Kipengele cha saraka ni nini? Madhumuni ya huduma ya saraka ya Active Directory. Mchawi wa Miundombinu na Katalogi ya Ulimwenguni

Saraka Inayotumika

Saraka Inayotumika("Saraka zinazotumika", AD) - LDAP-Utekelezaji sambamba wa huduma ya saraka ya shirika Microsoft kwa mifumo ya uendeshaji ya familia Windows NT. Saraka Inayotumika inaruhusu wasimamizi kutumia sera za kikundi ili kuhakikisha usanidi sawa wa mazingira ya kazi ya mtumiaji, kupeleka programu kwenye kompyuta nyingi kupitia sera za kikundi au kupitia Meneja wa Usanidi wa Kituo cha Mfumo(awali Seva ya Usimamizi wa Mifumo ya Microsoft), sakinisha sasisho za mfumo wa uendeshaji, programu na seva kwenye kompyuta zote kwenye mtandao kwa kutumia Huduma ya Usasishaji Seva ya Windows . Saraka Inayotumika huhifadhi data na mipangilio ya mazingira katika hifadhidata ya kati. Mitandao Saraka Inayotumika inaweza kuwa ya ukubwa tofauti: kutoka kwa makumi kadhaa hadi vitu milioni kadhaa.

Utendaji Saraka Inayotumika ulifanyika mwaka 1999, bidhaa ilitolewa kwa mara ya kwanza na Seva ya Windows 2000, na baadaye ilirekebishwa na kuboreshwa baada ya kutolewa Windows Server 2003. Baadaye Saraka Inayotumika imeboreshwa katika Windows Server 2003 R2, Windows Server 2008 Na Windows Server 2008 R2 na kubadilishwa jina kuwa Huduma za Kikoa cha Saraka Inayotumika. Huduma ya saraka iliitwa hapo awali Huduma ya Saraka ya NT (NTDS), jina hili bado linaweza kupatikana katika faili zingine zinazoweza kutekelezwa.

Tofauti na matoleo Windows kabla Windows 2000, ambayo hasa ilitumia itifaki NetBIOS Kwa mitandao, huduma Saraka Inayotumika kuunganishwa na DNS Na TCP/IP. Itifaki ya uthibitishaji chaguo-msingi ni Kerberos. Ikiwa mteja au programu haitumii uthibitishaji Kerberos, itifaki inatumika NTLM .

Kifaa

Vitu

Saraka Inayotumika ina muundo wa hierarkia unaojumuisha vitu. Vipengee viko katika kategoria kuu tatu: rasilimali (kama vile vichapishaji), huduma (kama vile barua pepe), na akaunti za mtumiaji na kompyuta. Saraka Inayotumika hutoa habari kuhusu vitu, inakuwezesha kupanga vitu, kudhibiti upatikanaji wao, na pia huanzisha sheria za usalama.

Vitu vinaweza kuwa vyombo vya vitu vingine (vikundi vya usalama na usambazaji). Kitu kinatambulishwa kipekee kwa jina lake na kina seti ya sifa—tabia na data—ambacho kinaweza kuwa nacho; mwisho, kwa upande wake, hutegemea aina ya kitu. Sifa huunda msingi wa muundo wa kitu na hufafanuliwa katika schema. Schema inafafanua aina gani za vitu zinaweza kuwepo.

Schema yenyewe ina aina mbili za vitu: vitu vya darasa la schema na vitu vya sifa za schema. Kitu kimoja cha darasa la schema kinafafanua aina moja ya kitu Saraka Inayotumika(kama vile kitu cha Mtumiaji), na kitu kimoja cha schema hufafanua sifa ambayo kitu kinaweza kuwa nacho.

Kila kitu cha sifa kinaweza kutumika katika vitu tofauti vya darasa la schema. Vitu hivi huitwa vitu vya schema (au metadata) na hukuruhusu kubadilisha na kupanua schema kama inahitajika. Walakini, kila kitu cha schema ni sehemu ya ufafanuzi wa kitu Saraka Inayotumika, kwa hivyo kuzima au kubadilisha vitu hivi kunaweza kuwa na athari mbaya, kwani kama matokeo ya vitendo hivi muundo utabadilishwa. Saraka Inayotumika. Mabadiliko ya kitu cha schema huenezwa kiotomatiki Saraka Inayotumika. Mara baada ya kuundwa, kitu cha schema hakiwezi kufutwa, kinaweza tu kuzimwa. Kwa kawaida, mabadiliko yote ya schema yanapangwa kwa uangalifu.

Chombo sawa kitu kwa maana kwamba pia ina sifa na ni ya nafasi ya majina, lakini, tofauti na kitu, chombo haimaanishi chochote maalum: kinaweza kuwa na kikundi cha vitu au vyombo vingine.

Muundo

Kiwango cha juu cha muundo ni msitu - mkusanyiko wa vitu vyote, sifa na sheria (syntax ya sifa) katika Saraka Inayotumika. Msitu una mti mmoja au zaidi uliounganishwa na mpito mahusiano ya uaminifu . Mti huu una kikoa kimoja au zaidi, ambacho pia kimeunganishwa kwenye daraja na mahusiano ya mpito ya uaminifu. Vikoa vinatambuliwa na miundo yao ya majina ya DNS - nafasi za majina.

Vitu katika kikoa vinaweza kuunganishwa katika vyombo - mgawanyiko. Mgawanyiko hukuruhusu kuunda uongozi ndani ya kikoa, kurahisisha usimamizi wake na kukuruhusu kuiga muundo wa shirika na/au kijiografia wa kampuni katika Saraka Inayotumika. Mgawanyiko unaweza kuwa na mgawanyiko mwingine. Shirika Microsoft inapendekeza kutumia vikoa vichache iwezekanavyo ndani Saraka Inayotumika, na kutumia mgawanyiko kwa muundo na sera. Mara nyingi sera za kikundi hutumiwa mahsusi kwa idara. Sera za kikundi ni vitu vyenyewe. Mgawanyiko ndio zaidi kiwango cha chini, ambayo mamlaka ya utawala yanaweza kukabidhiwa.

Njia nyingine ya kugawa Saraka Inayotumika ni tovuti , ambayo ni mbinu ya kuweka kambi kimwili (badala ya kimantiki) kulingana na sehemu za mtandao. Tovuti zimegawanywa katika zile zilizo na miunganisho kupitia chaneli za kasi ya chini (kwa mfano, kupitia chaneli za mtandao wa kimataifa, kwa kutumia mitandao ya kibinafsi ya mtandaoni) na kupitia chaneli za kasi ya juu (kwa mfano, kupitia mtandao wa ndani). Tovuti inaweza kuwa na kikoa kimoja au zaidi, na kikoa kinaweza kuwa na tovuti moja au zaidi. Wakati wa kubuni Saraka Inayotumika Ni muhimu kuzingatia trafiki ya mtandao iliyoundwa wakati data inasawazishwa kati ya tovuti.

Uamuzi muhimu wa kubuni Saraka Inayotumika ni uamuzi wa kugawanya miundombinu ya habari katika vikoa vya daraja na vitengo vya ngazi ya juu. Miundo ya kawaida inayotumika kwa utengano huo ni mifano ya utengano kwa mgawanyiko wa utendaji wa kampuni, kwa eneo la kijiografia na kwa majukumu katika miundombinu ya habari ya kampuni. Mchanganyiko wa mifano hii hutumiwa mara nyingi.

Muundo wa kimwili na replication

Kimwili, taarifa huhifadhiwa kwenye kidhibiti kimoja au zaidi zinazolingana za kikoa, kuchukua nafasi ya zile zinazotumika Windows NT vidhibiti vya msingi na chelezo vya kikoa, ingawa seva inayoitwa "operesheni kuu moja" huhifadhiwa kwa baadhi ya shughuli, ambazo zinaweza kuiga kidhibiti msingi cha kikoa. Kila kidhibiti cha kikoa hudumisha nakala ya kusoma-kuandika ya data. Mabadiliko yaliyofanywa kwenye kidhibiti kimoja husawazishwa kwa vidhibiti vyote vya kikoa kupitia urudufishaji. Seva ambazo huduma yenyewe Saraka Inayotumika haijasakinishwa, lakini ambazo ni sehemu ya kikoa Saraka Inayotumika, huitwa seva za wanachama.

Replication Saraka Inayotumika kutekelezwa kwa ombi. Huduma Kikagua Uthabiti wa Maarifa huunda topolojia ya urudufishaji ambayo hutumia tovuti zilizofafanuliwa kwenye mfumo ili kudhibiti trafiki. Urudiaji wa ndani hutokea mara kwa mara na kiotomatiki kwa kutumia kikagua uthabiti (kuwaarifu washirika wa urudufishaji kuhusu mabadiliko). Urudiaji wa tovuti-tofauti unaweza kusanidiwa kwa kila kituo cha tovuti (kulingana na ubora wa kituo) - "alama" tofauti (au "gharama") inaweza kutolewa kwa kila chaneli (k.m. DS3, , ISDN n.k.), na trafiki ya urudufishaji itapunguzwa, kuratibiwa na kupitishwa kulingana na makadirio ya kiungo ulichopewa. Data ya urudufishaji inaweza kupitishwa kwa njia ya mpito katika tovuti nyingi kupitia madaraja ya viungo vya tovuti ikiwa "alama" ni ndogo, ingawa AD huweka zaidi kiotomatiki. kiwango cha chini kwa miunganisho ya tovuti-kwa-tovuti kuliko miunganisho ya mpito. Urudiaji wa tovuti hadi tovuti unafanywa na seva za madaraja katika kila tovuti, ambazo huiga mabadiliko kwa kila kidhibiti cha kikoa kwenye tovuti yake. Urudiaji wa ndani ya kikoa hufuata itifaki RPC kulingana na itifaki IP, interdomain - pia inaweza kutumia itifaki SMTP.

Ikiwa muundo Saraka Inayotumika ina vikoa kadhaa, hutumiwa kutatua tatizo la kutafuta vitu katalogi ya kimataifa: Kidhibiti cha kikoa ambacho kina vitu vyote msituni, lakini chenye idadi ndogo ya sifa (nakili ndogo). Katalogi huhifadhiwa kwenye seva maalum za orodha ya kimataifa na hutumikia maombi ya vikoa tofauti.

Uwezo wa mwenyeji mmoja huruhusu maombi kushughulikiwa wakati urudufishaji wa mwenyeji wengi hauwezekani. Kuna aina tano za shughuli kama hizi: uigaji wa kidhibiti cha kikoa kikuu (emulator ya PDC), kompyuta kuu kitambulishi cha jamaa (kitambulishi kikuu cha jamaa au bwana wa RID), seva pangishi ya miundombinu (bwana wa miundombinu), mpangishi wa taratibu (bwana wa utaratibu), na mwenyeji wa kutaja kikoa (bwana wa kutaja kikoa). Majukumu matatu ya kwanza ni ya kipekee ndani ya kikoa, mbili za mwisho ni za kipekee ndani ya msitu mzima.

Msingi Saraka Inayotumika inaweza kugawanywa katika maduka matatu mantiki au "partitions". Mchoro ni kiolezo cha Saraka Inayotumika na inafafanua aina zote za vitu, madarasa na sifa zao, syntax ya sifa (miti yote iko kwenye msitu mmoja kwa sababu ina schema sawa). Configuration ni muundo wa msitu na miti Saraka Inayotumika. Kikoa huhifadhi taarifa zote kuhusu vitu vilivyoundwa katika kikoa hicho. Duka mbili za kwanza zimeigwa kwa vidhibiti vyote vya kikoa msituni, kizigeu cha tatu kinaigwa kikamilifu kati ya vidhibiti vya nakala ndani ya kila kikoa na kuigwa kwa seva za orodha za kimataifa.

Kutaja

Saraka Inayotumika inasaidia miundo ifuatayo ya majina ya kitu: majina ya aina ya jumla UNC, URL Na URL ya LDAP. Toleo LDAP Umbizo la kumtaja la X.500 linatumika ndani Saraka Inayotumika.

Kila kitu kina jina mashuhuri (Kiingereza) jina mashuhuri, DN). Kwa mfano, kipengee cha kichapishi kinachoitwa HPLaser3 katika OU ya Uuzaji na katika kikoa foo.org itakuwa na jina lifuatalo mashuhuri: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , ambapo CN ndilo jina la kawaida, OU ni sehemu, DC ni kikoa. darasa la kitu. Majina mashuhuri yanaweza kuwa na sehemu nyingi zaidi ya sehemu nne za mfano huu. Vitu pia vina majina ya kisheria. Haya ni majina mashuhuri yaliyoandikwa kwa mpangilio wa nyuma, bila vitambulishi na kutumia mikwaju ya mbele kama vitenganishi: foo.org/Marketing/HPLaser3. Ili kufafanua kitu ndani ya chombo chake, tumia jamaa jina mashuhuri : CN=HPLaser3 . Kila kitu pia kina kitambulisho cha kipekee ulimwenguni ( KIONGOZI) ni mfuatano wa kipekee na usiobadilika wa 128-bit ambao hutumiwa ndani Saraka Inayotumika kwa utafutaji na urudufishaji. Vitu vingine pia vina UPN ( UPN, kulingana na RFC 822) katika umbizo object@domain.

Ujumuishaji wa UNIX

Ngazi mbalimbali za mwingiliano na Saraka Inayotumika inaweza kutekelezwa kwa wengi UNIX-kama mifumo ya uendeshaji kupitia utiifu wa kawaida LDAP wateja, lakini mifumo kama hiyo, kama sheria, haioni sifa nyingi zinazohusiana na vifaa Windows, kama vile sera za kikundi na usaidizi wa mamlaka ya upande mmoja ya wakili.

Wachuuzi wengine hutoa miunganisho Saraka Inayotumika kwenye majukwaa UNIX, ikiwa ni pamoja na UNIX, Linux, Mac OS X na idadi ya maombi kulingana na Java, na kifurushi cha bidhaa:

Nyongeza za schema pamoja na Windows Server 2003 R2 ni pamoja na sifa ambazo zinahusiana kwa karibu vya kutosha na RFC 2307 kutumika kwa ujumla. Utekelezaji wa kimsingi wa RFC 2307, nss_ldap na pam_ldap, uliopendekezwa PADL.com, moja kwa moja kuunga mkono sifa hizi. Mpango wa kawaida wa uanachama wa kikundi unafuata RFC 2307bis (inayopendekezwa). Windows Server 2003 R2 inajumuisha Dashibodi ya Usimamizi ya Microsoft kwa kuunda na kuhariri sifa.

Chaguo mbadala ni kutumia huduma nyingine ya saraka, kama vile 389 Seva ya Saraka(awali Seva ya Saraka ya Fedora, FDS), eB2Bcom ViewDS v7.1 Saraka Imewezeshwa ya XML au Seva ya Saraka ya Mfumo wa Sun Java kutoka Mifumo midogo ya jua, ambayo hufanya usawazishaji wa njia mbili na Saraka Inayotumika, hivyo kutambua ushirikiano "ulioonyeshwa" wakati wateja UNIX Na Linux zimethibitishwa FDS, na wateja Windows zimethibitishwa Saraka Inayotumika. Chaguo jingine ni kutumia FunguaLDAP yenye uwezo wa uwekaji wa uwazi wa kupanua vipengele vya seva ya mbali LDAP sifa za ziada zilizohifadhiwa ndani msingi wa ndani data.

Saraka Inayotumika ni otomatiki kwa kutumia Powershell .

Fasihi

  • Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003. Mwongozo Kamili = Microsoft Exchange Server 2003 Imetolewa. - M.: "Williams", 2006. - P. 1024. - ISBN 0-672-32581-0

Angalia pia

Viungo

Vidokezo

Sera ya Kikundi ni muundo msingi unaoruhusu msimamizi wa mtandao anayesimamia Microsoft Active Directory kutekeleza usanidi maalum kwa watumiaji na kompyuta. Sera ya Kikundi pia inaweza kutumika kufafanua sera za mtumiaji, usalama na mtandao katika kiwango cha mashine.

Ufafanuzi

Vikundi vya Active Directory husaidia wasimamizi kufafanua mipangilio ya kile ambacho watumiaji wanaweza kufanya kwenye mtandao, ikijumuisha faili, folda na programu wanazoweza kufikia. Mikusanyiko ya mipangilio ya mtumiaji na kompyuta inaitwa Vipengee vya Sera ya Kundi, ambavyo vinasimamiwa kutoka kwa kiolesura cha kati kinachoitwa kiweko cha usimamizi. Sera ya Kikundi pia inaweza kudhibitiwa kwa kutumia zana za mstari wa amri kama vile gpresult na gpupdate.

Active Directory ilikuwa mpya kwa Windows 2000 Server na iliimarishwa katika toleo la 2003, na kuifanya kuwa sehemu muhimu zaidi ya OS. Windows Server 2003 AD hutoa rejeleo moja, inayoitwa huduma ya saraka, kwa vitu vyote kwenye mtandao, ikijumuisha watumiaji, vikundi, kompyuta, vichapishaji, sera na ruhusa.

Kwa mtumiaji au msimamizi, usanidi wa Active Directory hutoa mwonekano mmoja wa daraja ambapo unaweza kudhibiti rasilimali zote za mtandao.

Kwa nini utekeleze Active Directory

Kuna sababu nyingi za kutekeleza mfumo huu. Kwanza kabisa, Saraka Inayotumika ya Microsoft kwa ujumla inachukuliwa kuwa uboreshaji mkubwa juu ya vikoa vya Windows NT Server 4.0 au hata mitandao inayojitegemea ya seva. AD ina utaratibu wa usimamizi wa kati katika mtandao mzima. Pia hutoa upungufu na uvumilivu wa makosa wakati vidhibiti viwili au zaidi vya kikoa vinatumwa kwenye kikoa.

Huduma hudhibiti kiotomatiki mawasiliano kati ya vidhibiti vya kikoa ili kuhakikisha mtandao unabaki kuwa thabiti. Watumiaji hupata ufikiaji wa rasilimali zote kwenye mtandao ambao wameidhinishwa kwa kutumia kuingia mara moja. Rasilimali zote kwenye mtandao zinalindwa na utaratibu thabiti wa usalama ambao huthibitisha kitambulisho cha mtumiaji na mamlaka ya rasilimali kwa kila ufikiaji.

Hata kwa usalama na udhibiti wa hali ya juu wa Saraka ya Active, vipengele vyake vingi havionekani na watumiaji wa mwisho. Katika suala hili, kuhamia watumiaji kwenye mtandao wa AD kunahitaji mafunzo kidogo. Huduma hutoa zana za kukuza haraka na kushusha vidhibiti vya kikoa na seva za wanachama. Mfumo unaweza kudhibitiwa na kulindwa kwa kutumia kikundi Sera inayotumika Orodha. Ni muundo wa shirika unaonyumbulika ambao unaruhusu usimamizi rahisi na uzito wa uwakilishi maalum wa majukumu ya usimamizi. AD ina uwezo wa kudhibiti mamilioni ya vitu ndani ya kikoa kimoja.

Sehemu kuu

Vitabu vya Sera ya Kundi la Saraka Inayotumika hupangwa kwa kutumia aina nne za sehemu, au miundo ya makontena. Tarafa hizi nne ni misitu, vikoa, vitengo vya shirika, na maeneo:

    Msitu ni mkusanyiko wa kila kitu, sifa zake na sintaksia.

    Kikoa ni seti ya kompyuta zinazoshiriki seti ya pamoja ya sera, jina na hifadhidata ya wanachama wao.

    Vitengo vya shirika ni vyombo ambavyo vikoa vinaweza kuwekwa kwenye vikundi. Wanaunda daraja la kikoa na kuunda muundo wa kampuni katika mpangilio wa kijiografia au shirika.

    Maeneo ni makundi ya kimwili ambayo ni huru ya eneo na muundo wa vitengo vya shirika. Tovuti hutofautisha kati ya maeneo yaliyounganishwa na miunganisho ya kasi ya chini na ya juu na hufafanuliwa na subneti moja au zaidi za IP.

Misitu haizuiliwi na jiografia au topolojia ya mtandao. Msitu mmoja unaweza kuwa na vikoa vingi, ambavyo kila moja ina schema ya kawaida. Wanachama wa kikoa cha msitu huo hawahitaji hata muunganisho maalum wa LAN au WAN. Mtandao uliounganishwa inaweza pia kuwa nyumbani kwa misitu kadhaa huru. Kwa ujumla, kwa kila mtu chombo cha kisheria msitu mmoja lazima utumike. Hata hivyo, kiunzi cha ziada kinaweza kuhitajika kwa madhumuni ya majaribio na utafiti nje ya msitu wa uzalishaji.

Vikoa

Vikoa vya Saraka Inayotumika hutumika kama vyombo vya sera za usalama na kazi za usimamizi. Kwa chaguo-msingi, vitu vyote vilivyomo viko chini ya sera za kikundi. Vile vile, msimamizi yeyote anaweza kudhibiti vitu vyote ndani ya kikoa. Kwa kuongeza, kila kikoa kina hifadhidata yake ya kipekee. Kwa hivyo, uthibitishaji unategemea kikoa. Baada ya akaunti ya mtumiaji kuthibitishwa, akaunti hiyo hupata ufikiaji wa rasilimali.

Kusanidi Sera za Kikundi katika Saraka Inayotumika kunahitaji kikoa kimoja au zaidi. Kama ilivyotajwa awali, kikoa cha AD ni mkusanyiko wa kompyuta zinazoshiriki seti ya pamoja ya sera, jina na hifadhidata ya wanachama wao. Kikoa lazima kiwe na seva moja au zaidi zinazotumika kama vidhibiti vya kikoa (DCs) na kuhifadhi hifadhidata, kudumisha sera, na kutoa uthibitishaji wa kuingia.

Vidhibiti vya kikoa

Katika Windows NT, kidhibiti cha msingi cha kikoa (PDC) na kidhibiti chelezo cha kikoa (BDC) yalikuwa majukumu ambayo yanaweza kupewa seva katika mtandao wa kompyuta zinazoendesha mfumo wa uendeshaji wa Windows. Windows ilitumia wazo la kikoa kudhibiti ufikiaji wa seti ya rasilimali za mtandao (programu, vichapishaji, n.k.) kwa kikundi cha watumiaji. Mtumiaji anahitaji tu kuingia kwenye kikoa ili kupata ufikiaji wa rasilimali ambazo zinaweza kupatikana kwenye kadhaa seva tofauti mtandaoni.

Seva moja, inayojulikana kama PDC, ilisimamia hifadhidata ya msingi ya mtumiaji wa kikoa. Seva moja au zaidi zimefafanuliwa kuwa vidhibiti chelezo vya kikoa. Kidhibiti kikuu kilituma mara kwa mara nakala za hifadhidata kwa vidhibiti vya kikoa chelezo. Kidhibiti chelezo Kidhibiti cha kikoa kinaweza kuingia kama kidhibiti msingi cha kikoa endapo seva ya PDC imeshindwa, na pia inaweza kusaidia kusawazisha mzigo wa kazi ikiwa mtandao una shughuli za kutosha.

Ugawaji na usanidi wa Saraka Inayotumika

Katika Seva ya Windows 2000, wakati vidhibiti vya kikoa vilihifadhiwa, majukumu ya seva ya PDC na BDC yalibadilishwa kwa kiasi kikubwa na Active Directory. Hakuna tena haja ya kuunda vikoa tofauti ili kutenganisha mapendeleo ya usimamizi. Ndani ya AD, unaweza kukasimu mapendeleo ya utawala kulingana na vitengo vya shirika. Vikoa havikomei tena kwa watumiaji 40,000. Vikoa vya AD vinaweza kudhibiti mamilioni ya vitu. Kwa kuwa hakuna PDCs na BDCs tena, mpangilio wa Sera ya Kikundi cha Saraka Inayotumika hutekeleza urudufishaji wa mifumo mingi na vidhibiti vyote vya kikoa ni rika.

Muundo wa shirika

Vitengo vya shirika vinaweza kunyumbulika zaidi na rahisi kudhibiti kuliko vikoa. Vitengo vya shirika hukupa unyumbulifu usio na kikomo kwa sababu unaweza kuvihamisha, kuvifuta na kuunda vitengo vipya inavyohitajika. Walakini, vikoa ni ngumu zaidi katika mipangilio yao ya muundo. Vikoa vinaweza kufutwa na kuundwa upya, lakini mchakato huu huharibu mazingira na unapaswa kuepukwa wakati wowote iwezekanavyo.

Tovuti ni mikusanyo ya subnets za IP ambazo zina muunganisho wa haraka na wa kutegemewa kati ya wapangishaji wote. Njia nyingine ya kuunda tovuti ni kuunganisha kwenye mtandao wa ndani, lakini sio uhusiano wa WAN, tangu Viunganisho vya WAN polepole sana na chini ya kuaminika kuliko miunganisho ya LAN. Kwa kutumia tovuti, unaweza kudhibiti na kupunguza idadi ya trafiki inayopitia chaneli zako za polepole mtandao wa kimataifa. Hii inaweza kusababisha mtiririko mzuri zaidi wa trafiki kwa kazi za tija. Inaweza pia kupunguza gharama za mawasiliano za WAN kwa huduma za malipo kwa kila biti.

Mchawi wa Miundombinu na Katalogi ya Ulimwenguni

Miongoni mwa ufunguo mwingine Vipengele vya Windows Seva katika Saraka Inayotumika ina Mwalimu wa Miundombinu (IM), ambayo ni huduma kamili ya FSMO (Flexible Single Master Operations) inayowajibika kwa mchakato wa kiotomatiki ambao hufanya marejeleo ya zamani, yanayojulikana kama phantoms, kwenye hifadhidata ya Active Directory.

Phantomu huundwa kwenye DC ambazo zinahitaji marejeleo mtambuka kati ya kitu ndani yake msingi mwenyewe data na kitu kutoka kikoa kingine msituni. Hii hutokea, kwa mfano, unapoongeza mtumiaji kutoka kikoa kimoja hadi kikundi katika kikoa kingine katika msitu huo huo. Phantom huchukuliwa kuwa ya kizamani wakati hazina tena data iliyosasishwa, ambayo ni kutokana na mabadiliko yaliyofanywa kwa kitu kigeni kinachowakilishwa na phantom. Kwa mfano, wakati lengo linabadilishwa jina, kuhamishwa, kuhamishwa kati ya vikoa, au kufutwa. Mwalimu Mkuu wa Miundombinu ana jukumu la pekee la kutafuta na kurekebisha phantom zilizopitwa na wakati. Mabadiliko yoyote yanayofanywa kutokana na mchakato wa "kurekebisha" lazima yaigwe kwa vidhibiti vingine vya kikoa.

Mkuu wa miundombinu wakati mwingine huchanganyikiwa na katalogi ya kimataifa (GC), ambayo hudumisha nakala ya sehemu, ya kusoma tu ya kila kikoa msituni na, miongoni mwa mambo mengine, hutumika hifadhi ya ulimwengu wote vikundi na usindikaji wa kuingia. Kwa sababu GCs huhifadhi nakala ya sehemu ya vitu vyote, wanaweza kuunda viungo vya vikoa tofauti bila hitaji la phantom.

Saraka Inayotumika na LDAP

Microsoft inajumuisha LDAP (Itifaki ya Ufikiaji wa Saraka Nyepesi) kama sehemu ya Saraka Inayotumika. LDAP ni itifaki ya programu inayomruhusu mtumiaji yeyote kupata mashirika, watu binafsi, na nyenzo nyinginezo, kama vile faili na vifaa, kwenye mtandao, iwe kwenye Mtandao wa umma au intraneti ya shirika.

Katika mitandao ya TCP/IP (pamoja na Mtandao), Mfumo wa Jina la Kikoa (DNS) ni mfumo wa saraka unaotumiwa kuhusisha jina la kikoa na anwani maalum ya mtandao (eneo la kipekee kwenye mtandao). Hata hivyo, huenda hujui jina la kikoa. LDAP inakuruhusu kutafuta watu bila kujua walipo (ingawa maelezo ya ziada yatasaidia katika utafutaji).

Saraka ya LDAP imepangwa katika daraja rahisi la daraja linalojumuisha viwango vifuatavyo:

    Saraka ya mizizi (mahali pa asili au chanzo cha mti).

  • Mashirika.

    Vitengo vya shirika (idara).

    Watu binafsi (ikiwa ni pamoja na watu, faili, na rasilimali zilizoshirikiwa kama vile vichapishaji).

Saraka ya LDAP inaweza kusambazwa kati ya seva nyingi. Kila seva inaweza kuwa na toleo lililoigwa la saraka iliyoshirikiwa ambayo husawazishwa mara kwa mara.

Ni muhimu kwa kila msimamizi kuelewa LDAP ni nini. Kwa sababu kutafuta taarifa katika Active Directory na uwezo wa kuunda hoja za LDAP ni muhimu hasa wakati wa kutafuta taarifa iliyohifadhiwa katika hifadhidata ya AD. Kwa sababu hii, wasimamizi wengi huzingatia umakini mkubwa kusimamia kichujio cha utafutaji cha LDAP.

Kusimamia Sera ya Kikundi na Saraka Inayotumika

Ni vigumu kujadili AD bila kutaja Sera ya Kikundi. Wasimamizi wanaweza kutumia Sera za Kikundi katika Saraka Inayotumika ya Microsoft kufafanua mipangilio ya watumiaji na kompyuta kwenye mtandao. Mipangilio hii husanidiwa na kuhifadhiwa katika vile vinavyoitwa Vipengee vya Sera ya Kundi (GPOs), ambavyo huunganishwa kwenye vipengee vya Active Directory, ikijumuisha vikoa na tovuti. Huu ndio utaratibu wa msingi wa kutumia mabadiliko kwenye kompyuta za watumiaji katika mazingira ya Windows.

Shukrani kwa usimamizi wa Sera ya Kikundi, wasimamizi wanaweza kusanidi mipangilio ya eneo-kazi duniani kote kwenye kompyuta za watumiaji na kuzuia/kuruhusu ufikiaji wa faili na folda fulani kwenye mtandao.

Kutumia sera za kikundi

Ni muhimu kuelewa jinsi Vipengee vya Sera ya Kikundi vinatumiwa na kutekelezwa. Agizo linalofaa kwao ni kutumia sera za mashine za ndani kwanza, kisha sera za tovuti, kisha sera za kikoa, na kisha sera zinazotumika kwa vitengo vya shirika binafsi. Mtumiaji au kifaa cha kompyuta kinaweza tu kuwa cha tovuti moja na kikoa kimoja wakati wowote, kwa hivyo watapokea tu GPO ambazo zinahusishwa na tovuti au kikoa hicho.

Muundo wa kitu

GPO zimegawanywa katika sehemu mbili tofauti: Kiolezo cha Sera ya Kundi (GPT) na Chombo cha Sera ya Kundi (GPC). Kiolezo cha Sera ya Kikundi kinawajibika kuhifadhi mipangilio fulani iliyoundwa katika GPO na ina muhimu kwa mafanikio yake. Inahifadhi mipangilio hii kwenye folda kubwa na muundo wa faili. Ili mipangilio itumike kwa mafanikio kwa vipengee vyote vya watumiaji na kompyuta, ni lazima GPT iigawe kwa vidhibiti vyote kwenye kikoa.

Chombo cha Sera ya Kundi ni sehemu ya kitu cha Sera ya Kikundi kilichohifadhiwa katika Saraka Inayotumika ambayo hukaa kwenye kila kidhibiti cha kikoa katika kikoa. GPC ina jukumu la kudumisha marejeleo ya kiendelezi cha mteja (CSE), njia ya GPT, njia za kifurushi cha usakinishaji wa programu, na vipengele vingine vinavyorejelewa vya GPO. GPC haina taarifa nyingi maalum kwa GPO inayolingana, lakini inahitajika kwa utendaji wa GPO. Sera za usakinishaji wa programu zinaposanidiwa, GPC husaidia kudumisha viungo vinavyohusishwa na GPO na huhifadhi viungo vingine vya uhusiano na njia zilizohifadhiwa katika sifa za kifaa. Ujuzi wa muundo wa GPC na jinsi ya kufikia habari iliyofichwa, iliyohifadhiwa katika sifa, italipa wakati unahitaji kutambua tatizo na Sera ya Kikundi.

Katika Windows Server 2003, Microsoft ilitoa suluhisho la Usimamizi wa Sera ya Kikundi kama zana ya ujumlishaji wa data katika mfumo wa kupenya inayojulikana kama Dashibodi ya Usimamizi wa Sera ya Kundi (GPMC). GPMC hutoa kiolesura cha usimamizi cha GPO ambacho hurahisisha sana usimamizi, usimamizi, na eneo la GPO. Kupitia GPMC, unaweza kuunda GPO mpya, kurekebisha na kuhariri GPO, kukata/kunakili/kubandika GPO, kuhifadhi nakala za GPO, na kutekeleza seti inayotokana ya sera.

Uboreshaji

Kadiri idadi ya GPO zinazodhibitiwa inavyoongezeka, utendakazi huathiri mashine kwenye mtandao. Kidokezo: Utendaji ukipungua, punguza mipangilio ya mtandao wa tovuti. Wakati wa usindikaji huongezeka kwa uwiano wa moja kwa moja na wingi mipangilio ya mtu binafsi. Usanidi rahisi kama vile mipangilio ya eneo-kazi au sera za Internet Explorer, huenda usichukue muda mwingi, ilhali uelekezaji kwingine wa folda ya programu unaweza kutatiza mtandao kwa kiasi kikubwa, hasa katika vipindi vya kilele.

Tenganisha GPO za mtumiaji na kisha uzime sehemu ambayo haijatumika. Mbinu moja bora ya kuboresha tija na kupunguza mkanganyiko wa usimamizi ni kuunda vitu tofauti kwa mipangilio inayotumika kwenye kompyuta na kutenganisha kwa watumiaji.



Mnamo 2002, nilipokuwa nikitembea kando ya ukanda wa idara ya sayansi ya kompyuta ya chuo kikuu ninachopenda, niliona bango safi kwenye mlango wa ofisi ya "NT Systems". Bango lilionyesha aikoni za akaunti ya mtumiaji zilizowekwa katika vikundi, ambapo mishale ilielekeza kwenye aikoni nyingine. Haya yote yaliunganishwa kimkakati kuwa muundo fulani, kitu kiliandikwa juu yake mfumo wa umoja kuingia, idhini na kadhalika. Kwa kadiri ninavyoelewa sasa, bango hilo lilionyesha usanifu wa Windows NT 4.0 Domains na Windows 2000 Active Directory System. Kuanzia wakati huo kufahamiana kwangu kwa mara ya kwanza na Active Directory kulianza na kumalizika mara moja, kwani wakati huo kulikuwa na kikao kigumu, likizo ya kufurahisha, baada ya hapo rafiki alishiriki diski za FreeBSD 4 na Red Hat Linux, na kwa miaka michache iliyofuata niliingia ulimwenguni. ya mifumo kama ya Unix, lakini sikuwahi kusahau yaliyomo kwenye bango.
Kwa mifumo inaendelea Jukwaa la Windows Seva, ilibidi nirudi na kuwafahamu kwa ukaribu zaidi nilipohamia kufanya kazi kwa kampuni ambapo usimamizi wa miundombinu yote ya TEHAMA ulitegemea Active Directory. Nakumbuka kwamba msimamizi mkuu wa kampuni hiyo aliendelea kurudia jambo fulani kuhusu Baadhi ya Mazoezi Bora ya Saraka katika kila mkutano. Sasa, baada ya miaka 8 ya mawasiliano ya mara kwa mara na Active Directory, ninaelewa vyema jinsi mfumo huu unavyofanya kazi na Kanuni Bora za Active Directory ni zipi.
Kama labda ulivyokisia, tutazungumza juu ya Saraka Inayotumika.
Mtu yeyote ambaye ana nia ya mada hii anakaribishwa paka.

Mapendekezo haya ni halali kwa mifumo ya mteja kuanzia Windows 7 na matoleo mapya zaidi, kwa vikoa na misitu Kiwango cha Windows Seva ya 2008/R2 na ya juu zaidi.

Kuweka viwango
Kupanga kwa Saraka Inayotumika kunapaswa kuanza kwa kukuza viwango vyako vya kutaja vitu na eneo lao kwenye saraka. Ni muhimu kuunda hati ambayo kufafanua kila kitu viwango vinavyohitajika. Kwa kweli, hii ni pendekezo la kawaida kwa wataalamu wa IT. Kanuni "kwanza tunaandika nyaraka, na kisha tunajenga mfumo kwa kutumia nyaraka hizi" ni nzuri sana, lakini mara chache hutekelezwa katika mazoezi kwa sababu nyingi. Miongoni mwa sababu hizi ni uvivu wa kibinadamu au ukosefu wa uwezo unaofaa; sababu zilizobaki zinatokana na mbili za kwanza.
Ninapendekeza kwamba uandike nyaraka kwanza, ufikirie, na kisha tu kuendelea na kusakinisha kidhibiti cha kikoa cha kwanza.
Kwa mfano, nitatoa sehemu ya hati juu ya viwango vya kutaja vitu vya Active Directory.
Kutaja vitu.

  • Jina la vikundi vya watumiaji lazima lianze na kiambishi awali GRUS_ (GR - Group, US - Users)
  • Jina la vikundi vya kompyuta lazima lianze na kiambishi awali GRCP_ (GR - Group, CP - Computers)
  • Jina la kaumu ya vikundi vya mamlaka lazima lianze na kiambishi awali GRDL_ (GR - Group, DL - Delegation)
  • Jina la vikundi vya ufikiaji wa rasilimali lazima lianze na kiambishi awali GRRS_ (GR - Group, RS - rasilimali)
  • Jina la vikundi vya sera lazima lianze na viambishi awali GPUS_, GPCP_ (GP - Sera ya Kikundi, Marekani - Watumiaji, CP - Kompyuta)
  • Jina la kompyuta za mteja lazima liwe na barua mbili au tatu kutoka kwa jina la shirika, ikifuatiwa na nambari iliyotengwa na hyphen, kwa mfano, nnt-01.
  • Jina la seva lazima lianze na herufi mbili tu, ikifuatiwa na hyphen na ikifuatiwa na jukumu la seva na nambari yake, kwa mfano, nn-dc01.
Ninapendekeza kutaja vitu vya Saraka Inayotumika ili sio lazima ujaze sehemu ya Maelezo. Kwa mfano, kutoka kwa jina la kikundi GPCP_Restricted_Groups ni wazi kwamba hili ni kundi la sera ambalo linatumika kwa kompyuta na hufanya kazi ya utaratibu wa Vikundi Vizuizi.
Njia yako ya kuandika nyaraka inapaswa kuwa ya kina sana, hii itaokoa muda mwingi katika siku zijazo.

Rahisisha kila kitu iwezekanavyo, jaribu kufikia usawa
Wakati wa kujenga Directory Active, ni muhimu kufuata kanuni ya kufikia usawa, kuchagua taratibu rahisi na zinazoeleweka.
Kanuni ya usawa ni kufikia utendaji unaohitajika na usalama kwa unyenyekevu mkubwa wa suluhisho.
Ni muhimu kujaribu kujenga mfumo ili muundo wake ueleweke kwa msimamizi asiye na ujuzi au hata mtumiaji. Kwa mfano, wakati mmoja kulikuwa na pendekezo la kuunda muundo wa msitu wa vikoa kadhaa. Zaidi ya hayo, ilipendekezwa kupeleka sio tu miundo ya vikoa vingi, lakini pia miundo kutoka kwa misitu kadhaa. Labda pendekezo hili lilikuwepo kwa sababu ya kanuni ya "gawanya na ushinde", au kwa sababu Microsoft iliambia kila mtu kuwa kikoa ndio mpaka wa usalama na kwa kugawa shirika katika vikoa, tutapata miundo tofauti ambayo ni rahisi kudhibiti kibinafsi. Lakini kama mazoezi yameonyesha, ni rahisi kudumisha na kudhibiti mifumo ya kikoa kimoja, ambapo mipaka ya usalama ni vitengo vya shirika (OUs) badala ya vikoa. Kwa hivyo, epuka kuunda miundo tata ya vikoa vingi; ni bora kupanga vitu kwa OU.
Bila shaka, unapaswa kutenda bila fanaticism - ikiwa haiwezekani kufanya bila nyanja kadhaa, basi unahitaji kuunda nyanja kadhaa, pia na misitu. Jambo kuu ni kwamba unaelewa kile unachofanya na nini kinaweza kusababisha.
Ni muhimu kuelewa kwamba miundombinu rahisi Active Saraka ni rahisi zaidi kusimamia na kudhibiti. Ningesema hata rahisi zaidi, salama zaidi.
Tumia kanuni ya kurahisisha. Jaribu kufikia usawa.

Fuata kanuni - "kikundi cha kitu"
Anza kuunda vitu vya Directory Active kwa kuunda kikundi cha kitu hiki, na upe haki zinazohitajika kwa kikundi. Hebu tuangalie mfano. Unahitaji kuunda akaunti ya msimamizi mkuu. Kwanza unda kikundi cha Wasimamizi Wakuu na kisha uunde akaunti yenyewe na uiongeze kundi hili. Peana haki za msimamizi mkuu kwa kikundi cha Wasimamizi Wakuu, kwa mfano, kwa kuiongeza kwenye kikundi cha Wasimamizi wa Kikoa. Inabadilika kuwa baada ya muda mfanyakazi mwingine anakuja kazini ambaye anahitaji haki sawa, na badala ya kukabidhi haki kwa sehemu tofauti za Saraka ya Active, itawezekana kumuongeza tu kwenye kikundi kinachohitajika ambacho mfumo tayari umefafanua jukumu. na mamlaka muhimu yanakabidhiwa.
Mfano mmoja zaidi. Unahitaji kukabidhi haki kwa OU iliyo na watumiaji kwenye kikundi cha wasimamizi wa mfumo. Usikabidhi haki moja kwa moja kwa kikundi cha wasimamizi, lakini unda kikundi maalum kama vile GRDL_OUName_Operator_Accounts ambazo unawapa haki. Kisha ongeza tu kikundi cha wasimamizi wanaowajibika kwenye kikundi cha GRDL_OUName_Operator_Accounts. Kwa hakika itatokea kwamba katika siku za usoni utahitaji kukabidhi haki kwa OU hii kwa kundi lingine la wasimamizi. Na katika hali hii, utaongeza tu kikundi cha data cha wasimamizi kwenye kikundi cha kaumu cha GRDL_OUName_Operator_Accounts.
Ninapendekeza muundo wa kikundi ufuatao.

  • Vikundi vya watumiaji (GRUS_)
  • Vikundi vya Wasimamizi (GRAD_)
  • Vikundi vya uwakilishi (GRDL_)
  • Vikundi vya sera (GRGP_)
Vikundi vya kompyuta
  • Vikundi vya seva (GRSR_)
  • Vikundi vya kompyuta za mteja (GRCP_)
Vikundi vya Ufikiaji Rasilimali
  • Vikundi vya Ufikiaji Rasilimali Zilizoshirikiwa (GRRS_)
  • Vikundi vya Ufikiaji wa Printa (GRPR_)
Katika mfumo uliojengwa kulingana na mapendekezo haya, karibu utawala wote utajumuisha kuongeza vikundi kwa vikundi.
Dumisha usawa kwa kupunguza idadi ya majukumu ya vikundi na kumbuka kwamba jina la kikundi linapaswa kuelezea kikamilifu jukumu lake.

Usanifu wa OU.
Usanifu wa OU lazima kwanza ufikiriwe kupitia kwa mtazamo wa usalama na ugawaji wa haki kwa OU hii kwa wasimamizi wa mfumo. Sipendekezi kupanga usanifu wa OUs kutoka kwa mtazamo wa kuunganisha sera za kikundi kwao (ingawa hii hufanywa mara nyingi). Kwa wengine, pendekezo langu linaweza kuonekana kuwa la kushangaza kidogo, lakini sipendekezi kuunganisha sera za kikundi na OU hata kidogo. Soma zaidi katika sehemu ya Sera za Kikundi.
Wasimamizi wa OU
Ninapendekeza kuunda OU tofauti kwa akaunti na vikundi vya usimamizi, ambapo unaweza kuweka akaunti na vikundi vya wasimamizi wote na wahandisi wa usaidizi wa kiufundi. Ufikiaji wa OU hii unapaswa kufikiwa kwa watumiaji wa kawaida tu, na usimamizi wa vitu kutoka kwa OU hii unapaswa kukabidhiwa kwa wasimamizi wakuu pekee.
Kompyuta za OU
Kompyuta OUs zimepangwa vyema kulingana na eneo la kijiografia la kompyuta na aina za kompyuta. Sambaza kompyuta kutoka maeneo tofauti ya kijiografia katika OU tofauti, na kwa upande mwingine uzigawanye katika kompyuta za mteja na seva. Seva zinaweza pia kugawanywa katika Exchange, SQL na wengine.

Watumiaji, haki katika Saraka Inayotumika
Akaunti za watumiaji wa Active Directory zinapaswa kuzingatiwa maalum. Kama ilivyoelezwa katika sehemu ya OU, akaunti za mtumiaji inapaswa kuwekwa katika makundi kulingana na kanuni ya ugawaji wa mamlaka kwa akaunti hizi. Pia ni muhimu kuzingatia kanuni ya upendeleo mdogo - haki chache ambazo mtumiaji anazo katika mfumo, bora zaidi. Ninapendekeza ujumuishe mara moja kiwango cha mapendeleo ya mtumiaji katika jina la akaunti yake. Akaunti ya kazi ya kila siku inapaswa kuwa na jina la mwisho la mtumiaji na waanzilishi katika Kilatini (Kwa mfano, IvanovIV au IVIvanov). Sehemu zinazohitajika ni: Jina la Kwanza, Jina la Kwanza, Jina la Mwisho, Jina la Kuonyesha (kwa Kirusi), barua pepe, simu ya mkononi, Kichwa cha Kazi, Meneja.
Akaunti za msimamizi lazima ziwe za aina zifuatazo:

  • Na haki za msimamizi kwa kompyuta za watumiaji, lakini sio seva. Lazima iwe na herufi za mwanzo za mmiliki na kiambishi awali cha ndani (Kwa mfano, iivlocal)
  • Na haki za kusimamia seva na Saraka Inayotumika. Lazima iwe na herufi za kwanza pekee (Kwa mfano, iiv).
Sehemu ya Jina la aina zote mbili za akaunti za kiutawala inapaswa kuanza na herufi I (Kwa mfano, iPetrov P Vasily)
Acha nieleze kwa nini unapaswa kutenganisha akaunti za usimamizi kuwa wasimamizi wa seva na wasimamizi wa kompyuta za mteja. Hii lazima ifanyike kwa sababu za usalama. Wasimamizi wa kompyuta za mteja watakuwa na haki ya kusakinisha programu kwenye kompyuta za mteja. Haiwezekani kamwe kusema kwa uhakika ni programu gani itasakinishwa na kwa nini. Kwa hivyo, si salama kuendesha usakinishaji wa programu yenye haki za msimamizi wa kikoa; kikoa kizima kinaweza kuathiriwa. Ni lazima usimamie kompyuta za mteja zilizo na haki za msimamizi wa ndani wa kompyuta hiyo pekee. Hii itafanya kutowezekana kwa mashambulizi kadhaa kwenye akaunti za wasimamizi wa kikoa, kama vile "Pitisha Hash". Zaidi ya hayo, wasimamizi wa kompyuta za mteja wanahitaji kufunga miunganisho kupitia Huduma za Kituo na miunganisho ya mtandao kwenye kompyuta. Usaidizi wa kiufundi na kompyuta za utawala zinapaswa kuwekwa kwenye VLAN tofauti ili kupunguza ufikiaji wao kutoka kwa mtandao wa kompyuta za mteja.
Inapeana haki za msimamizi kwa watumiaji
Ikiwa unahitaji kutoa haki za msimamizi kwa mtumiaji, usiwahi kuweka akaunti yake kwa matumizi ya kila siku katika kikundi cha wasimamizi wa ndani wa kompyuta. Akaunti ya kazi ya kila siku inapaswa kuwa na haki chache kila wakati. Mfungulie akaunti tofauti ya usimamizi kama vile jina na uongeze akaunti hii kwa kikundi cha wasimamizi wa eneo lako kwa kutumia sera, ukiwekea kikomo matumizi yake kwenye kompyuta ya mtumiaji kwa kutumia ulengaji wa kiwango cha bidhaa. Mtumiaji ataweza kutumia akaunti hii kwa kutumia utaratibu wa Run AS.
Sera za Nenosiri
Unda sera tofauti za nenosiri kwa watumiaji na wasimamizi kwa kutumia sera ya nenosiri iliyoboreshwa. Inashauriwa kuwa nywila ya mtumiaji iwe na angalau herufi 8 na inabadilishwa angalau mara moja kwa robo. Inashauriwa kwa wasimamizi kubadilisha nenosiri kila baada ya miezi miwili, na inapaswa kuwa angalau wahusika 10-15 na kukidhi mahitaji ya utata.

Muundo wa kikoa na vikundi vya ndani. Utaratibu wa Vikundi Vilivyozuiliwa
Muundo wa vikundi vya kikoa na vya ndani kwenye kompyuta za kikoa unapaswa kudhibitiwa kiotomatiki tu, kwa kutumia utaratibu wa Vikundi Vilivyozuiliwa. Nitaelezea kwa nini inahitaji kufanywa kwa njia hii tu kwa kutumia mfano ufuatao. Kwa kawaida, baada ya kuvunja kikoa cha Saraka Inayotumika, wasimamizi wanajiongeza kwenye vikundi vya vikoa kama vile wasimamizi wa Kikoa, wasimamizi wa Biashara, kuongeza wahandisi wa usaidizi wa kiufundi kwenye vikundi vinavyohitajika, na pia kusambaza watumiaji wengine katika vikundi. Katika mchakato wa kusimamia kikoa hiki, mchakato wa kutoa haki unarudiwa mara nyingi na itakuwa ngumu sana kukumbuka kuwa jana uliongeza mhasibu Nina Petrovna kwa kikundi cha wasimamizi wa 1C na kwamba leo unahitaji kumwondoa kwenye kikundi hiki. Hali itakuwa mbaya zaidi ikiwa kampuni ina wasimamizi kadhaa na kila mmoja wao mara kwa mara anatoa haki kwa watumiaji kwa mtindo sawa. Katika mwaka mmoja tu, itakuwa vigumu kujua ni haki gani zimepewa nani. Kwa hiyo, muundo wa vikundi unapaswa kudhibitiwa tu na sera za kikundi, ambazo zitaweka kila kitu kwa utaratibu na kila maombi.
Muundo wa vikundi vilivyojengwa
Inafaa kusema kuwa vikundi vilivyojumuishwa kama vile Viendeshaji Akaunti, waendeshaji Hifadhi nakala, Viendeshaji vya Crypt, Wageni, Viendeshaji vya Kuchapisha, Viendeshaji Seva vinapaswa kuwa tupu, katika kikoa na kwenye kompyuta za mteja. Vikundi hivi kimsingi ni muhimu ili kuhakikisha utangamano wa nyuma na mifumo ya zamani, na watumiaji wa vikundi hivi wanapewa haki nyingi sana katika mfumo, na mashambulizi ya kuongezeka kwa marupurupu yanawezekana.

Akaunti za Msimamizi wa Mitaa
Kwa kutumia utaratibu wa Vikundi Vilivyozuiliwa, ni muhimu kuzuia akaunti za msimamizi wa ndani kuwasha kompyuta za ndani, zuia akaunti za wageni na ufute kikundi cha wasimamizi wa ndani kwenye kompyuta za ndani. Usiwahi kutumia sera za kikundi kuweka manenosiri kwa akaunti za msimamizi wa karibu. Utaratibu huu si salama; nenosiri linaweza kutolewa moja kwa moja kutoka kwa sera. Lakini, ukiamua kutozuia akaunti za msimamizi wa eneo lako, basi tumia utaratibu wa LAPS kuweka nywila kwa usahihi na kuzizungusha. Kwa bahati mbaya, kusanidi LAPS sio otomatiki kabisa, na kwa hivyo utahitaji kuongeza mwenyewe sifa kwenye schema ya Active Directory, kuwapa haki, kugawa vikundi, na kadhalika. Kwa hiyo, ni rahisi kuzuia akaunti za msimamizi wa ndani.
Akaunti za huduma.
Ili kuendesha huduma, tumia akaunti za huduma na utaratibu wa gMSA (unapatikana kwenye Windows 2012 na mifumo ya juu zaidi)

Sera za Kikundi
Hati sera kabla ya kuunda/kurekebisha.
Unapounda sera, tumia kanuni ya Policy - Group. Hiyo ni, kabla ya kuunda sera, kwanza unda kikundi cha sera hii, ondoa kikundi cha watumiaji Walioidhinishwa kutoka kwa upeo wa sera na uongeze kikundi kilichoundwa. Unganisha sera na OU, lakini kwa mzizi wa kikoa, na udhibiti upeo wa matumizi yake kwa kuongeza vitu kwenye kikundi cha sera. Ninachukulia utaratibu huu kuwa rahisi na unaoeleweka zaidi kuliko kuunganisha sera na OU. (Hivi ndivyo nilivyoandika juu ya sehemu kuhusu Usanifu wa OU).
Rekebisha upeo wa sera kila wakati. Ikiwa umeunda sera ya watumiaji pekee, basi zima muundo wa kompyuta na kinyume chake, zima muundo wa mtumiaji ikiwa umeunda sera ya kompyuta pekee. Shukrani kwa mipangilio hii, sera zitatumika kwa haraka zaidi.
Weka kila siku chelezo sera zinazotumia Power Shell, ili endapo kutakuwa na hitilafu za usanidi uweze kurejesha mipangilio kwa ile ya awali kila wakati.
Hifadhi ya Kati
Kuanzia na Windows 2008, iliwezekana kuhifadhi violezo vya Sera ya Kikundi cha ADMX katika eneo kuu la kuhifadhi, SYSVOL. Hapo awali, kwa chaguo-msingi, violezo vyote vya sera vilihifadhiwa ndani kwa wateja. Ili kuweka violezo vya ADMX kwenye hifadhi kuu, unahitaji kunakili yaliyomo kwenye folda ya %SystemDrive%\Windows\PolicyDefinitions pamoja na folda ndogo kutoka kwa mifumo ya mteja (Windows 7/8/8.1) hadi saraka ya kidhibiti cha kikoa %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions na maudhui yaliyounganishwa, lakini bila uingizwaji. Ifuatayo, unapaswa kufanya nakala sawa kutoka kwa mifumo ya seva, kuanzia na ya zamani zaidi. Mwishowe, wakati wa kunakili folda na faili kutoka kwa toleo la hivi punde seva, tengeneza nakala kwa kuunganisha na REPLACE.

Kunakili violezo vya ADMX

Zaidi ya hayo, violezo vya ADMX vya bidhaa zozote za programu, kwa mfano, Ofisi ya Microsoft, bidhaa za Adobe, bidhaa za Google na nyinginezo, zinaweza kuwekwa kwenye hifadhi kuu. Nenda kwenye tovuti ya muuzaji programu, pakua kiolezo cha Sera ya Kikundi cha ADMX na ukifungue kwenye %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions folder kwenye kidhibiti chochote cha kikoa. Sasa unaweza kudhibiti kile unachohitaji bidhaa ya programu kupitia sera za kikundi.
Vichungi vya WMI
Vichungi vya WMI si vya haraka sana, kwa hivyo ni vyema kutumia utaratibu wa kulenga kiwango cha bidhaa. Lakini ikiwa ulengaji wa kiwango cha bidhaa hauwezi kutumika, na unaamua kutumia WMI, basi ninapendekeza uunda vichungi kadhaa vya kawaida kwako mara moja: kichungi cha "Mifumo ya uendeshaji ya Mteja pekee", "Mifumo ya uendeshaji ya seva pekee", "Windows 7". ” vichujio, vichujio vya “Windows” 8", "Windows 8.1", "Windows 10". Ikiwa una seti zilizotengenezwa tayari za vichungi vya WMI, basi itakuwa rahisi kutumia kichujio unachotaka kwa sera inayotaka.

Kukagua Matukio ya Saraka Inayotumika
Hakikisha kuwasha ukaguzi wa matukio kwenye vidhibiti vya kikoa na seva zingine. Ninapendekeza kuwezesha ukaguzi wa vitu vifuatavyo:

  • Ukaguzi wa Usimamizi wa Akaunti ya Kompyuta - Mafanikio, Kushindwa
  • Kagua Matukio Mengine ya Usimamizi wa Akaunti - Mafanikio, Kushindwa
  • Ukaguzi wa Usimamizi wa Kikundi cha Usalama - Mafanikio, Kushindwa
  • Ukaguzi Akaunti ya Mtumiaji Usimamizi - Mafanikio, Kushindwa
  • Kagua Huduma ya Uthibitishaji wa Kerberos - Imeshindwa
  • Kagua Matukio ya Login ya Akaunti Nyingine - Kushindwa
  • Mabadiliko ya Sera ya Ukaguzi - Mafanikio, Kushindwa
Ukaguzi lazima usanidiwe katika sehemu Usanidi wa Sera ya Ukaguzi wa Hali ya Juu na hakikisha kuwasha mpangilio katika sehemu hiyo Chaguzi za Sera/Usalama za Mitaa - Lazimisha mipangilio ya kitengo cha sera ya ukaguzi ( Windows Vista au baadaye) ili kubatilisha mipangilio ya kategoria ya sera ya ukaguzi, ambayo itabatilisha mipangilio ya kiwango cha juu na kutumia yale ya juu.

Mipangilio ya ukaguzi wa hali ya juu

Sitakaa kwa undani juu ya mipangilio ya ukaguzi, kwa kuwa kuna idadi ya kutosha ya vifungu kwenye mtandao vinavyotolewa kwa mada hii. Nitaongeza tu kwamba pamoja na kuwezesha ukaguzi, unapaswa kuweka arifa za barua pepe kuhusu matukio muhimu ya usalama. Inafaa pia kuzingatia kuwa katika mifumo iliyo na idadi kubwa ya matukio, inafaa kujitolea kwa seva tofauti kwa kukusanya na kuchambua faili za logi.

Maandishi ya utawala na kusafisha
Vitendo vyote vinavyofanana na vinavyorudiwa mara kwa mara lazima vifanywe kwa kutumia hati za usimamizi. Vitendo hivi ni pamoja na: kuunda akaunti za watumiaji, kuunda akaunti za msimamizi, kuunda vikundi, kuunda OU, na kadhalika. Kuunda vipengee kwa kutumia hati hukuruhusu kuheshimu mantiki ya jina la Saraka Inayotumika kwa kuunda ukaguzi wa sintaksia hadi kwenye hati.
Inafaa pia kuandika maandishi ya kusafisha ambayo yatafuatilia kiotomati muundo wa vikundi, kutambua watumiaji na kompyuta ambazo hazijaunganishwa kwa kikoa kwa muda mrefu, kutambua ukiukwaji wa viwango vingine, na kadhalika.
Sijaona kama pendekezo dhahiri rasmi la kutumia hati za msimamizi kufuatilia utiifu na kufanya shughuli za chinichini. Lakini mimi mwenyewe napendelea ukaguzi na taratibu katika hali ya kiotomatiki kwa kutumia maandishi, kwani hii inaokoa muda mwingi na kuondoa idadi kubwa ya makosa na, kwa kweli, hapa ndipo njia yangu ya Unix ya usimamizi inapoanza, wakati ni rahisi kuandika. amri kadhaa kuliko kubofya kwenye windows.

Utawala wa mwongozo
Wewe na wenzako mtahitaji kufanya shughuli za usimamizi kwa mikono. Kwa madhumuni haya, ninapendekeza kutumia mmc console na snap-ins imeongezwa kwake.
Kama itakavyosemwa baadaye, vidhibiti vya kikoa chako vinapaswa kufanya kazi katika hali ya Msingi ya Seva, yaani, unapaswa kudhibiti mazingira yote ya AD pekee kutoka kwa kompyuta yako kwa kutumia consoles. Ili kusimamia Saraka Inayotumika, unahitaji kusakinisha Zana za Utawala wa Seva ya Mbali kwenye kompyuta yako. Dashibodi zinapaswa kuendeshwa kwenye kompyuta yako kama mtumiaji aliye na haki za msimamizi wa Saraka Inayotumika na udhibiti uliokabidhiwa.
Sanaa ya kusimamia Active Directory kwa kutumia consoles inahitaji makala tofauti, na labda hata video tofauti ya mafunzo, kwa hiyo hapa ninazungumzia tu kanuni yenyewe.

Vidhibiti vya kikoa
Katika kikoa chochote, lazima kuwe na angalau vidhibiti viwili. Vidhibiti vya kikoa vinapaswa kuwa na huduma chache iwezekanavyo. Haupaswi kugeuza kidhibiti cha kikoa kuwa seva ya faili au, mbali na Mungu, kuisasisha hadi jukumu la seva ya wastaafu. Tumia mifumo ya uendeshaji katika hali ya Msingi ya Seva kwenye vidhibiti vya kikoa, ukiondoa kabisa usaidizi wa WoW64, hii itapunguza idadi hiyo kwa kiasi kikubwa. sasisho zinazohitajika na kuongeza usalama wao.
Microsoft hapo awali ilikatisha tamaa vidhibiti vya uboreshaji wa kikoa kutokana na uwezekano wa mizozo isiyoweza kutatulika ya urudufishaji wakati wa kurejesha kutoka kwa vijipicha. Kunaweza kuwa na sababu zingine, siwezi kusema kwa uhakika. Sasa hypervisors wamejifunza kuwaambia watawala kuwarejesha kutoka kwa snapshots, na tatizo hili limetoweka. Nimekuwa nikiboresha vidhibiti kila wakati, bila kuchukua muhtasari wowote, kwa sababu sielewi kwa nini kunaweza kuwa na hitaji la kuchukua vijipicha kama hivyo kwenye vidhibiti vya kikoa. Nadhani ni rahisi kufanya nakala rudufu kidhibiti cha kikoa kwa kutumia njia za kawaida. Kwa hivyo, ninapendekeza uboreshaji wa vidhibiti vyote vya kikoa ambavyo vinawezekana. Usanidi huu utakuwa rahisi zaidi. Unapoboresha vidhibiti vya kikoa, viweke kwenye wapangishaji tofauti halisi.
Ikiwa unahitaji kuweka kidhibiti cha kikoa katika mazingira ya kimwili yasiyolindwa au katika ofisi ya tawi ya shirika lako, basi tumia RODC kwa madhumuni haya.

Majukumu ya FSMO, vidhibiti vya msingi na vya sekondari
Majukumu ya kidhibiti cha kikoa cha FSMO yanaendelea kuleta hofu katika akili za wasimamizi wapya. Mara nyingi, wanaoanza kujifunza Directory Active kutoka kwa nyaraka zilizopitwa na wakati au kusikiliza hadithi kutoka kwa wasimamizi wengine ambao walisoma kitu mahali fulani mara moja.
Kwa majukumu yote matano + 1, yafuatayo yanapaswa kusemwa kwa ufupi. Kuanzia na Windows Server 2008, hakuna tena vidhibiti vya msingi na vya upili. Majukumu yote matano ya kidhibiti cha kikoa yanaweza kubebeka, lakini hayawezi kukaa kwa zaidi ya kidhibiti kimoja kwa wakati mmoja. Ikiwa tunachukua moja ya watawala, ambayo, kwa mfano, ilikuwa mmiliki wa majukumu 4 na kuifuta, basi tunaweza kuhamisha kwa urahisi majukumu haya yote kwa watawala wengine, na hakuna kitu kibaya kitatokea kwenye kikoa, hakuna kitu kitakachovunja. Hili linawezekana kwa sababu mmiliki huhifadhi taarifa zote kuhusu kazi inayohusiana na jukumu fulani moja kwa moja kwenye Saraka Inayotumika. Na ikiwa tunahamisha jukumu kwa mtawala mwingine, basi kwanza kabisa hugeuka kwenye taarifa iliyohifadhiwa kwenye Active Directory na huanza kufanya huduma. Kikoa kinaweza kuwepo kwa muda mrefu bila wamiliki wa majukumu. "Jukumu" pekee ambalo linapaswa kuwa katika Orodha ya Active kila wakati, na bila ambayo kila kitu kitakuwa mbaya sana, ni jukumu la orodha ya kimataifa (GC), ambayo inaweza kubebwa na watawala wote kwenye kikoa. Ninapendekeza kukabidhi jukumu la GC kwa kila mtawala kwenye kikoa, kadiri kuna zaidi, bora zaidi. Bila shaka, unaweza kupata kesi ambapo haifai kusakinisha jukumu la GC kwenye mtawala wa kikoa. Naam, ikiwa huhitaji, basi usifanye. Fuata mapendekezo bila ushabiki.

Huduma ya DNS
Huduma ya DNS ni muhimu kwa uendeshaji wa Active Directory na lazima ifanye kazi bila kukatizwa. Huduma DNS ni bora zaidi Isakinishe tu kwenye kila kidhibiti cha kikoa na uhifadhi kanda za DNS katika Saraka Inayotumika yenyewe. Ikiwa utatumia Active Directory kuhifadhi kanda za DNS, basi unapaswa kusanidi sifa za muunganisho wa TCP/IP kwenye vidhibiti vya kikoa ili kila kidhibiti kiwe na seva nyingine yoyote ya DNS kama seva ya msingi ya DNS, na unaweza kuweka ya pili kushughulikia 127.0. 0.1. Mpangilio huu lazima ufanyike kwa sababu ili huduma ya Active Directory ianze kawaida, DNS inayofanya kazi inahitajika, na ili DNS ianze, huduma ya Active Directory lazima iendeshe, kwani eneo la DNS yenyewe liko ndani yake.
Hakikisha umeweka maeneo ya kuangalia nyuma kwa mitandao yako yote na uwashe usasishaji salama wa kiotomatiki wa rekodi za PTR.
Ninapendekeza kwa kuongeza kuwezesha usafishaji wa kiotomatiki wa ukanda wa rekodi za zamani za DNS (utafutaji wa dns).
Ninapendekeza kubainisha seva za Yandex zilizolindwa kama DNS-Forwarders ikiwa hakuna zingine zenye kasi zaidi katika eneo lako la kijiografia.

Maeneo na urudufu
Wasimamizi wengi wamezoea kufikiria kuwa tovuti ni kundi la kijiografia la kompyuta. Kwa mfano, tovuti ya Moscow, tovuti ya St. Wazo hili liliibuka kutokana na ukweli kwamba mgawanyiko wa awali wa Active Directory katika tovuti ulifanyika kwa madhumuni ya kusawazisha na kutenganisha trafiki ya mtandao wa replication. Watawala wa kikoa huko Moscow hawana haja ya kujua kwamba akaunti kumi za kompyuta sasa zimeundwa huko St. Na kwa hiyo, habari hiyo kuhusu mabadiliko inaweza kupitishwa mara moja kwa saa kulingana na ratiba. Au hata kuiga mabadiliko mara moja kwa siku na usiku tu, ili kuokoa kipimo data.
Ningesema hivi kuhusu tovuti: tovuti ni makundi yenye mantiki ya kompyuta. Kompyuta ambazo zimeunganishwa vizuri muunganisho wa mtandao. Na tovuti zenyewe zimeunganishwa kwa kila mmoja kwa uunganisho wa chini wa bandwidth, ambayo ni rarity siku hizi. Kwa hivyo, ninagawanya Saraka Inayotumika katika tovuti ili kusawazisha trafiki ya urudufishaji, lakini kusawazisha mzigo wa mtandao kwa ujumla na zaidi usindikaji wa haraka maombi ya mteja kutoka kwa kompyuta za tovuti. Acha nieleze kwa mfano. Kuna mtandao wa ndani wa megabit 100 wa shirika, ambao hutumiwa na watawala wawili wa kikoa, na kuna wingu ambapo seva za maombi za shirika hili ziko na watawala wengine wawili wa wingu. Nitagawanya mtandao kama huo katika tovuti mbili ili watawala kwenye mchakato wa mtandao wa ndani waombe kutoka kwa wateja kutoka kwa mtandao wa ndani, na watawala katika mchakato wa wingu waombe kutoka kwa seva za programu. Zaidi ya hayo, hii itakuruhusu kutenganisha maombi kwa huduma za DFS na Exchange. Na kwa kuwa sasa sioni chaneli ya Mtandaoni chini ya megabiti 10 kwa sekunde, nitawasha Urudiaji Kulingana na Arifa, wakati huu urudiaji wa data unatokea mara tu mabadiliko yoyote yanapotokea kwenye Saraka Inayotumika.

Hitimisho
Asubuhi ya leo nilikuwa nikifikiria kwa nini ubinafsi wa kibinadamu haukaribishwi katika jamii na mahali fulani kwa kiwango cha kina cha mtazamo husababisha hisia mbaya sana. Na jibu pekee lililokuja akilini mwangu lilikuwa kwamba jamii ya wanadamu haingeweza kuishi kwenye sayari hii ikiwa haikujifunza kugawana rasilimali za mwili na kiakili. Ndiyo sababu ninashiriki nakala hii na wewe na ninatumahi kuwa mapendekezo yangu yatakusaidia kuboresha mifumo yako na utatumia wakati mdogo sana kutatua shida. Yote hii itasababisha ukombozi zaidi muda na nguvu kwa ajili ya ubunifu. Inapendeza zaidi kuishi katika ulimwengu wa watu wabunifu na huru.
Itakuwa vyema ikiwa, ikiwezekana, utashiriki ujuzi wako na mazoea ya kujenga Active Directory katika maoni.
Amani na wema kwa kila mtu!

Unaweza kusaidia na kuhamisha baadhi ya fedha kwa ajili ya maendeleo ya tovuti

Active Directory (AD) ni huduma, iliyoundwa kwa ajili ya chumba cha uendeshaji Mifumo ya Microsoft Seva. Hapo awali iliundwa kama algorithm nyepesi ya kupata saraka za watumiaji. Tangu toleo la Windows Server 2008, ushirikiano na huduma za idhini umeonekana.

Huwezesha kutii sera ya kikundi inayotumia aina sawa ya mipangilio na programu kwenye Kompyuta zote zinazodhibitiwa kwa kutumia Kidhibiti cha Usanidi cha Kituo cha Mfumo.

Kwa maneno rahisi kwa wanaoanza, hili ni jukumu la seva ambalo hukuruhusu kudhibiti ufikiaji na ruhusa zote kwenye mtandao wa ndani kutoka sehemu moja.

Kazi na madhumuni

Microsoft Active Directory - (kinachojulikana saraka) kifurushi cha zana ambazo hukuruhusu kudhibiti watumiaji na data ya mtandao. lengo la msingi uumbaji - kuwezesha kazi ya wasimamizi wa mfumo katika mitandao mikubwa.

Saraka zina habari mbalimbali zinazohusiana na watumiaji, vikundi, vifaa vya mtandao, rasilimali za faili- kwa neno, vitu. Kwa mfano, sifa za mtumiaji ambazo zimehifadhiwa kwenye saraka zinapaswa kuwa zifuatazo: anwani, kuingia, nenosiri, nambari ya simu ya mkononi, nk. Saraka inatumika kama pointi za uthibitishaji, ambayo unaweza kupata habari muhimu kuhusu mtumiaji.

Dhana za kimsingi zilizokutana wakati wa kazi

Kuna idadi ya dhana maalum ambayo hutumiwa wakati wa kufanya kazi na AD:

  1. Seva ni kompyuta ambayo ina data zote.
  2. Kidhibiti ni seva iliyo na jukumu la AD ambayo huchakata maombi kutoka kwa watu wanaotumia kikoa.
  3. Kikoa cha AD ni mkusanyiko wa vifaa vilivyounganishwa chini ya jina moja la kipekee, kwa kutumia wakati huo huo msingi wa kawaida data ya katalogi.
  4. Hifadhi ya data ni sehemu ya saraka inayohusika na kuhifadhi na kurejesha data kutoka kwa kidhibiti chochote cha kikoa.

Jinsi saraka amilifu zinavyofanya kazi

Kanuni kuu za uendeshaji ni:

  • Uidhinishaji, ambayo unaweza kutumia Kompyuta yako kwenye mtandao kwa kuingiza nenosiri lako la kibinafsi. Katika kesi hii, habari zote kutoka kwa akaunti huhamishwa.
  • Usalama. Active Directory ina vipengele vya utambuzi wa mtumiaji. Kwa kitu chochote cha mtandao unaweza kuweka kwa mbali, kutoka kwa kifaa kimoja haki zinazohitajika, ambayo itategemea kategoria na watumiaji maalum.
  • Utawala wa mtandao kutoka hatua moja. Wakati wa kufanya kazi na Orodha ya Active, msimamizi wa mfumo hawana haja ya kurekebisha tena Kompyuta zote ikiwa ni muhimu kubadilisha haki za kufikia, kwa mfano, kwa printer. Mabadiliko yanafanywa kwa mbali na kimataifa.
  • Imejaa Ujumuishaji wa DNS. Kwa msaada wake, hakuna machafuko katika AD; vifaa vyote vimeteuliwa sawa na kwenye Wavuti ya Ulimwenguni Pote.
  • Kiwango kikubwa. Seti ya seva inaweza kudhibitiwa na Saraka Amilifu moja.
  • Tafuta zinazozalishwa kulingana na vigezo mbalimbali, kwa mfano, jina la kompyuta, kuingia.

Vitu na Sifa

Kitu ni seti ya sifa, iliyounganishwa chini ya jina lake, inayowakilisha rasilimali ya mtandao.

Sifa - sifa za kitu kwenye orodha. Kwa mfano, hizi ni pamoja na jina kamili la mtumiaji na kuingia. Lakini sifa za akaunti ya PC zinaweza kuwa jina la kompyuta hii na maelezo yake.

"Mfanyakazi" ni kitu ambacho kina sifa "Jina", "Nafasi" na "TabN".

Chombo cha LDAP na jina

Chombo ni aina ya kitu ambacho kinaweza inajumuisha vitu vingine. Kikoa, kwa mfano, kinaweza kujumuisha vitu vya akaunti.

Kusudi lao kuu ni kuandaa vitu kwa aina za ishara. Mara nyingi, vyombo hutumiwa kupanga vitu vilivyo na sifa sawa.

Takriban kontena zote zinaonyesha mkusanyiko wa vitu, na rasilimali zimepangwa kwa kitu cha kipekee cha Saraka Inayotumika. Moja ya aina kuu za vyombo vya AD ni moduli ya shirika, au OU (kitengo cha shirika). Vitu vilivyowekwa kwenye chombo hiki ni vya kikoa ambamo vimeundwa.

Itifaki ya Ufikiaji wa Saraka Nyepesi Itifaki ya Ufikiaji, LDAP) ndio kanuni kuu ya miunganisho ya TCP/IP. Imeundwa ili kupunguza kiasi cha nuance wakati wa kupata huduma za saraka. LDAP pia inafafanua vitendo vinavyotumiwa kuuliza na kuhariri data ya saraka.

Mti na tovuti

Mti wa kikoa ni muundo, mkusanyiko wa vikoa ambavyo vina mchoro wa jumla na usanidi, ambao huunda nafasi ya majina ya kawaida na imefungwa na uhusiano wa uaminifu.

Msitu wa kikoa ni mkusanyiko wa miti iliyounganishwa kwa kila mmoja.

Tovuti - mkusanyiko wa vifaa katika subnets za IP, zinazowakilisha mfano wa kimwili mtandao, upangaji ambao unafanywa bila kujali uwakilishi wa kimantiki wa ujenzi wake. Active Directory ina uwezo wa kuunda n-idadi ya tovuti au kuchanganya n-idadi ya vikoa chini ya tovuti moja.

Kusakinisha na kusanidi Saraka Inayotumika

Sasa hebu tuende moja kwa moja Mpangilio unaotumika Saraka inayotumia Windows Server 2008 kama mfano (utaratibu ni sawa kwenye matoleo mengine):

Bonyeza kitufe cha "Sawa". Inafaa kuzingatia hilo maadili sawa haihitajiki. Unaweza kutumia anwani ya IP na DNS kutoka kwa mtandao wako.

  • Ifuatayo, unahitaji kwenda kwenye menyu ya "Anza", chagua "Utawala" na "".
  • Nenda kwenye kipengee cha "Majukumu", chagua " Ongeza majukumu”.
  • Chagua " Huduma za Kikoa Saraka Inayotumika", bofya "Inayofuata" mara mbili, na kisha "Sakinisha".
  • Subiri usakinishaji ukamilike.
  • Fungua menyu ya "Anza" - " Tekeleza" Ingiza dcpromo.exe kwenye uwanja.
  • Bonyeza "Ijayo".
  • Chagua " Unda kikoa kipya katika msitu mpya” na ubofye “Ifuatayo” tena.
  • Katika dirisha linalofuata, ingiza jina na bonyeza "Next".
  • Chagua Hali ya Utangamano(Windows Server 2008).
  • Katika dirisha linalofuata, acha kila kitu kama chaguo-msingi.
  • Itaanza dirisha la usanidiDNS. Kwa kuwa haikuwa imetumika kwenye seva hapo awali, hakuna kaumu yoyote iliyoundwa.
  • Chagua saraka ya usakinishaji.
  • Baada ya hatua hii unahitaji kuweka nenosiri la utawala.

Ili kuwa salama, nenosiri lazima likidhi mahitaji yafuatayo:


Baada ya AD kukamilisha mchakato wa usanidi wa sehemu, lazima uwashe seva upya.



Usanidi umekamilika, snap-in na jukumu imewekwa kwenye mfumo. AD inaweza tu kusakinishwa kwenye familia ya Windows Server, matoleo ya kawaida, kama vile 7 au 10, inaweza tu kuruhusu usakinishaji wa kiweko cha usimamizi.

Utawala katika Saraka Amilifu

Kwa chaguo-msingi, katika Seva ya Windows, koni ya Watumiaji wa Saraka ya Active na Kompyuta hufanya kazi na kikoa ambacho kompyuta ni ya. Unaweza kufikia vipengee vya kompyuta na mtumiaji katika kikoa hiki kupitia mti wa kiweko au kuunganisha kwa kidhibiti kingine.

Zana katika console sawa hukuruhusu kutazama Chaguzi za ziada vitu na utafute, unaweza kuunda watumiaji wapya, vikundi na kubadilisha ruhusa.

Kwa njia, kuna Aina 2 za vikundi katika Saraka ya Mali - usalama na usambazaji. Vikundi vya usalama vina jukumu la kuweka mipaka ya haki za ufikiaji kwa vitu; vinaweza kutumika kama vikundi vya usambazaji.

Vikundi vya usambazaji haviwezi kutofautisha haki na hutumiwa kimsingi kwa kusambaza ujumbe kwenye mtandao.

Ujumbe wa AD ni nini

Ujumbe wenyewe ndio uhamisho wa sehemu ya ruhusa na udhibiti kutoka kwa mzazi hadi mtu mwingine anayewajibika.

Inajulikana kuwa kila shirika lina wasimamizi kadhaa wa mfumo katika makao makuu yake. Kazi mbalimbali inapaswa kuwekwa kwenye mabega tofauti. Ili kuomba mabadiliko, lazima uwe na haki na ruhusa, ambazo zimegawanywa katika kiwango na maalum. Ruhusa mahususi hutumika kwa kitu mahususi, ilhali ruhusa za kawaida ni seti ya ruhusa zilizopo zinazofanya vipengele mahususi vipatikane au visipatikane.

Kuanzisha uaminifu

Kuna aina mbili za mahusiano ya uaminifu katika AD: "unidirectional" na "bidirectional". Katika kesi ya kwanza, kikoa kimoja kinaamini kingine, lakini sio kinyume chake; ipasavyo, ya kwanza ina ufikiaji wa rasilimali ya pili, lakini ya pili haina ufikiaji. Katika aina ya pili, uaminifu ni "kuheshimiana". Pia kuna uhusiano "unaotoka" na "unaoingia". Katika zinazotoka, kikoa cha kwanza huamini cha pili, na hivyo kuruhusu watumiaji wa pili kutumia rasilimali za kwanza.

Wakati wa ufungaji, taratibu zifuatazo zinapaswa kufuatwa:

  • Angalia miunganisho ya mtandao kati ya vidhibiti.
  • Angalia mipangilio.
  • Tune azimio la jina kwa vikoa vya nje.
  • Unda muunganisho kutoka kwa kikoa kinachoaminika.
  • Unda muunganisho kutoka kwa upande wa kidhibiti ambacho uaminifu unashughulikiwa.
  • Angalia uhusiano wa njia moja iliyoundwa.
  • Kama hitaji linatokea katika kuanzisha mahusiano ya nchi mbili - kufanya ufungaji.

Katalogi ya ulimwengu

Hiki ni kidhibiti cha kikoa ambacho huhifadhi nakala za vitu vyote msituni. Inawapa watumiaji na programu uwezo wa kutafuta vitu katika kikoa chochote cha msitu wa sasa kwa kutumia zana za ugunduzi wa sifa imejumuishwa katika orodha ya kimataifa.

Katalogi ya kimataifa (GC) inajumuisha seti ndogo ya sifa kwa kila kitu cha msitu katika kila kikoa. Inapokea data kutoka kwa sehemu zote za saraka ya kikoa msituni, zinakiliwa kwa kutumia mchakato wa kawaida Urudufu wa huduma ya Saraka Inayotumika.

Ratiba huamua ikiwa sifa itanakiliwa. Kuna uwezekano usanidi sifa za ziada , ambayo itaundwa upya katika katalogi ya kimataifa kwa kutumia "Active Directory Schema". Ili kuongeza sifa kwenye katalogi ya kimataifa, unahitaji kuchagua sifa ya urudufishaji na utumie chaguo la "Nakili". Hii itaunda uigaji wa sifa kwenye katalogi ya kimataifa. Thamani ya kigezo cha sifa isMemberOfPartialAttributeSet itakuwa kweli.

Ili kujua eneo orodha ya kimataifa, unahitaji kuingia kwenye mstari wa amri:

Seva ya Dsquery -isgc

Urudiaji wa data katika Saraka Amilifu

Urudiaji ni utaratibu wa kunakili ambao unafanywa wakati inahitajika kuhifadhi habari ya sasa iliyo kwenye kidhibiti chochote.

Inazalishwa bila ushiriki wa waendeshaji. Kuna aina zifuatazo za maudhui ya nakala:

  • Nakala za data huundwa kutoka kwa vikoa vyote vilivyopo.
  • Nakala za miundo ya data. Kwa kuwa schema ya data ni sawa kwa vitu vyote vya msitu Saraka Amilifu, nakala zake zimehifadhiwa kwenye vikoa vyote.
  • Data ya usanidi. Inaonyesha ujenzi wa nakala kati ya vidhibiti. Habari hiyo inasambazwa kwa vikoa vyote msituni.

Aina kuu za replicas ni intra-nodi na inter-node.

Katika kesi ya kwanza, baada ya mabadiliko, mfumo unasubiri, kisha unamjulisha mshirika kuunda replica ili kukamilisha mabadiliko. Hata kwa kutokuwepo kwa mabadiliko, mchakato wa kurudia hutokea moja kwa moja baada ya muda fulani. Baada ya mabadiliko ya kuvunja hutumiwa kwa saraka, replication hutokea mara moja.

Utaratibu wa kurudia kati ya nodi hutokea kati mzigo mdogo kwenye mtandao, hii inaepuka upotezaji wa habari.

Sehemu ya kimsingi ya Huduma za Kikoa katika kila shirika ni Wakuu wa Usalama, ambao hutoa watumiaji, vikundi au kompyuta zinazohitaji ufikiaji wa rasilimali mahususi kwenye mtandao. Ni vitu hivi, vinavyoitwa wakuu wa usalama, vinaweza kupewa ruhusa ya kufikia rasilimali kwenye mtandao, na kila mkuu amepewa kitambulisho cha kipekee cha usalama (SID), ambacho kinajumuisha sehemu mbili, wakati wa kuunda kitu. Kitambulisho cha Usalama SID ni kiwakilishi cha nambari ambacho humtambulisha mkuu wa usalama kwa njia ya kipekee. Sehemu ya kwanza ya kitambulisho kama hicho ni kitambulisho cha kikoa. Kwa sababu wakuu wa usalama wanapatikana katika kikoa kimoja, vitu hivyo vyote vimepewa kitambulisho sawa cha kikoa. Sehemu ya pili ya SID ni kitambulisho cha jamaa (RID), ambayo hutumiwa kutambua kwa njia ya kipekee msimamizi mkuu wa usalama kwa heshima na wakala anayetoa SID.

Ingawa mashirika mengi hupanga na kupeleka miundombinu ya Huduma za Kikoa mara moja tu, na vitu vingi hupitia mabadiliko ya nadra sana, isipokuwa muhimu kwa sheria hii ni kanuni za usalama, ambazo lazima ziongezwe, zirekebishwe na kuondolewa mara kwa mara. Moja ya vipengele vya msingi vya kitambulisho ni akaunti za watumiaji. Kimsingi, akaunti za watumiaji ni vitu halisi, haswa watu ambao ni wafanyikazi wa shirika lako, lakini kuna vighairi ambapo akaunti za watumiaji huundwa kwa baadhi ya programu kama huduma. Akaunti za watumiaji hucheza jukumu muhimu katika utawala wa biashara. Majukumu kama haya ni pamoja na:

  • Kitambulisho cha Mtumiaji, kwa kuwa akaunti iliyoundwa hukuruhusu kuingia kwenye kompyuta na vikoa na data haswa ambayo uhalisi wake umethibitishwa na kikoa;
  • Ruhusa za kufikia rasilimali za kikoa, ambazo zimekabidhiwa kwa mtumiaji kutoa ufikiaji wa rasilimali za kikoa kulingana na ruhusa zilizo wazi.

Vipengee vya akaunti ya mtumiaji ni kati ya vitu vya kawaida katika Saraka Inayotumika. Ni kwa akaunti za watumiaji kwamba wasimamizi wanatakiwa kulipa kipaumbele maalum, kwa kuwa ni kawaida kwa watumiaji kuja kufanya kazi katika shirika, kuhama kati ya idara na ofisi, kuolewa, kupata talaka, na hata kuacha kampuni. Vitu kama hivyo vinawakilisha seti ya sifa, na akaunti moja tu ya mtumiaji inaweza kuwa na zaidi ya sifa 250 tofauti, ambayo ni mara kadhaa idadi ya sifa kwenye vituo vya kazi na kompyuta zinazoendesha mifumo ya uendeshaji. Mfumo wa Linux. Unapofungua akaunti ya mtumiaji, seti ndogo ya sifa huundwa, na kisha unaweza kuongeza kitambulisho cha mtumiaji kama vile maelezo ya shirika, anwani za watumiaji, nambari za simu na zaidi. Kwa hiyo, ni muhimu kutambua kwamba baadhi ya sifa ni lazima, na wengine - hiari. Katika makala hii, nitazungumzia kuhusu mbinu muhimu za kuunda akaunti za mtumiaji, baadhi ya sifa za hiari, na pia nitaelezea zana zinazokuwezesha kugeuza vitendo vya kawaida vinavyohusishwa na kuunda akaunti za mtumiaji.

Kuunda watumiaji kwa kutumia Watumiaji wa Saraka inayotumika na Kompyuta

Katika idadi kubwa ya kesi wasimamizi wa mfumo Ili kuunda misingi ya usalama, wanapendelea kutumia snap-in, ambayo imeongezwa kwenye folda "Utawala" mara baada ya kufunga jukumu "Huduma za Kikoa cha Saraka Inayotumika" na kukuza seva kwa kidhibiti cha kikoa. Njia hii ndiyo inayofaa zaidi kwa sababu hutumia kiolesura cha kielelezo ili kuunda kanuni za usalama na mchawi wa kuunda akaunti ya mtumiaji ni rahisi sana kutumia. Ubaya wa njia hii ni kwamba wakati wa kuunda akaunti ya mtumiaji, huwezi kuweka mara moja sifa nyingi, na itabidi uongeze sifa zinazohitajika kwa kuhariri akaunti. Ili kuunda akaunti ya mtumiaji, fuata hatua hizi:

  • Katika shamba "Jina" ingiza jina lako la mtumiaji;
  • Katika shamba "Waanzilishi" ingiza herufi za kwanza (mara nyingi herufi za kwanza hazitumiwi);
  • Katika shamba "Jina la ukoo" ingiza jina la mwisho la mtumiaji atakayeundwa;
  • Shamba "Jina kamili" kutumika kuunda sifa za kitu kilichoundwa kama vile Jina la Kawaida CN na kuonyesha sifa za jina. Sehemu hii lazima iwe ya kipekee katika kikoa chote, na inajazwa kiotomatiki, na inapaswa kubadilishwa tu ikiwa ni lazima;
  • Shamba "Jina la Kuingia la Mtumiaji" inahitajika na imekusudiwa kwa jina la kuingia la kikoa cha mtumiaji. Hapa unahitaji kuingiza jina lako la mtumiaji na kuchagua kiambishi cha UPN kutoka kwenye orodha ya kushuka, ambayo itakuwa iko baada ya alama ya @;
  • Shamba "Jina la Kuingia la Mtumiaji (Pre-Windows 2000)" imekusudiwa kwa jina la kuingia kwa mifumo iliyotangulia mfumo wa uendeshaji wa Windows 2000. Katika miaka ya hivi karibuni, wamiliki wa mifumo kama hiyo wamezidi kuwa nadra katika mashirika, lakini uwanja unahitajika, kwani baadhi programu hutumia sifa hii kutambua watumiaji;

Baada ya kujaza sehemu zote zinazohitajika, bonyeza kitufe "Zaidi":

Mchele. 2. Sanduku la Mazungumzo la Uundaji Akaunti ya Mtumiaji

  • Washa ukurasa unaofuata Katika mchawi wa uundaji wa akaunti ya mtumiaji, utalazimika kuingiza nenosiri la mtumiaji kwenye uwanja "Nenosiri" na uthibitishe kwenye uwanja "Uthibitisho". Kwa kuongeza, unaweza kuchagua sifa inayoonyesha kwamba mara ya kwanza mtumiaji anaingia, mtumiaji lazima abadilishe nenosiri la akaunti yake mwenyewe. Ni bora kutumia chaguo hili kwa kushirikiana na wanasiasa wa ndani usalama "Sera ya Nenosiri", ambayo itakuruhusu kuunda nywila kali kwa watumiaji wako. Pia, kwa kuangalia chaguo "Marufuku mtumiaji kubadilisha nenosiri" unampa mtumiaji nenosiri lako na kumzuia asibadilishe. Wakati wa kuchagua chaguo "Nenosiri haliisha muda wake" nenosiri la akaunti ya mtumiaji halitaisha muda na halitahitaji kuwekwa upya mabadiliko ya mara kwa mara. Ukiangalia kisanduku "Ondoa akaunti", basi akaunti hii haitakusudiwa kazi zaidi na mtumiaji aliye na akaunti kama hiyo hataweza kuingia hadi iwashwe. Chaguo hili, kama sifa nyingi, litajadiliwa katika sehemu inayofuata ya nakala hii. Baada ya kuchagua sifa zote, bonyeza kitufe "Zaidi". Ukurasa huu wa mchawi unaonyeshwa kwenye kielelezo kifuatacho:

    • Mchele. 3. Unda nenosiri la akaunti unayounda

  • Katika ukurasa wa mwisho wa mchawi, utaona muhtasari wa mipangilio uliyoingiza. Ikiwa habari imeingizwa kwa usahihi, bonyeza kitufe "Tayari" kuunda akaunti ya mtumiaji na kukamilisha mchawi.

    • Kuunda watumiaji kulingana na violezo

    Kwa kawaida, mashirika yana vitengo au idara nyingi ambazo watumiaji wako wanamiliki. Katika idara hizi, watumiaji wana mali sawa (kwa mfano, jina la idara, nafasi, nambari ya ofisi, nk). Ili kusimamia kwa ufanisi akaunti za watumiaji kutoka idara moja, kwa mfano, kwa kutumia sera za kikundi, inashauriwa kuunda ndani ya uwanja katika idara maalum (kwa maneno mengine, vyombo) kulingana na templates. Kiolezo cha akaunti ni akaunti ambayo ilionekana kwa mara ya kwanza katika siku za mifumo ya uendeshaji ya Windows NT, ambayo sifa za kawaida kwa watumiaji wote walioundwa hujazwa awali. Ili kuunda kiolezo cha akaunti ya mtumiaji, fuata hatua hizi:

    • Ni kawaida. Kichupo hiki kimekusudiwa kujaza sifa za mtumiaji binafsi. Sifa hizi ni pamoja na jina la kwanza na la mwisho la mtumiaji, maelezo mafupi ya akaunti, nambari ya simu ya mtumiaji, nambari ya chumba, barua pepe, pamoja na tovuti. Kutokana na ukweli kwamba taarifa hii ni ya mtu binafsi kwa kila mtumiaji binafsi, data iliyojazwa kwenye kichupo hiki haijakiliwa;
    • Anwani. Kwenye kichupo cha sasa unaweza kujaza Sanduku la barua, mji, mkoa, msimbo wa posta na nchi ambapo watumiaji ambao wataundwa kulingana na kiolezo hiki wanaishi. Kwa kuwa majina ya barabara ya kila mtumiaji kwa kawaida hayalingani, data katika sehemu hii haiwezi kunakiliwa;
    • Akaunti. Katika kichupo hiki, unaweza kubainisha hasa wakati mtumiaji anaingia, kompyuta ambazo watumiaji wanaweza kuingia, vigezo vya akaunti kama vile hifadhi ya nenosiri, aina za usimbaji fiche, n.k., pamoja na tarehe ya mwisho wa akaunti;
    • Wasifu. Kichupo cha sasa inakuwezesha kutaja njia ya wasifu, script ya kuingia, njia ya ndani kwenye folda ya nyumbani, pamoja na anatoa mtandao ambayo folda ya nyumbani ya akaunti itakuwa iko;
    • Shirika. Kwenye kichupo hiki, unaweza kuonyesha msimamo wa wafanyikazi, idara ambayo wanafanya kazi, jina la shirika na jina la mkuu wa idara;
    • Wanakikundi. Hapa ndipo wanachama wakuu wa kikundi na kikundi hubainishwa.

    Hivi ndivyo vichupo kuu unavyojaza wakati wa kuunda violezo vya akaunti. Mbali na vichupo hivi sita, unaweza pia kujaza taarifa katika vichupo 13. Nyingi za tabo hizi zitajadiliwa katika makala zinazofuata katika mfululizo huu.

  • Hatua inayofuata itaunda akaunti ya mtumiaji kulingana na kiolezo cha sasa. Ili kufanya hivyo, bonyeza-click kwenye template ya akaunti na uchague amri kutoka kwenye orodha ya muktadha "Nakala";
  • Katika sanduku la mazungumzo "Nakili kitu - Mtumiaji" Ingiza jina la mtumiaji, jina la mwisho na jina la kuingia. Kwenye ukurasa unaofuata, ingiza nenosiri lako na uthibitisho, na usifute chaguo "Ondoa akaunti". Kamilisha kazi ya mchawi;

    • Mchele. 5. Nakili Kisanduku cha Maongezi cha Akaunti ya Mtumiaji

  • Baada ya kufungua akaunti yako, nenda kwenye sifa za akaunti uliyofungua na ukague sifa unazoongeza kwenye kiolezo. Sifa zilizosanidiwa zitanakiliwa kwa akaunti mpya.

    • Kuunda watumiaji kwa kutumia mstari wa amri

    Kama ilivyo kwa vitu vingi, mfumo wa uendeshaji wa Windows una huduma za mstari wa amri na utendaji sawa wa kiolesura cha picha cha mtumiaji. "Saraka Inayotumika - Watumiaji na Kompyuta". Amri hizi huitwa amri za DS kwa sababu huanza na herufi DS. Ili kuunda wakuu wa usalama tumia amri Dsadd. Baada ya amri yenyewe, marekebisho yameainishwa ambayo huamua aina na jina la DN la kitu. Katika kesi ya kuunda akaunti za watumiaji, unahitaji kutaja kirekebishaji mtumiaji, ambayo ni aina ya kitu. Baada ya aina ya kitu, lazima uweke jina la DN la kitu yenyewe. DN (Jina Lililotofautishwa) ya kitu ni seti ya matokeo ambayo ina jina bainifu. DN kawaida hufuatwa na jina la mtumiaji UPN au kuingia matoleo ya awali Windows. Ikiwa kuna nafasi katika jina la DN, jina lazima liambatanishwe katika nukuu. Syntax ya amri ni kama ifuatavyo:

    Mtumiaji wa Dsadd DN_name -samid account_name -UPN_name -pwd password -vigezo vya ziada

    Kuna vigezo 41 ambavyo vinaweza kutumika na amri hii. Wacha tuangalie maarufu zaidi kati yao:

    -samid- jina la akaunti ya mtumiaji;

    -juu- jina la kuingia la mtumiaji kabla ya Windows 2000;

    -fn- jina la mtumiaji, ambalo limejazwa kwenye uwanja kwenye kiolesura cha picha "Jina";

    -mi- mwanzo wa mtumiaji;

    -ln- jina la mwisho la mtumiaji, lililotajwa katika uwanja wa "Jina la Mwisho" la mchawi wa kuunda akaunti ya mtumiaji;

    -onyesha- inabainisha jina la mtumiaji kamili, ambalo linazalishwa kiotomatiki kwenye kiolesura cha mtumiaji;

    -achwa- nambari ya mfanyakazi ambayo imeundwa kwa mtumiaji;

    -pwd- parameta inayofafanua nenosiri la mtumiaji. Ukitaja ishara ya kinyota (*), utaulizwa kuingiza nenosiri la mtumiaji katika hali iliyolindwa na mwonekano;

    -desk- maelezo mafupi ya akaunti ya mtumiaji;

    -mwanachama- paramu ambayo huamua uanachama wa mtumiaji katika kikundi kimoja au zaidi;

    -ofisi- eneo la ofisi ambapo mtumiaji anafanya kazi. Katika mali ya akaunti, parameter hii inaweza kupatikana kwenye kichupo "Shirika";

    -simu- nambari ya simu ya mtumiaji wa sasa;

    -barua pepe- anwani ya barua pepe ya mtumiaji, ambayo inaweza kupatikana kwenye kichupo "Ni kawaida";

    -nyumbani- paramu inayoonyesha nambari ya simu ya nyumbani ya mtumiaji;

    -runununambari ya simu mtumiaji wa simu;

    -faksi- nambari ya mashine ya faksi inayotumiwa na mtumiaji wa sasa;

    -kichwa- nafasi ya mtumiaji katika shirika;

    -idara- parameter hii inakuwezesha kutaja jina la idara ambayo mtumiaji huyu anafanya kazi;

    -kampuni- jina la kampuni ambapo mtumiaji aliyeundwa anafanya kazi;

    -hmdir- saraka kuu ya mtumiaji, ambayo hati zake zitapatikana;

    -hmdrv- njia ya kiendeshi cha mtandao ambapo folda ya nyumbani ya akaunti itakuwa iko

    -wasifu- njia ya wasifu wa mtumiaji;

    -mustchpwd- parameter hii inaonyesha kwamba mtumiaji lazima abadilishe nenosiri lake baada ya kuingia;

    -canchpwd- kigezo kinachoamua ikiwa mtumiaji anapaswa kubadilisha nenosiri lake. Ikiwa thamani ya parameter ni "ndio", basi mtumiaji atakuwa na fursa ya kubadilisha nenosiri;

    -rejeshwapwd- parameta ya sasa huamua uhifadhi wa nenosiri la mtumiaji kwa kutumia usimbuaji wa nyuma;

    -pwdnevere expires- chaguo linaloonyesha kuwa nenosiri halitaisha. Katika vigezo hivi vyote vinne, maadili yanaweza kuwa tu "ndio" au "Hapana";

    -inaisha muda wake- kigezo kinachoamua baada ya siku ngapi akaunti itaisha. Thamani chanya inawakilisha idadi ya siku ambazo akaunti itaisha, wakati thamani hasi inamaanisha kuwa muda wake tayari umekwisha;

    -lemavu- inaonyesha kuwa akaunti tayari imezimwa. Thamani za parameta hii pia ni "ndio" au "Hapana";

    -q- kubainisha hali ya utulivu kwa usindikaji wa amri.

    Mfano wa matumizi:

    Mtumiaji wa Dsadd “cn=Alexey Smirnov,OU=Marketing,OU=Users,DC=testdomain,DC=com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -onyesha “Alexey Smirnov” - tel "743-49-62" -barua pepe [barua pepe imelindwa]-dept Marketing -kampuni TestDomain -title Marketer -hmdir \\dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd ndiyo -lemavu hapana

    Mchele. 6. Kuunda akaunti ya mtumiaji kwa kutumia matumizi ya Dsadd

    Kuunda Watumiaji Kwa Kutumia Amri ya CSVDE

    Huduma nyingine ya mstari wa amri, CSVDE, hukuruhusu kuagiza au kuuza nje vitu vya Amilifu Direcoty, vilivyowasilishwa kama faili ya cvd - faili ya maandishi iliyotenganishwa kwa koma ambayo inaweza kuundwa kwa kutumia kichakataji lahajedwali la Microsoft Excel au Notepad rahisi ya kuhariri maandishi. Katika faili hii, kila kitu kinawakilishwa kwenye mstari mmoja na lazima iwe na sifa ambazo zimeorodheshwa kwenye mstari wa kwanza. Inafaa kuzingatia ukweli kwamba kwa kutumia amri hii huwezi kuagiza nywila za mtumiaji, ambayo ni, mara baada ya operesheni ya kuagiza kukamilika, akaunti za watumiaji zitazimwa. Mfano wa faili kama hii ni kama ifuatavyo:

    Mchele. 7. Uwasilishaji wa Faili ya CSV

    Syntax ya amri ni kama ifuatavyo:

    Csvde -i -f jina la faili.csv -k

    • -i. Kigezo kinachodhibiti hali ya uingizaji. Ikiwa hutabainisha parameter hii, amri hii itatumia hali ya kawaida ya kusafirisha nje;
    • -f
    • -k
    • -v
    • -j
    • -u. Chaguo ambalo hukuruhusu kutumia hali ya Unicode.

    Mfano wa kutumia amri:

    Csvde -i -f d:\testdomainusers.csv -k

    Mchele. 8. Leta akaunti za mtumiaji kutoka kwa faili ya CSV

    Inaingiza watumiaji kwa kutumia LIFDE

    Huduma ya mstari wa amri ya Ldifde pia hukuruhusu kuingiza au kuuza nje vitu vya Saraka Inayotumika kwa kutumia umbizo la faili la Faili ya Mabadilishano ya Data ya Itifaki ya Ufikiaji wa Saraka (LDIF). Umbizo hili la faili lina kizuizi cha mistari ambayo huunda operesheni maalum. Tofauti na faili za CSV, katika umbizo hili la faili kila mstari wa mtu binafsi unawakilisha seti ya sifa, ikifuatiwa na koloni na thamani ya sifa yenyewe ya sasa. Vile vile katika Faili ya CSV, mstari wa kwanza lazima uwe sifa ya DN. Hii inafuatwa na aina ya mabadiliko ya mstari, ambayo inabainisha aina ya operesheni (ongeza, badilisha, au futa). Ili kujifunza jinsi ya kuelewa umbizo hili la faili, unahitaji kujifunza angalau sifa kuu za kanuni za usalama. Mfano umetolewa hapa chini:

    Mchele. 9. Mfano wa faili ya LDF

    Syntax ya amri ni kama ifuatavyo:

    Ldifde -i -f jina la faili.csv -k

    • -i. Kigezo kinachodhibiti hali ya uingizaji. Ikiwa hutabainisha chaguo hili, amri hii itatumia hali ya uhamishaji chaguo-msingi;
    • -f. Kigezo kinachotambua jina la faili litakaloingizwa au kuhamishwa;
    • -k. Kigezo kilichoundwa ili kuendelea kuagiza, kuruka makosa yote iwezekanavyo;
    • -v. parameter kutumia ambayo unaweza kuonyesha maelezo ya kina;
    • -j. Parameter inayohusika na eneo la faili ya logi;
    • -d. Parameta inayobainisha mzizi wa utafutaji wa LDAP;
    • -f. Parameta iliyokusudiwa kwa kichujio cha utaftaji cha LDAP;
    • -p. Inawakilisha upeo au kina cha utafutaji;
    • -l. Inakusudiwa kubainisha orodha iliyotenganishwa kwa koma ya sifa ambazo zitajumuishwa katika usafirishaji wa vitu vinavyotokana;

    Kuunda Watumiaji Kwa Kutumia VBScript

    VBScript ni mojawapo ya zana zenye nguvu zaidi zilizoundwa ili kufanya kazi za usimamizi kiotomatiki. Zana hii inakuruhusu kuunda hati zilizoundwa kugeuza vitendo vingi vinavyoweza kufanywa kupitia kiolesura cha mtumiaji. Maandishi ya VBScript ni faili za maandishi, ambayo watumiaji wanaweza kuhariri kwa kawaida kwa kutumia kawaida wahariri wa maandishi(kwa mfano Notepad). Na kutekeleza maandishi, unahitaji tu kubofya mara mbili ikoni ya hati yenyewe, ambayo itafungua kwa kutumia amri ya Wscript. Ili kuunda akaunti ya mtumiaji katika VBScript hakuna amri maalum, kwa hivyo unahitaji kwanza kuunganisha kwenye kontena, kisha utumie maktaba ya adapta ya Active Directory Services Interface (ADSI) kwa kutumia taarifa ya Get-Object, ambapo unatekeleza kamba ya hoja ya LDAP ambayo hutoa kichunguzi cha itifaki LDAP:// na jina la kitu DN. Kwa mfano, Set objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com”). Mstari wa pili wa msimbo huwasha njia ya Unda ya kitengo ili kuunda kitu cha darasa mahususi kwa jina mahususi linalojulikana, kwa mfano, Set objUser=objOU.Create(“mtumiaji”,”CN= Yuriy Soloviev”). Mstari wa tatu una njia ya Weka, ambapo unahitaji kutaja jina la sifa na thamani yake. Mstari wa mwisho Hati hii inathibitisha mabadiliko yaliyofanywa, yaani, objUser.SetInfo().

    Mfano wa matumizi:

    Weka objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com” Weka objUser=objOU.Create(“mtumiaji”,”CN= Yuri Solovyov”) objUser.Weka “sAMAccountName” ,"Yuriy.Soloviev" objMtumiaji.Weka "UserPrincipalName" [barua pepe imelindwa]” objUser.Weka “GivenName”,”Yuri” objUser.Weka “sn”Soloviev” objUser.SetInfo()

    Kuunda Watumiaji Kwa Kutumia PowerShell

    Mfumo wa uendeshaji wa Windows Server 2008 R2 sasa unatoa uwezo wa kudhibiti vitu vya Active Directory kutumia Windows PowerShell. Mazingira ya PowerShell yanachukuliwa kuwa safu ya amri yenye nguvu zaidi, iliyotengenezwa kwa msingi wa .Net Framework na iliyoundwa ili kudhibiti na kuweka kiotomatiki usimamizi wa mifumo ya uendeshaji ya Windows na programu zinazoendeshwa kwenye data. mifumo ya uendeshaji. PowerShell inajumuisha zaidi ya zana 150 za mstari wa amri, zinazoitwa cmdlets, ambazo hutoa uwezo wa kudhibiti kompyuta za biashara kutoka kwa safu ya amri. Shell hii ni sehemu ya mfumo wa uendeshaji.

    Ili kuunda mtumiaji mpya katika kikoa cha Saraka Inayotumika, tumia New-ADUser cmdlet, ambayo maadili mengi ya mali yanaweza kuongezwa kwa kutumia vigezo vya cmdlet hii. Kigezo cha -Path kinatumika kuonyesha jina la LDAP. Kigezo hiki kinabainisha chombo au kitengo cha shirika (OU) kwa mtumiaji mpya. Ikiwa kigezo cha Njia hakijabainishwa, cmdlet huunda kipengee cha mtumiaji kwenye chombo chaguo-msingi cha vitu vya mtumiaji kwenye kikoa, ambacho ni chombo cha Watumiaji. Ili kubainisha nenosiri, tumia kigezo cha -AccountPassword chenye thamani (Read-Host -AsSecureString "Nenosiri la akaunti yako"). Inafaa pia kuzingatia ukweli kwamba thamani ya parameta ya -Nchi ni msimbo wa nchi au eneo la lugha iliyochaguliwa na mtumiaji. Syntax ya cmdlet ni kama ifuatavyo:

    Mtumiaji-Mpya [-Jina] [-Tarehe ya Kuisha kwa Akaunti ] [-AccountNotDelegated ] [-AccountPassword ] [-AllowReversiblePasswordEncryption ] [-AuthType (Negotiate | Msingi)] [-CannotChangePassword ] [-Vyeti ] [-BadilishaNenosiriAtLogon ] [-Mji ] [-Kampuni ] [-Nchi ] [-Hati ] [-Idara ] [-Maelezo ] [-Jina la Kuonyesha ] [-Mgawanyiko ] [-Barua pepe ] [-Kitambulisho cha Mfanyakazi ] [-Nambari ya Mfanyakazi ] [-Imewezeshwa ] [-Faksi ] [-Jina Lililopewa ] [-HomeDirectory ] [-HomeDrive ] [-Ukurasa wa Nyumbani ] [-Simu ya Nyumbani ] [-Mianzilishi ] [-Mfano ] [-LogonWorkstations ] [-Meneja ] [-Simu ya rununu ] [-Ofisi ] [-Simu ya Ofisi ] [-Shirika ] [-Sifa Nyingine ] [-Jina lingine ] [-PassThru ] [-PasswordNeverExpires ] [-NenosiriNotRequired ] [-Njia ] [-Sanduku la posta ] [-Msimbo wa Posta ] [-ProfilePath ] [-SamAccountName ] [-ScriptPath ] [-Seva ] [-ServicePrincipalNames ] [-SmartcardLogonInahitajika ] [-Jimbo ] [-Anuani ya mtaa ] [-Jina la ukoo ] [-Kichwa ] [-TrustedForDelegation ] [-Aina ] [-UserPrincipalName ] [-Thibitisha] [-WhatIf] [ ]

    Kama unaweza kuona kutoka kwa syntax hii, hakuna maana katika kuelezea vigezo vyote, kwa kuwa vinafanana na sifa za mkuu wa usalama na hazihitaji maelezo. Wacha tuangalie mfano wa matumizi:

    New-ADUser -SamAccountName "Evgeniy.Romanov" -Jina "Evgeniy Romanov" -GivenName "Evgeniy" -Surname "Romanov" -DisplayName "Evgeniy Romanov" -Njia "OU=Marketing,OU=Users,DC=testdomain,DC=com " -Haiwezi KubadilishaNenosiri $false -BadilishaNenosiriAtLogon $true -Jiji "Kherson" -Jimbo "Kherson" -Nchi UA -Idara ya "Marketing" -Kichwa "Marketer" -UserPrincipalName "!} [barua pepe imelindwa]" -Barua pepe " [barua pepe imelindwa]" -Imewasha $true -AccountPassword (Read-Host -AsSecureString "AccountPassword")

    Mchele. 10. Unda akaunti ya mtumiaji kwa kutumia Windows PowerShell

    Hitimisho

    Katika makala haya, ulijifunza kuhusu dhana ya mkuu wa usalama na jukumu ambalo akaunti za watumiaji huwakilisha katika mazingira ya kikoa. Hali kuu za kuunda akaunti za watumiaji katika kikoa cha Saraka Inayotumika zilijadiliwa kwa kina. Umejifunza jinsi ya kuunda akaunti za watumiaji kwa kutumia snap-in "Saraka Inayotumika - Watumiaji na Kompyuta", kwa kutumia violezo, huduma za mstari wa amri Dsadd, CSVDE na LDIFDE. Pia ulijifunza jinsi ya kuunda akaunti za watumiaji kwa kutumia lugha ya uandishi ya VBScript na ganda la mstari wa amri la Windows PowerShell.



    MAKALA INAYOHUSIANA