maklumat semasa yang sama yang wujud pada mana-mana pengawal.

Ia dihasilkan tanpa penyertaan operator. Terdapat jenis kandungan replika berikut:

• Replika data dibuat daripada semua domain sedia ada.
• Replika skema data. Memandangkan skema data adalah sama untuk semua objek hutan Direktori Aktif, replikanya disimpan pada semua domain.
• Data konfigurasi. Menunjukkan pembinaan salinan di kalangan pengawal. Maklumat tersebut diedarkan kepada semua domain dalam hutan.

Jenis utama replika ialah intra-nod dan antara-nod.

Dalam kes pertama, selepas perubahan, sistem menunggu, kemudian memberitahu rakan kongsi untuk membuat replika untuk melengkapkan perubahan. Walaupun tanpa perubahan, proses replikasi berlaku secara automatik selepas tempoh masa tertentu. Selepas perubahan pecah digunakan pada direktori, replikasi berlaku serta-merta.

Prosedur replikasi antara nod berlaku di antara beban minimum ke rangkaian, ini mengelakkan kehilangan maklumat.

Active Directory menyediakan perkhidmatan untuk pengurusan sistem. Mereka adalah alternatif yang lebih baik kepada kumpulan tempatan dan membolehkan anda membuat jaringan komputer Dengan pengurusan yang berkesan Dan perlindungan yang boleh dipercayai data.

Jika anda tidak pernah menemui konsep Active Directory sebelum ini dan tidak tahu cara perkhidmatan tersebut berfungsi, artikel ini adalah untuk anda. Mari kita fikirkan apa maksudnya konsep ini, apakah kelebihan pangkalan data tersebut dan cara mencipta serta mengkonfigurasinya untuk kegunaan awal.

Active Directory sangat cara yang mudah pengurusan sistem. Menggunakan Active Directory, anda boleh mengurus data anda dengan berkesan.

Perkhidmatan ini membolehkan anda mencipta satu pangkalan data yang diuruskan oleh pengawal domain. Jika anda memiliki perniagaan, mengurus pejabat, atau secara amnya mengawal aktiviti ramai orang yang perlu bersatu, domain sedemikian akan berguna kepada anda.

Ia termasuk semua objek - komputer, pencetak, faks, akaun pengguna, dsb. Jumlah domain di mana data terletak dipanggil "hutan". Pangkalan data Active Directory ialah persekitaran domain di mana bilangan objek boleh mencapai sehingga 2 bilion. Bolehkah anda bayangkan penimbang ini?

Iaitu, dengan bantuan "hutan" atau pangkalan data sedemikian, anda boleh menyambungkan sejumlah besar pekerja dan peralatan di pejabat, dan tanpa terikat dengan lokasi - pengguna lain juga boleh disambungkan dalam perkhidmatan, contohnya, dari pejabat syarikat di bandar lain.

Di samping itu, dalam rangka kerja perkhidmatan Active Directory, beberapa domain dicipta dan digabungkan - semakin besar syarikat, lebih banyak alat diperlukan untuk mengawal peralatannya dalam pangkalan data.

Selanjutnya, apabila mencipta rangkaian sedemikian, satu domain kawalan ditentukan, dan walaupun dengan kehadiran domain lain yang seterusnya, domain asal masih kekal sebagai "induk" - iaitu, hanya ia mempunyai akses penuh kepada pengurusan maklumat.

Di manakah data ini disimpan, dan apakah yang memastikan kewujudan domain? Untuk mencipta Active Directory, pengawal digunakan. Biasanya terdapat dua daripadanya - jika sesuatu berlaku pada satu, maklumat akan disimpan pada pengawal kedua.

Pilihan lain untuk menggunakan pangkalan data ialah jika, sebagai contoh, syarikat anda bekerjasama dengan yang lain, dan anda perlu menyelesaikan projek biasa. Dalam kes ini, orang yang tidak dibenarkan mungkin memerlukan akses kepada fail domain, dan di sini anda boleh menyediakan sejenis "hubungan" antara dua "hutan" yang berbeza, membenarkan akses kepada maklumat yang diperlukan tanpa mempertaruhkan keselamatan data yang tinggal.

Secara umum, Active Directory ialah alat untuk mencipta pangkalan data dalam struktur tertentu, tanpa mengira saiznya. Pengguna dan semua peralatan disatukan menjadi satu "hutan", domain dicipta dan diletakkan pada pengawal.

Ia juga dinasihatkan untuk menjelaskan bahawa perkhidmatan hanya boleh beroperasi pada peranti dengan sistem pelayan Windows. Di samping itu, 3-4 dicipta pada pengawal pelayan DNS. Mereka menyediakan zon utama domain, dan jika salah satu daripadanya gagal, pelayan lain menggantikannya.

Selepas gambaran ringkas Active Directory untuk dummies, anda sememangnya berminat dengan soalan - mengapa menukar kumpulan tempatan untuk keseluruhan pangkalan data? Sememangnya, bidang kemungkinan di sini adalah berkali-kali lebih luas, dan untuk mengetahui perbezaan lain antara perkhidmatan pengurusan sistem ini, mari kita lihat dengan lebih dekat kelebihannya.

Faedah Active Directory

Kelebihan Active Directory ialah:

1. Menggunakan satu sumber untuk pengesahan. Dalam keadaan ini, anda perlu menambah pada setiap PC semua akaun yang memerlukan akses kepada maklumat am. Semakin ramai pengguna dan peralatan, semakin sukar untuk menyegerakkan data ini antara mereka.

Oleh itu, apabila menggunakan perkhidmatan dengan pangkalan data, akaun disimpan dalam satu titik, dan perubahan berkuat kuasa serta-merta pada semua komputer.

Bagaimana ia berfungsi? Setiap pekerja, datang ke pejabat, melancarkan sistem dan log masuk ke akaunnya. Permintaan log masuk akan dihantar secara automatik ke pelayan dan pengesahan akan berlaku melaluinya.

Bagi susunan tertentu dalam menyimpan rekod, anda sentiasa boleh membahagikan pengguna kepada kumpulan - "Jabatan Sumber Manusia" atau "Perakaunan".

Dalam kes ini, lebih mudah untuk menyediakan akses kepada maklumat - jika anda perlu membuka folder untuk pekerja dari satu jabatan, anda melakukannya melalui pangkalan data. Bersama-sama mereka mendapat akses kepada folder yang diperlukan dengan data, manakala bagi yang lain dokumen tetap ditutup.

1. Kawalan ke atas setiap peserta pangkalan data.

Jika dalam kumpulan tempatan setiap ahli adalah bebas dan sukar dikawal daripada komputer lain, maka dalam domain anda boleh menetapkan peraturan tertentu yang mematuhi dasar syarikat.

Sebagai pentadbir sistem, anda boleh menetapkan tetapan akses dan tetapan keselamatan, kemudian gunakannya pada setiap kumpulan pengguna. Sememangnya, bergantung pada hierarki, sesetengah kumpulan boleh diberikan tetapan yang lebih ketat, manakala yang lain boleh diberikan akses kepada fail dan tindakan lain dalam sistem.

Di samping itu, apabila orang baru menyertai syarikat itu, komputernya akan segera menerima set yang betul tetapan di mana komponen untuk operasi didayakan.

1. Serbaguna dalam pemasangan perisian.

Dengan cara ini, mengenai komponen - apabila Bantu Aktif Direktori anda boleh menetapkan pencetak, pasang program yang diperlukan tetapkan segera parameter privasi untuk semua pekerja. Secara umum, mencipta pangkalan data akan mengoptimumkan kerja dengan ketara, memantau keselamatan dan menyatukan pengguna untuk kecekapan kerja maksimum.

Dan jika syarikat menggunakan utiliti yang berasingan atau perkhidmatan khas, ia boleh disegerakkan dengan domain dan lebih mudah untuk diakses. Bagaimana? Jika anda menggabungkan semua produk yang digunakan dalam syarikat, pekerja tidak perlu memasukkan log masuk dan kata laluan yang berbeza untuk memasuki setiap program - maklumat ini akan menjadi perkara biasa.

Sekarang manfaat dan makna menjadi jelas menggunakan Aktif Direktori, mari kita lihat proses memasang perkhidmatan ini.

Kami menggunakan pangkalan data pada Windows Server 2012

Memasang dan mengkonfigurasi Active Directory bukanlah tugas yang sukar, dan juga lebih mudah daripada yang kelihatan pada pandangan pertama.

Untuk memuatkan perkhidmatan, anda perlu melakukan perkara berikut terlebih dahulu:

1. Tukar nama komputer: klik pada "Mula", buka Panel Kawalan, pilih "Sistem". Pilih "Tukar tetapan" dan dalam Properties, bertentangan dengan baris "Nama komputer", klik "Tukar", masukkan nilai baharu untuk PC utama.
2. But semula PC anda mengikut keperluan.
3. Tetapkan tetapan rangkaian seperti ini:
   • Melalui panel kawalan, buka menu dengan rangkaian dan akses dikongsi.
   • Laraskan tetapan penyesuai. Klik kanan "Properties" dan buka tab "Rangkaian".
   • Dalam tetingkap dari senarai, klik pada protokol Internet nombor 4, sekali lagi klik pada "Properties".
   • Masukkan tetapan yang diperlukan, contohnya: alamat IP - 192.168.10.252, subnet mask - 255.255.255.0, gerbang utama - 192.168.10.1.
   • Dalam baris "Pelayan DNS pilihan", nyatakan alamat pelayan tempatan, dalam "Alternatif..." - alamat pelayan DNS lain.
   • Simpan perubahan anda dan tutup tetingkap.

Sediakan peranan Active Directory seperti ini:

1. Melalui Mula, buka Pengurus Pelayan.
2. Daripada menu, pilih Tambah Peranan dan Ciri.
3. Wizard akan dilancarkan, tetapi anda boleh melangkau tetingkap pertama dengan penerangan.
4. Semak baris "Memasang peranan dan komponen", teruskan lebih jauh.
5. Pilih komputer anda untuk memasang Active Directory padanya.
6. Daripada senarai, pilih peranan yang perlu dimuatkan - dalam kes anda ia ialah "Perkhidmatan Domain Direktori Aktif".
7. Tetingkap kecil akan muncul meminta anda memuat turun komponen yang diperlukan untuk perkhidmatan - terimanya.
8. Anda kemudiannya akan digesa untuk memasang komponen lain - jika anda tidak memerlukannya, langkau langkah ini dengan mengklik "Seterusnya".
9. Wizard persediaan akan memaparkan tetingkap dengan penerangan tentang perkhidmatan yang anda pasang - baca dan teruskan.
10. Senarai komponen yang akan kami pasang akan muncul - semak sama ada semuanya betul, dan jika ya, tekan butang yang sesuai.
11. Apabila proses selesai, tutup tetingkap.
12. Itu sahaja - perkhidmatan dimuat turun ke komputer anda.

Menyediakan Active Directory

Untuk mengkonfigurasi perkhidmatan domain anda perlu melakukan perkara berikut:

• Lancarkan wizard persediaan dengan nama yang sama.
• Klik pada penunjuk kuning di bahagian atas tetingkap dan pilih "Promosikan pelayan kepada pengawal domain."
• Klik pada tambah hutan baharu dan cipta nama untuk domain akar, kemudian klik Seterusnya.
• Tentukan mod pengendalian "hutan" dan domain - selalunya ia bertepatan.
• Buat kata laluan, tetapi pastikan anda mengingatinya. Teruskan lagi.
• Selepas ini, anda mungkin melihat amaran bahawa domain tidak diwakilkan dan gesaan untuk menyemak nama domain - anda boleh melangkau langkah ini.
• Dalam tetingkap seterusnya anda boleh menukar laluan ke direktori pangkalan data - lakukan ini jika ia tidak sesuai dengan anda.
• Anda kini akan melihat semua pilihan yang akan anda tetapkan - semak untuk melihat sama ada anda telah memilihnya dengan betul dan teruskan.
• Permohonan akan menyemak sama ada prasyarat, dan jika tiada ulasan, atau ia tidak kritikal, klik "Pasang".
• Selepas pemasangan selesai, PC akan but semula dengan sendirinya.

Anda juga mungkin tertanya-tanya bagaimana untuk menambah pengguna ke pangkalan data. Untuk melakukan ini, gunakan menu "Pengguna atau Komputer aktif Direktori", yang akan anda temui di bahagian "Pentadbiran" pada panel kawalan, atau gunakan menu tetapan pangkalan data.

Untuk menambah pengguna baharu, klik kanan pada nama domain, pilih "Buat", kemudian "Bahagian". Tetingkap akan muncul di hadapan anda di mana anda perlu memasukkan nama jabatan baharu - ia berfungsi sebagai folder di mana anda boleh mengumpul pengguna dari jabatan yang berbeza. Dengan cara yang sama, anda kemudiannya akan membuat beberapa bahagian lagi dan meletakkan semua pekerja dengan betul.

Seterusnya, apabila anda telah mencipta nama jabatan, klik kanan padanya dan pilih "Buat", kemudian "Pengguna". Sekarang yang tinggal hanyalah memasukkan data yang diperlukan dan menetapkan tetapan akses untuk pengguna.

Setelah profil baharu telah dibuat, klik padanya dengan memilih menu konteks, dan buka Properties. Dalam tab "Akaun", alih keluar kotak pilihan di sebelah "Sekat...". Itu sahaja.

Kesimpulan umum ialah Active Directory berkuasa dan alat yang berguna untuk pengurusan sistem, yang akan membantu menyatukan semua komputer pekerja menjadi satu pasukan. Menggunakan perkhidmatan, anda boleh mencipta pangkalan data yang selamat dan mengoptimumkan kerja dan penyegerakan maklumat dengan ketara antara semua pengguna. Jika aktiviti syarikat anda dan mana-mana tempat kerja lain disambungkan dengan komputer dan rangkaian elektronik, anda perlu menggabungkan akaun dan memantau kerja dan kerahsiaan, memasang pangkalan data pada berdasarkan Aktif Direktori akan menjadi penyelesaian yang hebat.

Pada tahun 2002, semasa berjalan di sepanjang koridor jabatan sains komputer universiti kegemaran saya, saya melihat poster baru di pintu pejabat "NT Systems". Poster itu menggambarkan ikon akaun pengguna yang dikumpulkan ke dalam kumpulan, dari mana anak panah seterusnya membawa kepada ikon lain. Semua ini digabungkan secara skematik ke dalam struktur tertentu, sesuatu telah ditulis tentang sistem log masuk tunggal, kebenaran dan sebagainya. Setakat yang saya faham sekarang, poster itu menggambarkan seni bina Windows NT 4.0 Domains dan sistem Windows 2000 Active Directory. Sejak saat itu perkenalan pertama saya dengan Active Directory bermula dan serta-merta berakhir, kerana kemudian ada sesi yang sukar, percutian yang menyeronokkan, selepas itu seorang rakan berkongsi cakera FreeBSD 4 dan Red Topi Linux, dan untuk beberapa tahun akan datang saya terjun ke dunia sistem seperti Unix, tetapi saya tidak pernah melupakan kandungan poster itu.
Saya terpaksa kembali ke sistem berdasarkan platform Windows Server dan menjadi lebih akrab dengan mereka apabila saya berpindah untuk bekerja untuk sebuah syarikat di mana pengurusan keseluruhan infrastruktur IT adalah berdasarkan Active Directory. Saya masih ingat bahawa ketua pentadbir syarikat itu terus mengulangi sesuatu tentang beberapa Amalan Terbaik Direktori Aktif pada setiap mesyuarat. Kini, selepas 8 tahun komunikasi berkala dengan Active Directory, saya faham dengan baik cara ia berfungsi sistem ini dan apakah itu Amalan Terbaik Direktori Aktif.
Seperti yang anda mungkin sudah meneka, kami akan bercakap tentang Active Directory.
Sesiapa yang berminat dengan topik ini dialu-alukan untuk kucing.

Pengesyoran ini sah untuk sistem pelanggan bermula dari Windows 7 dan lebih tinggi, untuk domain dan hutan Tahap Windows Pelayan 2008/R2 dan lebih tinggi.

Penyeragaman
Perancangan untuk Direktori Aktif harus bermula dengan membangunkan piawaian anda untuk menamakan objek dan lokasinya dalam direktori. Ia adalah perlu untuk membuat dokumen di mana untuk menentukan segala-galanya piawaian yang diperlukan. Sudah tentu, ini adalah cadangan yang agak biasa untuk profesional IT. Prinsip "mula-mula kami menulis dokumentasi, dan kemudian kami membina sistem menggunakan dokumentasi ini" adalah sangat baik, tetapi ia jarang dilaksanakan dalam amalan kerana banyak sebab. Di antara sebab-sebab ini adalah kemalasan manusia yang mudah atau kekurangan kecekapan yang sesuai; sebab yang selebihnya diperoleh daripada dua yang pertama.
Saya mengesyorkan agar anda menulis dokumentasi dahulu, memikirkannya, dan kemudian meneruskan dengan memasang pengawal domain pertama.
Sebagai contoh, saya akan memberikan bahagian dokumen mengenai piawaian untuk menamakan objek Active Directory.
Menamakan objek.

• Nama kumpulan pengguna mesti bermula dengan awalan GRUS_ (GR - Kumpulan, AS - Pengguna)
• Nama kumpulan komputer mesti bermula dengan awalan GRCP_ (GR - Kumpulan, CP - Komputer)
• Nama perwakilan kumpulan kuasa mesti bermula dengan awalan GRDL_ (GR - Kumpulan, DL - Perwakilan)
• Nama kumpulan akses sumber mesti bermula dengan awalan GRRS_ (GR - Kumpulan, RS - sumber)
• Nama kumpulan untuk dasar mesti bermula dengan awalan GPUS_, GPCP_ (GP - Dasar kumpulan, AS - Pengguna, CP - Komputer)
• Nama komputer pelanggan mestilah terdiri daripada dua atau tiga huruf daripada nama organisasi, diikuti dengan nombor yang dipisahkan oleh tanda sempang, contohnya, nnt-01.
• Nama pelayan mesti bermula dengan hanya dua huruf, diikuti dengan tanda sempang dan diikuti dengan peranan pelayan dan nombornya, sebagai contoh, nn-dc01.

Saya mengesyorkan menamakan objek Active Directory supaya anda tidak perlu mengisi medan Penerangan. Sebagai contoh, daripada nama kumpulan GPCP_Restricted_Groups adalah jelas bahawa ini adalah kumpulan dasar yang digunakan pada komputer dan melaksanakan kerja mekanisme Kumpulan Terhad.
Pendekatan anda untuk menulis dokumentasi haruslah sangat teliti, ini akan menjimatkan banyak masa pada masa hadapan.

Permudahkan segalanya sebaik mungkin, cuba mencapai keseimbangan
Apabila membina Active Directory, adalah perlu untuk mengikut prinsip mencapai keseimbangan, memilih mekanisme yang mudah dan boleh difahami.
Prinsip keseimbangan adalah untuk mencapai fungsi dan keselamatan yang diperlukan dengan kesederhanaan maksimum penyelesaian.
Ia adalah perlu untuk cuba membina sistem supaya strukturnya dapat difahami oleh pentadbir atau pengguna yang paling tidak berpengalaman. Sebagai contoh, pada satu masa terdapat cadangan untuk mewujudkan struktur hutan beberapa domain. Selain itu, adalah disyorkan untuk menggunakan bukan sahaja struktur berbilang domain, tetapi juga struktur dari beberapa hutan. Mungkin cadangan ini wujud kerana prinsip "bahagi dan takluk", atau kerana Microsoft memberitahu semua orang bahawa domain itu adalah sempadan keselamatan dan dengan membahagikan organisasi kepada domain, kami akan mendapat struktur berasingan yang lebih mudah dikawal secara individu. Tetapi seperti yang ditunjukkan oleh amalan, adalah lebih mudah untuk mengekalkan dan mengawal sistem domain tunggal, di mana sempadan keselamatan adalah unit organisasi (OU) dan bukannya domain. Oleh itu, elakkan membuat struktur berbilang domain yang kompleks; adalah lebih baik untuk mengumpulkan objek mengikut OU.
Sudah tentu, anda harus bertindak tanpa fanatik - jika mustahil untuk dilakukan tanpa beberapa domain, maka anda perlu membuat beberapa domain, juga dengan hutan. Perkara utama ialah anda memahami apa yang anda lakukan dan apa yang boleh menyebabkannya.
Adalah penting untuk memahami bahawa infrastruktur Aktif yang mudah Direktori adalah lebih mudah mentadbir dan mengawal. Saya juga akan mengatakan bahawa lebih mudah, lebih selamat.
Mengaplikasi prinsip penyederhanaan. Cuba untuk mencapai keseimbangan.

Ikut prinsip - "objek - kumpulan"
Mula mencipta objek Direktori Aktif dengan mencipta kumpulan untuk objek ini, dan kemudian tetapkan kumpulan itu hak yang diperlukan. Mari kita lihat contoh. Anda perlu membuat akaun pentadbir utama. Mula-mula buat kumpulan Pentadbir Ketua dan kemudian buat akaun itu sendiri dan tambahkannya kumpulan ini. Berikan hak pentadbir ketua kepada kumpulan Pentadbir Ketua, contohnya, dengan menambahkannya pada kumpulan Pentadbir Domain. Hampir selalu ternyata bahawa selepas beberapa ketika pekerja lain datang bekerja yang memerlukan hak yang sama, dan bukannya mewakilkan hak kepada bahagian Direktori Aktif yang berbeza, anda boleh menambahkannya ke kumpulan yang diperlukan yang sistem telah pun menentukan peranannya. dan kuasa yang diperlukan diwakilkan.
Satu lagi contoh. Anda perlu mewakilkan hak kepada OU dengan pengguna kepada kumpulan pentadbir sistem. Jangan wakilkan hak terus kepada kumpulan Pentadbir, tetapi buat kumpulan khas seperti GRDL_OUName_Operator_Accounts, yang anda berikan haknya. Kemudian hanya tambahkan kumpulan pentadbir yang bertanggungjawab ke kumpulan GRDL_OUName_Operator_Accounts. Ia pasti akan berlaku bahawa dalam masa terdekat anda perlu mewakilkan hak kepada OU ini kepada kumpulan pentadbir lain. Dan dalam kes ini, anda hanya akan menambah kumpulan data pentadbir pada kumpulan perwakilan GRDL_OUName_Operator_Accounts.
Saya mencadangkan struktur kumpulan berikut.

• Kumpulan pengguna (GRUS_)
• Kumpulan Pentadbir (GRAD_)
• Kumpulan perwakilan (GRDL_)
• Kumpulan dasar (GRGP_)

Kumpulan komputer

• Kumpulan pelayan (GRSR_)
• Kumpulan komputer pelanggan (GRCP_)

Kumpulan Akses Sumber

• Kumpulan Akses Sumber Dikongsi (GRRS_)
• Kumpulan Akses Pencetak (GRPR_)

Dalam sistem yang dibina mengikut cadangan ini, hampir semua pentadbiran akan terdiri daripada menambah kumpulan kepada kumpulan.
Kekalkan keseimbangan dengan mengehadkan bilangan peranan untuk kumpulan dan ingat bahawa nama kumpulan harus menggambarkan sepenuhnya peranannya secara ideal.

seni bina OU.
Seni bina OU pertama sekali harus difikirkan dari sudut keselamatan dan pendelegasian hak kepada OU ini kepada pentadbir sistem. Saya tidak mengesyorkan merancang seni bina OU dari sudut pandangan menghubungkan dasar kumpulan kepada mereka (walaupun ini paling kerap dilakukan). Bagi sesetengah orang, cadangan saya mungkin kelihatan agak pelik, tetapi saya tidak mengesyorkan untuk mengikat dasar kumpulan kepada OU sama sekali. Baca lebih lanjut dalam bahagian Dasar Kumpulan.
Pentadbir OU
Saya mengesyorkan menyediakan OU yang berasingan untuk akaun dan kumpulan pentadbiran, di mana anda boleh meletakkan akaun dan kumpulan semua pentadbir dan jurutera sokongan teknikal. Akses kepada OU ini hendaklah dihadkan kepada pengguna biasa dan pengurusan objek daripada OU ini hendaklah diwakilkan hanya kepada pentadbir utama.
Komputer OU
OU Komputer paling baik dirancang dari segi lokasi geografi komputer dan jenis komputer. Mengedarkan komputer dari lokasi geografi yang berbeza ke dalam OU yang berbeza, dan seterusnya membahagikannya kepada komputer dan pelayan pelanggan. Pelayan juga boleh dibahagikan kepada Exchange, SQL dan lain-lain.

Pengguna, hak dalam Active Directory
Akaun pengguna Active Directory harus diberikan Perhatian istimewa. Seperti yang dinyatakan dalam bahagian OU, akaun pengguna hendaklah dikumpulkan berdasarkan prinsip pewakilan kuasa kepada akaun-akaun ini. Ia juga penting untuk mematuhi prinsip keistimewaan yang paling sedikit - semakin sedikit hak pengguna dalam sistem, semakin baik. Saya mengesyorkan agar anda segera memasukkan tahap keistimewaan pengguna dalam nama akaunnya. Akaun untuk kerja harian hendaklah terdiri daripada nama keluarga dan inisial pengguna dalam bahasa Latin (Contohnya, IvanovIV atau IVIvanov). Ruangan wajib ialah: Nama Pertama, Inisial, Nama Akhir, Nama Paparan (dalam bahasa Rusia), e-mel, mudah alih, Jawatan Pekerjaan, Pengurus.
Akaun pentadbir mestilah daripada jenis berikut:

• Dengan hak pentadbir kepada komputer pengguna, tetapi bukan pelayan. Mesti terdiri daripada parap pemilik dan awalan tempatan (Contohnya, iivlocal)
• Dengan hak untuk mentadbir pelayan dan Active Directory. Mesti terdiri daripada huruf awal sahaja (Contohnya, iiv).

Medan Nama keluarga kedua-dua jenis akaun pentadbiran hendaklah bermula dengan huruf I (Sebagai contoh, iPetrov P Vasily)
Biar saya terangkan sebab anda perlu mengasingkan akaun pentadbiran kepada pentadbir pelayan dan pentadbir komputer pelanggan. Ini mesti dilakukan atas sebab keselamatan. Pentadbir komputer pelanggan akan mempunyai hak untuk memasang perisian pada komputer pelanggan. Tidak mungkin untuk mengatakan dengan pasti perisian apa yang akan dipasang dan mengapa. Oleh itu, adalah tidak selamat untuk menjalankan pemasangan program dengan hak pentadbir domain; keseluruhan domain boleh terjejas. Anda mesti mentadbir komputer pelanggan hanya dengan hak pentadbir tempatan komputer ini. Ini akan menjadikannya mustahil untuk beberapa serangan pada akaun pentadbir domain, seperti "Pass The Hash". Selain itu, pentadbir komputer pelanggan perlu menutup sambungan melalui Perkhidmatan Terminal dan sambungan rangkaian ke komputer. Sokongan teknikal dan komputer pentadbiran harus diletakkan dalam VLAN yang berasingan untuk mengehadkan akses kepada mereka daripada rangkaian komputer klien.
Memberikan hak pentadbir kepada pengguna
Jika anda perlu memberikan hak pentadbir kepada pengguna, jangan letakkan akaun kerja hariannya dalam kumpulan. pentadbir tempatan komputer. Akaun untuk kerja harian harus sentiasa mempunyai hak terhad. Cipta akaun pentadbiran yang berasingan untuknya seperti namelocal dan tambahkan akaun ini pada kumpulan pentadbir tempatan menggunakan dasar, mengehadkan aplikasinya hanya pada komputer pengguna menggunakan penyasaran peringkat item. Pengguna akan dapat menggunakan akaun ini menggunakan mekanisme Run AS.
Dasar Kata Laluan
Buat dasar kata laluan yang berasingan untuk pengguna dan pentadbir menggunakan dasar kata laluan yang terperinci. Adalah dinasihatkan bahawa kata laluan pengguna terdiri daripada sekurang-kurangnya 8 aksara dan ditukar sekurang-kurangnya sekali setiap suku tahun. Adalah dinasihatkan untuk pentadbir menukar kata laluan setiap dua bulan, dan ia mestilah sekurang-kurangnya 10-15 aksara dan memenuhi keperluan kerumitan.

Komposisi domain dan kumpulan tempatan. Mekanisme Kumpulan Terhad
Komposisi domain dan kumpulan tempatan pada komputer domain hendaklah dikawal hanya dalam mod automatik, menggunakan mekanisme Kumpulan Terhad. Saya akan menerangkan mengapa ia perlu dilakukan hanya dengan cara ini menggunakan contoh berikut. Biasanya, selepas mengoyakkan domain Active Directory, pentadbir menambah diri mereka pada kumpulan domain seperti Pentadbir domain, pentadbir Perusahaan, tambahkan kumpulan yang diperlukan jurutera sokongan teknikal dan pengguna lain juga dibahagikan kepada kumpulan. Dalam proses mentadbir domain ini, proses mengeluarkan hak diulang berkali-kali dan amat sukar untuk diingat bahawa semalam anda menambah akauntan Nina Petrovna buat sementara waktu ke kumpulan pentadbir 1C dan hari ini anda perlu mengeluarkannya daripada kumpulan ini. Keadaan akan menjadi lebih buruk jika syarikat mempunyai beberapa pentadbir dan setiap daripada mereka dari semasa ke semasa memberikan hak kepada pengguna dalam gaya yang sama. Dalam masa setahun sahaja, hampir mustahil untuk mengetahui hak yang diberikan kepada siapa. Oleh itu, komposisi kumpulan harus dikawal hanya oleh dasar kumpulan, yang akan mengatur segala-galanya dengan setiap aplikasi.
Komposisi kumpulan terbina dalam
Perlu dikatakan bahawa kumpulan terbina dalam seperti Operator Akaun, Pengendali Sandaran, Operator Krip, Tetamu, Operator Cetakan, Operator Pelayan harus kosong, dalam domain dan pada komputer klien. Kumpulan ini terutamanya perlu untuk memastikan keserasian ke belakang dengan sistem yang lebih lama, dan pengguna kumpulan ini diberikan terlalu banyak hak dalam sistem, dan serangan peningkatan keistimewaan menjadi mungkin.

Akaun Pentadbir Tempatan
Menggunakan mekanisme Kumpulan Terhad, anda perlu menyekat Akaun pentadbir tempatan pada komputer tempatan, sekat akaun tetamu dan kosongkan kumpulan pentadbir tempatan pada komputer tempatan. Jangan sekali-kali menggunakan dasar kumpulan untuk menetapkan kata laluan untuk akaun pentadbir tempatan. Mekanisme ini tidak selamat; kata laluan boleh diekstrak terus daripada dasar. Tetapi, jika anda memutuskan untuk tidak menyekat akaun pentadbir tempatan, kemudian gunakan mekanisme LAPS untuk menetapkan kata laluan dengan betul dan memutarnya. Malangnya, menyediakan LAPS tidak automatik sepenuhnya, dan oleh itu anda perlu menambah atribut secara manual Skim aktif Direktori, berikan hak kepada mereka, tetapkan kumpulan, dan sebagainya. Oleh itu, lebih mudah untuk menyekat akaun pentadbir tempatan.
Akaun perkhidmatan.
Untuk menjalankan perkhidmatan, gunakan akaun perkhidmatan dan mekanisme gMSA (tersedia pada Windows 2012 dan sistem yang lebih tinggi)

Dasar Kumpulan
Dokumen dasar sebelum membuat/mengubah suainya.
Apabila membuat dasar, gunakan Dasar - prinsip Kumpulan. Iaitu, sebelum membuat dasar, mula-mula buat kumpulan untuk dasar ini, alih keluar kumpulan pengguna Disahkan daripada skop dasar dan tambah kumpulan yang dibuat. Pautkan dasar bukan kepada OU, tetapi kepada akar domain dan kawal skop penggunaannya dengan menambahkan objek pada kumpulan dasar. Saya menganggap mekanisme ini lebih fleksibel dan mudah difahami daripada mengaitkan dasar dengan OU. (Ini betul-betul apa yang saya tulis dalam bahagian tentang OU Architecture).
Sentiasa laraskan skop dasar. Jika anda membuat dasar hanya untuk pengguna, kemudian lumpuhkan struktur komputer dan sebaliknya, lumpuhkan struktur pengguna jika anda mencipta dasar hanya untuk komputer. Terima kasih kepada tetapan ini, dasar akan digunakan dengan lebih cepat.
Konfigurasikan sandaran dasar harian apabila bantuan Kuasa Shell, supaya sekiranya berlaku ralat konfigurasi, anda sentiasa boleh mengembalikan tetapan kepada tetapan asal.
Stor Pusat
Bermula dengan Windows 2008, ia menjadi mungkin untuk menyimpan templat Dasar Kumpulan ADMX di lokasi storan pusat, SYSVOL. Sebelum ini, secara lalai, semua templat dasar disimpan secara setempat pada pelanggan. Untuk meletakkan templat ADMX dalam storan pusat, anda perlu menyalin kandungan folder %SystemDrive%\Windows\PolicyDefinitions bersama-sama dengan subfolder daripada sistem klien (Windows 7/8/8.1) ke direktori pengawal domain %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions dengan kandungan digabungkan, tetapi tanpa penggantian. Seterusnya anda harus membuat salinan yang sama dari sistem pelayan, bermula dengan yang tertua. Akhir sekali, apabila menyalin folder dan fail daripada versi pelayan terkini, lakukan salinan GABUNGAN DAN GANTIKAN.

Menyalin templat ADMX

Selain itu, templat ADMX untuk sebarang produk perisian boleh diletakkan dalam storan pusat, contohnya, Microsoft Office, produk daripada Adobe, Google dan lain-lain. Pergi ke tapak web vendor perisian, muat turun templat ADMX Group Policy dan buka peknya ke folder %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions pada mana-mana pengawal domain. Kini anda boleh mengurus produk perisian yang anda perlukan melalui dasar kumpulan.
Penapis WMI
Penapis WMI tidak begitu pantas, jadi lebih baik menggunakan mekanisme penyasaran peringkat item. Tetapi jika penyasaran peringkat item tidak boleh digunakan dan anda memutuskan untuk menggunakan WMI, maka saya syorkan anda segera membuat beberapa penapis yang paling biasa untuk diri anda sendiri: penapis "Sistem pengendalian pelanggan sahaja", "Sistem pengendalian pelayan sahaja", "Windows 7 ” penapis, penapis “Windows” 8", "Windows 8.1", "Windows 10". Jika anda mempunyai set penapis WMI yang sudah siap, maka ia akan menjadi lebih mudah untuk digunakan penapis yang diperlukan kepada dasar yang dikehendaki.

Mengaudit Acara Direktori Aktif
Pastikan untuk mendayakan pengauditan acara pada pengawal domain dan pelayan lain. Saya mengesyorkan membolehkan pengauditan objek berikut:

• Audit Pengurusan Akaun Komputer - Kejayaan, Kegagalan
• Audit Acara Pengurusan Akaun Lain - Kejayaan, Kegagalan
• Pengurusan Kumpulan Keselamatan Audit - Kejayaan, Kegagalan
• Audit Pengguna akaun Pengurusan - Kejayaan, Kegagalan

• Audit Perkhidmatan Pengesahan Kerberos - Kegagalan
• Audit Acara Log Masuk Akaun Lain - Kegagalan
• Perubahan Dasar Audit Audit - Kejayaan, Kegagalan

Pengauditan mesti dikonfigurasikan dalam bahagian Konfigurasi Dasar Audit Lanjutan dan pastikan untuk mendayakan tetapan dalam bahagian Pilihan Dasar/Keselamatan Tempatan - Paksa tetapan subkategori dasar audit ( Windows Vista atau lebih baru) untuk mengatasi tetapan kategori dasar audit, yang akan mengatasi tetapan peringkat atas dan menggunakan tetapan lanjutan.

Tetapan audit lanjutan

Saya tidak akan membincangkan secara terperinci tentang tetapan audit, kerana terdapat sejumlah artikel yang mencukupi di Internet yang dikhaskan untuk topik ini. Saya hanya akan menambah bahawa selain mendayakan pengauditan, anda harus menyediakan makluman e-mel tentang peristiwa keselamatan kritikal. Ia juga patut dipertimbangkan bahawa dalam sistem dengan sejumlah besar acara, adalah bernilai mendedikasikan pelayan berasingan untuk mengumpul dan menganalisis fail log.

Skrip pentadbiran dan pembersihan
Semua tindakan yang serupa dan kerap diulang mesti dilakukan menggunakan skrip pentadbiran. Tindakan ini termasuk: membuat akaun pengguna, mencipta akaun pentadbir, membuat kumpulan, membuat OU dan sebagainya. Mencipta objek menggunakan skrip membolehkan anda menghormati logik penamaan objek Active Directory anda dengan membina semakan sintaks terus ke dalam skrip.
Ia juga bernilai menulis skrip pembersihan yang secara automatik akan memantau komposisi kumpulan, mengenal pasti pengguna dan komputer yang tidak bersambung ke domain untuk masa yang lama, mengenal pasti pelanggaran piawaian lain, dan sebagainya.
Saya tidak melihatnya sebagai pengesyoran rasmi yang jelas untuk menggunakan skrip pentadbir untuk memantau pematuhan dan melaksanakan operasi latar belakang. Tetapi saya sendiri lebih suka semakan dan prosedur automatik menggunakan skrip, kerana ini menjimatkan banyak masa dan menghapuskan Kuantiti yang besar ralat dan, sudah tentu, di sinilah pendekatan saya yang sedikit Unix untuk pentadbiran memainkan peranan, apabila lebih mudah untuk menaip beberapa arahan daripada mengklik pada tingkap.

Pentadbiran manual
Anda dan rakan sekerja anda perlu melakukan beberapa operasi pentadbiran secara manual. Untuk tujuan ini, saya mengesyorkan menggunakan konsol mmc dengan snap-in ditambahkan padanya.
Seperti yang akan dibincangkan di bawah, pengawal domain anda mesti beroperasi Teras Pelayan, iaitu, pentadbiran keseluruhan persekitaran AD hendaklah dilakukan hanya dari komputer anda menggunakan konsol. Untuk mentadbir Active Directory, anda perlu memasang Alat Pentadbiran Pelayan Jauh pada komputer anda. Konsol harus dijalankan pada komputer anda sebagai pengguna dengan hak pentadbir Active Directory dan kawalan yang diwakilkan.
Seni mengurus Direktori Aktif menggunakan konsol memerlukan artikel yang berasingan, dan mungkin juga video latihan yang berasingan, jadi di sini saya hanya bercakap tentang prinsip itu sendiri.

Pengawal domain
Dalam mana-mana domain, mesti ada sekurang-kurangnya dua pengawal. Pengawal domain harus mempunyai perkhidmatan sesedikit mungkin. Anda tidak seharusnya menukar pengawal domain menjadi pelayan fail atau, Insya-Allah, naik tarafnya kepada peranan pelayan terminal. Gunakan sistem pengendalian dalam mod Teras Pelayan pada pengawal domain, mengalih keluar sokongan sepenuhnya untuk WoW64, ini akan mengurangkan bilangannya dengan ketara kemas kini yang diperlukan dan meningkatkan keselamatan mereka.
Microsoft sebelum ini tidak mengesyorkan memayakan pengawal domain kerana fakta bahawa apabila memulihkan dari syot kilat Konflik replikasi yang sukar dikawal mungkin berlaku. Mungkin ada sebab lain, saya tidak boleh katakan dengan pasti. Kini hypervisor telah belajar untuk memberitahu pengawal untuk memulihkannya daripada syot kilat, dan masalah ini telah hilang. Saya telah memayakan pengawal sepanjang masa, tanpa mengambil sebarang syot kilat, kerana saya tidak faham mengapa mungkin ada keperluan untuk mengambil syot kilat sedemikian pada pengawal domain. Saya rasa ia lebih mudah untuk dilakukan salinan sandaran pengawal domain cara standard. Oleh itu, saya mengesyorkan untuk memayakan semua pengawal domain yang mungkin. Konfigurasi ini akan menjadi lebih fleksibel. Apabila memayakan pengawal domain, letakkannya pada hos fizikal yang berbeza.
Jika anda perlu meletakkan pengawal domain dalam persekitaran fizikal yang tidak selamat atau di pejabat cawangan organisasi anda, kemudian gunakan RODC untuk tujuan ini.

Peranan FSMO, pengawal primer dan sekunder
Peranan pengawal domain FSMO terus menimbulkan ketakutan dalam fikiran pentadbir baharu. Selalunya, pemula mempelajari Active Directory daripada dokumentasi lapuk atau mendengar cerita daripada pentadbir lain yang membaca sesuatu di suatu tempat sekali.
Untuk semua lima + 1 peranan, perkara berikut harus dinyatakan secara ringkas. Bermula dengan Windows Server 2008, tiada lagi pengawal domain primer dan sekunder. Kesemua lima peranan pengawal domain adalah mudah alih, tetapi tidak boleh berada pada lebih daripada satu pengawal pada satu masa. Jika kita mengambil salah satu daripada pengawal, yang, sebagai contoh, adalah pemilik 4 peranan dan memadamkannya, maka kita boleh dengan mudah memindahkan semua peranan ini kepada pengawal lain, dan tiada perkara buruk akan berlaku dalam domain, tiada apa yang akan pecah. Ini mungkin kerana pemilik menyimpan semua maklumat tentang kerja yang berkaitan dengan peranan tertentu secara langsung dalam Active Directory. Dan jika kita memindahkan peranan kepada pengawal lain, maka pertama sekali ia beralih kepada maklumat yang disimpan dalam Active Directory dan mula melaksanakan perkhidmatan. Domain boleh wujud untuk masa yang agak lama tanpa pemilik peranan. Satu-satunya "peranan" yang harus sentiasa ada dalam Active Directory, dan tanpanya semuanya akan menjadi sangat buruk, ialah peranan katalog global (GC), yang boleh ditanggung oleh semua pengawal dalam domain. Saya syorkan untuk memberikan peranan GC kepada setiap pengawal dalam domain, lebih banyak terdapat, lebih baik. Sudah tentu, anda boleh menemui kes yang tidak berbaloi untuk memasang peranan GC pada pengawal domain. Nah, jika anda tidak memerlukannya, maka jangan. Ikut cadangan tanpa fanatik.

perkhidmatan DNS
Perkhidmatan DNS adalah penting untuk pengendalian Active Directory dan mesti berfungsi tanpa gangguan. Adalah lebih baik untuk memasang perkhidmatan DNS pada setiap pengawal dan kedai domain zon DNS dalam Active Directory itu sendiri. Jika anda akan menggunakan Active Directory untuk menyimpan zon DNS, maka anda harus mengkonfigurasi sifat sambungan TCP/IP pada pengawal domain supaya pada setiap pengawal sebagai pelayan DNS utama terdapat mana-mana pelayan DNS lain, dan anda boleh menetapkan alamat 127.0.0.1 sebagai alamat kedua. Tetapan ini mesti dilakukan kerana untuk perkhidmatan Active Directory bermula seperti biasa, DNS yang berfungsi diperlukan dan untuk DNS bermula, perkhidmatan Active Directory mesti berjalan, kerana zon DNS itu sendiri terletak di dalamnya.
Pastikan anda menyediakan zon carian terbalik untuk semua rangkaian anda dan dayakan kemas kini selamat automatik rekod PTR.
Saya mengesyorkan anda juga membolehkan pembersihan zon automatik bagi rekod DNS yang sudah lapuk (dns scavenging).
Saya mengesyorkan untuk menentukan pelayan Yandex yang dilindungi sebagai DNS-Forwarders jika tiada pelayan lain yang lebih pantas di lokasi geografi anda.

Tapak dan replikasi
Ramai pentadbir terbiasa berfikir bahawa laman web adalah kumpulan geografi komputer. Sebagai contoh, tapak Moscow, tapak St. Idea ini timbul kerana fakta bahawa pembahagian asal Direktori Aktif kepada tapak telah dilakukan untuk tujuan mengimbangi dan mengasingkan trafik rangkaian replikasi. Pengawal domain di Moscow tidak perlu tahu bahawa sepuluh akaun komputer kini telah dibuat di St. Petersburg. Oleh itu, maklumat sedemikian tentang perubahan boleh dihantar sekali sejam mengikut jadual. Atau bahkan meniru perubahan sekali sehari dan hanya pada waktu malam, untuk menjimatkan lebar jalur.
Saya akan mengatakan ini tentang tapak web: tapak web ialah kumpulan komputer yang logik. Komputer yang disambungkan antara satu sama lain melalui sambungan rangkaian yang baik. Dan laman web itu sendiri disambungkan antara satu sama lain dengan sambungan dengan yang kecil daya pengeluaran, yang sangat jarang berlaku pada hari ini. Oleh itu, saya membahagikan Active Directory kepada tapak bukan untuk mengimbangi trafik replikasi, tetapi untuk mengimbangi beban rangkaian secara umum dan untuk lebih banyak lagi. pemprosesan cepat permintaan pelanggan daripada komputer tapak. Biar saya jelaskan dengan contoh. Terdapat rangkaian tempatan 100 megabit organisasi, yang disediakan oleh dua pengawal domain, dan terdapat awan di mana pelayan aplikasi organisasi ini terletak dengan dua pengawal awan yang lain. Saya akan membahagikan rangkaian sedemikian kepada dua tapak supaya pengawal pada proses rangkaian tempatan meminta daripada pelanggan daripada rangkaian tempatan, dan pengawal dalam permintaan proses awan daripada pelayan aplikasi. Selain itu, ini akan membolehkan anda memisahkan permintaan kepada perkhidmatan DFS dan Exchange. Dan oleh kerana sekarang saya jarang melihat saluran Internet kurang daripada 10 megabit sesaat, saya akan mendayakan Notify Based Replication, ini adalah apabila replikasi data berlaku serta-merta sebaik sahaja sebarang perubahan berlaku dalam Active Directory.

Kesimpulan
Pagi ini saya memikirkan mengapa sikap mementingkan diri manusia tidak dialu-alukan dalam masyarakat dan di suatu tempat pada tahap persepsi yang mendalam menyebabkan emosi yang sangat negatif. Dan satu-satunya jawapan yang terlintas di fikiran saya ialah umat manusia tidak akan bertahan di planet ini jika mereka tidak belajar berkongsi sumber fizikal dan intelek. Itulah sebabnya saya berkongsi artikel ini dengan anda dan saya berharap cadangan saya akan membantu anda memperbaik sistem anda dan anda akan menghabiskan lebih sedikit masa untuk menyelesaikan masalah. Semua ini akan membawa kepada membebaskan lebih banyak masa dan tenaga untuk kreativiti. Adalah lebih menyenangkan untuk hidup dalam dunia orang yang kreatif dan bebas.
Alangkah baiknya jika anda berkongsi pengetahuan dan amalan anda dalam komen jika boleh. bangunan Aktif Direktori.
Damai dan kebaikan kepada semua orang!

Anda boleh membantu dan memindahkan beberapa dana untuk pembangunan tapak

Mana-mana pengguna pemula, berhadapan dengan singkatan AD, tertanya-tanya apakah Direktori Aktif? Active Directory ialah perkhidmatan direktori yang dibangunkan oleh Microsoft untuk rangkaian domain Windows. Termasuk dalam kebanyakan sistem pengendalian Windows Server sebagai satu set proses dan perkhidmatan. Pada mulanya, perkhidmatan hanya berurusan dengan domain. Walau bagaimanapun, bermula dengan Windows Server 2008, AD menjadi nama untuk pelbagai perkhidmatan identiti berasaskan direktori. Ini menjadikan Active Directory untuk pemula pengalaman pembelajaran yang lebih baik.

Definisi asas

Pelayan yang menjalankan Perkhidmatan Direktori Domain Direktori Aktif dipanggil pengawal domain. Ia mengesahkan dan membenarkan semua pengguna dan komputer dalam domain rangkaian Windows, memberikan dan menguatkuasakan dasar keselamatan untuk semua PC, dan memasang atau mengemas kini perisian. Contohnya, apabila pengguna log masuk ke komputer yang dihidupkan domain Windows, Active Directory menyemak kata laluan yang dibekalkan dan menentukan sama ada objek itu pentadbir sistem atau pengguna biasa. Ia juga membolehkan pengurusan dan penyimpanan maklumat, menyediakan mekanisme pengesahan dan kebenaran, dan mewujudkan rangka kerja untuk menggunakan perkhidmatan lain yang berkaitan: perkhidmatan sijil, perkhidmatan direktori bersekutu dan ringan, dan pengurusan hak.

Active Directory menggunakan LDAP versi 2 dan 3, versi Microsoft Kerberos dan DNS.

Direktori Aktif - apakah itu? Dalam kata mudah tentang kompleks

Memantau data rangkaian adalah tugas yang memakan masa. Walaupun dalam rangkaian kecil Pengguna cenderung mengalami kesukaran mencari fail rangkaian dan pencetak. Tanpa beberapa jenis direktori, rangkaian sederhana hingga besar tidak dapat diurus dan sering menghadapi kesukaran untuk mencari sumber.

Versi sebelumnya Microsoft Windows perkhidmatan yang disertakan untuk membantu pengguna dan pentadbir mencari data. rangkaian berguna dalam banyak persekitaran, tetapi kelemahan yang jelas ialah antara muka yang kikuk dan tidak dapat diramalkan. Pengurus WINS dan Pengurus Pelayan boleh digunakan untuk melihat senarai sistem, tetapi tidak disediakan kepada pengguna akhir. Pentadbir menggunakan Pengurus Pengguna untuk menambah dan mengalih keluar data daripada jenis objek rangkaian yang sama sekali berbeza. Aplikasi ini telah terbukti tidak berkesan dalam rangkaian yang besar dan menimbulkan persoalan, mengapa syarikat memerlukan Active Directory?

Direktori, dalam erti kata yang paling umum, ialah senarai lengkap objek. Buku telefon ialah sejenis direktori yang menyimpan maklumat tentang orang, perniagaan dan organisasi kerajaan, danMereka biasanya merekodkan nama, alamat dan nombor telefon. Tertanya-tanya Direktori Aktif - apakah itu, dengan kata mudah kita boleh mengatakan bahawa teknologi ini serupa dengan direktori, tetapi jauh lebih fleksibel. AD menyimpan maklumat tentang organisasi, tapak, sistem, pengguna, sumber yang dikongsi dan sebarang objek rangkaian lain.

Pengenalan kepada Konsep Direktori Aktif

Mengapa sesebuah organisasi memerlukan Active Directory? Seperti yang dinyatakan dalam pengenalan kepada Active Directory, perkhidmatan menyimpan maklumat tentang komponen rangkaian. Panduan Active Directory for Beginners menerangkan bahawa ini Membenarkan pelanggan mencari objek dalam ruang nama mereka. Ini t Istilah (juga dipanggil pokok konsol) merujuk kepada kawasan di mana komponen rangkaian boleh ditempatkan. Sebagai contoh, jadual kandungan buku mencipta ruang nama di mana bab boleh diberikan kepada nombor halaman.

DNS ialah pokok konsol yang menyelesaikan nama hos kepada alamat IP, sepertiBuku telefon menyediakan ruang nama untuk menyelesaikan nama untuk nombor telefon. Bagaimanakah ini berlaku dalam Active Directory? AD menyediakan pokok konsol untuk menyelesaikan nama objek rangkaian kepada objek itu sendiri danboleh menyelesaikan pelbagai entiti, termasuk pengguna, sistem dan perkhidmatan pada rangkaian.

Objek dan Atribut

Apa-apa sahaja yang dijejaki Active Directory dianggap sebagai objek. Kita boleh mengatakan dengan perkataan mudah bahawa ini adalah dalam Active Directory ialah mana-mana pengguna, sistem, sumber atau perkhidmatan. Objek istilah biasa digunakan kerana AD mampu menjejaki banyak elemen dan banyak objek boleh berkongsi atribut biasa. Apakah maksudnya?

Atribut menerangkan objek dalam aktif Direktori aktif Direktori, sebagai contoh, semua objek pengguna berkongsi atribut untuk menyimpan nama pengguna. Ini juga terpakai pada huraian mereka. Sistem juga merupakan objek, tetapi mereka mempunyai set atribut berasingan yang termasuk nama hos, alamat IP dan lokasi.

Set atribut yang tersedia untuk mana-mana jenis objek tertentu dipanggil skema. Ia menjadikan kelas objek berbeza antara satu sama lain. Maklumat skema sebenarnya disimpan dalam Active Directory. Bahawa tingkah laku protokol keselamatan ini sangat penting ditunjukkan oleh fakta bahawa reka bentuk membenarkan pentadbir menambah atribut pada kelas objek dan mengedarkannya merentas rangkaian ke semua sudut domain tanpa memulakan semula mana-mana pengawal domain.

Bekas dan nama LDAP

Bekas ialah jenis objek khas yang digunakan untuk mengatur operasi perkhidmatan. Ia tidak mewakili entiti fizikal seperti pengguna atau sistem. Sebaliknya, ia digunakan untuk mengumpulkan elemen lain. Objek bekas boleh bersarang dalam bekas lain.

Setiap elemen dalam AD mempunyai nama. Ini bukan yang anda biasa, contohnya, Ivan atau Olga. Ini adalah nama terbilang LDAP. Nama terbilang LDAP adalah kompleks, tetapi ia membolehkan anda mengenal pasti secara unik sebarang objek dalam direktori, tanpa mengira jenisnya.

Pokok istilah dan laman web

Pokok istilah digunakan untuk menerangkan set objek dalam Active Directory. Apakah ini? Dengan kata mudah, ini boleh dijelaskan menggunakan persatuan pokok. Apabila bekas dan objek digabungkan secara hierarki, mereka cenderung untuk membentuk cawangan - oleh itu namanya. Istilah yang berkaitan ialah subtree berterusan, yang merujuk kepada batang utama pokok yang tidak patah.

Meneruskan metafora, istilah "hutan" menerangkan koleksi yang bukan sebahagian daripada ruang nama yang sama, tetapi mempunyai skim umum, konfigurasi dan katalog global. Objek dalam struktur ini tersedia untuk semua pengguna jika keselamatan membenarkan. Organisasi yang dibahagikan kepada berbilang domain harus mengumpulkan pokok ke dalam satu hutan.

Tapak ialah lokasi geografi yang ditakrifkan dalam Active Directory. Tapak sepadan dengan subnet IP logik dan, oleh itu, boleh digunakan oleh aplikasi untuk mencari pelayan terdekat pada rangkaian. Menggunakan maklumat tapak daripada Active Directory boleh mengurangkan trafik pada WAN dengan ketara.

Pengurusan Direktori Aktif

Komponen snap-in Pengguna Direktori Aktif. Ini adalah alat yang paling mudah untuk mentadbir Active Directory. Ia boleh diakses terus daripada kumpulan program Alat Pentadbiran dalam menu Mula. Ia menggantikan dan menambah baik Pengurus Pelayan dan Pengurus Pengguna daripada Windows NT 4.0.

Keselamatan

Direktori Aktif dimainkan peranan penting pada masa hadapan rangkaian Windows. Pentadbir mesti boleh melindungi direktori mereka daripada penyerang dan pengguna semasa mewakilkan tugas kepada pentadbir lain. Semua ini boleh dilakukan menggunakan model Aktif Keselamatan Direktori, yang mengaitkan senarai kawalan akses (ACL) dengan setiap bekas dan atribut objek dalam direktori.

Tahap tinggi kawalan membolehkan pentadbir menyediakan pengguna individu dan kumpulan mempunyai tahap kebenaran yang berbeza untuk objek dan sifatnya. Mereka juga boleh menambah atribut pada objek dan menyembunyikan atribut tersebut daripada kumpulan tertentu pengguna. Contohnya, anda boleh menetapkan ACL supaya hanya pengurus boleh melihat telefon rumah pengguna lain.

Pentadbiran yang diwakilkan

Konsep baharu kepada Pelayan Windows 2000 ialah pentadbiran yang diwakilkan. Ini membolehkan anda memberikan tugasan kepada pengguna lain tanpa memberikannya hak tambahan akses. Pentadbiran yang diwakilkan boleh diberikan melalui objek tertentu atau subpokok direktori bersebelahan. Ia lebih banyak lagi kaedah yang berkesan memberikan kuasa ke atas rangkaian.

DALAM tempat seseorang diberikan semua hak pentadbir domain global, pengguna hanya boleh diberi kebenaran dalam subpokok tertentu. Active Directory menyokong warisan, jadi mana-mana objek baharu mewarisi ACL bekasnya.

Istilah "hubungan fidusiari"

Istilah "hubungan fidusiari" masih digunakan, tetapi mempunyai fungsi yang berbeza. Tidak ada perbezaan antara amanah sehala dan dua hala. Lagipun, semua perhubungan kepercayaan Active Directory adalah dua hala. Lebih-lebih lagi, mereka semua transitif. Jadi, jika domain A mempercayai domain B, dan B mempercayai C, maka terdapat hubungan kepercayaan tersirat automatik antara domain A dan domain C.

Pengauditan dalam Direktori Aktif - apakah itu dalam perkataan mudah? Ini ialah ciri keselamatan yang membolehkan anda menentukan siapa yang cuba mengakses objek dan sejauh mana percubaan itu berjaya.

Menggunakan DNS (Sistem Nama Domain)

Sistem, atau dikenali sebagai DNS, diperlukan untuk mana-mana organisasi yang disambungkan ke Internet. DNS menyediakan resolusi nama antara nama biasa, seperti mspress.microsoft.com, dan alamat IP mentah yang digunakan oleh komponen lapisan rangkaian untuk komunikasi.

Active Directory menggunakan teknologi DNS secara meluas untuk mencari objek. Ini adalah perubahan ketara daripada sistem pengendalian Windows sebelumnya, yang memerlukan nama NetBIOS untuk diselesaikan dengan alamat IP dan bergantung pada WINS atau teknik resolusi nama NetBIOS yang lain.

Active Directory berfungsi paling baik apabila digunakan dengan pelayan DNS yang menjalankan Windows 2000. Microsoft telah memudahkan pentadbir untuk berhijrah ke pelayan DNS berasaskan Windows 2000 dengan menyediakan wizard migrasi yang membimbing pentadbir melalui proses tersebut.

Pelayan DNS lain boleh digunakan. Walau bagaimanapun, ini memerlukan pentadbir untuk menghabiskan lebih banyak masa mengurus pangkalan data DNS. Apakah nuansa? Jika anda memilih untuk tidak menggunakan pelayan DNS yang menjalankan Windows 2000, anda mesti memastikan bahawa pelayan DNS anda mematuhi protokol kemas kini dinamik DNS baharu. Pelayan bergantung pada kemas kini dinamik rekod anda untuk mencari pengawal domain. Ia tidak selesa. Lagipun, eJika pengemaskinian dinamik tidak disokong, anda mesti mengemas kini pangkalan data secara manual.

Domain Windows dan domain Internet kini serasi sepenuhnya. Sebagai contoh, nama seperti mspress.microsoft.com akan mengenal pasti pengawal domain Active Directory yang bertanggungjawab untuk domain tersebut, jadi mana-mana pelanggan yang mempunyai akses DNS boleh mencari pengawal domain.Pelanggan boleh menggunakan resolusi DNS untuk mencari sebarang bilangan perkhidmatan kerana pelayan Active Directory menerbitkan senarai alamat ke DNS menggunakan ciri kemas kini dinamik baharu. Data ini ditakrifkan sebagai domain dan diterbitkan melalui rekod sumber perkhidmatan. SRV RR ikut format service.protocol.domain.

Pelayan Direktori Aktif menyediakan perkhidmatan LDAP untuk mengehoskan objek dan LDAP menggunakan TCP sebagai protokol asas tahap pengangkutan. Oleh itu, pelanggan yang mencari pelayan Active Directory dalam domain mspress.microsoft.com akan mencari Rekod DNS untuk ldap.tcp.mspress.microsoft.com.

Katalog global

Active Directory menyediakan katalog global (GC) danmenyediakan satu sumber untuk mencari sebarang objek pada rangkaian organisasi.

Katalog Global ialah perkhidmatan dalam Pelayan Windows 2000 yang membolehkan pengguna mencari sebarang objek yang telah dikongsi. Fungsi ini jauh lebih baik daripada aplikasi Cari Komputer yang disertakan dengan versi sebelumnya Windows. Lagipun, pengguna boleh mencari sebarang objek dalam Active Directory: pelayan, pencetak, pengguna dan aplikasi.

Active Directory - Perkhidmatan direktori Microsoft untuk OS Keluarga Windows N.T.

Perkhidmatan ini membenarkan pentadbir menggunakan dasar kumpulan untuk memastikan ketekalan dalam tetapan pengguna persekitaran kerja, pemasangan perisian, kemas kini, dsb.

Apakah intipati Direktori Aktif dan apakah masalah yang diselesaikannya? Teruskan membaca.

Prinsip mengatur rangkaian peer-to-peer dan multi-peer

Tetapi masalah lain timbul, bagaimana jika pengguna2 pada PC2 memutuskan untuk menukar kata laluannya? Kemudian jika pengguna1 menukar kata laluan akaun, pengguna2 pada PC1 tidak akan dapat mengakses sumber tersebut.

Contoh lain: kami mempunyai 20 stesen kerja dengan 20 akaun yang kami ingin berikan akses kepada tertentu , untuk ini kami mesti membuat 20 akaun pada pelayan fail dan menyediakan akses kepada sumber yang diperlukan.

Bagaimana jika tidak ada 20 tetapi 200 daripadanya?

Seperti yang anda faham, pentadbiran rangkaian dengan pendekatan ini bertukar menjadi neraka mutlak.

Oleh itu, pendekatan kumpulan kerja sesuai untuk kecil rangkaian pejabat dengan bilangan PC tidak melebihi 10 unit.

Jika terdapat lebih daripada 10 stesen kerja dalam rangkaian, pendekatan di mana satu nod rangkaian diwakilkan hak untuk melaksanakan pengesahan dan kebenaran menjadi wajar secara rasional.

Nod ini ialah pengawal domain - Active Directory.

Pengawal Domain

Pengawal menyimpan pangkalan data akaun, i.e. ia menyimpan akaun untuk kedua-dua PC1 dan PC2.

Kini semua akaun didaftarkan sekali pada pengawal, dan keperluan untuk akaun tempatan menjadi tidak bermakna.

Sekarang, apabila pengguna log masuk ke PC, memasukkan nama pengguna dan kata laluannya, data ini dihantar dalam bentuk peribadi kepada pengawal domain, yang melaksanakan prosedur pengesahan dan kebenaran.

Selepas itu, pengawal mengeluarkan pengguna yang telah melog masuk sesuatu seperti pasport, yang kemudiannya dia bekerja pada rangkaian dan yang dia berikan atas permintaan komputer rangkaian lain, pelayan yang sumbernya dia ingin sambungkan.

Penting! Pengawal domain ialah komputer yang menjalankan Active Directory yang mengawal akses pengguna kepada sumber rangkaian. Ia menyimpan sumber (cth pencetak, folder kongsi), perkhidmatan (cth e-mel), orang (akaun kumpulan pengguna dan pengguna), komputer (akaun komputer).

Bilangan sumber yang disimpan sedemikian boleh mencapai berjuta-juta objek.

Versi MS Windows berikut boleh bertindak sebagai pengawal domain: Windows Server 2000/2003/2008/2012 kecuali Web-Edition.

Pengawal domain, selain menjadi pusat pengesahan untuk rangkaian, juga merupakan pusat kawalan untuk semua komputer.

Sejurus selepas dihidupkan, komputer mula menghubungi pengawal domain, lama sebelum tetingkap pengesahan muncul.

Oleh itu, bukan sahaja pengguna yang memasukkan log masuk dan kata laluan disahkan, tetapi juga komputer pelanggan.

Memasang Active Directory

Mari lihat contoh memasang Active Directory pada Windows Server 2008 R2. Jadi, untuk memasang peranan Active Directory, pergi ke "Pengurus Pelayan":

Tambahkan peranan "Tambah Peranan":

Pilih peranan Perkhidmatan Domain Direktori Aktif:

Dan mari kita mulakan pemasangan:

Selepas itu kami menerima tetingkap pemberitahuan tentang peranan yang dipasang:

Selepas memasang peranan pengawal domain, mari teruskan memasang pengawal itu sendiri.

Klik "Mula" dalam medan carian program, masukkan nama wizard DCPromo, lancarkannya dan tandai kotak untuk tetapan pemasangan lanjutan:

Klik "Seterusnya" dan pilih untuk mencipta domain dan hutan baharu daripada pilihan yang ditawarkan.

Masukkan nama domain, contohnya, example.net.

Kami menulis nama domain NetBIOS, tanpa zon:

Pilih tahap fungsi domain kami:

Disebabkan keanehan fungsi pengawal domain, kami juga memasang pelayan DNS.