Kuunda akaunti za watumiaji katika Saraka Inayotumika. Kwa nini shirika linahitaji Active Directory?

Ufafanuzi: Muhadhara huu unaelezea dhana za kimsingi za huduma za saraka ya Active Directory. Mifano ya vitendo ya kusimamia mfumo wa usalama wa mtandao hutolewa. Utaratibu wa sera za kikundi umeelezewa. Hutoa maarifa juu ya kazi za msimamizi wa mtandao wakati wa kudhibiti miundombinu ya huduma ya saraka

Mitandao ya kisasa mara nyingi inajumuisha majukwaa mengi ya programu tofauti na aina mbalimbali za vifaa na programu. Watumiaji mara nyingi wanalazimika kukumbuka idadi kubwa ya nywila ili kufikia rasilimali mbalimbali za mtandao. Haki za ufikiaji zinaweza kuwa tofauti kwa mfanyakazi sawa kulingana na rasilimali anazofanya kazi nazo. Wingi huu wa mahusiano unahitaji muda mwingi kutoka kwa msimamizi na mtumiaji kwa uchambuzi, kukariri na kujifunza.

Suluhisho la tatizo la kusimamia mtandao huo tofauti lilipatikana na maendeleo ya huduma ya saraka. Huduma za saraka hutoa uwezo wa kudhibiti rasilimali na huduma zozote kutoka mahali popote, bila kujali saizi ya mtandao, mifumo ya uendeshaji inayotumika, au ugumu wa maunzi. Habari ya mtumiaji imeingizwa mara moja kwenye huduma ya saraka, na baada ya hapo inapatikana kwenye mtandao wote. Anwani za barua pepe, uanachama wa kikundi, haki muhimu za ufikiaji na akaunti za kufanya kazi na mifumo tofauti ya uendeshaji - yote haya yanaundwa na kusasishwa kiotomatiki. Mabadiliko yoyote yaliyofanywa kwa huduma ya saraka na msimamizi yanasasishwa mara moja kwenye mtandao. Wasimamizi hawahitaji tena kuwa na wasiwasi kuhusu wafanyikazi walioachishwa kazi - kwa kufuta tu akaunti ya mtumiaji kutoka kwa huduma ya saraka, wanaweza kuhakikisha kuwa haki zote za ufikiaji wa rasilimali za mtandao zilizotolewa hapo awali kwa mfanyakazi huyo zinaondolewa kiotomatiki.

Hivi sasa, huduma nyingi za saraka kutoka kwa makampuni mbalimbali zinategemea kiwango X.500. Itifaki ambayo kawaida hutumika kupata habari iliyohifadhiwa katika huduma za saraka ni (LDAP) Kwa maendeleo ya haraka ya mitandao ya TCP/IP, LDAP inakuwa kiwango cha huduma za saraka na programu zinazotumia huduma za saraka.

Huduma ya saraka Active Directory ni msingi wa muundo wa mantiki wa mitandao ya ushirika kulingana na mfumo wa Windows. Muhula " Katalogi"kwa maana pana zaidi" Orodha", A huduma ya saraka mtandao wa ushirika ni saraka ya shirika ya kati. Saraka ya shirika inaweza kuwa na habari kuhusu vitu vya aina mbalimbali. Huduma ya saraka Active Directory ina hasa vitu ambavyo mfumo wa usalama wa mtandao wa Windows unategemea - mtumiaji, kikundi na akaunti za kompyuta. Akaunti zimepangwa katika miundo ya kimantiki: kikoa, mti, msitu, vitengo vya shirika.

Kutoka kwa mtazamo wa kusoma nyenzo za kozi "Mtandao" utawala"Chaguo lifuatalo la kupitisha nyenzo za mafunzo linawezekana kabisa: kwanza soma sehemu ya kwanza ya sehemu hii (kutoka kwa dhana za msingi hadi kusanikisha vidhibiti vya kikoa), kisha nenda kwa "Huduma ya Faili na Uchapishaji", na baada ya kusoma "Huduma ya Faili na Uchapishaji" rudi kwa "Active Directory Service Directory" ili kujifunza dhana za kina zaidi za huduma za saraka.

6.1 Masharti na dhana za kimsingi (msitu, mti, kikoa, kitengo cha shirika). Upangaji wa nafasi ya majina ya AD. Inasakinisha Vidhibiti vya Kikoa

Miundo ya Usimamizi wa Usalama: Mfano wa Kikundi cha Kazi na Muundo wa Kikoa cha Kati

Kama ilivyoelezwa hapo juu, lengo kuu la huduma za saraka ni kusimamia usalama wa mtandao. Msingi wa usalama wa mtandao ni hifadhidata ya akaunti za watumiaji, vikundi vya watumiaji na kompyuta, kwa msaada ambao ufikiaji wa rasilimali za mtandao unadhibitiwa. Kabla ya kuzungumza juu ya huduma ya saraka ya Active Directory, hebu tulinganishe mifano miwili ya kujenga hifadhidata ya huduma za saraka na kudhibiti ufikiaji wa rasilimali.

Mfano wa kikundi cha kufanya kazi

Mtindo huu wa usimamizi wa usalama wa mtandao wa shirika ndio wa zamani zaidi. Imekusudiwa kutumika katika ndogo mitandao ya rika-kwa-rika(Kompyuta 3–10) na inategemea ukweli kwamba kila kompyuta kwenye mtandao yenye mifumo ya uendeshaji ya Windows NT/2000/XP/2003 ina hifadhidata yake ya akaunti ya ndani na kwa msaada wa hifadhidata hii ya ndani upatikanaji wa rasilimali za hii. kompyuta inadhibitiwa. Hifadhidata ya ndani ya akaunti inaitwa hifadhidata SAM (Kidhibiti cha Akaunti ya Usalama) na huhifadhiwa kwenye Usajili wa mfumo wa uendeshaji. Hifadhidata za kompyuta za kibinafsi zimetengwa kabisa kutoka kwa kila mmoja na hazijaunganishwa kwa njia yoyote.

Mfano wa udhibiti wa ufikiaji wakati wa kutumia mtindo huu umeonyeshwa kwenye Mtini. 6.1.

Mchele.

Mfano huu unaonyesha seva mbili (SRV-1 na SRV-2) na vituo viwili vya kazi (WS-1 na WS-2). Hifadhidata zao za SAM zimeteuliwa SAM-1, SAM-2, SAM-3 na SAM-4, mtawalia (database za SAM zinaonyeshwa kama mviringo kwenye takwimu). Kila hifadhidata ina akaunti za mtumiaji User1 na User2. Jina kamili la Mtumiaji1 kwenye seva ya SRV-1 litakuwa "SRV-1\User1", na jina kamili la Mtumiaji1 kwenye kituo cha kazi cha WS-1 litakuwa "WS-1\User1". Hebu fikiria kwamba folda ya Folda imeundwa kwenye seva ya SRV-1, ambayo Mtumiaji1 anaweza kufikia kwenye mtandao - kusoma (R), Mtumiaji2 - kusoma na kuandika (RW). Jambo kuu katika mfano huu ni kwamba kompyuta ya SRV-1 "haijui" chochote kuhusu akaunti za kompyuta za SRV-2, WS-1, WS-2, pamoja na kompyuta nyingine zote kwenye mtandao. Ikiwa mtumiaji aliye na jina User1 ataingia ndani ya mfumo kwenye kompyuta, kwa mfano, WS-2 (au, kama wanasema, "ingia kwa kutumia jina la ndani User1 kwenye kompyuta ya WS-2"), basi wakati kujaribu kupata kutoka kwa kompyuta hii kupitia mtandao, Folda ya folda kwenye seva ya SRV-1, seva itasababisha mtumiaji kuingiza jina na nenosiri (isipokuwa ni ikiwa watumiaji walio na majina sawa wana nywila sawa).

Muundo wa Kikundi cha Kazi ni rahisi kujifunza na hakuna haja ya kujifunza dhana tata za Saraka Inayotumika. Lakini inapotumiwa kwenye mtandao na idadi kubwa ya kompyuta na rasilimali za mtandao, inakuwa vigumu sana kusimamia majina ya watumiaji na nywila zao - unapaswa kuunda akaunti sawa na nywila sawa kwenye kila kompyuta (ambayo inashiriki rasilimali zake kwenye mtandao). ), ambayo ni kazi kubwa sana, au kuunda akaunti moja kwa watumiaji wote na nenosiri moja kwa wote (au hakuna nenosiri kabisa), ambayo inapunguza sana kiwango cha usalama wa habari. Kwa hiyo, mfano wa Workgroup unapendekezwa tu kwa mitandao yenye idadi ya kompyuta kutoka 3 hadi 10 (au bora zaidi, si zaidi ya 5), mradi tu kati ya kompyuta zote hakuna hata moja inayoendesha Windows Server.

Mfano wa kikoa

Katika mfano wa kikoa, kuna hifadhidata moja ya huduma za saraka ambayo inapatikana kwa kompyuta zote kwenye mtandao. Kwa kusudi hili, seva maalumu zimewekwa kwenye mtandao, unaoitwa vidhibiti vya kikoa, ambayo huhifadhi hifadhidata hii kwenye anatoa zao ngumu. Katika Mtini. 6.2. inaonyesha mchoro wa mfano wa kikoa. Seva DC-1 na DC-2 ni vidhibiti vya kikoa huhifadhi hifadhidata ya akaunti ya kikoa (kila kidhibiti huhifadhi nakala yake ya hifadhidata, lakini mabadiliko yote yanayofanywa kwenye hifadhidata kwenye mojawapo ya seva yanaigwa kwa vidhibiti vingine).

Mchele.

6.2. Katika mfano kama huo, ikiwa, kwa mfano, kwenye seva ya SRV-1, ambayo ni mwanachama wa kikoa, ufikiaji wa pamoja wa folda ya Folda hutolewa, basi haki za ufikiaji wa rasilimali hii zinaweza kupewa sio tu kwa akaunti za folda. hifadhidata ya ndani ya SAM ya seva hii, lakini, muhimu zaidi, kwa rekodi za akaunti zilizohifadhiwa kwenye hifadhidata ya kikoa. Katika takwimu, haki za kufikia folda ya Folda hutolewa kwa akaunti moja ya ndani kwenye kompyuta ya SRV-1 na akaunti kadhaa za kikoa (makundi ya watumiaji na watumiaji). Katika mfano wa usimamizi wa usalama wa kikoa, mtumiaji anajiandikisha kwenye kompyuta ("kuingia") pamoja naye akaunti ya kikoa na, bila kujali kompyuta ambayo usajili ulifanyika, hupata upatikanaji wa rasilimali muhimu za mtandao. Na hakuna haja ya kuunda idadi kubwa ya akaunti za ndani kwenye kila kompyuta, rekodi zote zimeundwa mara moja kwenye hifadhidata ya kikoa . Na kwa msaada wa hifadhidata ya kikoa inafanywa udhibiti wa ufikiaji wa kati kwa rasilimali za mtandao.

bila kujali idadi ya kompyuta kwenye mtandao

Madhumuni ya huduma ya saraka ya Active Directory

Saraka (saraka) inaweza kuhifadhi habari mbalimbali zinazohusiana na watumiaji, vikundi, kompyuta, printa za mtandao, hisa za faili, na kadhalika - hebu tuite vitu hivi vyote. Saraka pia huhifadhi habari kuhusu kitu yenyewe, au mali yake, inayoitwa sifa. Kwa mfano, sifa zilizohifadhiwa kwenye saraka kuhusu mtumiaji zinaweza kuwa jina la meneja wake, nambari ya simu, anwani, jina la kuingia, nenosiri, makundi anayomiliki na mengine mengi. Ili hifadhi ya saraka iwe muhimu kwa watumiaji, lazima kuwe na huduma zinazoingiliana na saraka. Kwa mfano, unaweza kutumia saraka kama hifadhi ya taarifa ambayo inaweza kutumika kuthibitisha mtumiaji, au kama mahali ambapo unaweza kutuma hoja ili kupata taarifa kuhusu kitu.

Soma hapa chini kuhusu masharti ya msingi yanayotumiwa katika muktadha wa huduma ya saraka ya Active Directory.

Huduma ya saraka Active Directory (iliyofupishwa kama AD) inahakikisha utendakazi bora wa mazingira changamano ya shirika kwa kutoa uwezo ufuatao:

Kuingia mara moja kwenye mtandao; Watumiaji wanaweza kuingia kwenye mtandao na jina moja la mtumiaji na nenosiri na kupata upatikanaji wa rasilimali na huduma zote za mtandao (huduma za miundombinu ya mtandao, huduma za faili na uchapishaji, seva za maombi na database, nk);
Usalama wa Habari. Uthibitishaji na vidhibiti vya ufikiaji wa rasilimali vilivyojengwa katika Saraka Inayotumika hutoa usalama wa mtandao wa kati;
Usimamizi wa serikali kuu. Wasimamizi wanaweza kusimamia serikali kuu rasilimali zote za shirika;
Utawala kwa kutumia sera za kikundi. Wakati boti za kompyuta au mtumiaji anaingia kwenye mfumo, mahitaji ya sera ya kikundi yanatimizwa; mipangilio yao imehifadhiwa ndani vitu vya sera ya kikundi( GPO ) na itatumika kwa akaunti zote za mtumiaji na kompyuta zilizo katika tovuti, vikoa, au vitengo vya shirika;
Ujumuishaji wa DNS. Huduma za saraka hutegemea kabisa huduma ya DNS kufanya kazi. Seva za DNS, kwa upande wake, zinaweza kuhifadhi taarifa za eneo kwenye hifadhidata ya Saraka Inayotumika;
Upanuzi wa saraka. Wasimamizi wanaweza kuongeza aina mpya za vipengee kwenye mpangilio wa katalogi au kuongeza sifa mpya kwa madarasa yaliyopo;
Scalability. Huduma ya Active Directory inaweza kujumuisha kikoa kimoja au vikoa vingi vikiunganishwa kuwa mti wa kikoa, na msitu unaweza kujengwa kutoka kwa miti kadhaa ya kikoa;
Rudia habari. Active Directory hutumia urudufishaji wa habari ya huduma katika schema ya bwana nyingi ( bwana wengi), ambayo hukuruhusu kurekebisha hifadhidata ya Active Directory kwenye kidhibiti chochote cha kikoa. Uwepo wa watawala kadhaa katika kikoa hutoa uvumilivu wa kosa na uwezo wa kusambaza mzigo wa mtandao;
Kubadilika kwa hoja ya katalogi. Hifadhidata ya Active Directory inaweza kutumika kutafuta kwa haraka kitu chochote cha AD kwa kutumia sifa zake (kwa mfano, jina la mtumiaji au anwani ya barua pepe, aina ya kichapishi au eneo, n.k.);
Violesura vya kawaida vya programu. Kwa wasanidi programu, huduma ya saraka hutoa ufikiaji wa vipengele vyote vya saraka na inasaidia viwango vya kawaida vya sekta na miingiliano ya programu (API).

Aina mbalimbali za vitu tofauti zinaweza kuundwa katika Orodha ya Active. Kipengee ni huluki ya kipekee ndani ya Saraka na kwa kawaida huwa na sifa nyingi zinazosaidia kukifafanua na kukitambua. Akaunti ya mtumiaji ni mfano wa kitu. Aina hii ya kitu inaweza kuwa na sifa nyingi kama vile jina la kwanza, jina la mwisho, nenosiri, nambari ya simu, anwani na nyingine nyingi. Kwa njia hiyo hiyo, printa iliyoshirikiwa pia inaweza kuwa kitu katika Orodha ya Active na sifa zake ni jina lake, eneo, nk. Sifa za kitu hukusaidia tu kufafanua kitu, lakini pia hukuruhusu kutafuta vitu ndani ya Saraka.

Istilahi

Huduma ya saraka Mifumo ya Seva ya Windows imejengwa juu ya viwango vya teknolojia vinavyokubalika kwa ujumla. Kiwango cha asili cha huduma za saraka kilikuwa X.500, ambayo ilikusudiwa kujenga saraka zinazoweza kupanuka za kiwango cha juu cha mti na uwezo wa kupanua aina zote za vitu na seti za sifa (sifa) za kila darasa la mtu binafsi. Hata hivyo, utekelezaji wa kivitendo wa kiwango hiki umeonekana kutofaa katika suala la utendaji. Kisha, kwa kuzingatia kiwango cha X.500, toleo lililorahisishwa (nyepesi) la kiwango cha jengo la saraka lilitengenezwa, linaloitwa. LDAP (Itifaki ya Ufikiaji wa Saraka Nyepesi) Itifaki ya LDAP huhifadhi sifa zote za msingi za X.500 (mfumo wa muundo wa saraka ya kihierarkia, scalability, upanuzi), lakini wakati huo huo inaruhusu utekelezaji mzuri wa kiwango hiki katika mazoezi. Muhula " nyepesi " (" nyepesi") kwa jina LDAP huonyesha lengo kuu la maendeleo ya itifaki: kuunda zana ya kujenga huduma ya saraka ambayo ina nguvu ya kutosha ya kazi ya kutatua matatizo ya msingi, lakini haijazidiwa na teknolojia ngumu zinazofanya utekelezaji wa huduma za saraka kutokuwa na ufanisi. Kwa sasa, LDAP ndiyo njia ya kawaida ya kufikia saraka za habari mtandaoni na ina jukumu la msingi katika bidhaa nyingi kama vile mifumo ya uthibitishaji, programu za barua pepe na maombi ya biashara ya mtandaoni. Kuna zaidi ya seva 60 za kibiashara za LDAP kwenye soko leo, na takriban 90% kati yao zikiwa seva za saraka za LDAP, na zingine zikitolewa kama vipengee vya programu zingine.

Itifaki ya LDAP inafafanua kwa uwazi aina mbalimbali za utendakazi wa saraka ambazo programu ya mteja inaweza kufanya. Operesheni hizi ziko katika vikundi vitano:

kuanzisha uhusiano na orodha;
kutafuta habari ndani yake;
marekebisho ya yaliyomo;
kuongeza kitu;
kufuta kitu.

Isipokuwa itifaki ya LDAP huduma ya saraka Active Directory pia hutumia itifaki ya uthibitishaji Kerberos na huduma ya DNS ya kutafuta mtandao kwa vipengele vya huduma za saraka (vidhibiti vya kikoa, seva za orodha za kimataifa, huduma ya Kerberos, nk).

Kikoa

Kitengo cha msingi cha usalama wa Active Directory ni kikoa. Kikoa huunda eneo la jukumu la kiutawala. Hifadhidata ya kikoa ina akaunti watumiaji, vikundi Na kompyuta. Kazi nyingi za usimamizi wa huduma za saraka hufanya kazi katika kiwango cha kikoa (uthibitishaji wa mtumiaji, udhibiti wa upatikanaji wa rasilimali, usimamizi wa huduma, usimamizi wa kurudia, sera za usalama).

Majina ya vikoa vya Saraka Inayotumika huundwa kwa njia sawa na majina katika nafasi ya majina ya DNS. Na hii sio bahati mbaya. Huduma ya DNS ni njia ya kupata vipengee vya kikoa - kimsingi vidhibiti vya kikoa.

Vidhibiti vya kikoa- seva maalum zinazohifadhi sehemu ya hifadhidata ya Active Directory inayolingana na kikoa fulani. Kazi kuu za vidhibiti vya kikoa:

Hifadhi ya hifadhidata ya Active Directory(shirika la ufikiaji wa habari zilizomo kwenye orodha, pamoja na usimamizi wa habari hii na marekebisho yake);
maingiliano ya mabadiliko katika AD(mabadiliko kwenye hifadhidata ya AD yanaweza kufanywa kwa vidhibiti vyovyote vya kikoa, mabadiliko yoyote yatakayofanywa kwa mmoja wa vidhibiti yatalandanishwa na nakala zilizohifadhiwa kwenye vidhibiti vingine);
uthibitishaji wa mtumiaji(kidhibiti chochote cha kikoa hukagua mamlaka ya watumiaji wanaojisajili kwenye mifumo ya mteja).

Inapendekezwa sana kusakinisha angalau vidhibiti viwili vya kikoa katika kila kikoa - kwanza, kulinda dhidi ya upotezaji wa hifadhidata ya Active Directory katika tukio la kushindwa kwa mtawala yeyote, na pili, kusambaza mzigo kati ya controllers.it.company.ru kuna subdomain dev.it.company.ru, iliyoundwa kwa ajili ya idara ya maendeleo ya programu ya huduma ya IT.

kugawanya usimamizi wa huduma za saraka (kwa mfano, katika kesi wakati kampuni ina matawi ambayo ni mbali kijiografia kutoka kwa kila mmoja, na usimamizi wa kati ni ngumu kwa sababu za kiufundi);
kuongeza tija (kwa makampuni yenye idadi kubwa ya watumiaji na seva, suala la kuongeza utendaji wa watawala wa kikoa ni muhimu);
kwa usimamizi bora zaidi wa urudufishaji (ikiwa vidhibiti vya kikoa viko mbali kutoka kwa kila mmoja, basi kurudia kwa moja kunaweza kuchukua muda zaidi na kuunda shida kwa kutumia data ambayo haijasawazishwa);

kikoa cha mizizi ya msitu

Vitengo vya shirika (OU).

Mgawanyiko wa shirika (Vitengo vya Shirika, OU) - vyombo ndani ya AD ambavyo vimeundwa ili kuchanganya vitu kwa madhumuni uwakilishi wa haki za kiutawala Na kutumia sera za kikundi katika kikoa. OP zipo ndani ya vikoa pekee na inaweza kuchanganya vitu kutoka kwa kikoa chako pekee. OP zinaweza kuwekwa ndani ya kila moja, ambayo hukuruhusu kuunda safu tata ya vyombo kama mti ndani ya kikoa na kutekeleza udhibiti rahisi zaidi wa usimamizi. Kwa kuongeza, OPs zinaweza kuundwa ili kuakisi uongozi wa utawala na muundo wa shirika wa kampuni.

Katalogi ya ulimwengu

Katalogi ya ulimwengu ni orodha vitu vyote, ambazo zipo katika msitu wa Active Directory. Kwa chaguo-msingi, vidhibiti vya kikoa vina habari tu kuhusu vitu kwenye kikoa chao. Seva ya Katalogi ya Ulimwenguni ni kidhibiti cha kikoa ambacho kina taarifa kuhusu kila kitu (ingawa si sifa zote za vitu hivyo) vinavyopatikana katika msitu fulani.

Sera ya Kikundi ni muundo msingi unaoruhusu msimamizi wa mtandao anayesimamia Microsoft Active Directory kutekeleza usanidi maalum kwa watumiaji na kompyuta. Sera ya Kikundi pia inaweza kutumika kufafanua sera za mtumiaji, usalama na mtandao katika kiwango cha mashine.

Ufafanuzi

Vikundi vya Active Directory husaidia wasimamizi kufafanua mipangilio ya kile ambacho watumiaji wanaweza kufanya kwenye mtandao, ikijumuisha faili, folda na programu wanazoweza kufikia. Mikusanyiko ya mipangilio ya mtumiaji na kompyuta inaitwa Vipengee vya Sera ya Kundi, ambavyo vinasimamiwa kutoka kwa kiolesura cha kati kinachoitwa kiweko cha usimamizi. Sera ya Kikundi pia inaweza kudhibitiwa kwa kutumia zana za mstari wa amri kama vile gpresult na gpupdate.

Active Directory ilikuwa mpya kwa Windows 2000 Server na iliimarishwa katika toleo la 2003, na kuifanya kuwa sehemu muhimu zaidi ya OS. Windows Server 2003 AD hutoa rejeleo moja, inayoitwa huduma ya saraka, kwa vitu vyote kwenye mtandao, ikijumuisha watumiaji, vikundi, kompyuta, vichapishaji, sera na ruhusa.

Kwa mtumiaji au msimamizi, usanidi wa Active Directory hutoa mwonekano mmoja wa daraja ambapo unaweza kudhibiti rasilimali zote za mtandao.

Kwa nini utekeleze Active Directory

Kuna sababu nyingi za kutekeleza mfumo huu. Kwanza kabisa, Saraka Inayotumika ya Microsoft kwa ujumla inachukuliwa kuwa uboreshaji mkubwa juu ya vikoa vya Windows NT Server 4.0 au hata mitandao inayojitegemea ya seva. AD ina utaratibu wa usimamizi wa kati katika mtandao mzima. Pia hutoa upungufu na uvumilivu wa makosa wakati vidhibiti viwili au zaidi vya kikoa vinatumwa kwenye kikoa.

Huduma hudhibiti kiotomatiki mawasiliano kati ya vidhibiti vya kikoa ili kuhakikisha mtandao unabaki kuwa thabiti. Watumiaji hupata ufikiaji wa rasilimali zote kwenye mtandao ambao wameidhinishwa kwa kutumia kuingia mara moja. Rasilimali zote kwenye mtandao zinalindwa na utaratibu thabiti wa usalama ambao huthibitisha kitambulisho cha mtumiaji na mamlaka ya rasilimali kwa kila ufikiaji.

Hata kwa usalama na udhibiti wa hali ya juu wa Saraka ya Active, vipengele vyake vingi havionekani na watumiaji wa mwisho. Katika suala hili, kuhamia watumiaji kwenye mtandao wa AD kunahitaji mafunzo kidogo. Huduma hutoa zana za kukuza haraka na kushusha vidhibiti vya kikoa na seva za wanachama. Mfumo unaweza kudhibitiwa na kulindwa kwa kutumia sera za kikundi cha Active Directory. Ni muundo wa shirika unaonyumbulika ambao unaruhusu usimamizi rahisi na uzito wa uwakilishi maalum wa majukumu ya usimamizi. AD ina uwezo wa kudhibiti mamilioni ya vitu ndani ya kikoa kimoja.

Sehemu kuu

Vitabu vya Sera ya Kundi la Saraka Inayotumika hupangwa kwa kutumia aina nne za sehemu, au miundo ya makontena. Tarafa hizi nne ni misitu, vikoa, vitengo vya shirika, na maeneo:

Msitu ni mkusanyiko wa kila kitu, sifa zake na sintaksia.

Kikoa ni seti ya kompyuta zinazoshiriki seti ya pamoja ya sera, jina na hifadhidata ya wanachama wao.

Vitengo vya shirika ni vyombo ambavyo vikoa vinaweza kuunganishwa. Wanaunda daraja la kikoa na kuunda muundo wa kampuni katika mpangilio wa kijiografia au wa shirika.

Maeneo ni makundi ya kimwili ambayo ni huru ya eneo na muundo wa vitengo vya shirika. Tovuti hutofautisha kati ya maeneo yaliyounganishwa na miunganisho ya kasi ya chini na ya juu na hufafanuliwa na subneti moja au zaidi za IP.

Misitu haizuiliwi na jiografia au topolojia ya mtandao. Msitu mmoja unaweza kuwa na vikoa vingi, ambavyo kila moja ina schema ya kawaida. Wanachama wa kikoa cha msitu huo hawahitaji hata muunganisho maalum wa LAN au WAN. Mtandao mmoja unaweza pia kuwa nyumbani kwa misitu kadhaa ya kujitegemea. Kwa ujumla, msitu mmoja unapaswa kutumika kwa kila chombo cha kisheria. Hata hivyo, kiunzi cha ziada kinaweza kuhitajika kwa madhumuni ya majaribio na utafiti nje ya msitu wa uzalishaji.

Vikoa

Vikoa vya Saraka Inayotumika hutumika kama vyombo vya sera za usalama na kazi za usimamizi. Kwa chaguo-msingi, vitu vyote vilivyomo viko chini ya sera za kikundi. Vile vile, msimamizi yeyote anaweza kudhibiti vitu vyote ndani ya kikoa. Kwa kuongeza, kila kikoa kina hifadhidata yake ya kipekee. Kwa hivyo, uthibitishaji unategemea kikoa. Baada ya akaunti ya mtumiaji kuthibitishwa, akaunti hiyo hupata ufikiaji wa rasilimali.

Kusanidi Sera za Kikundi katika Saraka Inayotumika kunahitaji kikoa kimoja au zaidi. Kama ilivyotajwa awali, kikoa cha AD ni mkusanyiko wa kompyuta zinazoshiriki seti ya pamoja ya sera, jina na hifadhidata ya wanachama wao. Kikoa lazima kiwe na seva moja au zaidi zinazotumika kama vidhibiti vya kikoa (DCs) na kuhifadhi hifadhidata, kudumisha sera, na kutoa uthibitishaji wa kuingia.

Vidhibiti vya kikoa

Katika Windows NT, kidhibiti cha msingi cha kikoa (PDC) na kidhibiti chelezo cha kikoa (BDC) yalikuwa majukumu ambayo yanaweza kupewa seva katika mtandao wa kompyuta zinazoendesha mfumo wa uendeshaji wa Windows. Windows ilitumia wazo la kikoa kudhibiti ufikiaji wa seti ya rasilimali za mtandao (programu, vichapishaji, n.k.) kwa kikundi cha watumiaji. Mtumiaji anahitaji tu kuingia kwenye kikoa ili kufikia rasilimali ambazo zinaweza kupatikana kwenye seva kadhaa tofauti kwenye mtandao.

Seva moja, inayojulikana kama PDC, ilisimamia hifadhidata ya msingi ya mtumiaji wa kikoa. Seva moja au zaidi zimefafanuliwa kuwa vidhibiti chelezo vya kikoa. Kidhibiti kikuu kilituma mara kwa mara nakala za hifadhidata kwa vidhibiti vya kikoa chelezo. Kidhibiti chelezo cha kikoa kinaweza kuja kama kidhibiti msingi cha kikoa endapo seva ya PDC itashindwa, na pia inaweza kusaidia kusawazisha mzigo wa kazi ikiwa mtandao una shughuli za kutosha.

Ugawaji na usanidi wa Saraka Inayotumika

Katika Seva ya Windows 2000, wakati vidhibiti vya kikoa vilihifadhiwa, majukumu ya seva ya PDC na BDC yalibadilishwa kwa kiasi kikubwa na Active Directory. Hakuna tena haja ya kuunda vikoa tofauti ili kutenganisha mapendeleo ya usimamizi. Ndani ya AD, unaweza kukasimu mapendeleo ya utawala kulingana na vitengo vya shirika. Vikoa havikomei tena kwa watumiaji 40,000. Vikoa vya AD vinaweza kudhibiti mamilioni ya vitu. Kwa kuwa hakuna PDCs na BDCs tena, mpangilio wa Sera ya Kikundi cha Saraka Inayotumika hutekeleza urudufishaji wa mifumo mingi na vidhibiti vyote vya kikoa ni rika.

Muundo wa shirika

Vitengo vya shirika vinaweza kunyumbulika zaidi na rahisi kudhibiti kuliko vikoa. Vitengo vya shirika hukupa unyumbulifu usio na kikomo kwa sababu unaweza kuvihamisha, kuvifuta na kuunda vitengo vipya inavyohitajika. Walakini, vikoa ni ngumu zaidi katika mipangilio yao ya muundo. Vikoa vinaweza kufutwa na kuundwa upya, lakini mchakato huu huharibu mazingira na unapaswa kuepukwa wakati wowote iwezekanavyo.

Tovuti ni mikusanyo ya subnet za IP ambazo zina muunganisho wa haraka na wa kutegemewa kati ya wapangishaji wote. Njia nyingine ya kuunda tovuti ni kuunganisha kwenye mtandao wa ndani, lakini sio muunganisho wa WAN, kwani miunganisho ya WAN ni polepole sana na haitegemei zaidi kuliko miunganisho ya LAN. Kwa kutumia tovuti, unaweza kudhibiti na kupunguza kiasi cha trafiki kinachopitia viungo vyako vya polepole vya WAN. Hii inaweza kusababisha mtiririko mzuri zaidi wa trafiki kwa kazi za tija. Inaweza pia kupunguza gharama za mawasiliano za WAN kwa huduma za malipo kwa kila biti.

Mchawi wa Miundombinu na Katalogi ya Ulimwenguni

Miongoni mwa vipengele vingine muhimu vya Windows Server, Active Directory inajumuisha Mchawi wa Miundombinu (IM), ambayo ni huduma kamili ya FSMO (Flexible Single Operations Wizard) inayowajibika kwa mchakato wa kiotomatiki ambao hufanya marejeleo ya zamani, yanayojulikana kama phantoms, kwa Saraka Amilifu. hifadhidata.

Phantomu huundwa kwenye DC ambazo zinahitaji marejeleo mtambuka kati ya kitu ndani ya hifadhidata yake na kitu kutoka kikoa kingine msituni. Hii hutokea, kwa mfano, unapoongeza mtumiaji kutoka kikoa kimoja hadi kikundi katika kikoa kingine katika msitu huo huo. Phantom huchukuliwa kuwa ya kizamani wakati hazina tena data iliyosasishwa, ambayo ni kutokana na mabadiliko yaliyofanywa kwa kitu kigeni kinachowakilishwa na phantom. Kwa mfano, wakati lengo linabadilishwa jina, kuhamishwa, kuhamishwa kati ya vikoa, au kufutwa. Mwalimu Mkuu wa Miundombinu ana jukumu la pekee la kutafuta na kurekebisha phantom zilizopitwa na wakati. Mabadiliko yoyote yanayofanywa kutokana na mchakato wa "kurekebisha" lazima yaigwe kwa vidhibiti vingine vya kikoa.

Mwalimu wa Miundombinu wakati mwingine huchanganyikiwa na Katalogi ya Ulimwengu (GC), ambayo hudumisha nakala ya sehemu, ya kusoma tu ya kila kikoa msituni na, miongoni mwa mambo mengine, hutumika kwa uhifadhi wa vikundi vya wote na usindikaji wa nembo. Kwa sababu GCs huhifadhi nakala ya sehemu ya vitu vyote, wanaweza kuunda viungo vya vikoa tofauti bila hitaji la phantom.

Saraka Inayotumika na LDAP

Microsoft inajumuisha LDAP (Itifaki ya Ufikiaji wa Saraka Nyepesi) kama sehemu ya Saraka Inayotumika. LDAP ni itifaki ya programu inayomruhusu mtumiaji yeyote kupata mashirika, watu binafsi, na nyenzo nyinginezo, kama vile faili na vifaa, kwenye mtandao, iwe kwenye Mtandao wa umma au intraneti ya shirika.

Katika mitandao ya TCP/IP (pamoja na Mtandao), Mfumo wa Jina la Kikoa (DNS) ni mfumo wa saraka unaotumiwa kuhusisha jina la kikoa na anwani maalum ya mtandao (eneo la kipekee kwenye mtandao). Hata hivyo, huenda hujui jina la kikoa. LDAP inakuruhusu kutafuta watu bila kujua walipo (ingawa maelezo ya ziada yatasaidia katika utafutaji).

Saraka ya LDAP imepangwa katika daraja rahisi la daraja linalojumuisha viwango vifuatavyo:

Saraka ya mizizi (mahali pa asili au chanzo cha mti).

Mashirika.
Vitengo vya shirika (idara).
Watu binafsi (ikiwa ni pamoja na watu, faili, na rasilimali zilizoshirikiwa kama vile vichapishaji).

Saraka ya LDAP inaweza kusambazwa kati ya seva nyingi. Kila seva inaweza kuwa na toleo lililoigwa la saraka iliyoshirikiwa ambayo husawazishwa mara kwa mara.

Ni muhimu kwa kila msimamizi kuelewa LDAP ni nini. Kwa sababu kutafuta taarifa katika Active Directory na uwezo wa kuunda hoja za LDAP ni muhimu hasa wakati wa kutafuta taarifa iliyohifadhiwa katika hifadhidata ya AD. Kwa sababu hii, wasimamizi wengi huweka mkazo mkubwa katika kusimamia kichujio cha utafutaji cha LDAP.

Kusimamia Sera ya Kikundi na Saraka Inayotumika

Ni vigumu kujadili AD bila kutaja Sera ya Kikundi. Wasimamizi wanaweza kutumia Sera za Kikundi katika Saraka Inayotumika ya Microsoft kufafanua mipangilio ya watumiaji na kompyuta kwenye mtandao. Mipangilio hii husanidiwa na kuhifadhiwa katika vile vinavyoitwa Vipengee vya Sera ya Kundi (GPOs), ambavyo huunganishwa kwenye vipengee vya Active Directory, ikijumuisha vikoa na tovuti. Huu ndio utaratibu wa msingi wa kutumia mabadiliko kwenye kompyuta za watumiaji katika mazingira ya Windows.

Shukrani kwa usimamizi wa Sera ya Kikundi, wasimamizi wanaweza kusanidi mipangilio ya eneo-kazi duniani kote kwenye kompyuta za watumiaji na kuzuia/kuruhusu ufikiaji wa faili na folda fulani kwenye mtandao.

Kutumia sera za kikundi

Ni muhimu kuelewa jinsi Vipengee vya Sera ya Kikundi vinatumiwa na kutekelezwa. Agizo linalofaa kwao ni kutumia sera za mashine za ndani kwanza, kisha sera za tovuti, kisha sera za kikoa, na kisha sera zinazotumika kwa vitengo vya shirika binafsi. Mtumiaji au kifaa cha kompyuta kinaweza tu kuwa cha tovuti moja na kikoa kimoja wakati wowote, kwa hivyo watapokea tu GPO ambazo zinahusishwa na tovuti au kikoa hicho.

Muundo wa kitu

GPO zimegawanywa katika sehemu mbili tofauti: Kiolezo cha Sera ya Kundi (GPT) na Chombo cha Sera ya Kundi (GPC). Kiolezo cha Sera ya Kikundi kinawajibika kudumisha mipangilio fulani iliyoundwa katika GPO na ni muhimu kwa mafanikio yake. Inahifadhi mipangilio hii kwenye folda kubwa na muundo wa faili. Ili mipangilio itumike kwa mafanikio kwa vipengee vyote vya mtumiaji na kompyuta, ni lazima GPT iigawe kwa vidhibiti vyote kwenye kikoa.

Chombo cha Sera ya Kundi ni sehemu ya kitu cha Sera ya Kikundi kilichohifadhiwa katika Saraka Inayotumika ambayo hukaa kwenye kila kidhibiti cha kikoa katika kikoa. GPC ina jukumu la kudumisha marejeleo ya kiendelezi cha mteja (CSE), njia ya GPT, njia za kifurushi cha usakinishaji wa programu, na vipengele vingine vinavyorejelewa vya GPO. GPC haina taarifa nyingi maalum kwa GPO inayolingana, lakini inahitajika kwa utendaji wa GPO. Sera za usakinishaji wa programu zinaposanidiwa, GPC husaidia kudumisha viungo vinavyohusishwa na GPO na huhifadhi viungo vingine vya uhusiano na njia zilizohifadhiwa katika sifa za kifaa. Kujua muundo wa GPC na jinsi ya kufikia taarifa iliyofichwa iliyohifadhiwa katika sifa kutalipa unapohitaji kutambua tatizo la Sera ya Kikundi.

Katika Windows Server 2003, Microsoft ilitoa suluhisho la Usimamizi wa Sera ya Kikundi kama zana ya ujumlishaji wa data katika mfumo wa kupenya inayojulikana kama Dashibodi ya Usimamizi wa Sera ya Kundi (GPMC). GPMC hutoa kiolesura cha usimamizi cha GPO ambacho hurahisisha sana usimamizi, usimamizi, na eneo la GPO. Kupitia GPMC, unaweza kuunda GPO mpya, kurekebisha na kuhariri GPO, kukata/kunakili/kubandika GPO, kuhifadhi nakala za GPO, na kutekeleza seti inayotokana ya sera.

Uboreshaji

Kadiri idadi ya GPO zinazodhibitiwa inavyoongezeka, utendakazi huathiri mashine kwenye mtandao. Kidokezo: Utendaji ukipungua, punguza mipangilio ya mtandao wa tovuti. Wakati wa usindikaji huongezeka kwa uwiano wa moja kwa moja na idadi ya mipangilio ya mtu binafsi. Usanidi rahisi kama vile mipangilio ya eneo-kazi au sera za Internet Explorer, huenda usichukue muda mwingi, ilhali uelekezaji kwingine wa folda ya programu unaweza kutatiza mtandao kwa kiasi kikubwa, hasa katika vipindi vya kilele.

Tenganisha GPO za mtumiaji na kisha uzime sehemu ambayo haijatumika. Mbinu moja bora ya kuboresha tija na kupunguza mkanganyiko wa usimamizi ni kuunda vitu tofauti kwa mipangilio inayotumika kwenye kompyuta na kutenganisha watumiaji.

Katika nyenzo zetu zilizopita, tulijadili masuala ya jumla kuhusiana na huduma za saraka na Active Directory. Sasa ni wakati wa kuendelea na mazoezi. Lakini usikimbilie kwa seva; kabla ya kupeleka muundo wa kikoa kwenye mtandao wako, unahitaji kuipanga na kuwa na ufahamu wazi wa madhumuni ya seva za kibinafsi na michakato ya mwingiliano kati yao.

Kabla ya kuunda mtawala wako wa kwanza wa kikoa, unahitaji kuamua juu ya hali yake ya uendeshaji. Hali ya uendeshaji huamua uwezo unaopatikana na inategemea toleo la mfumo wa uendeshaji unaotumiwa. Hatutazingatia njia zote zinazowezekana, isipokuwa zile ambazo zinafaa kwa sasa. Kuna aina tatu kama hizo: Windows Server 2003, 2008 na 2008 R2.

Hali ya Windows Server 2003 inapaswa kuchaguliwa tu wakati seva zinazoendesha Mfumo huu wa Uendeshaji zimeshawekwa kwenye miundombinu yako na unapanga kutumia seva moja au zaidi kama vidhibiti vya kikoa. Katika hali nyingine, unahitaji kuchagua Windows Server 2008 au 2008 R2 mode, kulingana na leseni zilizonunuliwa. Ikumbukwe kwamba hali ya uendeshaji ya kikoa inaweza kuongezeka kila wakati, lakini haitawezekana kuipunguza (isipokuwa kwa kurejesha kutoka kwa nakala rudufu), kwa hivyo shughulikia suala hili kwa uangalifu, ukizingatia upanuzi unaowezekana, leseni katika matawi, na kadhalika. Nakadhalika.

Sasa hatutazingatia kwa undani mchakato wa kuunda mtawala wa kikoa tutarudi kwenye suala hili baadaye, lakini sasa tungependa kuteka mawazo yako kwa ukweli kwamba katika muundo kamili wa Active Directory wa watawala wa kikoa kunapaswa kuwepo; angalau mbili. Vinginevyo, unajiweka kwenye hatari isiyo ya lazima kwa sababu ikiwa kidhibiti chako cha kikoa pekee kitashindwa, muundo wako wa AD utakuwa kuharibiwa kabisa. Ni vizuri ikiwa una nakala ya kisasa na unaweza kurejesha kutoka kwayo, kwa hali yoyote, mtandao wako utalemazwa kabisa wakati huu wote.

Kwa hiyo, mara baada ya kuunda mtawala wa kikoa cha kwanza, unahitaji kupeleka pili, bila kujali ukubwa wa mtandao na bajeti. Mdhibiti wa pili anapaswa kutolewa katika hatua ya kupanga, na bila hiyo, kupelekwa kwa AD haipaswi hata kufanywa. Pia, haupaswi kuchanganya jukumu la mtawala wa kikoa na majukumu mengine yoyote ya seva ili kuhakikisha kuegemea kwa shughuli na hifadhidata ya AD kwenye diski, caching ya uandishi imezimwa, ambayo husababisha kushuka kwa kasi kwa utendaji; mfumo mdogo wa diski (hii pia inaelezea muda mrefu wa upakiaji wa watawala wa kikoa).

Kwa hivyo, mtandao wetu unapaswa kuchukua fomu ifuatayo:

Kinyume na imani maarufu, watawala wote katika kikoa ni sawa, i.e. kila kidhibiti kina taarifa kamili kuhusu vipengee vyote vya kikoa na kinaweza kutoa ombi la mteja. Lakini hii haimaanishi kuwa vidhibiti vinaweza kubadilishana; Kwa nini hii inatokea? Ni wakati wa kukumbuka majukumu ya FSMO.

Tunapounda mtawala wa kwanza, ina majukumu yote yanayopatikana, na pia ni saraka ya kimataifa na ujio wa mtawala wa pili, majukumu ya bwana wa miundombinu, bwana wa RID na emulator ya PDC huhamishiwa kwake. Ni nini hufanyika ikiwa msimamizi ataamua kuzima seva ya DC1 kwa muda, kwa mfano, kuitakasa kutoka kwa vumbi? Kwa mtazamo wa kwanza, hakuna kitu kibaya na hilo, vizuri, kikoa kitabadilika kwa hali ya kusoma tu, lakini itafanya kazi. Lakini tulisahau kuhusu orodha ya kimataifa, na ikiwa mtandao wako una programu zinazohitaji, kwa mfano Exchange, iliyotumiwa, basi utajua kuhusu hilo kabla ya kuondoa kifuniko kutoka kwa seva. Utajifunza kutoka kwa watumiaji ambao hawajaridhika, na usimamizi hauwezekani kufurahishwa.

Ambayo hitimisho linafuata: lazima kuwe na angalau saraka mbili za kimataifa katika msitu, na ikiwezekana moja katika kila kikoa. Kwa kuwa tuna kikoa kimoja msituni, seva zote mbili lazima ziwe orodha za kimataifa hii itawawezesha kuweka seva yoyote kwenye matengenezo bila matatizo yoyote ya muda haileti kushindwa kwa AD, lakini inafanya tu; haiwezekani kuunda vitu vipya.

Kama msimamizi wa kikoa, lazima ujue wazi jinsi majukumu ya FSMO yanasambazwa kati ya seva zako na, unapoondoa seva kwa muda mrefu, uhamishe majukumu haya kwa seva zingine. Je! ni nini hufanyika ikiwa seva iliyo na majukumu ya FSMO itashindwa kutenduliwa? Ni sawa, kama tulivyoandika tayari, mtawala wowote wa kikoa ana habari zote muhimu, na ikiwa shida kama hiyo itatokea, basi utahitaji kuchukua majukumu muhimu na mmoja wa watawala, hii itakuruhusu kurejesha utendakazi kamili wa huduma ya saraka.

Muda unapita, shirika lako linakua na lina tawi upande wa pili wa jiji na hitaji linatokea la kujumuisha mtandao wao katika miundombinu ya jumla ya biashara. Kwa mtazamo wa kwanza, hakuna chochote ngumu; Kila kitu kitakuwa sawa, lakini kuna jambo moja. Huwezi kudhibiti seva hii, na kwa hivyo ufikiaji usioidhinishwa kwake unawezekana, na msimamizi wa eneo huwafufua mashaka juu ya sifa zake. Nini cha kufanya katika hali kama hiyo? Kwa madhumuni haya, kuna aina maalum ya mtawala: kidhibiti cha kikoa cha kusoma tu (RODC), chaguo hili la kukokotoa linapatikana katika hali za uendeshaji za kikoa kuanzia Windows Server 2008 na matoleo mapya zaidi.

Kidhibiti cha kikoa cha kusoma pekee kina nakala kamili ya vipengee vyote vya kikoa na kinaweza kuwa saraka ya kimataifa, lakini hairuhusu kufanya mabadiliko yoyote kwa muundo wa AD pia hukuruhusu kumpa mtumiaji yeyote kama msimamizi wa ndani, ambayo itamruhusu kuhudumia seva hii kikamilifu, lakini tena bila ufikiaji wa huduma za AD. Kwa upande wetu, ndivyo daktari alivyoamuru.

Tunaanzisha tawi la RODC, kila kitu kinafanya kazi, wewe ni utulivu, lakini watumiaji wanaanza kulalamika kuhusu kuingia kwa muda mrefu na bili za trafiki mwishoni mwa mwezi zinaonyesha ziada. Nini kinaendelea? Ni wakati wa kukumbuka tena kuhusu usawa wa vidhibiti katika kikoa; Zingatia njia ya mawasiliano polepole na, uwezekano mkubwa, iliyosongamana - hii ndiyo sababu ya ucheleweshaji wa kuingia.

Sababu inayofuata ambayo inatia sumu maisha yetu katika hali hii ni replication. Kama unavyojua, mabadiliko yote yanayofanywa kwenye kidhibiti kimoja cha kikoa huenezwa kiotomatiki kwa wengine na mchakato huu unaitwa urudufishaji hukuruhusu kuwa na nakala ya data iliyosasishwa na thabiti kwa kila kidhibiti. Huduma ya kuiga haijui kuhusu tawi letu na njia ya mawasiliano ya polepole, na kwa hiyo mabadiliko yote katika ofisi yatafanywa mara moja kwenye tawi, kupakia chaneli na kuongeza matumizi ya trafiki.

Hapa tunakuja karibu na dhana ya maeneo ya AD, ambayo haipaswi kuchanganyikiwa na tovuti za mtandao. Tovuti Zinazotumika Saraka kuwakilisha mbinu ya kugawanya muundo wa huduma ya saraka katika maeneo yaliyotenganishwa na maeneo mengine na viungo vya mawasiliano polepole na/au visivyo imara. Maeneo yanaundwa kwa misingi ya subnets na maombi yote ya mteja yanatumwa hasa kwa watawala wa tovuti yao pia ni yenye kuhitajika kuwa na saraka yake ya kimataifa katika kila tovuti. Kwa upande wetu, tutahitaji kuunda tovuti mbili: Tovuti ya AD 1 kwa ofisi kuu na Tovuti ya AD 2 kwa tawi, au tuseme moja, kwani kwa chaguo-msingi muundo wa AD tayari una tovuti inayojumuisha vitu vyote vilivyoundwa hapo awali. Sasa hebu tuangalie jinsi replication hutokea katika mtandao wenye tovuti nyingi.

Wacha tuchukue kuwa shirika letu limekua kidogo na ofisi kuu ina vidhibiti vinne vya kikoa kati ya vidhibiti vya tovuti moja ndani na hutokea mara moja. Topolojia ya urudufishaji hujengwa kulingana na mpango wa pete kwa sharti kwamba hakuna zaidi ya hatua tatu za urudufishaji kati ya vidhibiti vyovyote vya kikoa. Mpango wa pete hudumishwa hadi watawala 7 wakijumuisha, kila mtawala huanzisha uhusiano na majirani zake wawili wa karibu, na idadi kubwa ya watawala viunganisho vya ziada vinaonekana na pete ya kawaida hugeuka kuwa kundi la pete zilizowekwa juu ya kila mmoja.

Intersite replication hutokea tofauti; katika kila kikoa, moja ya seva (serverhead) huchaguliwa moja kwa moja, ambayo huanzisha uhusiano na seva sawa kwenye tovuti nyingine. Kwa chaguo-msingi, urudufishaji hutokea mara moja kila baada ya saa 3 (dakika 180), hata hivyo, tunaweza kuweka ratiba yetu ya urudufishaji na kuokoa trafiki, data yote hupitishwa kwa fomu iliyobanwa. Ikiwa kuna RODC tu kwenye tovuti, replication hutokea unidirectionally.

Jinsi gani itasaidia Saraka Inayotumika wataalamu?

Hapa kuna orodha ndogo ya "vizuri" unayoweza kupata kwa kupeleka Active Directory:

hifadhidata ya usajili wa mtumiaji mmoja, ambayo imehifadhiwa katikati mwa seva moja au zaidi; kwa hivyo, wakati mfanyakazi mpya anaonekana katika ofisi, utahitaji tu kuunda akaunti kwa ajili yake kwenye seva na kuonyesha ni vituo gani vya kazi anaweza kufikia;
kwa kuwa rasilimali zote za kikoa zimeorodheshwa, hii inafanya uwezekano wa watumiaji kutafuta kwa urahisi na haraka; kwa mfano, ikiwa unahitaji kupata printer ya rangi katika idara;
mchanganyiko wa kutumia ruhusa za NTFS, sera za kikundi na ugawaji wa udhibiti utakuruhusu kurekebisha na kusambaza haki kati ya washiriki wa kikoa;
wasifu wa watumiaji wanaozunguka hufanya iwezekanavyo kuhifadhi habari muhimu na mipangilio ya usanidi kwenye seva; kwa kweli, ikiwa mtumiaji aliye na wasifu wa kuzurura kwenye kikoa anakaa chini kufanya kazi kwenye kompyuta nyingine na kuingiza jina lake la mtumiaji na nenosiri, ataona eneo-kazi lake na mipangilio anayoifahamu;
kwa kutumia sera za kikundi, unaweza kubadilisha mipangilio ya mifumo ya uendeshaji ya mtumiaji, kutoka kwa kuruhusu mtumiaji kuweka Ukuta kwenye desktop hadi mipangilio ya usalama, na pia kusambaza programu kwenye mtandao, kwa mfano, mteja wa Volume Shadow Copy, nk;
Programu nyingi (seva za wakala, seva za hifadhidata, nk) sio tu zinazozalishwa na Microsoft leo zimejifunza kutumia uthibitishaji wa kikoa, kwa hivyo huna kuunda database nyingine ya mtumiaji, lakini unaweza kutumia iliyopo;
Kutumia Huduma za Ufungaji wa Mbali hufanya iwe rahisi kufunga mifumo kwenye vituo vya kazi, lakini, kwa upande wake, inafanya kazi tu ikiwa huduma ya saraka inatekelezwa.

Na Hii sio orodha kamili ya uwezekano, lakini zaidi juu ya hilo baadaye. Sasa nitajaribu kukuambia mantiki ya ujenzi Saraka Inayotumika, lakini tena inafaa kujua wavulana wetu wameundwa na nini Saraka Inayotumika- hizi ni Vikoa, Miti, Misitu, Vitengo vya Shirika, Vikundi vya Watumiaji na Kompyuta.

Vikoa - Hii ni kitengo cha msingi cha mantiki cha ujenzi. Ikilinganishwa na vikundi vya kazi Vikoa vya AD ni vikundi vya usalama ambavyo vina msingi mmoja wa usajili, wakati vikundi vya kazi ni muungano wa kimantiki wa mashine. AD hutumia DNS (Seva ya Jina la Kikoa) kwa kutaja na huduma za utafutaji, badala ya WINS (Huduma ya Jina la Mtandao ya Windows), kama ilivyokuwa katika matoleo ya awali ya NT. Kwa hivyo, majina ya kompyuta kwenye kikoa yanaonekana kama, kwa mfano, buh.work.com, ambapo buh ni jina la kompyuta kwenye kikoa cha work.com (ingawa hii sio hivyo kila wakati).

Vikundi vya kazi hutumia majina ya NetBIOS. Kupangisha muundo wa kikoa AD Inawezekana kutumia seva ya DNS isiyo ya Microsoft. Lakini ni lazima ilingane na BIND 8.1.2 au toleo jipya zaidi na iauni rekodi za SRV() pamoja na Itifaki ya Usajili wa Nguvu (RFC 2136). Kila kikoa kina angalau kidhibiti kimoja cha kikoa ambacho kinapangisha hifadhidata kuu.

Miti - Hizi ni miundo ya vikoa vingi. Mzizi wa muundo huu ndio kikoa kikuu ambacho unaunda vikoa vya watoto. Kwa kweli, Active Directory hutumia muundo wa kihierarkia sawa na muundo wa kikoa katika DNS.

Ikiwa tuna kikoa work.com (kikoa cha ngazi ya kwanza) na kuunda vikoa viwili vya watoto kwa ajili yake first.work.com na second.work.com (hapa ya kwanza na ya pili ni vikoa vya ngazi ya pili, na si kompyuta katika kikoa. , kama ilivyoelezwa hapo juu), tunaishia na mti wa kikoa.

Miti kama muundo wa kimantiki hutumiwa wakati unahitaji kugawanya matawi ya kampuni, kwa mfano, kwa jiografia, au kwa sababu zingine za shirika.

AD husaidia kuunda mahusiano ya uaminifu kiotomatiki kati ya kila kikoa na vikoa vyake vya watoto.

Kwa hivyo, uundaji wa kikoa cha first.work.com husababisha kuanzishwa kiotomatiki kwa uhusiano wa uaminifu wa njia mbili kati ya mzazi work.com na mtoto first.work.com (vivyo hivyo kwa second.work.com). Kwa hivyo, ruhusa zinaweza kutumika kutoka kwa kikoa cha mzazi hadi kwa mtoto, na kinyume chake. Si vigumu kudhani kwamba mahusiano ya uaminifu yatakuwepo kwa vikoa vya watoto pia.

Sifa nyingine ya mahusiano ya uaminifu ni transitivity. Tunapata kwamba uhusiano wa kuaminiana umeundwa kwa ajili ya kikoa cha net.first.work.com na kikoa cha work.com.

Msitu - Kama miti, ni miundo ya vikoa vingi. Lakini msitu ni muungano wa miti ambayo ina vikoa tofauti vya mizizi.

Tuseme ukiamua kuwa na vikoa vingi vinavyoitwa work.com na home.net na kuunda vikoa vya watoto kwa ajili yake, lakini kwa sababu tld (kikoa cha ngazi ya juu) hakiko chini ya udhibiti wako, katika kesi hii unaweza kupanga msitu kwa kuchagua mojawapo ya vikoa vya mizizi ya ngazi ya kwanza. Uzuri wa kuunda msitu katika kesi hii ni uhusiano wa uaminifu wa pande mbili kati ya vikoa hivi viwili na vikoa vyao vya watoto.

Walakini, wakati wa kufanya kazi na misitu na miti, unahitaji kukumbuka yafuatayo:

huwezi kuongeza kikoa kilichopo kwenye mti
Huwezi kuingiza mti uliopo msituni
Mara baada ya vikoa kuwekwa kwenye msitu, haziwezi kuhamishwa hadi msitu mwingine
huwezi kufuta kikoa ambacho kina vikoa vya watoto

Vitengo vya shirika - Kimsingi, zinaweza kuitwa subdomains. hukuruhusu kupanga akaunti za watumiaji, vikundi vya watumiaji, kompyuta, rasilimali zilizoshirikiwa, vichapishaji na OU zingine (Vitengo vya Shirika) kwenye kikoa. Faida ya vitendo ya matumizi yao ni uwezekano wa kukabidhi haki za kusimamia vitengo hivi.

Kwa ufupi, unaweza kuteua msimamizi katika kikoa ambaye anaweza kusimamia OU, lakini hana haki za kusimamia kikoa kizima.

Kipengele muhimu cha OUs, tofauti na vikundi, ni uwezo wa kutumia sera za kikundi kwao. "Kwa nini huwezi kugawanya kikoa asili katika vikoa vingi badala ya kutumia OU?" - unauliza.

Wataalamu wengi wanashauri kuwa na kikoa kimoja ikiwezekana. Sababu ya hii ni ugatuaji wa utawala wakati wa kuunda kikoa cha ziada, kwani wasimamizi wa kila kikoa kama hicho hupokea udhibiti usio na kikomo (wacha nikukumbushe kwamba wakati wa kukabidhi haki kwa wasimamizi wa OU, unaweza kupunguza utendakazi wao).

Kwa kuongeza hii, ili kuunda kikoa kipya (hata mtoto) utahitaji mtawala mwingine. Ikiwa una idara mbili tofauti zilizounganishwa na njia ya polepole ya mawasiliano, matatizo ya urudufishaji yanaweza kutokea. Katika kesi hii, itakuwa sahihi zaidi kuwa na vikoa viwili.

Pia kuna nuance moja zaidi ya kutumia sera za kikundi: sera zinazofafanua mipangilio ya nenosiri na kufungwa kwa akaunti zinaweza kutumika kwa vikoa pekee. Kwa sisi, mipangilio hii ya sera imepuuzwa.

Tovuti - Hii ni njia ya kutenganisha huduma ya saraka. Kwa ufafanuzi, tovuti ni kundi la kompyuta zilizounganishwa na njia za uhamishaji data haraka.

Ikiwa una matawi kadhaa katika sehemu tofauti za nchi, iliyounganishwa na mistari ya mawasiliano ya kasi ya chini, basi kwa kila tawi unaweza kuunda tovuti yako mwenyewe. Hii inafanywa ili kuongeza kuegemea kwa uigaji saraka.

Mgawanyiko huu wa AD hauathiri kanuni za ujenzi wa kimantiki, kwa hivyo, kama tovuti inaweza kuwa na vikoa kadhaa, na kinyume chake, kikoa kinaweza kuwa na tovuti kadhaa. Lakini kuna mtego wa topolojia ya huduma ya saraka hii. Kama sheria, mtandao hutumiwa kuwasiliana na matawi - mazingira yasiyo salama sana. Kampuni nyingi hutumia hatua za usalama kama vile ngome. Huduma ya saraka hutumia takriban dazeni moja na nusu ya bandari na huduma katika kazi yake, ufunguzi ambao kwa trafiki ya AD kupita kwenye firewall kwa kweli itafichua "nje". Suluhisho la tatizo ni kutumia teknolojia ya tunnel, pamoja na kuwepo kwa mtawala wa kikoa katika kila tovuti ili kuharakisha usindikaji wa maombi ya mteja wa AD.

Mantiki ya kuota kwa vipengele vya huduma ya saraka imewasilishwa. Inaweza kuonekana kuwa msitu una miti miwili ya kikoa, ambayo uwanja wa mizizi ya mti, kwa upande wake, unaweza kuwa na OU na vikundi vya vitu, na pia kuwa na vikoa vya watoto (katika kesi hii, moja kwa kila mmoja). Vikoa vya watoto vinaweza pia kuwa na vikundi vya vitu na OU na kuwa na vikoa vya watoto (havijaonyeshwa kwenye mchoro). Nakadhalika. Acha nikukumbushe kwamba OUS inaweza kuwa na OU, vitu na vikundi vya vitu, na vikundi vinaweza kuwa na vikundi vingine.

Vikundi vya watumiaji na kompyuta - hutumika kwa madhumuni ya kiutawala na yana maana sawa na yanapotumiwa kwenye mashine za ndani kwenye mtandao. Tofauti na OUs, sera za kikundi haziwezi kutumika kwa vikundi, lakini usimamizi unaweza kukabidhiwa kwao. Ndani ya mpango wa Active Directory, kuna aina mbili za vikundi: vikundi vya usalama (vinatumika kutofautisha haki za ufikiaji kwa vitu vya mtandao) na vikundi vya usambazaji (hutumiwa hasa kwa kusambaza ujumbe wa barua pepe, kwa mfano, katika Microsoft Exchange Server).

Wamegawanywa na wigo:

vikundi vya ulimwengu inaweza kujumuisha watumiaji ndani ya msitu na vile vile vikundi vingine vya ulimwengu au vikundi vya kimataifa vya kikoa chochote msituni
vikundi vya kikoa cha kimataifa inaweza kujumuisha watumiaji wa kikoa na vikundi vingine vya kimataifa vya kikoa sawa
vikundi vya mitaa vya kikoa inayotumika kutofautisha haki za ufikiaji, inaweza kujumuisha watumiaji wa kikoa, pamoja na vikundi vya ulimwengu na vikundi vya kimataifa vya kikoa chochote msituni.
vikundi vya kompyuta vya ndani- vikundi vilivyo na SAM (meneja wa akaunti ya usalama) ya mashine ya ndani. Upeo wao ni mdogo tu kwa mashine fulani, lakini wanaweza kujumuisha vikundi vya ndani vya kikoa ambacho kompyuta iko, pamoja na vikundi vya ulimwengu na vya kimataifa vya kikoa chao au kingine ambacho wanaamini. Kwa mfano, unaweza kujumuisha mtumiaji kutoka kwa kikundi cha Watumiaji wa ndani katika kikundi cha Wasimamizi wa mashine ya ndani, na hivyo kumpa haki za msimamizi, lakini kwa kompyuta hii pekee.

Alexander Emelyanov

Kanuni za kuunda vikoa vya Saraka Inayotumika

Saraka ya Active imejumuishwa kwa muda mrefu katika kitengo cha kanuni za kihafidhina za ujenzi wa kimantiki wa miundombinu ya mtandao. Lakini wasimamizi wengi wanaendelea kutumia vikundi vya kazi vya Windows NT na vikoa katika kazi zao. Utekelezaji wa huduma ya saraka itakuwa ya kuvutia na muhimu kwa wasimamizi wa mwanzo na wenye uzoefu ili kuweka usimamizi wa mtandao kati na kuhakikisha kiwango sahihi cha usalama.

Active Directory, teknolojia ambayo ilionekana katika safu ya mifumo ya Win2K miaka sita iliyopita, inaweza kuelezewa kuwa ya kimapinduzi. Kwa upande wa kunyumbulika na kubadilika, ni mpangilio wa ukubwa bora kuliko vikoa vya NT 4, bila kutaja mitandao inayojumuisha vikundi vya kazi.

Tangu kutolewa kwa AD, idadi kubwa ya vitabu na machapisho yamechapishwa juu ya mada ya kupanga, muundo wa topolojia, usaidizi wa kikoa, usalama, nk.

Kozi za uthibitishaji za Microsoft zinaahidi kwamba baada ya saa 40 unaweza kujifunza jinsi ya kusambaza kikoa chako na kukisimamia kwa ufanisi.

Siamini. Utawala ni mchakato unaojumuisha uzoefu wa miaka mingi na "matuta yaliyojaa", idadi kubwa ya hati zilizosomwa (hasa katika Kiingereza) na mazungumzo "ya karibu" na wasimamizi na watumiaji.

Kuna nuance moja zaidi - kabla ya kuchukua kozi ya kutekeleza Active Directory, lazima uwe umefaulu kupita kozi ya kusimamia miundombinu ya mtandao kulingana na Windows Server 2003, ambayo pia inahitaji matumizi ya kifedha kwa upande wa mwanafunzi. Kwa mara nyingine tena tuna hakika kwamba Microsoft haitakosa lengo lake. Lakini hii sivyo inahusu ...

Kusoma utekelezwaji wa Alzeima haiingii katika mfumo wa kozi ya wiki nzima, zaidi ya uchapishaji mmoja. Walakini, tukiwa na uzoefu wa vifungu vilivyotangulia, tutajaribu kujua huduma ya saraka ni nini, ni siri gani kuu za usakinishaji wake na jinsi inavyoweza kufanya maisha ya msimamizi wa mfumo iwe rahisi.

Wacha pia tuangalie ni nini kipya katika Orodha ya Active na kutolewa kwa Windows Server 2003.

Inafaa kumbuka kuwa katika robo ya mwisho ya mwaka jana, Microsoft ilitoa Windows Vista, na kwa hiyo huduma ya saraka iliyosasishwa. Walakini, teknolojia za zamani hazijapoteza umuhimu wao hadi leo.

Katika makala hii, tutatoka kuelewa kiini cha AD hadi kuunda kikoa chetu wenyewe. Zana zake zaidi za usanidi na usimamizi na uchunguzi zitashughulikiwa katika masuala yafuatayo.

Jinsi Saraka Inayotumika Inasaidia

Hapa kuna orodha ya sehemu ya manufaa yote utapata kwa kupeleka huduma ya saraka:

hifadhidata ya usajili wa mtumiaji mmoja, ambayo imehifadhiwa katikati mwa seva moja au zaidi; kwa hivyo, wakati mfanyakazi mpya anaonekana katika ofisi, utahitaji tu kuunda akaunti kwa ajili yake kwenye seva na kuonyesha ni vituo gani vya kazi anaweza kufikia;
kwa kuwa rasilimali zote za kikoa zimeorodheshwa, hii inafanya uwezekano wa watumiaji kutafuta kwa urahisi na haraka; kwa mfano, ikiwa unahitaji kupata printer ya rangi katika idara ya automatisering;
mchanganyiko wa kutumia ruhusa za NTFS, sera za kikundi na ugawaji wa udhibiti utakuruhusu kurekebisha na kusambaza haki kati ya washiriki wa kikoa;
wasifu wa watumiaji wanaozunguka hufanya iwezekanavyo kuhifadhi habari muhimu na mipangilio ya usanidi kwenye seva; kwa kweli, ikiwa mtumiaji aliye na wasifu wa kuzurura kwenye kikoa anakaa chini kufanya kazi kwenye kompyuta nyingine na kuingiza jina lake la mtumiaji na nenosiri, ataona eneo-kazi lake na mipangilio anayoifahamu;
kwa kutumia sera za kikundi, unaweza kubadilisha mipangilio ya mifumo ya uendeshaji ya mtumiaji, kutoka kwa kuruhusu mtumiaji kuweka Ukuta kwenye desktop hadi mipangilio ya usalama, na pia kusambaza programu kwenye mtandao, kwa mfano, mteja wa Volume Shadow Copy, nk;
Programu nyingi (seva za wakala, seva za hifadhidata, nk) sio tu zinazozalishwa na Microsoft leo zimejifunza kutumia uthibitishaji wa kikoa, kwa hivyo huna kuunda database nyingine ya mtumiaji, lakini unaweza kutumia iliyopo;
Kutumia Huduma za Ufungaji wa Mbali hufanya iwe rahisi kufunga mifumo kwenye vituo vya kazi, lakini, kwa upande wake, inafanya kazi tu ikiwa huduma ya saraka inatekelezwa.

Mambo mabaya ya teknolojia hii yanaonekana wakati wa mchakato wa kazi ama kutokana na ujinga wa mambo ya msingi au kutokana na kutokuwa na nia ya kuingia katika ugumu wa vipengele vya AD. Jifunze kutatua matatizo yanayojitokeza kwa usahihi, na hasi zote zitatoweka.

Nitazingatia tu ukweli kwamba yote yaliyo hapo juu yatakuwa halali mbele ya mtandao wa homogeneous kulingana na familia ya Windows 2000 OS na ya juu.

Mantiki ya ujenzi

Hebu tuangalie vipengele kuu vya huduma ya saraka.

Vikoa

Hii ni kitengo cha msingi cha mantiki cha ujenzi. Ikilinganishwa na vikundi vya kazi, vikoa vya AD ni vikundi vya usalama ambavyo vina msingi mmoja wa usajili, wakati vikundi vya kazi ni kikundi cha kimantiki cha mashine. AD hutumia DNS (Seva ya Jina la Kikoa) kwa kutaja na huduma za utafutaji, badala ya WINS (Huduma ya Jina la Mtandao ya Windows), kama ilivyokuwa katika matoleo ya awali ya NT. Kwa hivyo, majina ya kompyuta kwenye kikoa yanaonekana kama, kwa mfano, buh.work.com, ambapo buh ni jina la kompyuta kwenye kikoa cha work.com (ingawa hii sio hivyo kila wakati, soma juu ya hii hapa chini).

Vikundi vya kazi hutumia majina ya NetBIOS. Ili kupangisha muundo wa kikoa cha AD, inawezekana kutumia seva ya DNS isiyo ya Microsoft. Lakini ni lazima ilingane na BIND 8.1.2 au toleo jipya zaidi na iauni rekodi za SRV (RFC 2052) pamoja na Itifaki ya Usajili wa Nguvu (RFC 2136). Kila kikoa kina angalau kidhibiti kimoja cha kikoa ambacho kinapangisha hifadhidata kuu.

Miti

Hizi ni miundo ya vikoa vingi. Mzizi wa muundo huu ndio kikoa kikuu ambacho unaunda vikoa vya watoto. Kwa kweli, Active Directory hutumia muundo wa kihierarkia sawa na muundo wa kikoa katika DNS.

Kwa mfano, ikiwa tuna kikoa work.com (kikoa cha ngazi ya kwanza) na kuunda vikoa viwili vya watoto kwa ajili yake first.work.com na second.work.com (hapa kwanza na pili ni vikoa vya ngazi ya pili, na si kompyuta. katika kikoa, kama ilivyoelezwa hapo juu), tutaishia na mti wa kikoa (tazama Mchoro 1).

Miti kama muundo wa kimantiki hutumiwa wakati unahitaji kugawanya matawi ya kampuni, kwa mfano, kwa jiografia, au kwa sababu zingine za shirika.

AD husaidia kuunda mahusiano ya uaminifu kiotomatiki kati ya kila kikoa na vikoa vyake vya watoto.

Sifa nyingine ya mahusiano ya uaminifu ni transitivity. Tunapata kwamba uhusiano wa kuaminiana umeundwa kwa ajili ya kikoa cha net.first.work.com na kikoa cha work.com.

Misitu

Kama miti, ni miundo ya vikoa vingi. Lakini msitu ni mkusanyiko wa miti ambayo ina vikoa tofauti vya mizizi.

Tuseme ukiamua kuwa na vikoa kadhaa vinavyoitwa work.com na home.net na kuunda vikoa vya watoto kwa ajili yake, lakini kwa sababu tld (kikoa cha kiwango cha juu) hakiko chini ya udhibiti wako, katika kesi hii unaweza kupanga msitu (ona. Mtini. 2), kuchagua mojawapo ya vikoa vya kiwango cha kwanza kama mzizi. Uzuri wa kuunda msitu katika kesi hii ni uhusiano wa uaminifu wa pande mbili kati ya vikoa hivi viwili na vikoa vyao vya watoto.

Walakini, wakati wa kufanya kazi na misitu na miti, unahitaji kukumbuka yafuatayo:

huwezi kuongeza kikoa kilichopo tayari kwenye mti;
Mti uliopo hauwezi kuingizwa katika msitu;
Mara baada ya vikoa kuwekwa kwenye msitu, haziwezi kuhamishwa hadi msitu mwingine;
Huwezi kufuta kikoa ambacho kina vikoa vya watoto.

Kwa maelezo ya kina zaidi kuhusu ugumu wa kutumia na kusanidi miti na misitu, unaweza kutembelea msingi wa maarifa wa Microsoft TechNet na tutaendelea.

Vitengo vya shirika (OU)

Wanaweza kuitwa subdomains. OUs hukuruhusu kupanga akaunti za watumiaji, vikundi vya watumiaji, kompyuta, hisa, vichapishaji, na OU zingine ndani ya kikoa. Faida ya vitendo ya matumizi yao ni uwezekano wa kukabidhi haki za kusimamia vitengo hivi.

Kwa ufupi, unaweza kumkabidhi msimamizi katika kikoa ambaye anaweza kusimamia OU, lakini hana haki za kusimamia kikoa kizima.

Kipengele muhimu cha OUs, tofauti na vikundi (hebu tujitangulie kidogo), ni uwezo wa kutumia sera za kikundi kwao. "Kwa nini huwezi kugawanya kikoa asili katika vikoa vingi badala ya kutumia OU?" - unauliza.

Pia kuna nuance moja zaidi ya kutumia sera za kikundi: sera zinazofafanua mipangilio ya nenosiri na kufungwa kwa akaunti zinaweza kutumika kwa vikoa pekee. Kwa sisi, mipangilio hii ya sera imepuuzwa.

Vikundi vya watumiaji na kompyuta

Zinatumika kwa madhumuni ya usimamizi na zina maana sawa na zinapotumiwa kwenye mashine za ndani kwenye mtandao. Tofauti na OUs, sera za kikundi haziwezi kutumika kwa vikundi, lakini usimamizi unaweza kukabidhiwa kwao. Ndani ya mpango wa Active Directory, kuna aina mbili za vikundi: vikundi vya usalama (vinatumika kutofautisha haki za ufikiaji kwa vitu vya mtandao) na vikundi vya usambazaji (hutumiwa hasa kwa kusambaza ujumbe wa barua pepe, kwa mfano, katika Microsoft Exchange Server).

Wamegawanywa na wigo:

vikundi vya ulimwengu inaweza kujumuisha watumiaji ndani ya msitu na vile vile vikundi vingine vya ulimwengu au vikundi vya kimataifa vya kikoa chochote katika msitu;
vikundi vya kikoa cha kimataifa inaweza kujumuisha watumiaji wa kikoa na vikundi vingine vya kimataifa vya kikoa sawa;
vikundi vya mitaa vya kikoa kutumika kutofautisha haki za ufikiaji, inaweza kujumuisha watumiaji wa kikoa, pamoja na vikundi vya ulimwengu na vikundi vya kimataifa vya kikoa chochote msituni;
vikundi vya kompyuta vya ndani- vikundi vilivyo na SAM (meneja wa akaunti ya usalama) ya mashine ya ndani. Upeo wao ni mdogo tu kwa mashine fulani, lakini wanaweza kujumuisha vikundi vya ndani vya kikoa ambacho kompyuta iko, pamoja na vikundi vya ulimwengu na vya kimataifa vya kikoa chao au kingine ambacho wanaamini. Kwa mfano, unaweza kujumuisha mtumiaji kutoka kwa kikundi cha Watumiaji wa ndani katika kikundi cha Wasimamizi wa mashine ya ndani, na hivyo kumpa haki za msimamizi, lakini kwa kompyuta hii pekee.

Tovuti

Hii ni njia ya kutenganisha huduma ya saraka. Kwa ufafanuzi, tovuti ni kundi la kompyuta zilizounganishwa na njia za uhamishaji data haraka.

Kwa mfano, ikiwa una matawi kadhaa katika sehemu tofauti za nchi, iliyounganishwa na mistari ya mawasiliano ya kasi ya chini, basi kwa kila tawi unaweza kuunda tovuti yako mwenyewe. Hii inafanywa ili kuongeza kuegemea kwa uigaji saraka.

Katika Mtini. Mchoro wa 3 unaonyesha mantiki ya kuota ya vipengele vya huduma ya saraka. Inaweza kuonekana kuwa msitu una miti miwili ya kikoa, ambayo uwanja wa mizizi ya mti, kwa upande wake, unaweza kuwa na OU na vikundi vya vitu, na pia kuwa na vikoa vya watoto (katika kesi hii, moja kwa kila mmoja). Vikoa vya watoto vinaweza pia kuwa na vikundi vya vitu na OU na kuwa na vikoa vya watoto (havijaonyeshwa kwenye mchoro). Nakadhalika. Acha nikukumbushe kwamba OUS inaweza kuwa na OU, vitu na vikundi vya vitu, na vikundi vinaweza kuwa na vikundi vingine. Soma zaidi kuhusu kuota kwa vikundi na sehemu zao katika makala inayofuata.

Shirika la Huduma ya Saraka

Ili kutoa kiwango fulani cha usalama, mfumo wowote wa uendeshaji lazima uwe na faili zilizo na hifadhidata ya mtumiaji. Katika matoleo ya awali ya Windows NT, faili ya SAM (Kidhibiti cha Akaunti ya Usalama) ilitumiwa kwa hili. Ilikuwa na kitambulisho cha mtumiaji na ilisimbwa kwa njia fiche. Leo, SAM pia hutumiwa katika mifumo ya uendeshaji ya familia ya NT 5 (Windows 2000 na ya juu).

Unapotangaza seva ya mwanachama kwa kidhibiti cha kikoa kwa kutumia amri ya DCPROMO (ambayo kwa hakika inaendesha Mchawi wa Usakinishaji wa Huduma za Saraka), injini ya usalama ya Windows Server 2000/2003 huanza kutumia hifadhidata ya kati ya AD. Hii inaweza kuangaliwa kwa urahisi - baada ya kuunda kikoa, jaribu kufungua snap-in ya Usimamizi wa Kompyuta kwenye kidhibiti na upate "Watumiaji wa ndani na vikundi" hapo. Zaidi ya hayo, jaribu kuingia kwenye seva hii kwa kutumia akaunti ya ndani. Haiwezekani kwamba utafaulu.

Data nyingi za mtumiaji huhifadhiwa kwenye faili ya NTDS.DIT (Directory Information Tree). NTDS.DIT ni hifadhidata iliyobadilishwa. Imeundwa kwa kutumia teknolojia sawa na hifadhidata ya Ufikiaji wa Microsoft. Algoriti za vidhibiti vya kikoa vya uendeshaji zina lahaja la injini ya hifadhidata ya Ufikiaji ya JET, ambayo iliitwa ESE (Injini ya Kuhifadhi Inayoongezwa). NTDS.DIT na huduma zinazotoa mwingiliano na faili hii, kwa kweli, ni huduma ya saraka.

Muundo wa mwingiliano kati ya wateja wa AD na hifadhi kuu ya data, sawa na nafasi ya jina la huduma ya saraka, imewasilishwa katika makala. Ili kukamilisha maelezo, itajwe matumizi ya vitambulisho vya kimataifa. Kitambulisho cha Kipekee cha Ulimwenguni (GUID) ni nambari ya biti 128 ambayo huhusishwa na kila kitu kinapoundwa ili kuhakikisha upekee. Jina la kitu cha AD linaweza kubadilishwa, lakini GUID itabaki bila kubadilika.

Katalogi ya ulimwengu

Labda tayari umegundua kuwa muundo wa AD unaweza kuwa ngumu sana na una idadi kubwa ya vitu. Hebu fikiria juu ya ukweli kwamba kikoa cha AD kinaweza kujumuisha hadi vitu milioni 1.5. Lakini hii inaweza kusababisha masuala ya utendaji wakati wa kufanya shughuli. Tatizo hili linatatuliwa kwa kutumia Global Catalogue (GC). Ina toleo fupi la msitu mzima wa AD, ambayo husaidia kuongeza kasi ya utafutaji wa vitu. Mmiliki wa katalogi ya kimataifa anaweza kuwa vidhibiti vya kikoa vilivyoteuliwa mahususi kwa madhumuni haya.

Majukumu ya FSMO

Katika AD, kuna orodha fulani ya shughuli, utekelezaji ambao unaweza kupewa mtawala mmoja tu. Haya yanaitwa majukumu ya FSMO (Flexible Single-Master Operations). Kuna jumla ya majukumu 5 ya FSMO katika AD. Hebu tuwaangalie kwa undani zaidi.

Ndani ya msitu, lazima kuwe na hakikisho kwamba majina ya vikoa ni ya kipekee wakati wa kuongeza kikoa kipya kwenye msitu wa vikoa. Uhakikisho huu umetolewa na Mwalimu wa Kutaja Kikoa. Majukumu ya Mmiliki wa Jina la Kikoa na Mmiliki wa Schema lazima yawe ya kipekee ndani ya msitu wa kikoa.

Kama nilivyokwisha sema, kitu kinapoundwa, kinahusishwa na kitambulisho cha kimataifa, ambacho kinahakikisha upekee wake. Ndiyo maana kidhibiti kinachohusika na kuzalisha GUID na kutenda kama mmiliki wa vitambulishi vya jamaa (Mwalimu wa Kitambulisho cha Jamaa) lazima awe ndiye pekee ndani ya kikoa.

Tofauti na vikoa vya NT, AD haina dhana ya PDC na BDC (kidhibiti cha msingi na chelezo cha kikoa). Mojawapo ya majukumu ya FSMO ni Emulator ya PDC (Emulator ya Kidhibiti cha Kikoa cha Msingi). Seva inayoendesha Windows NT Server inaweza kufanya kazi kama kidhibiti chelezo cha kikoa katika AD. Lakini inajulikana kuwa vikoa vya NT vinaweza kutumia kidhibiti kimoja cha msingi. Ndio maana Microsoft imeifanya ili ndani ya kikoa kimoja cha AD tunaweza kuteua seva moja kubeba jukumu la Kiigaji cha PDC. Kwa hivyo, tukiondoka kwenye istilahi, tunaweza kuzungumza juu ya uwepo wa vidhibiti kuu vya kikoa na chelezo, ikimaanisha mmiliki wa jukumu la FSMO.

Vipengee vinapofutwa au kusogezwa, mmoja wa vidhibiti lazima adumishe rejeleo la kitu hicho hadi urudufishaji ukamilike. Jukumu hili linachezwa na mmiliki wa miundombinu ya saraka (Mwalimu wa Miundombinu).

Majukumu matatu ya mwisho yanahitaji mwimbaji awe wa kipekee ndani ya uwanja. Majukumu yote yanapewa mtawala wa kwanza aliyeundwa msituni. Wakati wa kuunda muundo wa kina wa AD, unaweza kukasimu majukumu haya kwa vidhibiti vingine. Hali zinaweza pia kutokea wakati mmiliki wa mojawapo ya majukumu hayupo (seva imeshindwa). Katika kesi hiyo, ni muhimu kufanya operesheni ya kukamata jukumu la FSMO kwa kutumia shirika la NTDSUTIL (tutazungumzia kuhusu matumizi yake katika makala zifuatazo). Lakini unapaswa kuwa makini, kwa sababu wakati jukumu linachukuliwa, huduma ya saraka inadhani kuwa hakuna mmiliki wa zamani na haiwasiliani naye kabisa. Kurejesha kwa mmiliki wa jukumu hapo awali kwenye mtandao kunaweza kusababisha usumbufu wa utendakazi wake. Hii ni muhimu sana kwa mmiliki wa schema, mmiliki wa jina la kikoa, na mmiliki wa kitambulisho.

Kuhusu utendaji: jukumu la emulator ya kidhibiti cha kikoa cha msingi ndilo linalohitajika zaidi kwenye rasilimali za kompyuta, hivyo inaweza kupewa mtawala mwingine. Majukumu yaliyobaki hayahitajiki sana, kwa hivyo wakati wa kuyasambaza, unaweza kuongozwa na nuances ya ujenzi wa kimantiki wa mchoro wako wa AD.

Hatua ya mwisho ya mwananadharia

Kusoma makala haipaswi kukuhamisha kabisa kutoka kwa wananadharia hadi kwa watendaji. Kwa sababu mpaka umezingatia mambo yote kutoka kwa uwekaji wa kimwili wa nodes za mtandao hadi ujenzi wa mantiki ya saraka nzima, hupaswi kupata chini ya biashara na kujenga uwanja na majibu rahisi kwa maswali ya mchawi wa ufungaji wa AD. Fikiria juu ya kile kikoa chako kitaitwa na, ikiwa utaunda watoto kwa ajili yake, jinsi watakavyoitwa. Ikiwa kuna sehemu kadhaa kwenye mtandao zilizounganishwa na njia zisizoaminika za mawasiliano, fikiria kutumia tovuti.

Kama mwongozo wa kusakinisha AD, ninaweza kupendekeza kutumia vifungu na, pamoja na msingi wa maarifa wa Microsoft.

Hatimaye, vidokezo vichache:

Jaribu, ikiwezekana, usichanganye majukumu ya Emulator ya PDC na seva ya wakala kwenye mashine moja. Kwanza, na idadi kubwa ya mashine kwenye mtandao na watumiaji wa mtandao, mzigo kwenye seva huongezeka, na pili, kwa shambulio la mafanikio kwenye wakala wako, sio mtandao tu utaanguka, lakini pia mtawala mkuu wa kikoa, na hii inaweza. kusababisha uendeshaji usio sahihi wa mtandao mzima.
Ikiwa unasimamia mtandao wa ndani mara kwa mara, na hautatekeleza Active Directory kwa wateja, ongeza mashine kwenye kikoa hatua kwa hatua, sema, nne hadi tano kwa siku. Kwa sababu ikiwa una idadi kubwa ya mashine kwenye mtandao wako (50 au zaidi) na unaisimamia peke yako, basi hakuna uwezekano wa kuisimamia hata mwishoni mwa wiki, na hata ikiwa unaisimamia, haijulikani jinsi kila kitu kitakuwa sahihi. . Kwa kuongeza, kubadilishana nyaraka ndani ya mtandao, unaweza kutumia faili au seva ya barua ya ndani (nilielezea hili katika No. 11, 2006). Kitu pekee katika kesi hii ni kuelewa kwa usahihi jinsi ya kusanidi haki za mtumiaji kufikia seva ya faili. Kwa sababu ikiwa, kwa mfano, haijajumuishwa kwenye kikoa, uthibitishaji wa mtumiaji utafanywa kulingana na rekodi katika hifadhidata ya ndani ya SAM. Hakuna data kuhusu watumiaji wa kikoa. Hata hivyo, ikiwa seva yako ya faili ni mojawapo ya mashine za kwanza zilizojumuishwa katika AD na sio kidhibiti cha kikoa, basi itawezekana kuthibitisha kupitia hifadhidata ya ndani ya SAM na hifadhidata ya akaunti ya AD. Lakini kwa chaguo la mwisho, utahitaji kuruhusu katika mipangilio yako ya usalama ya ndani (ikiwa hii haijafanywa) kufikia seva ya faili kwenye mtandao kwa wanachama wa kikoa na akaunti za ndani.

Soma kuhusu usanidi zaidi wa huduma ya saraka (kuunda na kusimamia akaunti, kugawa sera za kikundi, nk) katika makala ifuatayo.

Maombi

Nini Kipya katika Saraka Inayotumika katika Windows Server 2003

Pamoja na kutolewa kwa Windows Server 2003, mabadiliko yafuatayo yalionekana katika Active Directory:

Imewezekana kubadili jina la kikoa baada ya kuundwa.
Kiolesura cha kudhibiti mtumiaji kimeboreshwa. Kwa mfano, unaweza kubadilisha sifa za vitu kadhaa mara moja.
Chombo kizuri cha kudhibiti sera za kikundi kimeonekana - Dashibodi ya Usimamizi wa Sera ya Kikundi (gpmc.msc, unahitaji kuipakua kutoka kwa tovuti ya Microsoft).
Viwango vya utendaji wa kikoa na msitu vimebadilika.

Mabadiliko ya mwisho yanahitaji kusemwa kwa undani zaidi. Kikoa cha AD katika Windows Server 2003 kinaweza kuwa katika mojawapo ya viwango vifuatavyo, vilivyoorodheshwa ili kuongeza utendakazi:

Windows 2000 Mchanganyiko (Windows 2000 iliyochanganywa). Inaruhusiwa kuwa na vidhibiti vya matoleo tofauti - Windows NT na Windows 2000/2003. Kwa kuongezea, ikiwa seva za Windows 2000/2003 ni sawa, basi seva ya NT, kama ilivyotajwa tayari, inaweza tu kufanya kama kidhibiti cha kikoa cha chelezo.
Windows 2000 Native (Windows 2000 ya asili). Inaruhusiwa kuwa na vidhibiti vinavyoendesha Windows Server 2000/2003. Kiwango hiki ni kazi zaidi, lakini ina vikwazo vyake. Kwa mfano, hutaweza kubadilisha jina la vidhibiti vya kikoa.
Windows Server 2003 ya Muda (ya kati Windows Server 2003). Inakubalika kuwa na vidhibiti vinavyoendesha Windows NT pamoja na Windows Server 2003. Inatumika, kwa mfano, wakati kidhibiti kikuu cha kikoa kinachoendesha seva ya Windows NT kinasasishwa hadi W2K3. Kiwango kina utendaji zaidi kidogo kuliko kiwango cha Native Windows 2000.
Windows Server 2003. Vidhibiti pekee vinavyoendesha Windows Server 2003 vinaruhusiwa kwenye kikoa. Katika kiwango hiki, unaweza kuchukua fursa ya vipengele vyote vya huduma ya saraka ya Windows Server 2003.

Viwango vya utendaji vya msitu wa kikoa kimsingi ni sawa na kwa vikoa. Mbali pekee ni kwamba kuna ngazi moja tu ya Windows 2000, ambayo inawezekana kutumia watawala wanaoendesha Windows NT, pamoja na Windows Server 2000/2003, katika msitu.

Inafaa kumbuka kuwa kubadilisha kiwango cha kazi cha kikoa na msitu ni operesheni isiyoweza kutenduliwa. Hiyo ni, hakuna utangamano wa nyuma.

Korobko I. Active Directory - nadharia ya ujenzi. //"Msimamizi wa Mfumo", Nambari 1, 2004 - ukurasa wa 90-94. ().
Markov R. Windows 2000/2003 domains - kuacha kikundi cha kazi. //"Msimamizi wa Mfumo", No. 9, 2005 - ukurasa wa 8-11. ().
Markov R. Inasakinisha na kusanidi Seva ya Windows 2K. //"Msimamizi wa Mfumo", Nambari 10, 2004 - ukurasa wa 88-94. ().