Installatiewizard Active Directory Domain Services. Wat is Active Directory - hoe te installeren en configureren. Active Directory installeren

Active Directory is een Microsoft-directoryservice voor de Windows NT-besturingssystemen.

Met deze service kunnen beheerders groepsbeleid gebruiken om uniformiteit van instellingen voor de werkomgeving van de gebruiker, software-installatie, updates, enz. te garanderen.

Wat is de essentie van Active Directory en welke problemen lost het op? Lees verder.

Principes voor het organiseren van peer-to-peer- en multi-peer-netwerken

Maar er doet zich nog een probleem voor: wat als gebruiker2 op PC2 besluit zijn wachtwoord te wijzigen? Als gebruiker1 vervolgens het accountwachtwoord wijzigt, heeft gebruiker2 op PC1 geen toegang tot de bron.

Nog een voorbeeld: we hebben 20 werkstations met 20 accounts waartoe we toegang willen verlenen tot een bepaald . Om dit te doen, moeten we 20 accounts aanmaken op de bestandsserver en toegang verlenen tot de benodigde bron.

Wat als het er niet 20 maar 200 zijn?

Zoals u begrijpt, verandert netwerkbeheer met deze aanpak in een absolute hel.

Daarom is de werkgroepaanpak geschikt voor kleine kantoornetwerken met niet meer dan 10 pc's.

Als er meer dan tien werkstations in het netwerk zijn, wordt de aanpak waarbij aan één netwerkknooppunt de rechten worden gedelegeerd om authenticatie en autorisatie uit te voeren, rationeel gerechtvaardigd.

Dit knooppunt is de domeincontroller - Active Directory.

Domeincontroller

De verwerkingsverantwoordelijke houdt een database met rekeningen bij, d.w.z. het slaat accounts op voor zowel PC1 als PC2.

Nu worden alle accounts één keer op de controller geregistreerd en wordt de behoefte aan lokale accounts zinloos.

Wanneer een gebruiker nu inlogt op een pc en zijn gebruikersnaam en wachtwoord invoert, worden deze gegevens in privévorm verzonden naar de domeincontroller, die de authenticatie- en autorisatieprocedures uitvoert.

Daarna verstrekt de verwerkingsverantwoordelijke de ingelogde gebruiker bijvoorbeeld een paspoort, waarmee hij vervolgens op het netwerk werkt en dat hij op verzoek van andere netwerkcomputers, servers waarmee hij verbinding wil maken, presenteert.

Belangrijk! Een domeincontroller is een computer waarop Active Directory wordt uitgevoerd en die de gebruikerstoegang tot netwerkbronnen regelt. Het slaat bronnen op (bijvoorbeeld printers, gedeelde mappen), diensten (bijvoorbeeld e-mail), mensen (gebruikers- en gebruikersgroepaccounts), computers (computeraccounts).

Het aantal van dergelijke opgeslagen bronnen kan miljoenen objecten bereiken.

De volgende versies van MS Windows kunnen als domeincontroller fungeren: Windows Server 2000/2003/2008/2012 behalve Web-Edition.

De domeincontroller is niet alleen het authenticatiecentrum voor het netwerk, maar ook het controlecentrum voor alle computers.

Onmiddellijk na het inschakelen begint de computer contact te maken met de domeincontroller, lang voordat het authenticatievenster verschijnt.

Zo wordt niet alleen de gebruiker die de gebruikersnaam en het wachtwoord invoert, geverifieerd, maar wordt ook de clientcomputer geverifieerd.

Active Directory installeren

Laten we een voorbeeld bekijken van het installeren van Active Directory op Windows Server 2008 R2. Om de Active Directory-rol te installeren, gaat u dus naar “Serverbeheer”:

Voeg de rol “Rollen toevoegen” toe:

Selecteer de Active Directory Domain Services-rol:

En laten we beginnen met de installatie:

Hierna ontvangen we een meldingsvenster over de geïnstalleerde rol:

Nadat we de rol van domeincontroller hebben geïnstalleerd, gaan we verder met het installeren van de controller zelf.

Klik op “Start” in het programmazoekveld, voer de naam van de DCPromo-wizard in, start deze en vink het vakje aan voor geavanceerde installatie-instellingen:

Klik op “Volgende” en kies ervoor om een nieuw domein en forest te maken uit de aangeboden opties.

Voer de domeinnaam in, bijvoorbeeld voorbeeld.net.

We schrijven de NetBIOS-domeinnaam, zonder zone:

Selecteer het functionele niveau van ons domein:

Vanwege de eigenaardigheden van de werking van de domeincontroller installeren wij ook een DNS-server.

De locaties van de database, het logbestand en het systeemvolume blijven ongewijzigd:

Voer het wachtwoord van de domeinbeheerder in:

We controleren de juistheid van de vulling en als alles in orde is, klikken we op “Volgende”.

Hierna begint het installatieproces, aan het einde waarvan een venster verschijnt waarin u wordt geïnformeerd dat de installatie succesvol was:

Inleiding tot Active Directory

Het rapport bespreekt twee soorten computernetwerken die kunnen worden gemaakt met behulp van Microsoft-besturingssystemen: werkgroepen en Active Directory-domeinen.

Active Directory (AD) is een hulpprogramma dat is ontworpen voor het Microsoft Server-besturingssysteem. Het is oorspronkelijk gemaakt als een lichtgewicht algoritme voor toegang tot gebruikersmappen. Sinds de versie van Windows Server 2008 is er integratie met autorisatiediensten verschenen.

Maakt het mogelijk om te voldoen aan groepsbeleid dat hetzelfde type instellingen en software toepast op alle gecontroleerde pc's met behulp van System Center Configuration Manager.

In eenvoudige bewoordingen voor beginners: dit is een serverrol waarmee u alle toegang en machtigingen op het lokale netwerk vanaf één plek kunt beheren

Functies en doeleinden

Microsoft Active Directory is een (zogenaamd directory)pakket met tools waarmee u gebruikers- en netwerkgegevens kunt manipuleren. Hoofddoel creatie - het werk van systeembeheerders in grote netwerken vergemakkelijken.

Directory's bevatten verschillende informatie met betrekking tot gebruikers, groepen, netwerkapparaten, bestandsbronnen - kortom objecten. De gebruikerskenmerken die in de directory zijn opgeslagen, moeten bijvoorbeeld de volgende zijn: adres, login, wachtwoord, mobiel telefoonnummer, enz. De map wordt gebruikt als authenticatie punten, waarmee u de nodige informatie over de gebruiker kunt achterhalen.

Basisbegrippen die men tegenkomt tijdens het werk

Er zijn een aantal gespecialiseerde concepten die worden gebruikt bij het werken met AD:

Server is een computer die alle gegevens bevat.
De controller is een server met de AD-rol die verzoeken verwerkt van mensen die het domein gebruiken.
Een AD-domein is een verzameling apparaten verenigd onder één unieke naam, die tegelijkertijd gebruik maken van een gemeenschappelijke directorydatabase.
De gegevensopslag is het deel van de directory dat verantwoordelijk is voor het opslaan en ophalen van gegevens van elke domeincontroller.

Hoe actieve mappen werken

De belangrijkste werkingsprincipes zijn:

Autorisatie, waarmee u uw pc eenvoudig op het netwerk kunt gebruiken door eenvoudigweg uw persoonlijke wachtwoord in te voeren. In dit geval wordt alle informatie van het account overgedragen.
Beveiliging. Active Directory bevat gebruikersherkenningsfuncties. Voor elk netwerkobject kunt u op afstand, vanaf één apparaat, de benodigde rechten instellen, afhankelijk van de categorieën en specifieke gebruikers.
Netwerkbeheer vanaf één punt. Bij het werken met Active Directory hoeft de systeembeheerder niet alle pc's opnieuw te configureren als het nodig is om toegangsrechten voor bijvoorbeeld een printer te wijzigen. Wijzigingen worden op afstand en wereldwijd doorgevoerd.
Vol DNS-integratie. Met zijn hulp is er geen verwarring in AD; alle apparaten worden precies hetzelfde aangeduid als op het World Wide Web.
Grootschalig. Een set servers kan worden bestuurd door één Active Directory.
Zoekopdracht uitgevoerd op basis van verschillende parameters, bijvoorbeeld computernaam, login.

Objecten en attributen

Een object is een reeks attributen, verenigd onder hun eigen naam, die een netwerkbron vertegenwoordigen.

Attribuut - kenmerken van een object in de catalogus. Deze omvatten bijvoorbeeld de volledige naam en login van de gebruiker. Maar de kenmerken van een pc-account kunnen de naam van deze computer en de beschrijving ervan zijn.

“Werknemer” is een object dat de attributen “Naam”, “Positie” en “TabN” heeft.

LDAP-container en naam

Container is een type object dat dat wel kan bestaan uit andere voorwerpen. Een domein kan bijvoorbeeld accountobjecten bevatten.

Hun hoofddoel is objecten organiseren op basis van soorten tekens. Meestal worden containers gebruikt om objecten met dezelfde attributen te groeperen.

Bijna alle containers brengen een verzameling objecten in kaart, en bronnen worden toegewezen aan een uniek Active Directory-object. Een van de belangrijkste typen AD-containers is de organisatiemodule of OU (organisatie-eenheid). Objecten die in deze container worden geplaatst, behoren alleen tot het domein waarin ze zijn gemaakt.

Lightweight Directory Access Protocol (LDAP) is het basisalgoritme voor TCP/IP-verbindingen. Het is ontworpen om de hoeveelheid nuance te verminderen bij de toegang tot directoryservices. LDAP definieert ook de acties die worden gebruikt om directorygegevens op te vragen en te bewerken.

Boom en site

Een domeinboom is een structuur, een verzameling domeinen die een gemeenschappelijk schema en configuratie hebben, die een gemeenschappelijke naamruimte vormen en met elkaar zijn verbonden door vertrouwensrelaties.

Een domeinbos is een verzameling bomen die met elkaar zijn verbonden.

Een site is een verzameling apparaten in IP-subnetten, die een fysiek model van het netwerk vertegenwoordigen, waarvan de planning wordt uitgevoerd ongeacht de logische weergave van de constructie ervan. Active Directory heeft de mogelijkheid om een n-aantal sites aan te maken of een n-aantal domeinen onder één site te combineren.

Active Directory installeren en configureren

Laten we nu direct overgaan tot het instellen van Active Directory met Windows Server 2008 als voorbeeld (de procedure is identiek voor andere versies):

Klik op de knop "OK". Het is vermeldenswaard dat dergelijke waarden niet vereist zijn. U kunt het IP-adres en de DNS van uw netwerk gebruiken.

Vervolgens moet u naar het menu "Start" gaan, "Beheer" en "" selecteren.
Ga naar het item “Rollen”, selecteer de “ Rollen toevoegen”.
Selecteer “Active Directory Domain Services”, klik tweemaal op “Volgende” en vervolgens op “Installeren”.
Wacht tot de installatie is voltooid.
Open het menu “Start”-“ Uitvoeren" Voer dcpromo.exe in het veld in.
Klik op “Volgende”.
Selecteer “ Maak een nieuw domein in een nieuw forest' en klik nogmaals op 'Volgende'.
Voer in het volgende venster een naam in en klik op “Volgende”.
Kiezen compatibiliteitsmodus(WindowsServer 2008).
Laat in het volgende venster alles zoals standaard.
Zal beginnen configuratievensterDNS. Omdat het nog niet eerder op de server was gebruikt, is er geen delegatie gemaakt.
Selecteer de installatiemap.
Na deze stap moet u instellen beheerderswachtwoord.

Om veilig te zijn, moet het wachtwoord aan de volgende vereisten voldoen:

Nadat AD het componentconfiguratieproces heeft voltooid, moet u de server opnieuw opstarten.

De installatie is voltooid, de module en de rol zijn op het systeem geïnstalleerd. U kunt AD alleen installeren op de reguliere versies van Windows Server, bijvoorbeeld 7 of 10, waarbij u mogelijk alleen de beheerconsole kunt installeren.

Beheer in Active Directory

In Windows Server werkt de console Active Directory: gebruikers en computers standaard met het domein waartoe de computer behoort. U hebt toegang tot computer- en gebruikersobjecten in dit domein via de consolestructuur of kunt verbinding maken met een andere controller.

Met de tools in dezelfde console kunt u bekijken extra opties objecten en ernaar zoeken, kunt u nieuwe gebruikers en groepen aanmaken en machtigingen wijzigen.

Trouwens, dat is zo 2 soorten groepen in de Asset Directory - beveiliging en distributie. Beveiligingsgroepen zijn verantwoordelijk voor het afbakenen van toegangsrechten tot objecten; ze kunnen worden gebruikt als distributiegroepen.

Distributiegroepen kunnen geen onderscheid maken tussen rechten en worden voornamelijk gebruikt voor het distribueren van berichten op het netwerk.

Wat is AD-delegatie

Delegatie zelf wel overdracht van een deel van de rechten en controle van de ouder naar een andere verantwoordelijke partij.

Het is bekend dat elke organisatie meerdere systeembeheerders op het hoofdkantoor heeft. Er moeten verschillende taken aan verschillende schouders worden toegewezen. Om wijzigingen toe te passen, moet u over rechten en machtigingen beschikken, die zijn onderverdeeld in standaard en speciaal. Specifieke machtigingen zijn van toepassing op een specifiek object, terwijl standaardmachtigingen een reeks bestaande machtigingen zijn die specifieke functies beschikbaar of niet beschikbaar maken.

Vertrouwen opbouwen

Er zijn twee soorten vertrouwensrelaties in AD: 'unidirectioneel' en 'bidirectioneel'. In het eerste geval vertrouwt het ene domein het andere, maar niet andersom. Het eerste heeft dus toegang tot de bronnen van het tweede, maar het tweede heeft geen toegang; In het tweede type is vertrouwen ‘wederzijds’. Er zijn ook ‘uitgaande’ en ‘inkomende’ relaties. Bij uitgaand vertrouwen vertrouwt het eerste domein het tweede, waardoor gebruikers van het tweede domein de bronnen van het eerste kunnen gebruiken.

Tijdens de installatie moeten de volgende procedures worden gevolgd:

Rekening netwerkverbindingen tussen controllers.
Controleer instellingen.
Stem af naamresolutie voor externe domeinen.
Creëer een verbinding vanuit het vertrouwende domein.
Maak een verbinding vanaf de kant van de controller waaraan de vertrouwensrelatie is gericht.
Controleer de gemaakte eenrichtingsrelaties.
Als de behoefte ontstaat bij het aangaan van bilaterale betrekkingen - maak een installatie.

Globale catalogus

Dit is een domeincontroller die kopieën opslaat van alle objecten in het forest. Het geeft gebruikers en programma's de mogelijkheid om naar objecten in elk domein van het huidige bos te zoeken hulpmiddelen voor het ontdekken van attributen opgenomen in de globale catalogus.

De globale catalogus (GC) bevat een beperkte set kenmerken voor elk forest-object in elk domein. Het ontvangt gegevens van alle domeinmappartities in het forest en wordt gekopieerd met behulp van het standaard Active Directory-replicatieproces.

Het schema bepaalt of het attribuut wordt gekopieerd. Er is een mogelijkheid aanvullende functies configureren, die opnieuw wordt gemaakt in de globale catalogus met behulp van het “Active Directory Schema”. Om een attribuut aan de globale catalogus toe te voegen, moet u het replicatieattribuut selecteren en de optie “Kopiëren” gebruiken. Hierdoor ontstaat een replicatie van het attribuut naar de globale catalogus. Kenmerkparameterwaarde isMemberOfPartialAttributeSet zal waar worden.

Om te locatie ontdekken globale catalogus, moet u op de opdrachtregel invoeren:

Dsquery-server –isgc

Gegevensreplicatie in Active Directory

Replicatie is een kopieerprocedure die wordt uitgevoerd wanneer het nodig is om even actuele informatie op te slaan die op een controller aanwezig is.

Het wordt geproduceerd zonder deelname van de operator. Er zijn de volgende typen replica-inhoud:

Gegevensreplica's worden gemaakt op basis van alle bestaande domeinen.
Replica's van gegevensschema's. Omdat het gegevensschema hetzelfde is voor alle objecten in het Active Directory-forest, worden replica's ervan in alle domeinen onderhouden.
Configuratiegegevens. Toont de constructie van kopieën tussen controllers. De informatie wordt gedistribueerd naar alle domeinen in het forest.

De belangrijkste typen replica's zijn intra-node en internode.

In het eerste geval wacht het systeem na de wijzigingen en waarschuwt vervolgens de partner om een replica te maken om de wijzigingen te voltooien. Zelfs als er geen wijzigingen plaatsvinden, vindt het replicatieproces na een bepaalde periode automatisch plaats. Nadat de belangrijkste wijzigingen op mappen zijn toegepast, vindt replicatie onmiddellijk plaats.

Replicatieprocedure tussen knooppunten gebeurt er tussenin minimale belasting van het netwerk, dit voorkomt informatieverlies.

Ik ben al lang van plan om verschillende artikelen te schrijven over het werken met Actieve map. Onlangs vroegen mensen in de reacties om hulp bij dit probleem en ik besloot dat het zover was :))

Ik zal meteen zeggen dat ik geen bijzonder diepgaande kennis heb over dit onderwerp, dus je zult hier niets nieuws zien. Maar voor beginnende Windows-beheerders kan dit artikel dienen als een goede start om dit directorysysteem te gaan bestuderen.

Zelf ben ik al lang weg van Windows-beheer, maar vanwege mijn taken (en ik ben vooral bezig met virtualisatie) moet ik vaak veel verschillende hulpdiensten configureren vanuit Microsoft(alle soorten daar AD, DNS, MSSQL enz..).

Over het algemeen een goed gesprek, laten we aan de slag gaan.

We zullen directoryservices overwegen Actieve map gebaseerd op Windows 2008 R2 als de meest voorkomende in onze tijd.

Dus om de rol te installeren, gaan we naar Serverbeheer -> Rollen toevoegen:

We kiezen de rol waarin we geïnteresseerd zijn - Active Directory-domeinservices:

Toevoegen .NET-framework, indien nodig:

Laten we beginnen met de installatie:

Het proces begon:

De installatie is succesvol voltooid, we zien alleen een waarschuwing dat updates zijn uitgeschakeld (voor degenen die dit belangrijk vinden, we kunnen dit inschakelen), maar niets kritisch - klik op “ Dichtbij«:

Vink het vakje aan" Gebruik geavanceerde installatiemodus"wij zijn professionals 8-)

We lezen de belangrijke mededeling over het nieuwe versleutelingsalgoritme en klikken op “ Volgende«:

De opties zijn: onze domeincontroller verbinden met een bestaand domein, een nieuw domein aanmaken in een bestaand forest, of een nieuw forest en een nieuw domein aanmaken. Ik kies voor het laatste omdat... Ik heb nog geen forest of domein:

Voer de domeinnaam in. Als uw domeincontroller niet “buiten” kijkt en zich aan een externe domeinzone bindt, dan kunt u hier een soort gekke zone schrijven zoals “.local” of “.lab”, wat ik feitelijk deed:

Er is geen tijd om het uit te leggen, we schrijven gewoon de domeinnaam zonder zone :))

Wij selecteren de functionaliteit van ons domein. Ik heb een nieuw domein, dus ik heb de nieuwste versie gekozen om van alle geweldige functies te kunnen genieten 2008 R2:

Wat is een domein zonder DNS servers:

Vloeken over het ontbreken van een ouderzone. In ons geval is dit normaal, omdat wij integreren niet met extern DNS-server:

We laten de standaardpaden staan:

Voer het wachtwoord van de domeinbeheerder in, dat u het beste niet vergeet en geheim houdt:

We controleren alles nog een keer en klikken op “ Volgende«:

Het proces begon:

De installatie is voltooid, klik op " Finish«:

Als gebruikers (geen beheerders) op deze server werken via externe desktops ( RDP), dan wacht u na het opnieuw opstarten een verrassing - standaard hebben alleen gebruikers van de lokale beheerdersgroep en domeinbeheerders het recht om verbinding te maken met de domeincontroller.

Ik schreef over hoe je dit kunt veranderen.

Dat is alles voor vandaag. Aanstaande donderdag zullen we het hebben over hoe we met al dit geluk kunnen omgaan en kijken we naar de basisbeheertools.

Goedemiddag, vandaag laat ik u kennismaken met het installeren van de rollen AD (Active Directory) en DC (domeincontroller) op het nieuwe serverbesturingssysteem van Microsoft - Windows Server 2012 R2. Om te beginnen veranderen we de naam van onze server op basis van de regelgeving voor het benoemen van pc's en servers in de organisatie, of wijzen deze toe op basis van onze wensen. Ik heb mijn server testserver genoemd. Met deze naam wordt onze server op het netwerk weergegeven. Vervolgens voeren we de volgende stappen uit: Ga naar de serverbeheerder:

Ga naar het tabblad rollen en functies toevoegen

Klik verder
Selecteer installatierollen en componenten en klik op verder
Selecteer de server waarop we onze rol willen installeren en klik verder
Selecteer de volgende rol: DomeindienstenActiefDirectory en klik op volgende

Bevestig het toevoegen van de componenten die nodig zijn om de Active Directory Domain Services-rol te installeren

Laat het zoals het is of voeg de benodigde componenten toe voor installatie, klik op Volgende

Klik op de installatieknop

Ga na de installatie naar serverbeheer en bekijk de geïnstalleerde rollen

Ga naar het onderdeel beheerbaarheid

Klik op Ga naar AD DS

Ga naar het tabblad Details

We beginnen met het implementeren van de domeincontroller op onze server. Selecteer een tabblad een nieuw bos toevoegen en wijs een naam toe voor ons domein, en klik vervolgens op verder