Wat is een activamap? Gebruikersaccounts aanmaken in Active Directory. Active Directory installeren en configureren

Hoe het zal helpen Actieve map specialisten?

Hier is een kleine lijst met “goodies” die u kunt krijgen door Active Directory te implementeren:

een enkele gebruikersregistratiedatabase, die centraal op een of meer servers wordt opgeslagen; dus wanneer er een nieuwe medewerker op kantoor verschijnt, hoeft u alleen maar een account voor hem aan te maken op de server en aan te geven tot welke werkstations hij toegang heeft;
Omdat alle domeinbronnen geïndexeerd zijn, is het mogelijk om eenvoudig en snel zoeken voor gebruikers; bijvoorbeeld als u op een afdeling een kleurenprinter moet vinden;
set NTFS-machtigingentoepassing, groepsbeleid en door delegatie van controle kunt u de rechten onder domeinleden verfijnen en verdelen;
roaming gebruikersprofielen maken het mogelijk om op te slaan belangrijke informatie en configuratie-instellingen op de server; als een gebruiker met een zwervend profiel in een domein op een andere computer gaat werken en zijn gebruikersnaam en wachtwoord invoert, ziet hij zijn bureaublad met de instellingen waarmee hij vertrouwd is;
met behulp van groepsbeleid kunt u de instellingen van gebruikersbesturingssystemen wijzigen, van het toestaan dat de gebruiker een achtergrond op het bureaublad instelt tot beveiligingsinstellingen, en ook het distribueren van software via het netwerk, bijvoorbeeld de Volume Shadow Copy-client, enz.;
Veel programma's (proxyservers, databaseservers, enz.) die tegenwoordig niet alleen door Microsoft worden geproduceerd, hebben geleerd domeinauthenticatie te gebruiken, zodat u geen nieuwe gebruikersdatabase hoeft aan te maken, maar een bestaande kunt gebruiken;
Het gebruik van Remote Installation Services maakt het eenvoudiger om systemen op werkstations te installeren, maar werkt op zijn beurt alleen als de directoryservice is geïmplementeerd.

En het is verre van volledige lijst mogelijkheden, maar daarover later meer. Nu zal ik proberen u de logica van de constructie te vertellen Actieve map, maar nogmaals, het is de moeite waard om uit te zoeken waar onze jongens van gemaakt zijn Actieve map- dit zijn domeinen, bomen, bossen, Organisatorische eenheden, Groepen gebruikers en computers.

Domeinen - Dit is de logische basiseenheid van constructie. Vergeleken met werkgroepen AD-domeinen- Dit zijn beveiligingsgroepen die één enkele registratiebasis hebben, terwijl werkgroepen slechts een logische associatie van machines zijn. AD gebruikt DNS voor naamgeving en opzoekservices ( Domeinnaam Server – domeinnaamserver), niet WINS ( Windows-internet Naamservice - Internetnaamservice), zoals deze was eerdere versies NT De namen van computers in het domein zien er dus bijvoorbeeld uit als buh.work.com, waarbij buh de naam is van de computer in het work.com-domein (hoewel dit niet altijd het geval is).

Werkgroepen gebruiken NetBIOS-namen. Om een domeinstructuur te hosten ADVERTENTIE het is mogelijk om zonder een DNS-server te gebruiken Microsoft. Maar het moet compatibel zijn met BIND 8.1.2 of hoger en SRV()-records ondersteunen, evenals het Dynamic Registration Protocol (RFC 2136). Elk domein heeft minimaal één domeincontroller die als host fungeert voor de centrale database.

Bomen - Dit zijn structuren met meerdere domeinen. De root van deze structuur is het hoofddomein waarvoor u onderliggende domeinen maakt. In feite gebruikt Active Directory hiërarchisch systeem constructie, vergelijkbaar met de structuur van domeinen in DNS.

Als we een domein work.com (domein van het eerste niveau) hebben en er twee onderliggende domeinen voor maken, first.work.com en second.work.com (hier zijn eerste en tweede domeinen van het tweede niveau, en niet een computer in het domein , zoals in het hierboven beschreven geval), eindigen we met een domeinboom.

Bomen als logische structuur worden gebruikt wanneer u bedrijfstakken moet verdelen, bijvoorbeeld op geografie of om andere organisatorische redenen.

ADVERTENTIE helpt om automatisch te creëren vertrouwensrelatie tussen elk domein en de onderliggende domeinen.

Het creëren van het domein first.work.com leidt dus tot automatische organisatie tweerichtingsvertrouwensrelatie tussen ouder work.com en kind first.work.com (vergelijkbaar voor second.work.com). Daarom kunnen machtigingen worden toegepast van het bovenliggende domein op het onderliggende domein, en omgekeerd. Het is niet moeilijk om aan te nemen dat er vertrouwensrelaties zullen bestaan voor onderliggende domeinen.

Een andere eigenschap van vertrouwensrelaties is transitiviteit. We begrijpen dat er een vertrouwensrelatie met het work.com-domein wordt gecreëerd voor het net.first.work.com-domein.

Woud - Net als bomen zijn het structuren met meerdere domeinen. Maar woud is een vereniging van bomen met verschillende worteldomeinen.

Stel dat u besluit om meerdere domeinen te hebben met de namen work.com en home.net en daar onderliggende domeinen voor te maken, maar omdat u de tld (top level domain) niet onder uw controle heeft, kunt u in dit geval een forest organiseren door een van de rootdomeinen op het eerste niveau. Het mooie van het creëren van een bos is in dit geval de tweerichtingsvertrouwensrelatie tussen deze twee domeinen en hun onderliggende domeinen.

Wanneer u echter met bossen en bomen werkt, moet u het volgende onthouden:

u kunt geen bestaand domein aan de stamboom toevoegen
U kunt geen bestaande boom in het bos opnemen
Zodra domeinen in een forest zijn geplaatst, kunnen ze niet meer naar een ander forest worden verplaatst
u kunt geen domein verwijderen dat onderliggende domeinen heeft

Organisatie-eenheden - In principe kunnen ze subdomeinen worden genoemd. groepering binnen een domein toestaan rekeningen gebruikers, gebruikersgroepen, computers, shares, printers en andere OU's (organisatie-eenheden). Het praktische voordeel van het gebruik ervan is de mogelijkheid om rechten voor het beheer van deze eenheden te delegeren.

Simpel gezegd kunt u in een domein een beheerder aanstellen die de OE kan beheren, maar niet de rechten heeft om het hele domein te beheren.

Een belangrijk kenmerk van OU's is, in tegenstelling tot groepen, de mogelijkheid om groepsbeleid op hen toe te passen. “Waarom kun je het oorspronkelijke domein niet in meerdere domeinen opsplitsen in plaats van een OU te gebruiken?” – vraag je.

Veel experts adviseren om indien mogelijk één domein te hebben. De reden hiervoor is de decentralisatie van het beheer bij het creëren extra domein, aangezien de beheerders van elk dergelijk domein onbeperkte controle krijgen (laat me u eraan herinneren dat wanneer u rechten delegeert aan OE-beheerders, u hun functionaliteit kunt beperken).

Daarnaast heeft u, om een nieuw domein (zelfs een onderliggend domein) te maken, een andere controller nodig. Als u twee afzonderlijke afdelingen heeft die met elkaar zijn verbonden via een langzaam communicatiekanaal, kunnen er problemen met replicatie optreden. In dit geval zou het passender zijn om twee domeinen te hebben.

Er is ook nog een nuance bij het gebruik van groepsbeleid: beleid dat wachtwoordinstellingen en accountvergrendelingen definieert, kan alleen op domeinen worden toegepast. Voor organisatie-eenheden worden deze beleidsinstellingen genegeerd.

Websites - Dit is een manier om een directoryservice fysiek te scheiden. Per definitie is een site een groep verbonden computers snelle kanalen gegevensoverdracht.

Als u meerdere vestigingen in verschillende delen van het land heeft, verbonden door communicatielijnen met lage snelheid, kunt u voor elke vestiging uw eigen website maken. Dit wordt gedaan om de betrouwbaarheid van directoryreplicatie te vergroten.

Deze verdeling van AD heeft geen invloed op de principes van logische constructie. Daarom kan een domein, net zoals een site meerdere domeinen kan bevatten, en omgekeerd, meerdere sites bevatten. Maar er zit een addertje onder het gras aan deze directoryservicetopologie. In de regel wordt internet gebruikt om met vestigingen te communiceren - een zeer onveilige omgeving. Veel bedrijven maken gebruik van beveiligingsmaatregelen zoals firewalls. De directoryservice gebruikt bij zijn werk ongeveer anderhalf dozijn poorten en services, waarvan de opening om AD-verkeer door de firewall te laten passeren het feitelijk “buiten” blootstelt. De oplossing voor het probleem is het gebruik van tunneltechnologie en de aanwezigheid van een domeincontroller op elke site om de verwerking van AD-clientverzoeken te versnellen.

De logica van het nesten van componenten van directoryservices wordt gepresenteerd. Het is te zien dat het forest twee domeinbomen bevat, waarin het hoofddomein van de boom op zijn beurt OU's en groepen objecten kan bevatten, en ook onderliggende domeinen kan hebben (in in dit geval er is er één voor elk). Onderliggende domeinen kunnen ook objectgroepen en OE's bevatten en onderliggende domeinen hebben (niet weergegeven in de afbeelding). En zo verder. Ik wil u eraan herinneren dat OE's OU's, objecten en groepen objecten kunnen bevatten, en dat groepen andere groepen kunnen bevatten.

Gebruikers- en computergroepen - worden gebruikt voor administratieve doeleinden en hebben dezelfde betekenis als bij gebruik op lokale machines op het netwerk. In tegenstelling tot OU's kan groepsbeleid niet worden toegepast op groepen, maar kan het beheer voor hen worden gedelegeerd. Binnenin Actieve schema's Directory onderscheidt twee soorten groepen: beveiligingsgroepen (gebruikt om de toegangsrechten tot netwerkobjecten te onderscheiden) en distributiegroepen (voornamelijk gebruikt voor distributie mailberichten bijvoorbeeld op de server Microsoft Exchange Server).

Ze zijn onderverdeeld naar reikwijdte:

universele groepen kan zowel gebruikers binnen het bos als andere universele groepen omvatten mondiale groepen elk domein in het bos
mondiale domeingroepen kunnen domeingebruikers en andere globale groepen van hetzelfde domein omvatten
domein lokale groepen gebruikt om toegangsrechten te differentiëren, kan domeingebruikers omvatten, evenals universele groepen en globale groepen van elk domein in het forest
lokale computergroepen– groepen opgenomen door SAM (beveiligingsaccountmanager) lokale machine. Hun reikwijdte is alleen beperkt tot een bepaalde machine, maar ze kunnen zowel lokale groepen omvatten van het domein waarin de computer zich bevindt, als universele en globale groepen van hun eigen domein of een ander domein dat ze vertrouwen. U kunt bijvoorbeeld een gebruiker uit een domein opnemen lokale groep Gebruikers naar de groep Administrators van de lokale machine, waardoor hij beheerdersrechten krijgt, maar alleen voor deze computer

Alexander Emeljanov

Principes voor het construeren van Active Directory-domeinen

Active Directory is lange tijd opgenomen in de categorie van conservatieve principes van logisch ontwerp netwerk infrastructuur. Maar veel beheerders blijven bij hun werk gebruik maken van Windows NT-werkgroepen en -domeinen. Het implementeren van een directoryservice zal interessant en nuttig zijn voor zowel beginnende als ervaren beheerders om het netwerkbeheer te centraliseren en het juiste beveiligingsniveau te garanderen.

Active Directory, een technologie die zes jaar geleden in de Win2K-systemen verscheen, kan als revolutionair worden omschreven. In termen van flexibiliteit en schaalbaarheid is het een orde van grootte superieur aan NT 4-domeinen, om nog maar te zwijgen van netwerken bestaande uit werkgroepen.

Sinds de release van AD is er een groot aantal boeken en publicaties gepubliceerd over de onderwerpen planning, topologieontwerp, domeinondersteuning, beveiliging, enz.

De certificeringscursussen van Microsoft beloven dat u in 40 uur kunt leren hoe u uw domein kunt implementeren en succesvol kunt beheren.

Ik geloof het niet. Administratie is een proces dat vele jaren ervaring met ‘opeengepakte hobbels’ omvat, een enorme hoeveelheid gelezen documentatie (meestal op Engels) en ‘intieme’ gesprekken met management en gebruikers.

Er is nog een nuance: voordat u een cursus over het implementeren van Active Directory volgt, moet u met succes een cursus hebben gevolgd over het beheren van netwerkinfrastructuur op basis van Windows-server 2003, wat ook enige financiële kosten voor de student met zich meebrengt. We zijn er opnieuw van overtuigd dat Microsoft zijn doel niet zal missen. Maar dat is niet waar het hier om gaat...

Het bestuderen van de implementatie van AD past niet in het kader van een cursus van een week, laat staan één publicatie. Gewapend met de ervaring uit eerdere artikelen zullen we echter proberen erachter te komen wat een directoryservice in wezen is, wat de belangrijkste subtiliteiten van de installatie ervan zijn en hoe deze het leven van een systeembeheerder gemakkelijker kan maken.

Laten we ook eens kijken wat er nieuw is in Active Directory Windows-versie Server 2003.

Het is vermeldenswaard dat Microsoft in het laatste kwartaal van vorig jaar heeft uitgebracht Windows Vista, en daarmee een bijgewerkte directoryservice. Oude technologieën hebben hun relevantie tot op de dag van vandaag echter niet verloren.

In dit artikel gaan we van het begrijpen van de essentie van AD naar het creëren van ons eigen domein. De verdere configuratie, het beheer en de diagnostische hulpmiddelen ervan zullen in de volgende uitgaven worden behandeld.

Hoe Active Directory helpt

Hier is een gedeeltelijke lijst van alle voordelen die u krijgt als u een directoryservice implementeert:

een enkele gebruikersregistratiedatabase, die centraal op een of meer servers wordt opgeslagen; dus wanneer er een nieuwe medewerker op kantoor verschijnt, hoeft u alleen maar een account voor hem aan te maken op de server en aan te geven tot welke werkstations hij toegang heeft;
aangezien alle domeinbronnen geïndexeerd zijn, kunnen gebruikers eenvoudig en snel zoeken; bijvoorbeeld als u op de automatiseringsafdeling een kleurenprinter moet vinden;
de combinatie van het toepassen van NTFS-machtigingen, groepsbeleid en het delegeren van controle stelt u in staat de rechten tussen domeinleden te verfijnen en te verdelen;
zwervende gebruikersprofielen maken het mogelijk om belangrijke informatie en configuratie-instellingen op de server op te slaan; als een gebruiker met een zwervend profiel in een domein op een andere computer gaat werken en zijn gebruikersnaam en wachtwoord invoert, ziet hij zijn bureaublad met de instellingen waarmee hij vertrouwd is;
met behulp van groepsbeleid kunt u de instellingen van gebruikersbesturingssystemen wijzigen, van het toestaan dat de gebruiker een achtergrond op het bureaublad instelt tot beveiligingsinstellingen, en ook het distribueren van software via het netwerk, bijvoorbeeld de Volume Shadow Copy-client, enz.;
Veel programma's (proxyservers, databaseservers, enz.) die tegenwoordig niet alleen door Microsoft worden geproduceerd, hebben geleerd domeinauthenticatie te gebruiken, zodat u geen nieuwe gebruikersdatabase hoeft aan te maken, maar een bestaande kunt gebruiken;
Het gebruik van Remote Installation Services maakt het eenvoudiger om systemen op werkstations te installeren, maar werkt op zijn beurt alleen als de directoryservice is geïmplementeerd.

De negatieve aspecten van deze technologie komen tijdens het werkproces naar voren, hetzij door onwetendheid over de basisprincipes, hetzij door de onwil om in te gaan op de fijne kneepjes van AD-componenten. Leer opkomende problemen correct op te lossen, en alle negativiteit zal verdwijnen.

Ik zal me alleen concentreren op het feit dat al het bovenstaande geldig zal zijn in de aanwezigheid van een homogeen netwerk gebaseerd op de Windows 2000 OS-familie en hoger.

Bouwlogica

Laten we eens kijken naar de belangrijkste componenten van een directoryservice.

Domeinen

Dit is de logische basiseenheid van constructie. Vergeleken met werkgroepen zijn AD-domeinen beveiligingsgroepen met één registratiebasis, terwijl werkgroepen slechts een logische groep machines zijn. AD gebruikt DNS (Domain Name Server) voor naamgevings- en zoekservices, in plaats van WINS (Windows Internet Name Service), zoals het geval was in eerdere versies van NT. De namen van computers in het domein zien er dus bijvoorbeeld uit als buh.work.com, waarbij buh de naam is van de computer in het work.com-domein (hoewel dit niet altijd het geval is, lees hierover hieronder).

Werkgroepen gebruiken NetBIOS-namen. Voor het hosten van de AD-domeinstructuur is het mogelijk een niet-Microsoft DNS-server te gebruiken. Maar het moet compatibel zijn met BIND 8.1.2 of hoger en SRV-records (RFC 2052) en het Dynamic Registration Protocol (RFC 2136) ondersteunen. Elk domein heeft minimaal één domeincontroller die als host fungeert voor de centrale database.

Bomen

Dit zijn structuren met meerdere domeinen. De root van deze structuur is het hoofddomein waarvoor u onderliggende domeinen maakt. In feite gebruikt Active Directory een hiërarchische structuur die vergelijkbaar is met de domeinstructuur in DNS.

Als we bijvoorbeeld een domein work.com (domein van het eerste niveau) hebben en daarvoor twee onderliggende domeinen maken, first.work.com en second.work.com (hier zijn eerste en tweede domeinen van het tweede niveau, en geen computer in het domein, zoals in het hierboven beschreven geval), zullen we eindigen met een domeinboom (zie figuur 1).

Bomen als logische structuur worden gebruikt wanneer u bedrijfstakken moet verdelen, bijvoorbeeld op geografie of om andere organisatorische redenen.

AD helpt bij het automatisch creëren van vertrouwensrelaties tussen elk domein en de onderliggende domeinen.

De creatie van het first.work.com-domein leidt dus tot het automatisch tot stand brengen van een tweerichtingsvertrouwensrelatie tussen het moederbedrijf work.com en het onderliggende first.work.com-domein (op dezelfde manier voor second.work.com). Daarom kunnen machtigingen worden toegepast van het bovenliggende domein op het onderliggende domein, en omgekeerd. Het is niet moeilijk om aan te nemen dat er ook voor onderliggende domeinen vertrouwensrelaties zullen bestaan.

Een andere eigenschap van vertrouwensrelaties is transitiviteit. We krijgen dat er een vertrouwensrelatie ontstaat voor het net.first.work.com-domein met het work.com-domein.

Bossen

Net als bomen zijn het structuren met meerdere domeinen. Maar een bos is een verzameling bomen met verschillende worteldomeinen.

Stel dat u besluit meerdere domeinen te hebben met de namen work.com en home.net en daar onderliggende domeinen voor te maken, maar omdat u de tld (top level domain) niet onder uw controle heeft, kunt u in dit geval een forest organiseren (zie .Fig. 2), waarbij u een van de domeinen van het eerste niveau als root kiest. Het mooie van het creëren van een bos is in dit geval de tweerichtingsvertrouwensrelatie tussen deze twee domeinen en hun onderliggende domeinen.

Wanneer u echter met bossen en bomen werkt, moet u het volgende onthouden:

u kunt geen reeds bestaand domein aan de stamboom toevoegen;
Een bestaande boom kan niet in het bos worden opgenomen;
Zodra domeinen in een forest zijn geplaatst, kunnen ze niet meer naar een ander forest worden verplaatst;
U kunt geen domein verwijderen dat onderliggende domeinen heeft.

Voor meer diepgaande informatie over de fijne kneepjes van het gebruik en de configuratie van bomen en bossen kunt u de Microsoft TechNet-kennisbank bezoeken, en we gaan verder.

Organisatie-eenheden (OU)

Ze kunnen subdomeinen worden genoemd. Met OE's kunt u gebruikersaccounts, gebruikersgroepen, computers, shares, printers en andere OE's binnen een domein groeperen. Het praktische voordeel van het gebruik ervan is de mogelijkheid om rechten voor het beheer van deze eenheden te delegeren.

Simpel gezegd kunt u in een domein een beheerder aanwijzen die de OE kan beheren, maar niet de rechten heeft om het hele domein te beheren.

Een belangrijk kenmerk van OU’s, in tegenstelling tot groepen (laten we een beetje voorop lopen), is de mogelijkheid om groepsbeleid op hen toe te passen. “Waarom kun je het oorspronkelijke domein niet in meerdere domeinen opsplitsen in plaats van een OU te gebruiken?” – vraag je.

Veel experts adviseren om indien mogelijk één domein te hebben. De reden hiervoor is de decentralisatie van het beheer bij het aanmaken van een extra domein, aangezien de beheerders van elk dergelijk domein onbeperkte controle krijgen (ik wil u eraan herinneren dat u bij het delegeren van rechten aan OE-beheerders hun functionaliteit kunt beperken).

Gebruikers- en computergroepen

Ze worden gebruikt voor administratieve doeleinden en hebben dezelfde betekenis als wanneer ze worden gebruikt op lokale machines in een netwerk. In tegenstelling tot OU's kan groepsbeleid niet worden toegepast op groepen, maar kan het beheer voor hen worden gedelegeerd. Binnen het Active Directory-schema zijn er twee soorten groepen: beveiligingsgroepen (gebruikt om de toegangsrechten tot netwerkobjecten te onderscheiden) en distributiegroepen (voornamelijk gebruikt voor het distribueren van e-mailberichten, bijvoorbeeld in Microsoft Exchange Server).

Ze zijn onderverdeeld naar reikwijdte:

universele groepen kan zowel gebruikers binnen het bos omvatten als andere universele groepen of mondiale groepen van elk domein in het bos;
mondiale domeingroepen kan domeingebruikers en andere mondiale groepen van hetzelfde domein omvatten;
domein lokale groepen gebruikt om toegangsrechten te differentiëren, kan domeingebruikers omvatten, evenals universele groepen en globale groepen van elk domein in het bos;
lokale computergroepen– groepen die SAM (security account manager) van de lokale machine bevatten. Hun reikwijdte is alleen beperkt tot een bepaalde machine, maar ze kunnen zowel lokale groepen omvatten van het domein waarin de computer zich bevindt, als universele en globale groepen van hun eigen domein of een ander domein dat ze vertrouwen. U kunt bijvoorbeeld een gebruiker uit de domeinlokale gebruikersgroep opnemen in de groep Administrators van de lokale computer, waardoor hij beheerdersrechten krijgt, maar alleen voor deze computer.

Websites

Dit is een manier om een directoryservice fysiek te scheiden. Per definitie is een site een groep computers die met elkaar zijn verbonden via kanalen voor snelle gegevensoverdracht.

Als u bijvoorbeeld meerdere vestigingen in verschillende delen van het land heeft, verbonden door communicatielijnen met lage snelheid, kunt u voor elke vestiging uw eigen website maken. Dit wordt gedaan om de betrouwbaarheid van directoryreplicatie te vergroten.

In afb. Figuur 3 toont de nestlogica van de componenten van de directoryservice. Het is duidelijk dat het forest twee domeinbomen bevat, waarin het hoofddomein van de boom op zijn beurt OU's en groepen objecten kan bevatten, en ook onderliggende domeinen kan hebben (in dit geval één voor elk). Onderliggende domeinen kunnen ook objectgroepen en OE's bevatten en onderliggende domeinen hebben (niet weergegeven in de afbeelding). En zo verder. Ik wil u eraan herinneren dat OE's OU's, objecten en groepen objecten kunnen bevatten, en dat groepen andere groepen kunnen bevatten. Lees meer over het nesten van groepen en hun componenten in het volgende artikel.

Directory Service-entiteit

Om een bepaald beveiligingsniveau te bieden, moet elk besturingssysteem bestanden hebben die een gebruikersdatabase bevatten. In eerdere versies van Windows NT werd hiervoor een SAM-bestand (Security Accounts Manager) gebruikt. Het bevatte gebruikersgegevens en was gecodeerd. Tegenwoordig wordt SAM ook gebruikt besturingssystemen NT 5-familie (Windows 2000 en hoger).

Wanneer u een lidserver promoveert tot domeincontroller met de opdracht DCPROMO (waarmee de Directory Services-installatiewizard wordt uitgevoerd), wordt het subsysteem Windows-beveiliging Server 2000/2003 begint een gecentraliseerde AD-database te gebruiken. Dit kan eenvoudig worden gecontroleerd: probeer na het aanmaken van een domein de module Computerbeheer op de controller te openen en zoek daar “ Lokale gebruikers en groepen." Probeer bovendien in te loggen op deze server met een lokaal account. Het is onwaarschijnlijk dat u zult slagen.

De meeste gebruikersgegevens worden opgeslagen in het bestand NTDS.DIT (Directory Information Tree). NTDS.DIT is een aangepaste database. Het is gemaakt met dezelfde technologie als de basis Microsoft-gegevens Toegang. De algoritmen voor de werking van domeincontrollers bevatten een variant van de JET-database-engine Toegang tot gegevens, dat ESE (Extensible Storage Engine - uitbreidbare opslagengine) heette. NTDS.DIT en de services die met dit bestand communiceren, zijn eigenlijk een directoryservice.

De structuur van de interactie tussen AD-clients en het hoofdgegevensarchief, vergelijkbaar met de naamruimte van de directoryservice, wordt in het artikel gepresenteerd. Om de beschrijving compleet te maken, moet melding worden gemaakt van het gebruik van globale identificatiegegevens. Een Global Unique Identifier (GUID) is een 128-bits nummer dat aan elk object wordt gekoppeld wanneer het wordt gemaakt om de uniciteit ervan te garanderen. De AD-objectnaam kan worden gewijzigd, maar de GUID blijft ongewijzigd.

Globale catalogus

Je hebt vast al gemerkt dat de AD-structuur erg complex en omvattend kan zijn groot aantal voorwerpen. Denk maar aan het feit dat een AD-domein maximaal 1,5 miljoen objecten kan bevatten. Maar dit kan prestatieproblemen veroorzaken bij het uitvoeren van bewerkingen. Dit probleem wordt opgelost met behulp van de Global Catalog (GC). Het bevat een verkorte versie van het volledige AD-forest, waardoor het zoeken naar objecten sneller gaat. De eigenaar van de globale catalogus kunnen domeincontrollers zijn die speciaal voor dit doel zijn aangewezen.

FSMO-rollen

In AD wel specifieke lijst bewerkingen die slechts door één controller kunnen worden uitgevoerd. Dit worden FSMO-rollen (Flexible Single-Master Operations) genoemd. Er zijn in totaal 5 FSMO-rollen in AD. Laten we ze in meer detail bekijken.

Binnen het forest moet er een garantie zijn dat domeinnamen uniek zijn bij het toevoegen van een nieuw domein aan het forest van domeinen. Deze garantie wordt gegeven door de Domain Naming Master. De Schema Master voert alle wijzigingen in het directoryschema uit. De rollen Domeinnaameigenaar en Schema-eigenaar moeten uniek zijn binnen het domeinforest.

Zoals ik al zei: wanneer een object wordt gemaakt, wordt het geassocieerd met een globale identificatie, die de uniciteit ervan garandeert. Daarom moet de controller die verantwoordelijk is voor het genereren van GUID's en optreedt als eigenaar van relatieve identificatiegegevens (Relative ID Master) de enige binnen het domein zijn.

In tegenstelling tot NT-domeinen heeft AD niet het concept van PDC en BDC (primaire en back-updomeincontrollers). Een van de FSMO-rollen is PDC-emulator (Primary Domain Controller Emulator). Server onder Windows-besturing NT Server kan fungeren als back-updomeincontroller in AD. Maar het is bekend dat NT-domeinen slechts één primaire controller kunnen gebruiken. Daarom heeft Microsoft ervoor gezorgd dat we binnen één AD-domein één server kunnen toewijzen die de rol van PDC-emulator vervult. We kunnen dus, afwijkend van de terminologie, praten over de aanwezigheid van een hoofd- en back-updomeincontroller, wat betekent dat de eigenaar FSMO-rollen.

Wanneer objecten worden verwijderd of verplaatst, moet een van de controllers een verwijzing naar dat object behouden totdat de replicatie is voltooid. Deze rol wordt gespeeld door de eigenaar van de directory-infrastructuur (Infrastructure Master).

De laatste drie rollen vereisen dat de uitvoerder uniek is binnen het domein. Alle rollen worden toegewezen aan de eerste controller die in het forest is gemaakt. Bij het creëren van een uitgebreide AD-infrastructuur kunt u deze rollen delegeren aan andere controllers. Er kunnen zich ook situaties voordoen waarin de eigenaar van een van de rollen niet beschikbaar is (de server is uitgevallen). In dit geval is het noodzakelijk om de handeling van het vastleggen van de FSMO-rol uit te voeren met behulp van het NTDSUTIL-hulpprogramma (we zullen het hebben over het gebruik ervan in de volgende artikelen). Maar wees voorzichtig, want als je een rol overneemt, gaat de directoryservice daar van uit vorige eigenaar nee, en spreekt hem helemaal niet aan. De terugkeer van de vorige rolhouder naar het netwerk kan leiden tot verstoring van het functioneren ervan. Dit is vooral van cruciaal belang voor de schema-eigenaar, domeinnaameigenaar en identiteitseigenaar.

Wat de prestaties betreft: de rol van de emulator van de primaire domeincontroller is het meest veeleisend voor de bronnen van de computer, dus deze kan aan een andere controller worden toegewezen. De overige rollen zijn niet zo veeleisend, dus bij het distribueren ervan kunt u zich laten leiden door de nuances van het logische ontwerp van uw AD.

De laatste stap van de theoreticus

Het lezen van het artikel zou je helemaal niet van theoretici naar praktijkmensen moeten overbrengen. Want totdat u rekening hebt gehouden met alle factoren, van de fysieke plaatsing van netwerkknooppunten tot de logische constructie van de hele directory, moet u niet aan de slag gaan en een domein bouwen met eenvoudige antwoorden op de vragen van de AD-installatiewizard. Bedenk hoe uw domein zal heten en, als u er onderliggende domeinen voor gaat maken, hoe deze zullen worden genoemd. Als er meerdere segmenten op het netwerk zijn die met elkaar verbonden zijn via onbetrouwbare communicatiekanalen, overweeg dan om sites te gebruiken.

Als leidraad voor het installeren van AD kan ik het gebruik van artikelen en de Microsoft Knowledge Base aanbevelen.

Tot slot nog een paar tips:

Probeer, indien mogelijk, de rollen van PDC-emulator en proxyserver niet op dezelfde machine te combineren. Ten eerste neemt met een groot aantal machines op het netwerk en internetgebruikers de belasting van de server toe, en ten tweede zal met een succesvolle aanval op uw proxy niet alleen het internet, maar ook de hoofddomeincontroller “vallen”, en dit is beladen onjuist werk het hele netwerk.
Als u voortdurend aan het toedienen bent lokaal netwerk Als u Active Directory niet voor klanten gaat implementeren, voeg dan geleidelijk machines aan het domein toe, bijvoorbeeld vier of vijf per dag. Want als u een groot aantal machines in uw netwerk heeft (50 of meer) en u beheert deze alleen, dan is het onwaarschijnlijk dat u deze zelfs in het weekend kunt beheren, en zelfs als u deze wel beheert, is het onbekend hoe correct alles zal zijn. . Om documentatie binnen het netwerk uit te wisselen, kunt u bovendien bestand of intern gebruiken mailserver(Ik heb dit beschreven in nr. 11, 2006). Het enige dat in dit geval nodig is, is om goed te begrijpen hoe u gebruikersrechten voor toegang tot de bestandsserver configureert. Want als het bijvoorbeeld niet in het domein zit, wordt gebruikersauthenticatie uitgevoerd op basis van records lokale basis SAM. Er zijn geen gegevens over domein gebruikers. Als uw bestandsserver echter een van de eerste machines is die in AD is opgenomen en geen domeincontroller is, is het mogelijk om te authenticeren via zowel de lokale SAM-database als de AD-accountdatabase. Maar voor de laatste optie zul je wel moeten lokale instellingen beveiliging om (als dit nog niet is gebeurd) toegang tot de bestandsserver via het netwerk mogelijk te maken voor zowel domeinleden als lokale accounts.

OVER verder maatwerk Directoryservices (accounts aanmaken en beheren, groepsbeleid toewijzen, enz.) lees het volgende artikel.

Sollicitatie

Wat is er nieuw in Active Directory in Windows Server 2003

Met de release van Windows Server 2003 zijn de volgende wijzigingen in Active Directory verschenen:

Het is mogelijk geworden om een domein te hernoemen nadat het is aangemaakt.
Verbeterd gebruikersinterface beheer. U kunt bijvoorbeeld de kenmerken van meerdere objecten tegelijk wijzigen.
Verscheen goed middel groepsbeleidsbeheer - Group Policy Management Console (gpmc.msc, dit moet worden gedownload van de Microsoft-website).
De functionele niveaus van het domein en het bos zijn veranderd.

OVER laatste verandering moet nader worden gezegd. Het AD-domein in Windows Server 2003 kan zich op een van de volgende bevinden volgende niveaus, vermeld in volgorde van toenemende functionaliteit:

Windows 2000 Gemengd (gemengd Windows 2000). Het is toegestaan om controleurs te hebben verschillende versies– zowel Windows NT als Windows 2000/2003. Bovendien, als Windows 2000/2003-servers gelijke rechten hebben, kan de NT-server, zoals reeds vermeld, alleen optreden back-upcontroller domein.
Windows 2000 Native (natuurlijke Windows 2000). Het is toegestaan om controllers met Windows Server 2000/2003 te hebben. Dit niveau is functioneler, maar heeft zijn beperkingen. U kunt bijvoorbeeld de naam van domeincontrollers niet wijzigen.
Windows Server 2003 Interim (gemiddeld Windows Server 2003). Het is toegestaan om controllers met Windows NT en Windows Server 2003 te hebben. Wordt bijvoorbeeld gebruikt wanneer de hoofddomeincontroller actief is Windows-server NT wordt bijgewerkt naar W2K3. Het niveau heeft iets meer functionaliteit dan Windows-niveau 2000 Inheems.
WindowsServer 2003. Alleen controllers met Windows Server 2003 zijn toegestaan in het domein. Op dit niveau kunt u profiteren van alle mogelijkheden van de service Windows-mappen Server 2003.

De functionele niveaus van een domeinforest zijn in wezen hetzelfde als voor domeinen. De enige uitzondering is dat er slechts één niveau van Windows 2000 is waarop het mogelijk is om controllers met Windows NT en Windows Server 2000/2003 in het forest te gebruiken.

Het is vermeldenswaard dat het veranderen van het functionele niveau van een domein en forest een onomkeerbare operatie is. Dat wil zeggen, er is geen achterwaartse compatibiliteit.

Korobko I. Active Directory – constructietheorie. //« Systeembeheerder", nr. 1, 2004 – blz. 90-94. ().
Markov R. Windows-domeinen 2000/2003 – opgeven werkgroep. //"Systeembeheerder", nr. 9, 2005 – pp. 8-11. ().
Markov R. Windows 2K Server installeren en configureren. //"Systeembeheerder", nr. 10, 2004 - pagina's 88-94. ().

Active Directory - Microsoft's directoryservice voor besturingssysteem Windows-familie NT

Deze dienst stelt beheerders in staat groepsbeleid te gebruiken om consistentie in gebruikersinstellingen te garanderen werkomgeving, software-installatie, updates, enz.

Wat is de essentie van Active Directory en welke problemen lost het op? Lees verder.

Principes voor het organiseren van peer-to-peer- en multi-peer-netwerken

Maar er doet zich nog een probleem voor: wat als gebruiker2 op PC2 besluit zijn wachtwoord te wijzigen? Als gebruiker1 vervolgens het accountwachtwoord wijzigt, heeft gebruiker2 op PC1 geen toegang tot de bron.

Nog een voorbeeld: we hebben 20 werkstations met 20 accounts waartoe we toegang willen verlenen tot een bepaald . Om dit te doen, moeten we 20 accounts aanmaken op de bestandsserver en toegang verlenen tot de benodigde bron.

Wat als het er niet 20 maar 200 zijn?

Zoals u begrijpt, verandert netwerkbeheer met deze aanpak in een absolute hel.

Daarom is de werkgroepaanpak geschikt voor kleine groepen kantoornetwerken met een aantal pc's van niet meer dan 10 eenheden.

Als er meer dan tien werkstations in het netwerk zijn, wordt de aanpak waarbij aan één netwerkknooppunt de rechten worden gedelegeerd om authenticatie en autorisatie uit te voeren, rationeel gerechtvaardigd.

Dit knooppunt is de domeincontroller - Active Directory.

Domeincontroller

De controller slaat een database met accounts op, d.w.z. het slaat accounts op voor zowel PC1 als PC2.

Nu worden alle accounts één keer op de controller geregistreerd en wordt de behoefte aan lokale accounts zinloos.

Wanneer een gebruiker nu inlogt op een pc en zijn gebruikersnaam en wachtwoord invoert, worden deze gegevens in privévorm verzonden naar de domeincontroller, die de authenticatie- en autorisatieprocedures uitvoert.

Daarna verstrekt de verwerkingsverantwoordelijke de ingelogde gebruiker bijvoorbeeld een paspoort, waarmee hij vervolgens op het netwerk werkt en dat hij op verzoek van andere netwerkcomputers, servers waarmee hij verbinding wil maken, presenteert.

Belangrijk! Een domeincontroller is een computer waarop Active Directory wordt uitgevoerd en die de gebruikerstoegang tot netwerkbronnen regelt. Het slaat bronnen op (bijvoorbeeld printers, gedeelde mappen), diensten (bijvoorbeeld e-mail), mensen (gebruikers- en gebruikersgroepaccounts), computers (computeraccounts).

Het aantal van dergelijke opgeslagen bronnen kan miljoenen objecten bereiken.

De volgende versies van MS Windows kunnen als domeincontroller fungeren: Windows Server 2000/2003/2008/2012 behalve Web-Edition.

De domeincontroller is niet alleen het authenticatiecentrum voor het netwerk, maar ook het controlecentrum voor alle computers.

Onmiddellijk na het inschakelen begint de computer contact te maken met de domeincontroller, lang voordat het authenticatievenster verschijnt.

Zo wordt niet alleen de gebruiker die de login en het wachtwoord invoert, geverifieerd, maar ook de clientcomputer.

Active Directory installeren

Laten we eens kijken naar een voorbeeld Actieve installaties Directory op Windows Server 2008 R2. Om de Active Directory-rol te installeren, gaat u dus naar “Serverbeheer”:

Voeg de rol “Rollen toevoegen” toe:

Selecteer de Active Directory Domain Services-rol:

En laten we beginnen met de installatie:

Hierna ontvangen we een meldingsvenster over de geïnstalleerde rol:

Nadat we de rol van domeincontroller hebben geïnstalleerd, gaan we verder met het installeren van de controller zelf.

Klik op “Start” in het programmazoekveld, voer de naam van de DCPromo-wizard in, start deze en vink het vakje aan voor geavanceerde installatie-instellingen:

Klik op “Volgende” en kies ervoor om een nieuw domein en forest te maken uit de aangeboden opties.

Voer de domeinnaam in, bijvoorbeeld voorbeeld.net.

We schrijven de NetBIOS-domeinnaam, zonder zone:

Selecteer het functionele niveau van ons domein:

Vanwege de eigenaardigheden van de werking van de domeincontroller installeren wij ook een DNS-server.

Active Directory (AD)-technologie is een directoryservice gemaakt door Microsoft. Een directoryservice bevat gegevens in een georganiseerd formaat en biedt er georganiseerde toegang toe. Active Directory is geen uitvinding van Microsoft, maar een implementatie van een bestaand industrieel model (namelijk X.500), communicatieprotocol(LDAP - Lichtgewicht map Toegangsprotocol) en technologieën voor het ophalen van gegevens (DNS-services).

U moet beginnen met het leren kennen van Active Directory door het doel van deze technologie te begrijpen. In algemene termen is een map een container voor het opslaan van gegevens.

Een telefoongids is een goed voorbeeld van een telefoongidsdienst, omdat deze een reeks gegevens bevat en de mogelijkheid biedt om de benodigde informatie uit de telefoongids te verkrijgen. De map bevat verschillende vermeldingen, die elk een eigenwaarde bijvoorbeeld voor-/achternamen van abonnees, hun woonadres en feitelijk telefoonnummer. In een uitgebreide directory worden vermeldingen gegroepeerd op geografische locatie, type of beide. Op deze manier kan voor elke geografische locatie een hiërarchie van recordtypen worden gevormd. Daarnaast, telefoon operator past ook bij de definitie van een directoryservice omdat deze toegang heeft tot gegevens. Als u daarom een verzoek indient om directorygegevens te verkrijgen, zal de operator het vereiste antwoord op het ontvangen verzoek geven.

Dienst Actieve mappen Directory is ontworpen om informatie over iedereen op te slaan netwerkbronnen. Clients hebben de mogelijkheid om Active Directory te raadplegen om informatie over elk netwerkobject te verkrijgen. Active Directory-functies omvatten het volgende:

Veilige gegevensopslag. Elk object in Active Directory heeft eigen lijst toegangscontrole (ACL), die een lijst bevat met bronnen waaraan toegang is verleend tot een object, evenals een vooraf gedefinieerd toegangsniveau tot dat object.
Een feature-rijke query-engine gebaseerd op de door Active Directory gemaakte globale catalogus (GC). Alle clients die Active Directory ondersteunen, hebben toegang tot deze map.
Het repliceren van directorygegevens naar alle domeincontrollers vereenvoudigt de toegang tot informatie, verbetert de beschikbaarheid en verbetert de betrouwbaarheid van de gehele service.
Een modulair uitbreidingsconcept waarmee u nieuwe objecttypen kunt toevoegen of bestaande objecten kunt uitbreiden. U kunt bijvoorbeeld het kenmerk ‘salaris’ toevoegen aan het object ‘gebruiker’.
Netwerkcommunicatie via meerdere protocollen. Active Directory is gebaseerd op het X.500-model, dat een verscheidenheid aan netwerkprotocollen bijvoorbeeld LDAP 2, LDAP 3 en HTTP.
Om naamgevings- en opzoekservices voor domeincontrollers te implementeren netwerkadressen DNS-service wordt gebruikt in plaats van NetBIOS.

Directory-informatie wordt over het gehele domein verspreid, waardoor excessieve duplicatie van gegevens wordt vermeden.

Hoewel Active Directory directory-informatie over verschillende winkels distribueert, hebben gebruikers de mogelijkheid om Active Directory te raadplegen voor informatie over andere domeinen. Globale catalogus bevat informatie over alle objecten in een bedrijfsforest, zodat u gegevens in het hele forest kunt zoeken.

Wanneer u het DCPROMO-hulpprogramma start (programma voor het verbeteren reguliere server naar een domeincontroller) op een Windows-computer om een nieuw domein te maken, maakt het hulpprogramma het domein op de DNS-server. De client neemt vervolgens contact op met de DNS-server om informatie over zijn domein te verkrijgen. DNS-server geeft niet alleen informatie over het domein, maar ook over de dichtstbijzijnde domeincontroller. Het clientsysteem maakt op zijn beurt verbinding met de Active Directory-domeindatabase op de dichtstbijzijnde domeincontroller om de benodigde objecten (printers, bestandsservers, gebruikers, groepen, organisatie-eenheden) te vinden die deel uitmaken van het domein. Omdat elke domeincontroller verwijzingen naar andere domeinen in de boom opslaat, kan de client de gehele domeinboom doorzoeken.

Er is een versie van Active Directory beschikbaar die alle objecten in een domeinforest weergeeft als u gegevens buiten de domeinstructuur van de klant moet zoeken. Deze versie wordt een globale catalogus genoemd. De globale catalogus kan worden opgeslagen op elke domeincontroller in het AD-forest.

De globale catalogus biedt snelle toegang voor elk object dat zich in het domeinforest bevindt, maar tegelijkertijd slechts enkele objectparameters bevat. Om alle kenmerken te verkrijgen, moet u contact opnemen met de Active Directory-service van het doeldomein (de controller van het betreffende domein). De globale catalogus kan worden geconfigureerd om de vereiste objecteigenschappen te leveren.

Om het proces van het maken van actieve objecten te vereenvoudigen Directory-controller domein bevat een kopie- en klassenhiërarchie voor het hele forest. Active Directory bevat klassenstructuren in een uitbreidbaar schema waaraan nieuwe klassen kunnen worden toegevoegd.

Schema maakt deel uit van de Windows-configuratienaamruimte die wordt ondersteund door alle domeincontrollers in het forest. De Windows-configuratienaamruimte bestaat uit verschillende structurele elementen zoals fysieke locatie, Windows-sites en subnetten.

Locatie bevindt zich in een forest en kan computers uit elk domein verenigen, en alle computers op de site moeten snel en betrouwbaar zijn netwerkverbindingen om een back-up te maken van domeincontrollergegevens.

Subnet is een groep IP-adressen die aan een site zijn toegewezen. Met subnetten kunt u de replicatie van Active Directory-gegevens tussen domeincontrollers versnellen.

Active Directory - Uitbreidbare en schaalbare Active Directory-directoryservice waarmee u netwerkbronnen effectief kunt beheren.
Actieve map is een hiërarchisch georganiseerde opslagplaats van gegevens over netwerkobjecten, die handige middelen biedt voor het zoeken en gebruiken van deze gegevens. De computer waarop Active Directory wordt uitgevoerd, wordt een domeincontroller genoemd. Bijna alle administratieve taken hebben betrekking op Active Directory.
Active Directory-technologie is gebaseerd op standaard internet- protocollen en helpt bij het duidelijk definiëren van de structuur van het netwerk. Lees hier meer over hoe u een Active Directory-domein helemaal opnieuw kunt implementeren.

Active Directory en DNS

Active Directory-gebruik domein systeem namen

Met de hulp Actieve diensten Directory maakt computeraccounts aan, verbindt deze met het domein, beheert computers, domeincontrollers en organisatorische eenheden(OP).

Voor Actieve controle Directory biedt beheer- en ondersteuningstools. De onderstaande tools zijn ook geïmplementeerd als MMC-consolemodules ( Microsoft-beheer Troosten):

Met Active Directory: gebruikers en computers kunt u gebruikers, groepen, computers en organisatie-eenheden (OU) beheren;

Active Directory - domeinen en trusts (Active Directory Domains and Trusts) wordt gebruikt om te werken met domeinen, domeinbomen en domeinforesten;

Met Active Directory Sites en Services kunt u sites en subnetten beheren;

De resulterende beleidsset wordt gebruikt om het huidige beleid van een gebruiker of systeem te bekijken en om wijzigingen in het beleid te plannen.

IN Microsoft Windows 2003 Server hebt u rechtstreeks toegang tot deze modules via het menu Systeembeheer.

Met een ander beheerhulpmiddel, de module Active Directory Schema, kunt u het directoryschema beheren en wijzigen.

Er zijn tools voor het beheren van Active Directory-objecten opdrachtregel, waarmee u een breed scala aan administratieve taken kunt uitvoeren:

DSADD - voegt computers, contacten, groepen, OU's en gebruikers toe aan Active Directory.

DSGET - geeft eigenschappen weer van computers, contacten, groepen, OU's, gebruikers, sites, subnetten en servers die zijn geregistreerd in Active Directory.

DSMOD - wijzigt de eigenschappen van computers, contacten, groepen, OP's, gebruikers en servers die zijn geregistreerd in Active Directory.

DSMOVE - Verplaatst een enkel object naar een nieuwe locatie binnen een domein of hernoemt het object zonder het te verplaatsen.

DSQXJERY - zoekt naar computers, contacten, groepen, OP's, gebruikers, sites, subnetten en servers in Active Directory volgens gespecificeerde criteria.

DSRM - verwijdert een object uit Active Directory.

NTDSUTIL - hiermee kunt u informatie over een site, domein of server bekijken, operations masters beheren en de Active Directory-database onderhouden.