Saraka inayotumika katika biashara. Usimamizi wa Saraka Inayotumika. Miundo ya Usimamizi wa Usalama: Mfano wa Kikundi cha Kazi na Muundo wa Kikoa cha Kati

Wasimamizi wa mtandao wa Windows hawawezi kuepuka kufahamiana na . Makala haya ya ukaguzi yatazingatia Active Directory ni nini na hutumiwa nayo.

Kwa hivyo, Active Directory ni utekelezaji wa huduma ya saraka kutoka kwa Microsoft. Chini ya huduma ya saraka katika kwa kesi hii inarejelea kifurushi cha programu ambacho husaidia msimamizi wa mfumo kufanya kazi na rasilimali za mtandao kama vile folda zilizoshirikiwa, seva, vituo vya kazi, vichapishaji, watumiaji na vikundi.

Active Directory ina muundo wa kihierarkia, inayojumuisha vitu. Vitu vyote vimegawanywa katika makundi makuu matatu.

  • Akaunti za mtumiaji na kompyuta;
  • Rasilimali (kwa mfano, printers);
  • Huduma (kwa mfano, barua pepe).

Kila kitu kina jina la kipekee na ina idadi ya sifa. Vitu vinaweza kuwekwa kwenye vikundi.

Sifa za Mtumiaji

Active Directory ina muundo wa msitu. Msitu una miti kadhaa ambayo ina vikoa. Vikoa, kwa upande wake, vina vitu vilivyotajwa hapo juu.


Muundo wa Saraka Amilifu

Kwa kawaida, vitu katika kikoa vinawekwa katika vitengo vya shirika. Mgawanyiko hutumika kujenga uongozi ndani ya kikoa (mashirika, mgawanyiko wa eneo, idara, n.k.). Hii ni muhimu hasa kwa mashirika ambayo yametawanywa kijiografia. Wakati wa kujenga muundo, inashauriwa kuunda vikoa vichache iwezekanavyo, kuunda, ikiwa ni lazima, mgawanyiko tofauti. Ni juu yao kwamba inafanya akili kutumia sera za kikundi.

Sifa za Kituo cha Kazi

Njia nyingine ya kuunda Active Directory ni tovuti. Maeneo ni njia ya kimwili, badala ya mantiki, kuweka kambi kulingana na sehemu za mtandao.

Kama ilivyotajwa tayari, kila kitu kwenye Saraka Inayotumika kina jina la kipekee. Kwa mfano, printer HPLaserJet4350dtn, ambayo iko katika mgawanyiko Wanasheria na katika kikoa primer.ru atakuwa na jina CN=HPLaserJet4350dtn,OU=Lawyers,DC=primer,DC=ru. CN-Hii jina la kawaida, OU- mgawanyiko, DC- darasa la kitu cha kikoa. Jina la kitu linaweza kuwa na sehemu nyingi zaidi kuliko katika mfano huu.

Njia nyingine ya kuandika jina la kitu inaonekana kama hii: primer.ru/Lawyers/HPLaserJet4350dtn. Pia, kila kitu kina kitambulisho cha kipekee ulimwenguni ( KIONGOZI) ni mfuatano wa kipekee na usioweza kubadilika wa 128-bit ambao hutumiwa katika Active Directory kwa ajili ya kutafuta na kurudia. Baadhi ya vitu pia vina UPN ( UPN) katika muundo kitu@kikoa.

Hapa Habari za jumla kuhusu Active Directory ni nini na kwa nini zinahitajika katika mitandao ya ndani yenye msingi wa Windows. Hatimaye, inaleta maana kusema kwamba msimamizi ana uwezo wa kufanya kazi na Active Directory kwa kutumia mbali Zana za Utawala wa Seva ya Mbali za Windows 7 (KB958830)(Pakua) Na Zana za Utawala wa Seva ya Mbali za Windows 8.1 (KB2693643) (Pakua).

Sera ya Kikundi ni muundo msingi unaoruhusu msimamizi wa mtandao anayesimamia Microsoft Active Directory kutekeleza usanidi maalum kwa watumiaji na kompyuta. Sera ya Kikundi pia inaweza kutumika kufafanua sera za mtumiaji, usalama na mtandao katika kiwango cha mashine.

Ufafanuzi

Vikundi vya Active Directory husaidia wasimamizi kufafanua mipangilio ya kile ambacho watumiaji wanaweza kufanya kwenye mtandao, ikijumuisha faili, folda na programu wanazoweza kufikia. Mikusanyiko ya mipangilio ya mtumiaji na kompyuta inaitwa Vipengee vya Sera ya Kundi, ambavyo vinasimamiwa kutoka kwa kiolesura cha kati kinachoitwa kiweko cha usimamizi. Sera ya Kikundi pia inaweza kudhibitiwa kwa kutumia zana za mstari wa amri kama vile gpresult na gpupdate.

Active Directory ilikuwa mpya kwa Windows 2000 Server na iliimarishwa katika toleo la 2003, na kuifanya kuwa sehemu muhimu zaidi ya OS. Seva ya Windows 2003 AD hutoa rejeleo moja, inayoitwa huduma ya saraka, kwa vitu vyote kwenye mtandao, ikijumuisha watumiaji, vikundi, kompyuta, vichapishaji, sera na ruhusa.

Kwa mtumiaji au msimamizi Mpangilio unaotumika Saraka hutoa mwonekano mmoja wa kihierarkia ambapo rasilimali zote za mtandao zinaweza kudhibitiwa.

Kwa nini utekeleze Active Directory

Kuna sababu nyingi za kutekeleza mfumo huu. Kwanza kabisa, Saraka Inayotumika ya Microsoft kwa ujumla inachukuliwa kuwa uboreshaji mkubwa juu ya vikoa vya Windows NT Server 4.0 au hata mitandao inayojitegemea ya seva. AD ina utaratibu wa usimamizi wa kati katika mtandao mzima. Pia hutoa upungufu na uvumilivu wa makosa wakati vidhibiti viwili au zaidi vya kikoa vinatumwa kwenye kikoa.

Huduma hudhibiti kiotomatiki mawasiliano kati ya vidhibiti vya kikoa ili kuhakikisha mtandao unabaki kuwa thabiti. Watumiaji hupata ufikiaji wa rasilimali zote kwenye mtandao ambao wameidhinishwa kwa kutumia kuingia mara moja. Rasilimali zote kwenye mtandao zinalindwa na utaratibu thabiti wa usalama ambao huthibitisha kitambulisho cha mtumiaji na mamlaka ya rasilimali kwa kila ufikiaji.

Hata kwa usalama na udhibiti wa hali ya juu wa Saraka ya Active, vipengele vyake vingi havionekani na watumiaji wa mwisho. Katika suala hili, kuhamia watumiaji kwenye mtandao wa AD kunahitaji mafunzo kidogo. Huduma hutoa zana za kukuza haraka na kushusha vidhibiti vya kikoa na seva za wanachama. Mfumo unaweza kudhibitiwa na kulindwa kwa kutumia kikundi Sera inayotumika Orodha. Ni muundo wa shirika unaonyumbulika ambao unaruhusu usimamizi rahisi na uzito wa uwakilishi maalum wa majukumu ya usimamizi. AD ina uwezo wa kudhibiti mamilioni ya vitu ndani ya kikoa kimoja.

Sehemu kuu

Vitabu vya Sera ya Kundi la Saraka Inayotumika hupangwa kwa kutumia aina nne za sehemu, au miundo ya makontena. Tarafa hizi nne ni misitu, vikoa, vitengo vya shirika, na maeneo:

    Msitu ni mkusanyiko wa kila kitu, sifa zake na sintaksia.

    Kikoa ni seti ya kompyuta zinazoshiriki seti ya pamoja ya sera, jina na hifadhidata ya wanachama wao.

    Vitengo vya shirika ni vyombo ambavyo vikoa vinaweza kuwekwa kwenye vikundi. Wanaunda daraja la kikoa na kuunda muundo wa kampuni katika mpangilio wa kijiografia au shirika.

    Maeneo ni makundi ya kimwili ambayo ni huru ya eneo na muundo wa vitengo vya shirika. Maeneo hayo yanatofautisha kati ya maeneo yaliyounganishwa chini na ya chini. viunganisho vya kasi ya juu, na hufafanuliwa na subneti moja au zaidi za IP.

Misitu haizuiliwi na jiografia au topolojia ya mtandao. Msitu mmoja unaweza kuwa na vikoa vingi, ambavyo kila moja ina schema ya kawaida. Wanachama wa kikoa cha msitu huo hawahitaji hata muunganisho maalum wa LAN au WAN. Mtandao mmoja unaweza pia kuwa nyumbani kwa misitu kadhaa ya kujitegemea. Kwa ujumla, kwa kila mtu chombo cha kisheria msitu mmoja lazima utumike. Hata hivyo, kiunzi cha ziada kinaweza kuhitajika kwa madhumuni ya majaribio na utafiti nje ya msitu wa uzalishaji.

Vikoa

Vikoa vya Saraka Inayotumika hutumika kama vyombo vya sera za usalama na kazi za usimamizi. Kwa chaguo-msingi, vitu vyote vilivyomo viko chini ya sera za kikundi. Vile vile, msimamizi yeyote anaweza kudhibiti vitu vyote ndani ya kikoa. Kwa kuongeza, kila kikoa kina hifadhidata yake ya kipekee. Kwa hivyo, uthibitishaji unategemea kikoa. Baada ya akaunti ya mtumiaji kuthibitishwa, akaunti hiyo hupata ufikiaji wa rasilimali.

Kusanidi Sera za Kikundi katika Saraka Inayotumika kunahitaji kikoa kimoja au zaidi. Kama ilivyotajwa awali, kikoa cha AD ni mkusanyiko wa kompyuta zinazoshiriki seti ya pamoja ya sera, jina na hifadhidata ya wanachama wao. Kikoa lazima kiwe na seva moja au zaidi zinazotumika kama vidhibiti vya kikoa (DCs) na kuhifadhi hifadhidata, kudumisha sera, na kutoa uthibitishaji wa kuingia.

Vidhibiti vya kikoa

Katika Windows NT, kidhibiti cha msingi cha kikoa (PDC) na kidhibiti chelezo cha kikoa (BDC) yalikuwa majukumu ambayo yanaweza kupewa seva katika mtandao wa kompyuta zinazoendesha mfumo wa uendeshaji wa Windows. Windows ilitumia wazo la kikoa kudhibiti ufikiaji wa seti ya rasilimali za mtandao (programu, vichapishaji, n.k.) kwa kikundi cha watumiaji. Mtumiaji anahitaji tu kuingia kwenye kikoa ili kufikia rasilimali ambazo zinaweza kupatikana kwenye seva kadhaa tofauti kwenye mtandao.

Seva moja, inayojulikana kama PDC, ilisimamia hifadhidata ya msingi ya mtumiaji wa kikoa. Seva moja au zaidi zimefafanuliwa kuwa vidhibiti chelezo vya kikoa. Kidhibiti kikuu kilituma mara kwa mara nakala za hifadhidata kwa vidhibiti vya kikoa chelezo. Kidhibiti chelezo cha kikoa kinaweza kuja kama kidhibiti msingi cha kikoa endapo seva ya PDC itashindwa, na pia inaweza kusaidia kusawazisha mzigo wa kazi ikiwa mtandao una shughuli za kutosha.

Ugawaji na usanidi wa Saraka Inayotumika

Katika Seva ya Windows 2000, wakati vidhibiti vya kikoa vilihifadhiwa, majukumu ya seva ya PDC na BDC yalibadilishwa kwa kiasi kikubwa na Active Directory. Hakuna tena haja ya kuunda vikoa tofauti ili kutenganisha mapendeleo ya usimamizi. Ndani ya AD, unaweza kukasimu mapendeleo ya utawala kulingana na vitengo vya shirika. Vikoa havikomei tena kwa watumiaji 40,000. Vikoa vya AD vinaweza kudhibiti mamilioni ya vitu. Kwa kuwa hakuna PDCs na BDCs tena, mpangilio wa Sera ya Kikundi cha Saraka Inayotumika hutekeleza urudufishaji wa mifumo mingi na vidhibiti vyote vya kikoa ni rika.

Muundo wa shirika

Vitengo vya shirika vinaweza kunyumbulika zaidi na rahisi kudhibiti kuliko vikoa. Vitengo vya shirika hukupa unyumbulifu usio na kikomo kwa sababu unaweza kuvihamisha, kuvifuta na kuunda vitengo vipya inavyohitajika. Walakini, vikoa ni ngumu zaidi katika mipangilio yao ya muundo. Vikoa vinaweza kufutwa na kuundwa upya, lakini mchakato huu huharibu mazingira na unapaswa kuepukwa wakati wowote iwezekanavyo.

Tovuti ni mikusanyo ya subnets za IP ambazo zina muunganisho wa haraka na wa kutegemewa kati ya wapangishaji wote. Njia nyingine ya kuunda tovuti ni kuunganisha mtandao wa ndani, lakini sio muunganisho wa WAN, kwani Viunganisho vya WAN polepole sana na chini ya kuaminika kuliko miunganisho ya LAN. Kwa kutumia tovuti, unaweza kudhibiti na kupunguza kiasi cha trafiki kinachopitia viungo vyako vya polepole vya WAN. Hii inaweza kusababisha mtiririko mzuri zaidi wa trafiki kwa kazi za tija. Inaweza pia kupunguza gharama za mawasiliano za WAN kwa huduma za malipo kwa kila biti.

Mchawi wa Miundombinu na Katalogi ya Ulimwenguni

Miongoni mwa wengine vipengele muhimu Windows Server Active Directory ina Mwalimu wa Miundombinu (IM), ambayo ni huduma kamili ya FSMO (Flexible Single Master Operations) inayowajibika kwa mchakato wa kiotomatiki ambao hufanya marejeleo ya zamani, yanayojulikana kama phantom, kwenye hifadhidata ya Active Directory.

Phantomu huundwa kwenye DC ambazo zinahitaji marejeleo mtambuka kati ya kitu ndani ya hifadhidata yake na kitu kutoka kikoa kingine msituni. Hii hutokea, kwa mfano, unapoongeza mtumiaji kutoka kikoa kimoja hadi kikundi katika kikoa kingine katika msitu huo huo. Phantom huchukuliwa kuwa ya kizamani wakati hazina tena data iliyosasishwa, ambayo ni kutokana na mabadiliko yaliyofanywa kwa kitu kigeni kinachowakilishwa na phantom. Kwa mfano, wakati lengo linabadilishwa jina, kuhamishwa, kuhamishwa kati ya vikoa, au kufutwa. Mwalimu Mkuu wa Miundombinu ana jukumu la pekee la kutafuta na kurekebisha phantom zilizopitwa na wakati. Mabadiliko yoyote yanayofanywa kutokana na mchakato wa "kurekebisha" lazima yaigwe kwa vidhibiti vingine vya kikoa.

Mwalimu wa Miundombinu wakati mwingine huchanganyikiwa na Katalogi ya Ulimwengu (GC), ambayo hudumisha nakala ya sehemu, ya kusoma tu ya kila kikoa msituni na, miongoni mwa mambo mengine, hutumika kwa uhifadhi wa vikundi vya wote na usindikaji wa nembo. Kwa sababu GCs huhifadhi nakala ya sehemu ya vitu vyote, wanaweza kuunda viungo vya vikoa tofauti bila hitaji la phantom.

Saraka Inayotumika na LDAP

Microsoft inajumuisha LDAP (Itifaki ya Ufikiaji wa Saraka Nyepesi) kama sehemu ya Saraka Inayotumika. LDAP ni itifaki ya programu inayomruhusu mtumiaji yeyote kupata mashirika, watu binafsi, na nyenzo nyinginezo, kama vile faili na vifaa, kwenye mtandao, iwe kwenye Mtandao wa umma au intraneti ya shirika.

Katika mitandao ya TCP/IP (pamoja na Mtandao), Mfumo wa Jina la Kikoa (DNS) ni mfumo wa saraka unaotumiwa kuhusisha jina la kikoa na anwani maalum ya mtandao (eneo la kipekee kwenye mtandao). Hata hivyo, huenda hujui jina la kikoa. LDAP hukuruhusu kutafuta watu bila kujua walipo (ingawa Taarifa za ziada itasaidia katika utafutaji).

Saraka ya LDAP imepangwa katika daraja rahisi la daraja linalojumuisha viwango vifuatavyo:

    Saraka ya mizizi (mahali pa asili au chanzo cha mti).

  • Mashirika.

    Vitengo vya shirika (idara).

    Watu binafsi (ikiwa ni pamoja na watu, faili, na rasilimali zilizoshirikiwa kama vile vichapishaji).

Saraka ya LDAP inaweza kusambazwa kati ya seva nyingi. Kila seva inaweza kuwa na toleo lililoigwa la saraka iliyoshirikiwa ambayo husawazishwa mara kwa mara.

Ni muhimu kwa kila msimamizi kuelewa LDAP ni nini. Kwa sababu kutafuta taarifa katika Active Directory na uwezo wa kuunda hoja za LDAP ni muhimu hasa wakati wa kutafuta taarifa iliyohifadhiwa katika hifadhidata ya AD. Kwa sababu hii, wasimamizi wengi huzingatia umakini mkubwa kusimamia kichujio cha utafutaji cha LDAP.

Kusimamia Sera ya Kikundi na Saraka Inayotumika

Ni vigumu kujadili AD bila kutaja Sera ya Kikundi. Wasimamizi wanaweza kutumia Sera za Kikundi katika Saraka Inayotumika ya Microsoft kufafanua mipangilio ya watumiaji na kompyuta kwenye mtandao. Mipangilio hii husanidiwa na kuhifadhiwa katika vile vinavyoitwa Vipengee vya Sera ya Kundi (GPOs), ambavyo huunganishwa kwenye vipengee vya Active Directory, ikijumuisha vikoa na tovuti. Huu ndio utaratibu wa msingi wa kutumia mabadiliko kwenye kompyuta za watumiaji katika mazingira ya Windows.

Shukrani kwa usimamizi sera ya kikundi wasimamizi wanaweza kusanidi mipangilio ya eneo-kazi duniani kote kwenye kompyuta za watumiaji, kuzuia/kuruhusu ufikiaji faili fulani na folda kwenye mtandao.

Kutumia sera za kikundi

Ni muhimu kuelewa jinsi Vipengee vya Sera ya Kikundi vinatumiwa na kutekelezwa. Agizo linalofaa kwao ni kutumia sera za mashine za ndani kwanza, kisha sera za tovuti, kisha sera za kikoa, na kisha sera zinazotumika kwa vitengo vya shirika binafsi. Mtumiaji au kifaa cha kompyuta kinaweza tu kuwa cha tovuti moja na kikoa kimoja wakati wowote, kwa hivyo watapokea tu GPO ambazo zinahusishwa na tovuti au kikoa hicho.

Muundo wa kitu

GPO zimegawanywa katika sehemu mbili tofauti: Kiolezo cha Sera ya Kundi (GPT) na Chombo cha Sera ya Kundi (GPC). Kiolezo cha Sera ya Kikundi kinawajibika kudumisha mipangilio fulani iliyoundwa katika GPO na ni muhimu kwa mafanikio yake. Inahifadhi mipangilio hii kwenye folda kubwa na muundo wa faili. Ili mipangilio itumike kwa mafanikio kwa vipengee vyote vya watumiaji na kompyuta, ni lazima GPT iigawe kwa vidhibiti vyote kwenye kikoa.

Chombo cha Sera ya Kundi ni sehemu ya kitu cha Sera ya Kikundi kilichohifadhiwa katika Saraka Inayotumika ambayo hukaa kwenye kila kidhibiti cha kikoa katika kikoa. GPC ina jukumu la kudumisha marejeleo ya kiendelezi cha mteja (CSE), njia ya GPT, njia za kifurushi cha usakinishaji wa programu, na vipengele vingine vinavyorejelewa vya GPO. GPC haina taarifa nyingi maalum kwa GPO inayolingana, lakini inahitajika kwa utendaji wa GPO. Sera za usakinishaji wa programu zinaposanidiwa, GPC husaidia kudumisha viungo vinavyohusishwa na GPO na huhifadhi viungo vingine vya uhusiano na njia zilizohifadhiwa katika sifa za kifaa. Kujua muundo wa GPC na jinsi ya kufikia taarifa iliyofichwa iliyohifadhiwa katika sifa kutalipa unapohitaji kutambua tatizo la Sera ya Kikundi.

Katika Windows Server 2003, Microsoft ilitoa suluhisho la Usimamizi wa Sera ya Kikundi kama zana ya ujumlishaji wa data katika mfumo wa kupenya inayojulikana kama Dashibodi ya Usimamizi wa Sera ya Kundi (GPMC). GPMC hutoa kiolesura cha usimamizi cha GPO ambacho hurahisisha sana usimamizi, usimamizi, na eneo la GPO. Kupitia GPMC, unaweza kuunda GPO mpya, kurekebisha na kuhariri GPO, kukata/kunakili/kubandika GPO, kuhifadhi nakala za GPO, na kutekeleza seti inayotokana ya sera.

Uboreshaji

Kadiri idadi ya GPO zinazodhibitiwa inavyoongezeka, utendakazi huathiri mashine kwenye mtandao. Kidokezo: Utendaji ukipungua, punguza vigezo vya mtandao kitu. Wakati wa usindikaji huongezeka kwa uwiano wa moja kwa moja na idadi ya mipangilio ya mtu binafsi. Usanidi rahisi kama vile mipangilio ya eneo-kazi au sera za Internet Explorer, huenda usichukue muda mwingi, ilhali uelekezaji kwingine wa folda ya programu unaweza kutatiza mtandao kwa kiasi kikubwa, hasa katika vipindi vya kilele.

Tenganisha GPO za mtumiaji na kisha uzime sehemu ambayo haijatumika. Mbinu moja bora ya kuboresha tija na kupunguza mkanganyiko wa usimamizi ni kuunda vitu tofauti kwa mipangilio inayotumika kwenye kompyuta na kutenganisha kwa watumiaji.



Mnamo 2002, nilipokuwa nikitembea kando ya ukanda wa idara ya sayansi ya kompyuta ya chuo kikuu ninachopenda, niliona bango safi kwenye mlango wa ofisi ya "NT Systems". Bango lilionyesha aikoni za akaunti ya mtumiaji zilizowekwa katika vikundi, ambapo mishale ilielekeza kwenye aikoni nyingine. Haya yote yaliunganishwa kimkakati katika muundo fulani, kitu kiliandikwa kuhusu mfumo mmoja wa kuingia, idhini na kadhalika. Kwa kadiri ninavyoelewa sasa, bango hilo lilionyesha usanifu wa Windows NT 4.0 Domains na Windows 2000 Active Directory System. Kuanzia wakati huo kufahamiana kwangu kwa mara ya kwanza na Active Directory kulianza na kumalizika mara moja, kwani wakati huo kulikuwa na kikao kigumu, likizo ya kufurahisha, baada ya hapo rafiki alishiriki FreeBSD 4 na diski Nyekundu. Kofia ya Linux, na kwa miaka michache iliyofuata nilitumbukia katika ulimwengu wa mifumo kama ya Unix, lakini sikusahau kamwe yaliyomo kwenye bango.
Kwa mifumo inaendelea Jukwaa la Windows Seva, ilibidi nirudi na kuwafahamu kwa ukaribu zaidi nilipohamia kufanya kazi kwa kampuni ambapo usimamizi wa miundombinu yote ya TEHAMA ulitegemea Active Directory. Nakumbuka kwamba msimamizi mkuu wa kampuni hiyo aliendelea kurudia jambo fulani kuhusu Baadhi ya Mazoezi Bora ya Saraka katika kila mkutano. Sasa, baada ya miaka 8 ya mawasiliano ya mara kwa mara na Active Directory, ninaelewa vyema jinsi mfumo huu unavyofanya kazi na Kanuni Bora za Active Directory ni zipi.
Kama labda ulivyokisia, tutazungumza juu ya Saraka Inayotumika.
Mtu yeyote ambaye ana nia ya mada hii anakaribishwa paka.

Mapendekezo haya ni halali kwa mifumo ya mteja kuanzia Windows 7 na matoleo mapya zaidi, kwa vikoa na misitu Kiwango cha Windows Seva ya 2008/R2 na ya juu zaidi.

Kuweka viwango
Kupanga kwa Saraka Inayotumika kunapaswa kuanza kwa kukuza viwango vyako vya kutaja vitu na eneo lao kwenye saraka. Ni muhimu kuunda hati ambayo inafafanua viwango vyote muhimu. Kwa kweli, hii ni pendekezo la kawaida kwa wataalamu wa IT. Kanuni "kwanza tunaandika nyaraka, na kisha tunajenga mfumo kwa kutumia nyaraka hizi" ni nzuri sana, lakini mara chache hutekelezwa katika mazoezi kwa sababu nyingi. Miongoni mwa sababu hizi ni uvivu wa kibinadamu au ukosefu wa uwezo unaofaa; sababu zilizobaki zinatokana na mbili za kwanza.
Ninapendekeza kwamba uandike nyaraka kwanza, ufikirie, na kisha tu kuendelea na kusakinisha kidhibiti cha kikoa cha kwanza.
Kwa mfano, nitatoa sehemu ya hati juu ya viwango vya kutaja vitu vya Active Directory.
Kutaja vitu.

  • Jina vikundi vya watumiaji lazima ianze na kiambishi awali GRUS_ (GR - Group, US - Users)
  • Jina la vikundi vya kompyuta lazima lianze na kiambishi awali GRCP_ (GR - Group, CP - Computers)
  • Jina la kaumu ya vikundi vya mamlaka lazima lianze na kiambishi awali GRDL_ (GR - Group, DL - Delegation)
  • Jina la vikundi vya ufikiaji wa rasilimali lazima lianze na kiambishi awali GRRS_ (GR - Group, RS - rasilimali)
  • Jina la vikundi vya sera lazima lianze na viambishi awali GPUS_, GPCP_ (GP - Sera ya Kikundi, Marekani - Watumiaji, CP - Kompyuta)
  • Jina la kompyuta za mteja lazima liwe na barua mbili au tatu kutoka kwa jina la shirika, ikifuatiwa na nambari iliyotengwa na hyphen, kwa mfano, nnt-01.
  • Jina la seva lazima lianze na herufi mbili tu, ikifuatiwa na hyphen na ikifuatiwa na jukumu la seva na nambari yake, kwa mfano, nn-dc01.
Ninapendekeza kutaja vitu vya Saraka Inayotumika ili sio lazima ujaze sehemu ya Maelezo. Kwa mfano, kutoka kwa jina la kikundi GPCP_Restricted_Groups ni wazi kwamba hili ni kundi la sera ambalo linatumika kwa kompyuta na hufanya kazi ya utaratibu wa Vikundi Vizuizi.
Njia yako ya kuandika nyaraka inapaswa kuwa ya kina sana, hii itaokoa muda mwingi katika siku zijazo.

Rahisisha kila kitu iwezekanavyo, jaribu kufikia usawa
Wakati wa kujenga Directory Active, ni muhimu kufuata kanuni ya kufikia usawa, kuchagua taratibu rahisi na zinazoeleweka.
Kanuni ya usawa ni kufikia utendaji unaohitajika na usalama kwa unyenyekevu mkubwa wa suluhisho.
Ni muhimu kujaribu kujenga mfumo ili muundo wake ueleweke kwa msimamizi asiye na ujuzi au hata mtumiaji. Kwa mfano, wakati mmoja kulikuwa na pendekezo la kuunda muundo wa msitu wa vikoa kadhaa. Zaidi ya hayo, ilipendekezwa kupeleka sio tu miundo ya vikoa vingi, lakini pia miundo kutoka kwa misitu kadhaa. Labda pendekezo hili lilikuwepo kwa sababu ya kanuni ya "gawanya na ushinde", au kwa sababu Microsoft iliambia kila mtu kuwa kikoa ndio mpaka wa usalama na kwa kugawa shirika katika vikoa, tutapata miundo tofauti ambayo ni rahisi kudhibiti kibinafsi. Lakini kama mazoezi yameonyesha, ni rahisi kudumisha na kudhibiti mifumo ya kikoa kimoja, ambapo mipaka ya usalama ni vitengo vya shirika (OUs) badala ya vikoa. Kwa hivyo, epuka kuunda miundo tata ya vikoa vingi; ni bora kupanga vitu kwa OU.
Bila shaka, unapaswa kutenda bila fanaticism - ikiwa haiwezekani kufanya bila nyanja kadhaa, basi unahitaji kuunda nyanja kadhaa, pia na misitu. Jambo kuu ni kwamba unaelewa kile unachofanya na nini kinaweza kusababisha.
Ni muhimu kuelewa kwamba miundombinu rahisi ya Saraka Inayotumika ni rahisi kusimamia na kufuatilia. Ningesema hata rahisi zaidi, salama zaidi.
Tumia kanuni ya kurahisisha. Jaribu kufikia usawa.

Fuata kanuni - "kikundi cha kitu"
Anza kuunda vitu vya Saraka Inayotumika kwa kuunda kikundi cha kitu hiki, na kisha uwape kikundi haki zinazohitajika. Hebu tuangalie mfano. Unahitaji kuunda akaunti ya msimamizi mkuu. Kwanza unda kikundi cha Wasimamizi Wakuu na kisha uunde akaunti yenyewe na uiongeze kwenye kikundi hiki. Peana haki za msimamizi mkuu kwa kikundi cha Wasimamizi Wakuu, kwa mfano, kwa kuiongeza kwenye kikundi cha Wasimamizi wa Kikoa. Inabadilika kuwa baada ya muda mfanyakazi mwingine anakuja kazini ambaye anahitaji haki sawa, na badala ya kukabidhi haki kwa sehemu tofauti za Saraka ya Active, itawezekana kumuongeza tu kwenye kikundi kinachohitajika ambacho mfumo tayari umefafanua jukumu. na mamlaka muhimu yanakabidhiwa.
Mfano mmoja zaidi. Unahitaji kukabidhi haki kwa OU iliyo na watumiaji kwenye kikundi cha wasimamizi wa mfumo. Usikabidhi haki moja kwa moja kwa kikundi cha wasimamizi, lakini unda kikundi maalum kama vile GRDL_OUName_Operator_Accounts ambazo unawapa haki. Kisha ongeza tu kikundi cha wasimamizi wanaowajibika kwenye kikundi cha GRDL_OUName_Operator_Accounts. Kwa hakika itatokea kwamba katika siku za usoni utahitaji kukabidhi haki kwa OU hii kwa kundi lingine la wasimamizi. Na katika hali hii, utaongeza tu kikundi cha data cha wasimamizi kwenye kikundi cha kaumu cha GRDL_OUName_Operator_Accounts.
ninashauri muundo unaofuata vikundi.

  • Vikundi vya watumiaji (GRUS_)
  • Vikundi vya Wasimamizi (GRAD_)
  • Vikundi vya uwakilishi (GRDL_)
  • Vikundi vya sera (GRGP_)
Vikundi vya kompyuta
  • Vikundi vya seva (GRSR_)
  • Vikundi vya kompyuta za mteja (GRCP_)
Vikundi vya Ufikiaji Rasilimali
  • Vikundi vya Ufikiaji Rasilimali Zilizoshirikiwa (GRRS_)
  • Vikundi vya Ufikiaji wa Printa (GRPR_)
Katika mfumo uliojengwa kulingana na mapendekezo haya, karibu utawala wote utajumuisha kuongeza vikundi kwa vikundi.
Dumisha usawa kwa kupunguza idadi ya majukumu ya vikundi na kumbuka kwamba jina la kikundi linapaswa kuelezea kikamilifu jukumu lake.

Usanifu wa OU.
Usanifu wa OU lazima kwanza ufikiriwe kupitia kwa mtazamo wa usalama na ugawaji wa haki kwa OU hii kwa wasimamizi wa mfumo. Sipendekezi kupanga usanifu wa OUs kutoka kwa mtazamo wa kuunganisha sera za kikundi kwao (ingawa hii hufanywa mara nyingi). Kwa wengine, pendekezo langu linaweza kuonekana kuwa la kushangaza kidogo, lakini sipendekezi kuunganisha sera za kikundi na OU hata kidogo. Soma zaidi katika sehemu ya Sera za Kikundi.
Wasimamizi wa OU
Ninapendekeza kusanidi OU tofauti kwa akaunti na vikundi vya usimamizi, ambapo unaweza kuweka akaunti na vikundi vya wasimamizi na wahandisi wote. msaada wa kiufundi. Ufikiaji wa OU hii unapaswa kufikiwa kwa watumiaji wa kawaida tu, na usimamizi wa vitu kutoka kwa OU hii unapaswa kukabidhiwa kwa wasimamizi wakuu pekee.
Kompyuta za OU
Kompyuta OUs zimepangwa vyema kulingana na eneo la kijiografia la kompyuta na aina za kompyuta. Sambaza kompyuta kutoka maeneo tofauti ya kijiografia katika OU tofauti, na kwa upande mwingine uzigawanye katika kompyuta za mteja na seva. Seva zinaweza pia kugawanywa katika Exchange, SQL na wengine.

Watumiaji, haki katika Saraka Inayotumika
Akaunti za mtumiaji za Active Directory zinapaswa kutolewa Tahadhari maalum. Kama ilivyoelezwa katika sehemu ya OU, akaunti za mtumiaji inapaswa kuwekwa katika makundi kulingana na kanuni ya ugawaji wa mamlaka kwa akaunti hizi. Pia ni muhimu kuzingatia kanuni ya upendeleo mdogo - haki chache ambazo mtumiaji anazo katika mfumo, bora zaidi. Ninapendekeza ujumuishe mara moja kiwango cha mapendeleo ya mtumiaji katika jina la akaunti yake. Akaunti ya kazi ya kila siku inapaswa kuwa na jina la mwisho la mtumiaji na waanzilishi katika Kilatini (Kwa mfano, IvanovIV au IVIvanov). Sehemu zinazohitajika ni: Jina la Kwanza, Jina la Kwanza, Jina la Mwisho, Jina la Kuonyesha (kwa Kirusi), barua pepe, simu ya mkononi, Kichwa cha Kazi, Meneja.
Akaunti za msimamizi lazima ziwe aina zifuatazo:

  • Na haki za msimamizi kwa kompyuta za watumiaji, lakini sio seva. Lazima iwe na herufi za mwanzo za mmiliki na kiambishi awali cha ndani (Kwa mfano, iivlocal)
  • Na haki za kusimamia seva na Saraka Inayotumika. Lazima iwe na herufi za kwanza pekee (Kwa mfano, iiv).
Sehemu ya Jina la aina zote mbili za akaunti za kiutawala inapaswa kuanza na herufi I (Kwa mfano, iPetrov P Vasily)
Acha nieleze kwa nini unapaswa kutenganisha akaunti za usimamizi kuwa wasimamizi wa seva na wasimamizi wa kompyuta za mteja. Hii lazima ifanyike kwa sababu za usalama. Wasimamizi wa kompyuta za mteja watakuwa na haki ya kusakinisha programu kwenye kompyuta za mteja. Haiwezekani kamwe kusema kwa uhakika ni programu gani itasakinishwa na kwa nini. Kwa hivyo, si salama kuendesha usakinishaji wa programu yenye haki za msimamizi wa kikoa; kikoa kizima kinaweza kuathiriwa. Ni lazima usimamie kompyuta za mteja zilizo na haki za msimamizi wa ndani wa kompyuta hiyo pekee. Hii itafanya kutowezekana kwa mashambulizi kadhaa kwenye akaunti za wasimamizi wa kikoa, kama vile "Pitisha Hash". Zaidi ya hayo, wasimamizi wa kompyuta za mteja wanahitaji kufunga miunganisho kupitia Huduma za Kituo na miunganisho ya mtandao kwenye kompyuta. Usaidizi wa kiufundi na kompyuta za utawala zinapaswa kuwekwa kwenye VLAN tofauti ili kupunguza ufikiaji wao kutoka kwa mtandao wa kompyuta za mteja.
Inapeana haki za msimamizi kwa watumiaji
Ikiwa unahitaji kumpa mtumiaji haki za msimamizi, usiweke akaunti yake ya kazi ya kila siku kwenye kikundi. wasimamizi wa mitaa kompyuta. Akaunti ya kazi ya kila siku inapaswa kuwa na haki chache kila wakati. Mfungulie akaunti tofauti ya usimamizi kama vile jina na uongeze akaunti hii kwa kikundi cha wasimamizi wa eneo lako kwa kutumia sera, ukiwekea kikomo matumizi yake kwenye kompyuta ya mtumiaji kwa kutumia ulengaji wa kiwango cha bidhaa. Mtumiaji ataweza kutumia akaunti hii kwa kutumia utaratibu wa Run AS.
Sera za Nenosiri
Unda sera tofauti za nenosiri kwa watumiaji na wasimamizi kwa kutumia sera ya nenosiri iliyoboreshwa. Inashauriwa kuwa nywila ya mtumiaji iwe na angalau herufi 8 na inabadilishwa angalau mara moja kwa robo. Inashauriwa kwa wasimamizi kubadilisha nenosiri kila baada ya miezi miwili, na inapaswa kuwa angalau wahusika 10-15 na kukidhi mahitaji ya utata.

Muundo wa kikoa na vikundi vya mitaa. Utaratibu wa Vikundi Vilivyozuiliwa
Muundo wa vikundi vya kikoa na vya ndani kwenye kompyuta za kikoa unapaswa kudhibitiwa kiotomatiki tu, kwa kutumia utaratibu wa Vikundi Vilivyozuiliwa. Nitaelezea kwa nini inahitaji kufanywa kwa njia hii tu kwa kutumia mfano ufuatao. Kwa kawaida, baada ya kikoa cha Saraka Inayotumika kuvunjwa, wasimamizi wanajiongeza kwenye vikundi vya vikoa kama vile wasimamizi wa Kikoa, wasimamizi wa Biashara, kuongeza wahandisi wa usaidizi wa kiufundi kwenye vikundi vinavyohitajika, na pia kusambaza watumiaji wengine katika vikundi. Katika mchakato wa kusimamia kikoa hiki, mchakato wa kutoa haki unarudiwa mara nyingi na itakuwa ngumu sana kukumbuka kuwa jana uliongeza mhasibu Nina Petrovna kwa kikundi cha wasimamizi wa 1C na kwamba leo unahitaji kumwondoa kwenye kikundi hiki. Hali itakuwa mbaya zaidi ikiwa kampuni ina wasimamizi kadhaa na kila mmoja wao mara kwa mara anatoa haki kwa watumiaji kwa mtindo sawa. Katika mwaka mmoja tu, itakuwa vigumu kujua ni haki gani zimepewa nani. Kwa hiyo, muundo wa vikundi unapaswa kudhibitiwa tu na sera za kikundi, ambazo zitaweka kila kitu kwa utaratibu na kila maombi.
Muundo wa vikundi vilivyojengwa
Inafaa kusema kuwa vikundi vilivyojumuishwa kama vile Viendeshaji Akaunti, waendeshaji Hifadhi nakala, Viendeshaji vya Crypt, Wageni, Viendeshaji vya Kuchapisha, Viendeshaji Seva vinapaswa kuwa tupu, katika kikoa na kwenye kompyuta za mteja. Vikundi hivi kimsingi ni muhimu ili kuhakikisha utangamano wa nyuma na mifumo ya zamani, na watumiaji wa vikundi hivi wanapewa haki nyingi sana katika mfumo, na mashambulizi ya kuongezeka kwa marupurupu yanawezekana.

Akaunti za Msimamizi wa Mitaa
Kwa kutumia utaratibu wa Vikundi Vilivyozuiliwa, ni muhimu kuzuia akaunti za msimamizi wa ndani kuwasha kompyuta za ndani, zuia akaunti za wageni na ufute kikundi cha wasimamizi wa ndani kwenye kompyuta za ndani. Usiwahi kutumia sera za kikundi kuweka manenosiri kwa akaunti za msimamizi wa karibu. Utaratibu huu si salama; nenosiri linaweza kutolewa moja kwa moja kutoka kwa sera. Lakini, ukiamua kutozuia akaunti za msimamizi wa eneo lako, basi tumia utaratibu wa LAPS kuweka nywila kwa usahihi na kuzizungusha. Kwa bahati mbaya, kusanidi LAPS sio otomatiki kabisa, na kwa hivyo utahitaji kuongeza mwenyewe sifa kwenye schema ya Active Directory, kuwapa haki, kugawa vikundi, na kadhalika. Kwa hiyo, ni rahisi kuzuia akaunti za msimamizi wa ndani.
Akaunti za huduma.
Ili kuendesha huduma, tumia akaunti za huduma na utaratibu wa gMSA (unapatikana kwenye Windows 2012 na mifumo ya juu zaidi)

Sera za Kikundi
Hati sera kabla ya kuunda/kurekebisha.
Unapounda sera, tumia kanuni ya Policy - Group. Hiyo ni, kabla ya kuunda sera, kwanza unda kikundi cha sera hii, ondoa kikundi cha watumiaji Walioidhinishwa kutoka kwa upeo wa sera na uongeze kikundi kilichoundwa. Unganisha sera na OU, lakini kwa mzizi wa kikoa, na udhibiti upeo wa matumizi yake kwa kuongeza vitu kwenye kikundi cha sera. Ninachukulia utaratibu huu kuwa rahisi na unaoeleweka zaidi kuliko kuunganisha sera na OU. (Hivi ndivyo nilivyoandika juu ya sehemu kuhusu Usanifu wa OU).
Rekebisha upeo wa sera kila wakati. Ikiwa umeunda sera ya watumiaji pekee, basi zima muundo wa kompyuta na kinyume chake, zima muundo wa mtumiaji ikiwa umeunda sera ya kompyuta pekee. Shukrani kwa mipangilio hii, sera zitatumika kwa haraka zaidi.
Weka kila siku chelezo mwanasiasa katika Msaada wa Nguvu Shell, ili katika kesi ya makosa ya usanidi unaweza kurudisha mipangilio kwa ile ya asili kila wakati.
Hifadhi ya Kati
Kuanzia na Windows 2008, iliwezekana kuhifadhi violezo vya Sera ya Kikundi cha ADMX katika eneo kuu la kuhifadhi, SYSVOL. Hapo awali, kwa chaguo-msingi, violezo vyote vya sera vilihifadhiwa ndani kwa wateja. Ili kuweka violezo vya ADMX kwenye hifadhi kuu, unahitaji kunakili yaliyomo kwenye folda ya %SystemDrive%\Windows\PolicyDefinitions pamoja na folda ndogo kutoka kwa mifumo ya mteja (Windows 7/8/8.1) hadi saraka ya kidhibiti cha kikoa %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions na maudhui yaliyounganishwa, lakini bila uingizwaji. Ifuatayo unapaswa kufanya nakala sawa kutoka mifumo ya seva, kuanzia na mzee zaidi. Mwishowe, wakati wa kunakili folda na faili kutoka kwa toleo la hivi karibuni la seva, fanya nakala ya UNGANISHA NA UBADILISHE.

Kunakili violezo vya ADMX

Zaidi ya hayo, violezo vya ADMX vya bidhaa zozote za programu, kwa mfano, Ofisi ya Microsoft, bidhaa za Adobe, bidhaa za Google na nyinginezo, zinaweza kuwekwa kwenye hifadhi kuu. Nenda kwenye tovuti ya muuzaji programu, pakua kiolezo cha Sera ya Kikundi cha ADMX na ukifungue kwenye %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions folder kwenye kidhibiti chochote cha kikoa. Sasa unaweza kudhibiti bidhaa ya programu unayohitaji kupitia sera za kikundi.
Vichungi vya WMI
Vichungi vya WMI si vya haraka sana, kwa hivyo ni vyema kutumia utaratibu wa kulenga kiwango cha bidhaa. Lakini ikiwa ulengaji wa kiwango cha bidhaa hauwezi kutumika, na unaamua kutumia WMI, basi ninapendekeza uunda vichungi kadhaa vya kawaida kwako mara moja: kichungi cha "Mifumo ya uendeshaji ya Mteja pekee", "Mifumo ya uendeshaji ya seva pekee", "Windows 7". ” vichujio, vichujio vya “Windows” 8", "Windows 8.1", "Windows 10". Ikiwa una seti zilizotengenezwa tayari za vichungi vya WMI, basi itakuwa rahisi kutumia kichujio unachotaka kwa sera inayotaka.

Kukagua Matukio ya Saraka Inayotumika
Hakikisha kuwasha ukaguzi wa matukio kwenye vidhibiti vya kikoa na seva zingine. Ninapendekeza kuwezesha ukaguzi wa vitu vifuatavyo:

  • Ukaguzi wa Usimamizi wa Akaunti ya Kompyuta - Mafanikio, Kushindwa
  • Kagua Matukio Mengine ya Usimamizi wa Akaunti - Mafanikio, Kushindwa
  • Ukaguzi wa Usimamizi wa Kikundi cha Usalama - Mafanikio, Kushindwa
  • Kagua Usimamizi wa Akaunti ya Mtumiaji - Mafanikio, Kushindwa
  • Kagua Huduma ya Uthibitishaji wa Kerberos - Imeshindwa
  • Kagua Matukio ya Login ya Akaunti Nyingine - Kushindwa
  • Mabadiliko ya Sera ya Ukaguzi - Mafanikio, Kushindwa
Ukaguzi lazima usanidiwe katika sehemu Usanidi wa Sera ya Ukaguzi wa Hali ya Juu na hakikisha kuwasha mpangilio katika sehemu hiyo Chaguzi za Sera/Usalama za Mitaa - Lazimisha mipangilio ya kitengo cha sera ya ukaguzi ( Windows Vista au baadaye) ili kubatilisha mipangilio ya kategoria ya sera ya ukaguzi, ambayo itaghairi mipangilio ngazi ya juu na tumia zilizopanuliwa.

Mipangilio ya ukaguzi wa hali ya juu

Sitakaa kwa undani juu ya mipangilio ya ukaguzi, kwa kuwa kuna idadi ya kutosha ya vifungu kwenye mtandao vinavyotolewa kwa mada hii. Nitaongeza tu kwamba pamoja na kuwezesha ukaguzi, unapaswa kuweka arifa za barua pepe kuhusu matukio muhimu ya usalama. Inafaa pia kuzingatia kuwa katika mifumo iliyo na idadi kubwa ya matukio, inafaa kujitolea kwa seva tofauti kwa kukusanya na kuchambua faili za logi.

Maandishi ya utawala na kusafisha
Vitendo vyote vinavyofanana na vinavyorudiwa mara kwa mara lazima vifanywe kwa kutumia hati za usimamizi. Vitendo hivi ni pamoja na: kuunda akaunti za watumiaji, kuunda akaunti za msimamizi, kuunda vikundi, kuunda OU, na kadhalika. Kuunda vipengee kwa kutumia hati hukuruhusu kuheshimu mantiki ya jina la Saraka Inayotumika kwa kuunda ukaguzi wa sintaksia hadi kwenye hati.
Inafaa pia kuandika maandishi ya kusafisha ambayo yatafuatilia kiotomati muundo wa vikundi, kutambua watumiaji na kompyuta ambazo hazijaunganishwa kwa kikoa kwa muda mrefu, kutambua ukiukwaji wa viwango vingine, na kadhalika.
Sijaona kama pendekezo dhahiri rasmi la kutumia hati za msimamizi kufuatilia utiifu na kufanya shughuli za chinichini. Lakini mimi mwenyewe napendelea ukaguzi na taratibu katika hali ya kiotomatiki kwa kutumia maandishi, kwani hii inaokoa muda mwingi na kuondoa idadi kubwa ya makosa na, kwa kweli, hapa ndipo njia yangu ya Unix ya usimamizi inapoanza, wakati ni rahisi kuandika. amri kadhaa kuliko kubofya kwenye windows.

Utawala wa mwongozo
Wewe na wenzako mtahitaji kufanya shughuli za usimamizi kwa mikono. Kwa madhumuni haya, ninapendekeza kutumia mmc console na snap-ins imeongezwa kwake.
Kama itakavyojadiliwa hapa chini, vidhibiti vya kikoa chako lazima vifanye kazi ndani Msingi wa Seva, yaani, usimamizi wa mazingira yote ya AD unapaswa kufanywa tu kutoka kwa kompyuta yako kwa kutumia consoles. Ili kusimamia Saraka Inayotumika, unahitaji kusakinisha Zana za Utawala wa Seva ya Mbali kwenye kompyuta yako. Dashibodi zinapaswa kuendeshwa kwenye kompyuta yako kama mtumiaji aliye na haki za msimamizi wa Saraka Inayotumika na udhibiti uliokabidhiwa.
Sanaa ya kusimamia Active Directory kwa kutumia consoles inahitaji makala tofauti, na labda hata video tofauti ya mafunzo, kwa hiyo hapa ninazungumzia tu kanuni yenyewe.

Vidhibiti vya kikoa
Katika kikoa chochote, lazima kuwe na angalau vidhibiti viwili. Vidhibiti vya kikoa vinapaswa kuwa na huduma chache iwezekanavyo. Haupaswi kugeuza kidhibiti cha kikoa kuwa seva ya faili au, mbali na Mungu, kuisasisha hadi jukumu la seva ya wastaafu. Tumia mifumo ya uendeshaji katika hali ya Msingi ya Seva kwenye vidhibiti vya kikoa, ukiondoa kabisa usaidizi wa WoW64, hii itapunguza idadi hiyo kwa kiasi kikubwa. sasisho zinazohitajika na kuongeza usalama wao.
Microsoft hapo awali ilikatisha tamaa vidhibiti vya uboreshaji wa kikoa kutokana na uwezekano wa mizozo isiyoweza kutatulika ya urudufishaji wakati wa kurejesha kutoka kwa vijipicha. Kunaweza kuwa na sababu zingine, siwezi kusema kwa uhakika. Sasa hypervisors wamejifunza kuwaambia watawala kuwarejesha kutoka kwa snapshots, na tatizo hili limetoweka. Nimekuwa nikiboresha vidhibiti kila wakati, bila kuchukua muhtasari wowote, kwa sababu sielewi kwa nini kunaweza kuwa na hitaji la kuchukua vijipicha kama hivyo kwenye vidhibiti vya kikoa. Nadhani ni rahisi kufanya nakala rudufu kidhibiti cha kikoa kwa kutumia njia za kawaida. Kwa hivyo, ninapendekeza uboreshaji wa vidhibiti vyote vya kikoa ambavyo vinawezekana. Usanidi huu utakuwa rahisi zaidi. Unapoboresha vidhibiti vya kikoa, viweke kwenye wapangishaji tofauti halisi.
Ikiwa unahitaji kuweka kidhibiti cha kikoa katika mazingira ya kimwili yasiyolindwa au katika ofisi ya tawi ya shirika lako, basi tumia RODC kwa madhumuni haya.

Majukumu ya FSMO, vidhibiti vya msingi na vya sekondari
Majukumu ya kidhibiti cha kikoa cha FSMO yanaendelea kuleta hofu katika akili za wasimamizi wapya. Mara nyingi, wanaoanza kujifunza Directory Active kutoka kwa nyaraka zilizopitwa na wakati au kusikiliza hadithi kutoka kwa wasimamizi wengine ambao walisoma kitu mahali fulani mara moja.
Kwa majukumu yote matano + 1, yafuatayo yanapaswa kusemwa kwa ufupi. Kuanzia na Windows Server 2008, hakuna tena vidhibiti vya msingi na vya upili. Majukumu yote matano ya kidhibiti cha kikoa yanaweza kubebeka, lakini hayawezi kukaa kwa zaidi ya kidhibiti kimoja kwa wakati mmoja. Ikiwa tunachukua moja ya watawala, ambayo, kwa mfano, ilikuwa mmiliki wa majukumu 4 na kuifuta, basi tunaweza kuhamisha kwa urahisi majukumu haya yote kwa watawala wengine, na hakuna kitu kibaya kitatokea kwenye kikoa, hakuna kitu kitakachovunja. Hili linawezekana kwa sababu mmiliki huhifadhi taarifa zote kuhusu kazi inayohusiana na jukumu fulani moja kwa moja kwenye Saraka Inayotumika. Na ikiwa tunahamisha jukumu kwa mtawala mwingine, basi kwanza kabisa hugeuka kwenye taarifa iliyohifadhiwa kwenye Active Directory na huanza kufanya huduma. Kikoa kinaweza kuwepo kwa muda mrefu bila wamiliki wa majukumu. "Jukumu" pekee ambalo linapaswa kuwa katika Orodha ya Active na bila ambayo kila kitu kitakuwa mbaya sana ni jukumu katalogi ya kimataifa(GC), inaweza kubebwa na vidhibiti vyote kwenye kikoa. Ninapendekeza kukabidhi jukumu la GC kwa kila mtawala kwenye kikoa, kadiri kuna zaidi, bora zaidi. Bila shaka, unaweza kupata kesi ambapo haifai kusakinisha jukumu la GC kwenye mtawala wa kikoa. Naam, ikiwa huhitaji, basi usifanye. Fuata mapendekezo bila ushabiki.

Huduma ya DNS
Huduma ya DNS ni muhimu kwa uendeshaji wa Active Directory na lazima ifanye kazi bila kukatizwa. Ni bora kusakinisha huduma ya DNS kwenye kila kidhibiti na hifadhi ya kikoa Kanda za DNS katika Saraka Amilifu yenyewe. Ikiwa utatumia Active Directory kuhifadhi kanda za DNS, basi unapaswa kusanidi sifa za muunganisho wa TCP/IP kwenye vidhibiti vya kikoa ili kila kidhibiti kiwe na seva nyingine yoyote ya DNS kama seva ya msingi ya DNS, na unaweza kuweka ya pili kushughulikia 127.0. 0.1. Mpangilio huu lazima ufanyike kwa sababu ili huduma ya Active Directory ianze kawaida, DNS inayofanya kazi inahitajika, na ili DNS ianze, huduma ya Active Directory lazima iendeshe, kwani eneo la DNS yenyewe liko ndani yake.
Hakikisha umeweka kanda kuangalia nyuma kwa mitandao yako yote na uwashe kiotomatiki sasisho salama Rekodi za PTR.
Ninapendekeza kwa kuongeza kuwezesha usafishaji wa kiotomatiki wa ukanda wa rekodi za zamani za DNS (utafutaji wa dns).
Ninapendekeza kubainisha seva za Yandex zilizolindwa kama DNS-Forwarders ikiwa hakuna zingine zenye kasi zaidi katika eneo lako la kijiografia.

Maeneo na urudufu
Wasimamizi wengi wamezoea kufikiria kuwa tovuti ni kundi la kijiografia la kompyuta. Kwa mfano, tovuti ya Moscow, tovuti ya St. Wazo hili liliibuka kutokana na ukweli kwamba mgawanyo wa awali wa Active Directory katika tovuti ulifanyika kwa madhumuni ya kusawazisha na kutenganisha. trafiki ya mtandao urudufishaji. Watawala wa kikoa huko Moscow hawana haja ya kujua kwamba akaunti kumi za kompyuta sasa zimeundwa huko St. Na kwa hiyo, habari hiyo kuhusu mabadiliko inaweza kupitishwa mara moja kwa saa kulingana na ratiba. Au hata kuiga mabadiliko mara moja kwa siku na usiku tu, ili kuokoa kipimo data.
Ningesema hivi kuhusu tovuti: tovuti ni makundi yenye mantiki ya kompyuta. Kompyuta ambazo zimeunganishwa vizuri muunganisho wa mtandao. Na tovuti zenyewe zimeunganishwa kwa kila mmoja kwa uunganisho wa chini wa bandwidth, ambayo ni rarity siku hizi. Kwa hiyo, ninagawanya Active Directory katika tovuti ili si kusawazisha trafiki ya kurudia, lakini kusawazisha mzigo wa mtandao kwa ujumla na kwa usindikaji wa haraka wa maombi ya mteja kutoka kwa kompyuta za tovuti. Acha nieleze kwa mfano. Kuna mtandao wa ndani wa megabit 100 wa shirika, ambao hutumiwa na watawala wawili wa kikoa, na kuna wingu ambapo seva za maombi za shirika hili ziko na watawala wengine wawili wa wingu. Nitagawanya mtandao kama huo katika tovuti mbili ili watawala kwenye mchakato wa mtandao wa ndani waombe kutoka kwa wateja kutoka kwa mtandao wa ndani, na watawala katika mchakato wa wingu waombe kutoka kwa seva za programu. Zaidi ya hayo, hii itakuruhusu kutenganisha maombi kwa Huduma za DFS na Kubadilishana. Na kwa kuwa sasa sioni chaneli ya Mtandaoni chini ya megabiti 10 kwa sekunde, nitawasha Urudiaji Kulingana na Arifa, wakati huu urudiaji wa data unatokea mara tu mabadiliko yoyote yanapotokea kwenye Saraka Inayotumika.

Hitimisho
Asubuhi ya leo nilikuwa nikifikiria kwa nini ubinafsi wa kibinadamu haukaribishwi katika jamii na mahali fulani kwa kiwango cha kina cha mtazamo husababisha hisia mbaya sana. Na jibu pekee lililokuja akilini mwangu lilikuwa kwamba wanadamu wasingeweza kuishi kwenye sayari hii ikiwa hawakujifunza. kugawana rasilimali za kimwili na kiakili. Ndiyo sababu ninashiriki nakala hii na wewe na ninatumahi kuwa mapendekezo yangu yatakusaidia kuboresha mifumo yako na utatumia wakati mdogo sana kutatua shida. Yote hii itasababisha ukombozi zaidi muda na nguvu kwa ajili ya ubunifu. Inapendeza zaidi kuishi katika ulimwengu wa watu wabunifu na huru.
Itakuwa vyema ikiwa, ikiwezekana, utashiriki ujuzi wako na mazoea ya kujenga Active Directory katika maoni.
Amani na wema kwa kila mtu!

Unaweza kusaidia na kuhamisha baadhi ya fedha kwa ajili ya maendeleo ya tovuti

Active Directory ni huduma ya saraka ya Microsoft kwa familia ya Windows NT ya mifumo ya uendeshaji.

Huduma hii inaruhusu wasimamizi kutumia sera za kikundi ili kuhakikisha uthabiti katika mipangilio ya mtumiaji. mazingira ya kazi, usakinishaji wa programu, masasisho, n.k.

Ni nini kiini cha Active Directory na inasuluhisha matatizo gani? Endelea kusoma.

Kanuni za kupanga mitandao ya rika-kwa-rika na mitandao ya rika nyingi

Lakini tatizo jingine linatokea, ni nini ikiwa mtumiaji2 kwenye PC2 anaamua kubadilisha nenosiri lake? Kisha ikiwa mtumiaji1 atabadilisha nenosiri la akaunti, mtumiaji2 kwenye PC1 hataweza kufikia rasilimali.

Mfano mwingine: tuna vituo 20 vya kazi vilivyo na akaunti 20 ambazo tunataka kutoa ufikiaji kwa fulani . Ili kufanya hivyo, ni lazima tuunde akaunti 20 kwenye seva ya faili na kutoa ufikiaji wa rasilimali inayohitajika.

Je, ikiwa hakuna 20 lakini 200 kati yao?

Kama unavyoelewa, usimamizi wa mtandao kwa njia hii hubadilika kuwa kuzimu kabisa.

Kwa hiyo, mbinu ya kikundi cha kazi inafaa kwa ndogo mitandao ya ofisi na idadi ya PC si zaidi ya vitengo 10.

Ikiwa kuna vituo zaidi ya 10 vya kazi kwenye mtandao, mbinu ambayo nodi moja ya mtandao inakabidhiwa haki za kufanya uthibitishaji na uidhinishaji inakuwa halali.

Nodi hii ndio kidhibiti cha kikoa - Saraka Inayotumika.

Kidhibiti cha Kikoa

Mdhibiti huhifadhi hifadhidata ya akaunti, i.e. huhifadhi akaunti za PC1 na PC2.

Sasa akaunti zote zimesajiliwa mara moja kwenye mtawala, na haja ya akaunti za ndani inakuwa haina maana.

Sasa, wakati mtumiaji anaingia kwenye PC, akiingiza jina lake la mtumiaji na nenosiri, data hii inapitishwa kwa fomu ya kibinafsi kwa mtawala wa kikoa, ambayo hufanya taratibu za uthibitishaji na idhini.

Baadaye, mtawala hutoa mtumiaji ambaye ameingia kwenye kitu kama pasipoti, ambayo baadaye anafanya kazi kwenye mtandao na ambayo anawasilisha kwa ombi la kompyuta nyingine za mtandao, seva ambazo rasilimali anataka kuunganisha.

Muhimu! Kidhibiti cha kikoa ni kompyuta inayoendesha Saraka Inayotumika inayodhibiti ufikiaji wa mtumiaji kwa rasilimali za mtandao. Inahifadhi rasilimali (kwa mfano, printa, folda zilizo na ufikiaji wa pamoja), huduma (k.m. barua pepe), watu (akaunti za kikundi cha watumiaji na watumiaji), kompyuta (akaunti za kompyuta).

Idadi ya rasilimali hizo zilizohifadhiwa zinaweza kufikia mamilioni ya vitu.

Matoleo yafuatayo ya MS Windows yanaweza kufanya kazi kama kidhibiti cha kikoa: Windows Server 2000/2003/2008/2012 isipokuwa Toleo la Wavuti.

Mdhibiti wa kikoa, pamoja na kuwa kituo cha uthibitishaji wa mtandao, pia ni kituo cha udhibiti wa kompyuta zote.

Mara baada ya kugeuka, kompyuta huanza kuwasiliana na mtawala wa kikoa, muda mrefu kabla ya dirisha la uthibitishaji kuonekana.

Kwa hivyo, sio tu mtumiaji anayeingia kuingia na nenosiri ni kuthibitishwa, lakini pia kompyuta ya mteja imethibitishwa.

Inasakinisha Orodha Inayotumika

Hebu tuangalie mfano wa kusakinisha Active Directory kwenye Windows Server 2008 R2. Kwa hivyo, ili kusanidi jukumu la Saraka ya Active, nenda kwa " Meneja wa Seva»:

Ongeza jukumu "Ongeza Majukumu":

Chagua jukumu la Huduma za Kikoa cha Saraka Inayotumika:

Na wacha tuanze ufungaji:

Baada ya hapo tunapokea dirisha la arifa kuhusu jukumu lililowekwa:

Baada ya kusakinisha jukumu la mtawala wa kikoa, hebu tuendelee kusakinisha kidhibiti yenyewe.

Bofya "Anza" kwenye uwanja wa utafutaji wa programu, ingiza jina la mchawi wa DCPromo, uzindua na uangalie kisanduku kwa mipangilio ya juu ya usakinishaji:

Bofya "Inayofuata" na uchague kuunda kikoa kipya na msitu kutoka kwa chaguo zinazotolewa.

Ingiza jina la kikoa, kwa mfano, example.net.

Tunaandika jina la kikoa cha NetBIOS, bila eneo:

Chagua kiwango cha utendaji cha kikoa chetu:

Kwa sababu ya upekee wa utendakazi wa kidhibiti cha kikoa, pia tunasakinisha seva ya DNS.

Sehemu ya kimsingi ya Huduma za Kikoa katika kila shirika ni Wakuu wa Usalama, ambao hutoa watumiaji, vikundi au kompyuta zinazohitaji ufikiaji wa rasilimali mahususi kwenye mtandao. Ni vitu hivi, vinavyoitwa wakuu wa usalama, vinaweza kupewa ruhusa ya kufikia rasilimali kwenye mtandao, na kila mkuu amepewa kitambulisho cha kipekee cha usalama (SID), ambacho kinajumuisha sehemu mbili, wakati wa kuunda kitu. Kitambulisho cha Usalama SID ni kiwakilishi cha nambari ambacho humtambulisha mkuu wa usalama kwa njia ya kipekee. Sehemu ya kwanza ya kitambulisho kama hicho ni kitambulisho cha kikoa. Kwa sababu wakuu wa usalama wanapatikana katika kikoa kimoja, vitu hivyo vyote vimepewa kitambulisho sawa cha kikoa. Sehemu ya pili ya SID ni kitambulisho cha jamaa (RID), ambayo hutumiwa kutambua kwa njia ya kipekee msimamizi mkuu wa usalama kwa heshima na wakala anayetoa SID.

Ingawa mashirika mengi hupanga na kupeleka miundombinu ya Huduma za Kikoa mara moja tu, na vitu vingi hupitia mabadiliko ya nadra sana, isipokuwa muhimu kwa sheria hii ni kanuni za usalama, ambazo lazima ziongezwe, zirekebishwe na kuondolewa mara kwa mara. Moja ya vipengele vya msingi vya kitambulisho ni akaunti za watumiaji. Kimsingi, akaunti za watumiaji ni vitu halisi, haswa watu ambao ni wafanyikazi wa shirika lako, lakini kuna vighairi ambapo akaunti za watumiaji huundwa kwa baadhi ya programu kama huduma. Akaunti za watumiaji hucheza jukumu muhimu katika utawala wa biashara. Majukumu kama haya ni pamoja na:

  • Kitambulisho cha Mtumiaji, kwa kuwa akaunti iliyoundwa hukuruhusu kuingia kwenye kompyuta na vikoa na data haswa ambayo uhalisi wake umethibitishwa na kikoa;
  • Ruhusa za kufikia rasilimali za kikoa, ambazo zimekabidhiwa kwa mtumiaji kutoa ufikiaji wa rasilimali za kikoa kulingana na ruhusa zilizo wazi.

Vipengee vya akaunti ya mtumiaji ni kati ya vitu vya kawaida katika Saraka Inayotumika. Ni kwa akaunti za watumiaji kwamba wasimamizi wanatakiwa kulipa kipaumbele maalum, kwa kuwa ni kawaida kwa watumiaji kuja kufanya kazi katika shirika, kuhama kati ya idara na ofisi, kuolewa, kupata talaka, na hata kuacha kampuni. Vitu kama hivyo vinawakilisha seti ya sifa, na akaunti moja tu ya mtumiaji inaweza kuwa na zaidi ya sifa 250 tofauti, ambayo ni mara kadhaa idadi ya sifa kwenye vituo vya kazi na kompyuta zinazoendesha mifumo ya uendeshaji. Mfumo wa Linux. Unapofungua akaunti ya mtumiaji, seti ndogo ya sifa huundwa, na kisha unaweza kuongeza kitambulisho cha mtumiaji kama vile maelezo ya shirika, anwani za watumiaji, nambari za simu na zaidi. Kwa hiyo, ni muhimu kutambua kwamba baadhi ya sifa ni lazima, na wengine - hiari. Katika makala hii nitazungumzia mbinu muhimu kuunda akaunti za watumiaji, kuhusu baadhi ya sifa za hiari, na pia itaelezea zana zinazokuruhusu kujiendesha kiotomatiki shughuli za kawaida kuhusiana na uundaji wa akaunti za watumiaji.

Kuunda watumiaji kwa kutumia Watumiaji wa Saraka inayotumika na Kompyuta

Katika idadi kubwa ya kesi wasimamizi wa mfumo Ili kuunda misingi ya usalama, wanapendelea kutumia snap-in, ambayo imeongezwa kwenye folda "Utawala" mara baada ya kufunga jukumu "Huduma za Kikoa cha Saraka Inayotumika" na kukuza seva kwa kidhibiti cha kikoa. Njia hii ndiyo inayofaa zaidi kwa sababu hutumia kiolesura cha kielelezo ili kuunda kanuni za usalama na mchawi wa kuunda akaunti ya mtumiaji ni rahisi sana kutumia. Ubaya wa njia hii ni kwamba wakati wa kuunda akaunti ya mtumiaji, huwezi kuweka mara moja sifa nyingi, na itabidi uongeze sifa zinazohitajika kwa kuhariri akaunti. Ili kuunda akaunti ya mtumiaji, fuata hatua hizi:

  • Katika shamba "Jina" ingiza jina lako la mtumiaji;
  • Katika shamba "Waanzilishi" ingiza herufi za kwanza (mara nyingi herufi za kwanza hazitumiwi);
  • Katika shamba "Jina la ukoo" ingiza jina la mwisho la mtumiaji atakayeundwa;
  • Shamba "Jina kamili" kutumika kuunda sifa za kitu kilichoundwa kama vile Jina la Kawaida CN na kuonyesha sifa za jina. Sehemu hii lazima iwe ya kipekee katika kikoa chote, na inajazwa kiotomatiki, na inapaswa kubadilishwa tu ikiwa ni lazima;
  • Shamba "Jina la Kuingia la Mtumiaji" inahitajika na imekusudiwa kwa jina la kuingia la kikoa cha mtumiaji. Hapa unahitaji kuingiza jina lako la mtumiaji na kuchagua kiambishi cha UPN kutoka kwenye orodha ya kushuka, ambayo itakuwa iko baada ya alama ya @;
  • Shamba "Jina la Kuingia la Mtumiaji (Pre-Windows 2000)" iliyokusudiwa kwa jina la kuingia kwa mifumo iliyotangulia mfumo wa uendeshaji wa Windows 2000. Katika miaka ya hivi karibuni, wamiliki wa mifumo hiyo wamezidi kuwa nadra katika mashirika, lakini uwanja unahitajika, kwani baadhi ya programu hutumia sifa hii kutambua watumiaji;

Baada ya kujaza sehemu zote zinazohitajika, bonyeza kitufe "Zaidi":

Mchele. 2. Sanduku la Mazungumzo la Uundaji Akaunti ya Mtumiaji

  • Washa ukurasa unaofuata Katika mchawi wa uundaji wa akaunti ya mtumiaji, utalazimika kuingiza nenosiri la mtumiaji kwenye uwanja "Nenosiri" na uthibitishe kwenye uwanja "Uthibitisho". Kwa kuongeza, unaweza kuchagua sifa inayoonyesha kwamba mara ya kwanza mtumiaji anaingia, mtumiaji lazima abadilishe nenosiri la akaunti yake mwenyewe. Ni bora kutumia chaguo hili kwa kushirikiana na wanasiasa wa ndani usalama "Sera ya Nenosiri", ambayo itakuruhusu kuunda nywila kali kwa watumiaji wako. Pia, kwa kuangalia chaguo "Marufuku mtumiaji kubadilisha nenosiri" unampa mtumiaji nenosiri lako na kumzuia asibadilishe. Wakati wa kuchagua chaguo "Nenosiri haliisha muda wake" nenosiri la akaunti ya mtumiaji halitaisha muda na halitahitaji kuwekwa upya mabadiliko ya mara kwa mara. Ukiangalia kisanduku "Ondoa akaunti", basi akaunti hii haitakusudiwa kazi zaidi na mtumiaji aliye na akaunti kama hiyo hataweza kuingia hadi iwashwe. Chaguo hili, kama sifa nyingi, itajadiliwa katika sehemu inayofuata ya makala hii. Baada ya kuchagua sifa zote, bonyeza kitufe "Zaidi". Ukurasa huu wa mchawi unaonyeshwa kwenye kielelezo kifuatacho:

    • Mchele. 3. Unda nenosiri la akaunti unayounda

  • Washa ukurasa wa mwisho mchawi, utaona muhtasari wa vigezo ulivyoingiza. Ikiwa habari imeingizwa kwa usahihi, bonyeza kitufe "Tayari" kuunda akaunti ya mtumiaji na kukamilisha mchawi.

    • Kuunda watumiaji kulingana na violezo

    Kwa kawaida, mashirika yana vitengo au idara nyingi ambazo watumiaji wako wanamiliki. Katika idara hizi, watumiaji wana mali sawa (kwa mfano, jina la idara, nafasi, nambari ya ofisi, nk). Kwa wengi usimamizi bora akaunti za mtumiaji kutoka idara moja, kwa mfano, kwa kutumia sera za kikundi, inashauriwa kuziunda ndani ya uwanja katika idara maalum (kwa maneno mengine, vyombo) kulingana na templates. Kiolezo cha akaunti ni akaunti ambayo ilionekana kwa mara ya kwanza katika siku za mifumo ya uendeshaji ya Windows NT, ambayo sifa za kawaida kwa watumiaji wote walioundwa hujazwa awali. Ili kuunda kiolezo cha akaunti ya mtumiaji, fuata hatua hizi:

    • Ni kawaida. Kichupo hiki kimekusudiwa kujaza sifa za mtumiaji binafsi. Sifa hizi ni pamoja na jina la kwanza na la mwisho la mtumiaji, maelezo mafupi ya akaunti, nambari ya simu ya mtumiaji, nambari ya chumba, anwani ya barua pepe na tovuti. Kutokana na ukweli kwamba taarifa hii ni ya mtu binafsi kwa kila mtumiaji binafsi, data iliyojazwa kwenye kichupo hiki haijakiliwa;
    • Anwani. Kwenye kichupo cha sasa unaweza kujaza kisanduku cha barua, jiji, eneo, msimbo wa posta na nchi ambapo watumiaji ambao wataundwa kulingana na kiolezo hiki wanaishi. Kwa kuwa majina ya barabara ya kila mtumiaji kwa kawaida hayalingani, data katika sehemu hii haiwezi kunakiliwa;
    • Akaunti. Katika kichupo hiki, unaweza kubainisha hasa wakati mtumiaji anaingia, kompyuta ambazo watumiaji wanaweza kuingia, vigezo vya akaunti kama vile hifadhi ya nenosiri, aina za usimbaji fiche, n.k., pamoja na tarehe ya mwisho wa akaunti;
    • Wasifu. Kichupo cha sasa kinakuwezesha kutaja njia ya wasifu, script ya kuingia, njia ya ndani kwenye folda ya nyumbani, pamoja na anatoa za mtandao ambazo folda ya nyumbani ya akaunti itakuwa iko;
    • Shirika. Kwenye kichupo hiki, unaweza kuonyesha msimamo wa wafanyikazi, idara ambayo wanafanya kazi, jina la shirika na jina la mkuu wa idara;
    • Wanakikundi. Hapa ndipo wanachama wakuu wa kikundi na kikundi hubainishwa.

    Hivi ndivyo vichupo kuu unavyojaza wakati wa kuunda violezo vya akaunti. Mbali na vichupo hivi sita, unaweza pia kujaza taarifa katika vichupo 13. Nyingi za tabo hizi zitajadiliwa katika makala zinazofuata katika mfululizo huu.

  • Hatua inayofuata itaunda akaunti ya mtumiaji kulingana na kiolezo cha sasa. Ili kufanya hivyo, bofya kulia kwenye kiolezo cha akaunti na kutoka menyu ya muktadha chagua timu "Nakala";
  • Katika sanduku la mazungumzo "Nakili kitu - Mtumiaji" Ingiza jina la mtumiaji, jina la mwisho na jina la kuingia. Kwenye ukurasa unaofuata, ingiza nenosiri lako na uthibitisho, na usifute chaguo "Ondoa akaunti". Kamilisha kazi ya mchawi;

    • Mchele. 5. Nakili Kisanduku cha Maongezi cha Akaunti ya Mtumiaji

  • Baada ya kufungua akaunti yako, nenda kwenye sifa za akaunti uliyofungua na ukague sifa unazoongeza kwenye kiolezo. Sifa zilizosanidiwa zitanakiliwa kwa akaunti mpya.

    • Kuunda watumiaji kwa kutumia mstari wa amri

    Kama ilivyo kwa mambo mengi, mfumo wa uendeshaji wa Windows una huduma za mstari wa amri na utendaji sawa wa picha. kiolesura cha mtumiaji wizi wa kura "Saraka Inayotumika - Watumiaji na Kompyuta". Amri hizi huitwa amri za DS kwa sababu huanza na herufi DS. Ili kuunda wakuu wa usalama tumia amri Dsadd. Baada ya amri yenyewe, marekebisho yameainishwa ambayo huamua aina na jina la DN la kitu. Katika kesi ya kuunda akaunti za watumiaji, unahitaji kutaja kirekebishaji mtumiaji, ambayo ni aina ya kitu. Baada ya aina ya kitu, lazima uweke jina la DN la kitu yenyewe. DN (Jina Lililotofautishwa) ya kitu ni seti ya matokeo ambayo ina jina bainifu. DN kawaida hufuatwa na jina la mtumiaji UPN au kuingia matoleo ya awali Windows. Ikiwa kuna nafasi katika jina la DN, jina lazima liambatanishwe katika nukuu. Syntax ya amri ni kama ifuatavyo:

    Mtumiaji wa Dsadd DN_name -samid account_name -UPN_name -pwd password -vigezo vya ziada

    Kuna vigezo 41 ambavyo vinaweza kutumika na amri hii. Wacha tuangalie maarufu zaidi kati yao:

    -samid- jina la akaunti ya mtumiaji;

    -juu- jina la kuingia la mtumiaji kabla ya Windows 2000;

    -fn- jina la mtumiaji, ambalo ni kiolesura cha picha kujazwa uwanjani "Jina";

    -mi- mwanzo wa mtumiaji;

    -ln- jina la mwisho la mtumiaji, lililotajwa katika uwanja wa "Jina la Mwisho" la mchawi wa kuunda akaunti ya mtumiaji;

    -onyesha- inabainisha jina la mtumiaji kamili, ambalo linazalishwa kiotomatiki kwenye kiolesura cha mtumiaji;

    -achwa- nambari ya mfanyakazi ambayo imeundwa kwa mtumiaji;

    -pwd- parameta inayofafanua nenosiri la mtumiaji. Ukitaja ishara ya kinyota (*), utaulizwa kuingiza nenosiri la mtumiaji katika hali iliyolindwa na mwonekano;

    -desk- maelezo mafupi ya akaunti ya mtumiaji;

    -mwanachama- paramu ambayo huamua uanachama wa mtumiaji katika kikundi kimoja au zaidi;

    -ofisi- eneo la ofisi ambapo mtumiaji anafanya kazi. Katika mali ya akaunti, parameter hii inaweza kupatikana kwenye kichupo "Shirika";

    -simu- nambari ya simu ya mtumiaji wa sasa;

    -barua pepe- anwani Barua pepe mtumiaji, ambayo inaweza kupatikana kwenye kichupo "Ni kawaida";

    -nyumbani- paramu inayoonyesha nambari ya simu ya nyumbani ya mtumiaji;

    -runununambari ya simu mtumiaji wa simu;

    -faksi- nambari ya mashine ya faksi inayotumiwa na mtumiaji wa sasa;

    -kichwa- nafasi ya mtumiaji katika shirika;

    -idara- parameter hii inakuwezesha kutaja jina la idara ambayo mtumiaji huyu anafanya kazi;

    -kampuni- jina la kampuni ambapo mtumiaji aliyeundwa anafanya kazi;

    -hmdir- saraka kuu ya mtumiaji, ambayo hati zake zitapatikana;

    -hmdrv- njia ya kiendeshi cha mtandao ambapo folda ya nyumbani ya akaunti itakuwa iko

    -wasifu- njia ya wasifu wa mtumiaji;

    -mustchpwd- parameter hii inaonyesha kwamba mtumiaji lazima abadilishe nenosiri lake baada ya kuingia;

    -canchpwd- kigezo kinachoamua ikiwa mtumiaji anapaswa kubadilisha nenosiri lake. Ikiwa thamani ya parameter ni "ndio", basi mtumiaji atakuwa na fursa ya kubadilisha nenosiri;

    -rejeshwapwd- parameta ya sasa huamua uhifadhi wa nenosiri la mtumiaji kwa kutumia usimbuaji wa nyuma;

    -pwdnevere expires- chaguo linaloonyesha kuwa nenosiri halitaisha. Katika vigezo hivi vyote vinne, maadili yanaweza kuwa tu "ndio" au "Hapana";

    -inaisha muda wake- kigezo kinachoamua baada ya siku ngapi akaunti itaisha. Thamani chanya inawakilisha idadi ya siku ambazo akaunti itaisha, wakati thamani hasi inamaanisha kuwa muda wake tayari umekwisha;

    -lemavu- inaonyesha kuwa akaunti tayari imezimwa. Thamani za parameta hii pia ni "ndio" au "Hapana";

    -q- kubainisha hali ya utulivu kwa usindikaji wa amri.

    Mfano wa matumizi:

    Mtumiaji wa Dsadd “cn=Alexey Smirnov,OU=Marketing,OU=Users,DC=testdomain,DC=com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -onyesha “Alexey Smirnov” - tel "743-49-62" -barua pepe [barua pepe imelindwa]-dept Marketing -kampuni TestDomain -title Marketer -hmdir \\dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd ndiyo -lemavu hapana

    Mchele. 6. Kuunda akaunti ya mtumiaji kwa kutumia matumizi ya Dsadd

    Kuunda Watumiaji Kwa Kutumia Amri ya CSVDE

    Huduma nyingine ya mstari wa amri, CSVDE, hukuruhusu kuagiza au kuuza nje vitu vya Active Direcoty, vinavyowakilishwa kama faili ya cvd, faili ya maandishi iliyotenganishwa kwa koma ambayo inaweza kuunda kwa kutumia. processor ya meza Microsoft Excel au Notepad ya kihariri cha maandishi rahisi zaidi. Katika faili hii, kila kitu kinawakilishwa kwenye mstari mmoja na lazima iwe na sifa ambazo zimeorodheshwa kwenye mstari wa kwanza. Inafaa kuzingatia ukweli kwamba kwa kutumia amri hii huwezi kuagiza nywila za mtumiaji, ambayo ni, mara baada ya operesheni ya kuagiza kukamilika, akaunti za watumiaji zitazimwa. Mfano wa faili kama hii ni kama ifuatavyo:

    Mchele. 7. Uwasilishaji wa Faili ya CSV

    Syntax ya amri ni kama ifuatavyo:

    Csvde -i -f jina la faili.csv -k

    • -i. Kigezo kinachodhibiti hali ya uingizaji. Ikiwa hutabainisha parameter hii, amri hii itatumia hali ya kawaida ya kusafirisha nje;
    • -f
    • -k
    • -v
    • -j
    • -u. Chaguo ambalo hukuruhusu kutumia hali ya Unicode.

    Mfano wa kutumia amri:

    Csvde -i -f d:\testdomainusers.csv -k

    Mchele. 8. Leta akaunti za mtumiaji kutoka kwa faili ya CSV

    Inaingiza watumiaji kwa kutumia LIFDE

    Huduma ya laini ya amri ya Ldifde pia hukuruhusu kuagiza au kuuza nje vitu vya Saraka Inayotumika kwa kutumia LDIF (Saraka Nyepesi). Itifaki ya Ufikiaji Faili ya Kubadilishana data). Umbizo hili la faili lina kizuizi cha mistari ambayo huunda operesheni maalum. Tofauti na faili za CSV, katika umbizo hili la faili kila mstari wa mtu binafsi unawakilisha seti ya sifa, ikifuatiwa na koloni na thamani ya sifa yenyewe ya sasa. Vile vile katika Faili ya CSV, mstari wa kwanza lazima uwe sifa ya DN. Hii inafuatwa na aina ya mabadiliko ya mstari, ambayo inabainisha aina ya operesheni (ongeza, badilisha, au futa). Ili kujifunza jinsi ya kuelewa muundo huu wa faili, unahitaji kujifunza angalau Sifa kuu za wakuu wa usalama. Mfano umetolewa hapa chini:

    Mchele. 9. Mfano wa faili ya LDF

    Syntax ya amri ni kama ifuatavyo:

    Ldifde -i -f jina la faili.csv -k

    • -i. Kigezo kinachodhibiti hali ya uingizaji. Ikiwa hutabainisha chaguo hili, amri hii itatumia hali ya uhamishaji chaguo-msingi;
    • -f. Kigezo kinachotambua jina la faili litakaloingizwa au kuhamishwa;
    • -k. Kigezo kilichoundwa ili kuendelea kuagiza, kuruka makosa yote iwezekanavyo;
    • -v. parameter kutumia ambayo unaweza kuonyesha maelezo ya kina;
    • -j. Parameter inayohusika na eneo la faili ya logi;
    • -d. Parameta inayobainisha mzizi wa utafutaji wa LDAP;
    • -f. Parameta iliyokusudiwa kwa kichujio cha utaftaji cha LDAP;
    • -p. Inawakilisha upeo au kina cha utafutaji;
    • -l. Inakusudiwa kubainisha orodha iliyotenganishwa kwa koma ya sifa ambazo zitajumuishwa katika usafirishaji wa vitu vinavyotokana;

    Kuunda Watumiaji Kwa Kutumia VBScript

    VBScript ni mojawapo ya zana zenye nguvu zaidi zilizoundwa ili kufanya kazi za usimamizi kiotomatiki. Chombo hiki hukuruhusu kuunda hati zilizoundwa kubinafsisha vitendo vingi vinavyoweza kufanywa kupitia kiolesura cha mtumiaji. VBScripts ni faili za maandishi ambazo kwa kawaida zinaweza kuhaririwa na watumiaji kwa kutumia zana za kawaida. wahariri wa maandishi(kwa mfano Notepad). Na kutekeleza maandishi, unahitaji tu kubofya mara mbili ikoni ya hati yenyewe, ambayo itafungua kwa kutumia amri ya Wscript. Ili kuunda akaunti ya mtumiaji katika VBScript hakuna amri maalum, kwa hivyo unahitaji kwanza kuunganisha kwenye kontena, kisha utumie maktaba ya adapta ya Active Directory Services Interface (ADSI) kwa kutumia taarifa ya Get-Object, ambapo unatekeleza kamba ya hoja ya LDAP ambayo hutoa kichunguzi cha itifaki LDAP:// na jina la kitu DN. Kwa mfano, Set objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com”). Mstari wa pili wa msimbo huwasha njia ya Unda ya kitengo ili kuunda kitu cha darasa mahususi kwa jina mahususi linalojulikana, kwa mfano, Set objUser=objOU.Create(“mtumiaji”,”CN= Yuriy Soloviev”). Mstari wa tatu una njia ya Weka, ambapo unahitaji kutaja jina la sifa na thamani yake. Mstari wa mwisho wa hati hii inathibitisha mabadiliko yaliyofanywa, yaani, objUser.SetInfo().

    Mfano wa matumizi:

    Weka objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com” Weka objUser=objOU.Create(“mtumiaji”,”CN= Yuri Solovyov”) objUser.Weka “sAMAccountName” ,"Yuriy.Soloviev" objMtumiaji.Weka "UserPrincipalName" [barua pepe imelindwa]” objUser.Weka “GivenName”,”Yuri” objUser.Weka “sn”Soloviev” objUser.SetInfo()

    Kuunda Watumiaji Kwa Kutumia PowerShell

    Mfumo wa uendeshaji wa Windows Server 2008 R2 ulianzisha uwezo wa kudhibiti vitu vya Active Directory kwa kutumia Windows PowerShell. Mazingira ya PowerShell yanachukuliwa kuwa safu ya amri yenye nguvu, iliyotengenezwa kwa misingi ya .Net Framework na iliyoundwa ili kudhibiti na kufanya otomatiki usimamizi wa mifumo ya uendeshaji ya Windows na programu zinazoendeshwa chini ya mifumo hii ya uendeshaji. PowerShell inajumuisha zaidi ya zana 150 za mstari wa amri, zinazoitwa cmdlets, ambazo hutoa uwezo wa kudhibiti kompyuta za biashara kutoka kwa safu ya amri. Shell hii ni sehemu ya mfumo wa uendeshaji.

    Ili kuunda mtumiaji mpya katika kikoa Inayotumika Saraka hutumia New-ADUser cmdlet, ambayo maadili mengi ya mali yanaweza kuongezwa kwa kutumia vigezo vya cmdlet hii. Kigezo cha -Path kinatumika kuonyesha jina la LDAP. Kigezo hiki kinabainisha chombo au kitengo cha shirika (OU) kwa mtumiaji mpya. Ikiwa kigezo cha Njia hakijabainishwa, cmdlet huunda kipengee cha mtumiaji kwenye chombo chaguo-msingi cha vitu vya mtumiaji kwenye kikoa, ambacho ni chombo cha Watumiaji. Ili kubainisha nenosiri, tumia kigezo cha -AccountPassword chenye thamani (Read-Host -AsSecureString "Nenosiri la akaunti yako"). Inafaa pia kuzingatia ukweli kwamba thamani ya parameta ya -Nchi ni msimbo wa nchi au eneo la lugha iliyochaguliwa na mtumiaji. Syntax ya cmdlet ni kama ifuatavyo:

    Mtumiaji-Mpya [-Jina] [-Tarehe ya Kuisha kwa Akaunti ] [-AccountNotDelegated ] [-AccountPassword ] [-AllowReversiblePasswordEncryption ] [-AuthType (Negotiate | Msingi)] [-CannotChangePassword ] [-Vyeti ] [-BadilishaNenosiriAtLogon ] [-Mji ] [-Kampuni ] [-Nchi ] [-Hati ] [-Idara ] [-Maelezo ] [-Jina la Kuonyesha ] [-Mgawanyiko ] [-Barua pepe ] [-Kitambulisho cha Mfanyakazi ] [-Nambari ya Mfanyakazi ] [-Imewezeshwa ] [-Faksi ] [-Jina Lililopewa ] [-HomeDirectory ] [-HomeDrive ] [-Ukurasa wa Nyumbani ] [-Simu ya Nyumbani ] [-Mianzilishi ] [-Mfano ] [-LogonWorkstations ] [-Meneja ] [-Simu ya rununu ] [-Ofisi ] [-Simu ya Ofisi ] [-Shirika ] [-Sifa Nyingine ] [-Jina lingine ] [-PassThru ] [-PasswordNeverExpires ] [-NenosiriNotRequired ] [-Njia ] [-Sanduku la posta ] [-Msimbo wa Posta ] [-ProfilePath ] [-SamAccountName ] [-ScriptPath ] [-Seva ] [-ServicePrincipalNames ] [-SmartcardLogonInahitajika ] [-Jimbo ] [-Anuani ya mtaa ] [-Jina la ukoo ] [-Kichwa ] [-TrustedForDelegation ] [-Aina ] [-UserPrincipalName ] [-Thibitisha] [-WhatIf] [ ]

    Kama unaweza kuona kutoka kwa syntax hii, hakuna maana katika kuelezea vigezo vyote, kwa kuwa vinafanana na sifa za mkuu wa usalama na hazihitaji maelezo. Wacha tuangalie mfano wa matumizi:

    New-ADUser -SamAccountName "Evgeniy.Romanov" -Jina "Evgeniy Romanov" -GivenName "Evgeniy" -Surname "Romanov" -DisplayName "Evgeniy Romanov" -Njia "OU=Marketing,OU=Users,DC=testdomain,DC=com " -Haiwezi KubadilishaNenosiri $false -BadilishaNenosiriAtLogon $true -Jiji "Kherson" -Jimbo "Kherson" -Nchi UA -Idara ya "Marketing" -Kichwa "Marketer" -UserPrincipalName "!} [barua pepe imelindwa]" -Barua pepe " [barua pepe imelindwa]" -Imewasha $true -AccountPassword (Read-Host -AsSecureString "AccountPassword")

    Mchele. 10. Unda akaunti ya mtumiaji kwa kutumia Windows PowerShell

    Hitimisho

    Katika makala haya, ulijifunza kuhusu dhana ya mkuu wa usalama na jukumu ambalo akaunti za watumiaji huwakilisha katika mazingira ya kikoa. Hali kuu za kuunda akaunti za watumiaji katika kikoa cha Saraka Inayotumika zilijadiliwa kwa kina. Umejifunza jinsi ya kuunda akaunti za watumiaji kwa kutumia snap-in "Saraka Inayotumika - Watumiaji na Kompyuta", kwa kutumia violezo, huduma za mstari wa amri Dsadd, CSVDE na LDIFDE. Pia ulijifunza jinsi ya kuunda akaunti za watumiaji kwa kutumia lugha ya uandishi ya VBScript na ganda la mstari wa amri la Windows PowerShell.



    MAKALA INAYOHUSIANA