Kwa nini shirika linahitaji Active Directory? Huduma ya saraka ya Active Directory

Sehemu ya kimsingi ya Huduma za Kikoa katika kila shirika ni Wakuu wa Usalama, ambao hutoa watumiaji, vikundi au kompyuta zinazohitaji ufikiaji wa rasilimali mahususi kwenye mtandao. Ni vitu hivi, vinavyoitwa wakuu wa usalama, vinaweza kupewa ruhusa ya kufikia rasilimali kwenye mtandao, na kila mkuu amepewa kitambulisho cha kipekee cha usalama (SID), ambacho kinajumuisha sehemu mbili, wakati wa kuunda kitu. Kitambulisho cha Usalama SID ni kiwakilishi cha nambari ambacho humtambulisha mkuu wa usalama kwa njia ya kipekee. Sehemu ya kwanza ya kitambulisho kama hicho ni kitambulisho cha kikoa. Kwa sababu wakuu wa usalama wanapatikana katika kikoa kimoja, vitu hivyo vyote vimepewa kitambulisho sawa cha kikoa. Sehemu ya pili ya SID ni kitambulisho cha jamaa (RID), ambayo hutumiwa kutambua kwa njia ya kipekee msimamizi mkuu wa usalama kwa heshima na wakala anayetoa SID.

Ingawa mashirika mengi hupanga na kupeleka miundombinu ya Huduma za Kikoa mara moja tu, na vitu vingi hupitia mabadiliko ya nadra sana, isipokuwa muhimu kwa sheria hii ni kanuni za usalama, ambazo lazima ziongezwe, zirekebishwe na kuondolewa mara kwa mara. Moja ya vipengele vya msingi vya kitambulisho ni akaunti za watumiaji. Kimsingi, akaunti za watumiaji ni vitu halisi, haswa watu ambao ni wafanyikazi wa shirika lako, lakini kuna vighairi ambapo akaunti za watumiaji huundwa kwa baadhi ya programu kama huduma. Akaunti za watumiaji zina jukumu muhimu katika usimamizi wa biashara. Majukumu kama haya ni pamoja na:

  • Kitambulisho cha Mtumiaji, kwa kuwa akaunti iliyoundwa hukuruhusu kuingia kwenye kompyuta na vikoa na data haswa ambayo uhalisi wake umethibitishwa na kikoa;
  • Ruhusa za kufikia rasilimali za kikoa, ambazo zimekabidhiwa kwa mtumiaji kutoa ufikiaji wa rasilimali za kikoa kulingana na ruhusa zilizo wazi.

Vipengee vya akaunti ya mtumiaji ni kati ya vitu vya kawaida katika Saraka Inayotumika. Ni kwa akaunti za watumiaji kwamba wasimamizi wanatakiwa kulipa kipaumbele maalum, kwa kuwa ni kawaida kwa watumiaji kuja kufanya kazi katika shirika, kuhama kati ya idara na ofisi, kuolewa, kupata talaka, na hata kuacha kampuni. Vitu kama hivyo ni mkusanyiko wa sifa, na akaunti moja tu ya mtumiaji inaweza kuwa na zaidi ya sifa 250 tofauti, ambayo ni mara kadhaa idadi ya sifa kwenye vituo vya kazi na kompyuta zinazoendesha mfumo wa uendeshaji wa Linux. Unapofungua akaunti ya mtumiaji, seti ndogo ya sifa huundwa, na kisha unaweza kuongeza kitambulisho cha mtumiaji kama vile maelezo ya shirika, anwani za watumiaji, nambari za simu na zaidi. Kwa hiyo, ni muhimu kutambua kwamba baadhi ya sifa ni lazima, na wengine - hiari. Katika makala hii, nitazungumzia kuhusu mbinu muhimu za kuunda akaunti za watumiaji, baadhi ya sifa za hiari, na pia nitaelezea zana zinazokuwezesha kugeuza vitendo vya kawaida vinavyohusishwa na kuunda akaunti za mtumiaji.

Kuunda watumiaji kwa kutumia Watumiaji wa Saraka inayotumika na Kompyuta

Katika visa vingi, wasimamizi wa mfumo wanapendelea kutumia snap-in kuunda misingi ya usalama, ambayo huongezwa kwenye folda. "Utawala" mara baada ya kufunga jukumu "Huduma za Kikoa cha Saraka Inayotumika" na kukuza seva kwa kidhibiti cha kikoa. Njia hii ndiyo inayofaa zaidi kwa sababu hutumia kiolesura cha kielelezo ili kuunda kanuni za usalama na mchawi wa kuunda akaunti ya mtumiaji ni rahisi sana kutumia. Ubaya wa njia hii ni kwamba wakati wa kuunda akaunti ya mtumiaji, huwezi kuweka mara moja sifa nyingi, na itabidi uongeze sifa zinazohitajika kwa kuhariri akaunti. Ili kuunda akaunti ya mtumiaji, fuata hatua hizi:

  • Katika shamba "Jina" ingiza jina lako la mtumiaji;
  • Katika shamba "Waanzilishi" ingiza herufi za kwanza (mara nyingi herufi za kwanza hazitumiwi);
  • Katika shamba "Jina la ukoo" ingiza jina la mwisho la mtumiaji atakayeundwa;
  • Shamba "Jina kamili" kutumika kuunda sifa za kitu kilichoundwa kama vile Jina la Kawaida CN na kuonyesha sifa za jina. Sehemu hii lazima iwe ya kipekee katika kikoa chote, na inajazwa kiotomatiki, na inapaswa kubadilishwa tu ikiwa ni lazima;
  • Shamba "Jina la Kuingia la Mtumiaji" inahitajika na imekusudiwa kwa jina la kuingia la kikoa cha mtumiaji. Hapa unahitaji kuingiza jina lako la mtumiaji na kuchagua kiambishi cha UPN kutoka kwenye orodha ya kushuka, ambayo itakuwa iko baada ya alama ya @;
  • Shamba "Jina la Kuingia la Mtumiaji (Pre-Windows 2000)" iliyokusudiwa kwa jina la kuingia kwa mifumo iliyotangulia mfumo wa uendeshaji wa Windows 2000. Katika miaka ya hivi karibuni, wamiliki wa mifumo hiyo wamezidi kuwa nadra katika mashirika, lakini uwanja unahitajika, kwani baadhi ya programu hutumia sifa hii kutambua watumiaji;

Baada ya kujaza sehemu zote zinazohitajika, bonyeza kitufe "Zaidi":

Mchele. 2. Sanduku la Mazungumzo la Uundaji Akaunti ya Mtumiaji

  • Katika ukurasa unaofuata wa mchawi wa uundaji wa akaunti ya mtumiaji, utalazimika kuingiza nenosiri la mtumiaji kwenye uwanja "Nenosiri" na uthibitishe kwenye uwanja "Uthibitisho". Kwa kuongeza, unaweza kuchagua sifa inayoonyesha kwamba mara ya kwanza mtumiaji anaingia, mtumiaji lazima abadilishe nenosiri la akaunti yake mwenyewe. Ni bora kutumia chaguo hili kwa kushirikiana na sera za usalama za ndani "Sera ya Nenosiri", ambayo itakuruhusu kuunda nywila kali kwa watumiaji wako. Pia, kwa kuangalia chaguo "Marufuku mtumiaji kubadilisha nenosiri" unampa mtumiaji nenosiri lako na kumzuia asibadilishe. Wakati wa kuchagua chaguo "Nenosiri haliisha muda wake" Nenosiri la akaunti ya mtumiaji halitaisha muda na halitahitaji kubadilishwa mara kwa mara. Ukiangalia kisanduku "Ondoa akaunti", basi akaunti hii haitakusudiwa kwa kazi zaidi na mtumiaji aliye na akaunti kama hiyo hataweza kuingia hadi iwashwe. Chaguo hili, kama sifa nyingi, litajadiliwa katika sehemu inayofuata ya nakala hii. Baada ya kuchagua sifa zote, bonyeza kitufe "Zaidi". Ukurasa huu wa mchawi unaonyeshwa kwenye kielelezo kifuatacho:

    • Mchele. 3. Unda nenosiri la akaunti unayounda

  • Katika ukurasa wa mwisho wa mchawi, utaona muhtasari wa mipangilio uliyoingiza. Ikiwa habari imeingizwa kwa usahihi, bonyeza kitufe "Tayari" kuunda akaunti ya mtumiaji na kukamilisha mchawi.

    • Kuunda watumiaji kulingana na violezo

    Kwa kawaida, mashirika yana vitengo au idara nyingi ambazo watumiaji wako wanamiliki. Katika idara hizi, watumiaji wana mali sawa (kwa mfano, jina la idara, nafasi, nambari ya ofisi, nk). Ili kusimamia kwa ufanisi akaunti za watumiaji kutoka idara moja, kwa mfano, kwa kutumia sera za kikundi, inashauriwa kuunda ndani ya uwanja katika idara maalum (kwa maneno mengine, vyombo) kulingana na templates. Kiolezo cha akaunti ni akaunti ambayo ilionekana kwa mara ya kwanza katika siku za mifumo ya uendeshaji ya Windows NT, ambayo sifa za kawaida kwa watumiaji wote walioundwa hujazwa awali. Ili kuunda kiolezo cha akaunti ya mtumiaji, fuata hatua hizi:

    • Ni kawaida. Kichupo hiki kimekusudiwa kujaza sifa za mtumiaji binafsi. Sifa hizi ni pamoja na jina la kwanza na la mwisho la mtumiaji, maelezo mafupi ya akaunti, nambari ya simu ya mtumiaji, nambari ya chumba, anwani ya barua pepe na tovuti. Kutokana na ukweli kwamba taarifa hii ni ya mtu binafsi kwa kila mtumiaji binafsi, data iliyojazwa kwenye kichupo hiki haijakiliwa;
    • Anwani. Kwenye kichupo cha sasa, unaweza kujaza kisanduku cha barua, jiji, eneo, msimbo wa posta na nchi ambapo watumiaji wanaishi, ambayo itaundwa kulingana na kiolezo hiki. Kwa kuwa majina ya barabara ya kila mtumiaji kwa kawaida hayalingani, data katika sehemu hii haiwezi kunakiliwa;
    • Akaunti. Katika kichupo hiki, unaweza kubainisha hasa wakati mtumiaji anaingia, kompyuta ambazo watumiaji wanaweza kuingia, vigezo vya akaunti kama vile hifadhi ya nenosiri, aina za usimbaji fiche, n.k., pamoja na tarehe ya mwisho wa akaunti;
    • Wasifu. Kichupo cha sasa kinakuwezesha kutaja njia ya wasifu, script ya kuingia, njia ya ndani kwenye folda ya nyumbani, pamoja na anatoa za mtandao ambazo folda ya nyumbani ya akaunti itakuwa iko;
    • Shirika. Kwenye kichupo hiki, unaweza kuonyesha msimamo wa wafanyikazi, idara ambayo wanafanya kazi, jina la shirika na jina la mkuu wa idara;
    • Wanakikundi. Hapa ndipo wanachama wakuu wa kikundi na kikundi hubainishwa.

    Hivi ndivyo vichupo kuu unavyojaza wakati wa kuunda violezo vya akaunti. Mbali na vichupo hivi sita, unaweza pia kujaza taarifa katika vichupo 13. Nyingi za tabo hizi zitajadiliwa katika makala zinazofuata katika mfululizo huu.

  • Hatua inayofuata itaunda akaunti ya mtumiaji kulingana na kiolezo cha sasa. Ili kufanya hivyo, bonyeza-click kwenye template ya akaunti na uchague amri kutoka kwenye orodha ya muktadha "Nakala";
  • Katika sanduku la mazungumzo "Nakili kitu - Mtumiaji" Ingiza jina la mtumiaji, jina la mwisho na jina la kuingia. Kwenye ukurasa unaofuata, ingiza nenosiri lako na uthibitisho, na usifute chaguo "Ondoa akaunti". Kamilisha kazi ya mchawi;

    • Mchele. 5. Nakili Kisanduku cha Maongezi cha Akaunti ya Mtumiaji

  • Baada ya kufungua akaunti yako, nenda kwenye sifa za akaunti uliyofungua na ukague sifa unazoongeza kwenye kiolezo. Sifa zilizosanidiwa zitanakiliwa kwa akaunti mpya.

    • Kuunda watumiaji kwa kutumia mstari wa amri

    Kama ilivyo kwa vitu vingi, mfumo wa uendeshaji wa Windows una huduma za mstari wa amri na utendaji sawa wa kiolesura cha picha cha mtumiaji. "Saraka Inayotumika - Watumiaji na Kompyuta". Amri hizi huitwa amri za DS kwa sababu huanza na herufi DS. Ili kuunda wakuu wa usalama tumia amri Dsadd. Baada ya amri yenyewe, marekebisho yameainishwa ambayo huamua aina na jina la DN la kitu. Katika kesi ya kuunda akaunti za watumiaji, unahitaji kutaja kirekebishaji mtumiaji, ambayo ni aina ya kitu. Baada ya aina ya kitu, lazima uweke jina la DN la kitu yenyewe. DN (Jina Lililotofautishwa) ya kitu ni seti ya matokeo ambayo ina jina bainifu. DN kawaida hufuatwa na jina la mtumiaji la UPN au jina la kuingia la matoleo ya awali ya Windows. Ikiwa kuna nafasi katika jina la DN, jina lazima liambatanishwe katika nukuu. Syntax ya amri ni kama ifuatavyo:

    Mtumiaji wa Dsadd DN_name -samid account_name -UPN_name -pwd password -vigezo vya ziada

    Kuna vigezo 41 ambavyo vinaweza kutumika na amri hii. Wacha tuangalie maarufu zaidi kati yao:

    -samid- jina la akaunti ya mtumiaji;

    -juu- jina la kuingia la mtumiaji kabla ya Windows 2000;

    -fn- jina la mtumiaji, ambalo limejazwa kwenye uwanja kwenye kiolesura cha picha "Jina";

    -mi- mwanzo wa mtumiaji;

    -ln- jina la mwisho la mtumiaji, lililotajwa katika uwanja wa "Jina la Mwisho" la mchawi wa kuunda akaunti ya mtumiaji;

    -onyesha- inabainisha jina la mtumiaji kamili, ambalo linazalishwa kiotomatiki kwenye kiolesura cha mtumiaji;

    -achwa- nambari ya mfanyakazi ambayo imeundwa kwa mtumiaji;

    -pwd- parameta inayofafanua nenosiri la mtumiaji. Ukitaja ishara ya kinyota (*), utaulizwa kuingiza nenosiri la mtumiaji katika hali iliyolindwa na mwonekano;

    -desk- maelezo mafupi ya akaunti ya mtumiaji;

    -mwanachama- paramu ambayo huamua uanachama wa mtumiaji katika kikundi kimoja au zaidi;

    -ofisi- eneo la ofisi ambapo mtumiaji anafanya kazi. Katika mali ya akaunti, parameter hii inaweza kupatikana kwenye kichupo "Shirika";

    -simu- nambari ya simu ya mtumiaji wa sasa;

    -barua pepe- anwani ya barua pepe ya mtumiaji, ambayo inaweza kupatikana kwenye kichupo "Ni kawaida";

    -nyumbani- paramu inayoonyesha nambari ya simu ya nyumbani ya mtumiaji;

    -rununu- nambari ya simu ya mtumiaji wa rununu;

    -faksi- nambari ya mashine ya faksi inayotumiwa na mtumiaji wa sasa;

    -kichwa- nafasi ya mtumiaji katika shirika;

    -idara- parameter hii inakuwezesha kutaja jina la idara ambayo mtumiaji huyu anafanya kazi;

    -kampuni- jina la kampuni ambapo mtumiaji aliyeundwa anafanya kazi;

    -hmdir- saraka kuu ya mtumiaji, ambayo hati zake zitapatikana;

    -hmdrv- njia ya kiendeshi cha mtandao ambapo folda ya nyumbani ya akaunti itakuwa iko

    -wasifu- njia ya wasifu wa mtumiaji;

    -mustchpwd- parameter hii inaonyesha kwamba mtumiaji lazima abadilishe nenosiri lake baada ya kuingia;

    -canchpwd- kigezo kinachoamua ikiwa mtumiaji anapaswa kubadilisha nenosiri lake. Ikiwa thamani ya parameter ni "ndio", basi mtumiaji atakuwa na fursa ya kubadilisha nenosiri;

    -rejeshwapwd- parameta ya sasa huamua uhifadhi wa nenosiri la mtumiaji kwa kutumia usimbuaji wa nyuma;

    -pwdnevere expires- chaguo linaloonyesha kuwa nenosiri halitaisha. Katika vigezo hivi vyote vinne, maadili yanaweza kuwa tu "ndio" au "Hapana";

    -inaisha muda wake- kigezo kinachoamua baada ya siku ngapi akaunti itaisha. Thamani chanya inawakilisha idadi ya siku ambazo akaunti itaisha, wakati thamani hasi inamaanisha kuwa muda wake tayari umekwisha;

    -lemavu- inaonyesha kuwa akaunti tayari imezimwa. Thamani za parameta hii pia ni "ndio" au "Hapana";

    -q- kubainisha hali ya utulivu kwa usindikaji wa amri.

    Mfano wa matumizi:

    Mtumiaji wa Dsadd “cn=Alexey Smirnov,OU=Marketing,OU=Users,DC=testdomain,DC=com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -onyesha “Alexey Smirnov” - tel "743-49-62" -barua pepe [barua pepe imelindwa]-dept Marketing -kampuni TestDomain -title Marketer -hmdir \\dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd ndiyo -lemavu hapana

    Mchele. 6. Kuunda akaunti ya mtumiaji kwa kutumia matumizi ya Dsadd

    Kuunda Watumiaji Kwa Kutumia Amri ya CSVDE

    Huduma nyingine ya mstari wa amri, CSVDE, hukuruhusu kuagiza au kuuza nje vitu vya Amilifu Direcoty, vilivyowasilishwa kama faili ya cvd - faili ya maandishi iliyotenganishwa kwa koma ambayo inaweza kuundwa kwa kutumia kichakataji lahajedwali la Microsoft Excel au Notepad rahisi ya kuhariri maandishi. Katika faili hii, kila kitu kinawakilishwa kwenye mstari mmoja na lazima iwe na sifa ambazo zimeorodheshwa kwenye mstari wa kwanza. Inafaa kuzingatia ukweli kwamba kwa kutumia amri hii huwezi kuagiza nywila za mtumiaji, ambayo ni, mara baada ya operesheni ya kuagiza kukamilika, akaunti za watumiaji zitazimwa. Mfano wa faili kama hii ni kama ifuatavyo:

    Mchele. 7. Uwasilishaji wa Faili ya CSV

    Syntax ya amri ni kama ifuatavyo:

    Csvde -i -f jina la faili.csv -k

    • -i. Kigezo kinachodhibiti hali ya uingizaji. Ikiwa hutabainisha parameter hii, amri hii itatumia hali ya kawaida ya kusafirisha nje;
    • -f
    • -k
    • -v
    • -j
    • -u. Chaguo ambalo hukuruhusu kutumia hali ya Unicode.

    Mfano wa kutumia amri:

    Csvde -i -f d:\testdomainusers.csv -k

    Mchele. 8. Leta akaunti za mtumiaji kutoka kwa faili ya CSV

    Inaingiza watumiaji kwa kutumia LIFDE

    Huduma ya laini ya amri ya Ldifde pia hukuruhusu kuingiza au kuuza nje vitu vya Saraka Inayotumika kwa kutumia umbizo la faili la Faili ya Mabadilishano ya Data ya Itifaki ya Ufikiaji wa Saraka (LDIF). Umbizo hili la faili lina kizuizi cha mistari ambayo huunda operesheni maalum. Tofauti na faili za CSV, katika umbizo hili la faili kila mstari wa mtu binafsi unawakilisha seti ya sifa, ikifuatiwa na koloni na thamani ya sifa yenyewe ya sasa. Kama tu katika faili ya CSV, mstari wa kwanza lazima uwe sifa ya DN. Hii inafuatwa na aina ya mabadiliko ya mstari, ambayo inabainisha aina ya operesheni (ongeza, badilisha, au futa). Ili kujifunza jinsi ya kuelewa umbizo hili la faili, unahitaji kujifunza angalau sifa kuu za kanuni za usalama. Mfano umetolewa hapa chini:

    Mchele. 9. Mfano wa faili ya LDF

    Syntax ya amri ni kama ifuatavyo:

    Ldifde -i -f jina la faili.csv -k

    • -i. Kigezo kinachodhibiti hali ya uingizaji. Ikiwa hutabainisha chaguo hili, amri hii itatumia hali ya uhamishaji chaguo-msingi;
    • -f. Kigezo kinachotambua jina la faili litakaloingizwa au kuhamishwa;
    • -k. Kigezo kilichoundwa ili kuendelea kuagiza, kuruka makosa yote iwezekanavyo;
    • -v. parameter kutumia ambayo unaweza kuonyesha maelezo ya kina;
    • -j. Parameter inayohusika na eneo la faili ya logi;
    • -d. Parameta inayobainisha mzizi wa utafutaji wa LDAP;
    • -f. Parameta iliyokusudiwa kwa kichujio cha utaftaji cha LDAP;
    • -p. Inawakilisha upeo au kina cha utafutaji;
    • -l. Inakusudiwa kubainisha orodha iliyotenganishwa kwa koma ya sifa ambazo zitajumuishwa katika usafirishaji wa vitu vinavyotokana;

    Kuunda Watumiaji Kwa Kutumia VBScript

    VBScript ni mojawapo ya zana zenye nguvu zaidi zilizoundwa ili kufanya kazi za usimamizi kiotomatiki. Zana hii inakuruhusu kuunda hati zilizoundwa kugeuza vitendo vingi vinavyoweza kufanywa kupitia kiolesura cha mtumiaji. Hati za VBScript ni faili za maandishi ambazo watumiaji wanaweza kuhariri kwa kawaida kwa kutumia kihariri cha maandishi cha kawaida (kama vile Notepad). Na kutekeleza maandishi, unahitaji tu kubofya mara mbili ikoni ya hati yenyewe, ambayo itafungua kwa kutumia amri ya Wscript. Ili kuunda akaunti ya mtumiaji katika VBScript hakuna amri maalum, kwa hivyo unahitaji kwanza kuunganisha kwenye kontena, kisha utumie maktaba ya adapta ya Active Directory Services Interface (ADSI) kwa kutumia taarifa ya Get-Object, ambapo unatekeleza kamba ya hoja ya LDAP ambayo hutoa kichunguzi cha itifaki LDAP:// na jina la kitu DN. Kwa mfano, Set objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com”). Mstari wa pili wa msimbo huwasha njia ya Unda ya kitengo ili kuunda kitu cha darasa mahususi kwa jina mahususi linalojulikana, kwa mfano, Set objUser=objOU.Create(“mtumiaji”,”CN= Yuriy Soloviev”). Mstari wa tatu una njia ya Weka, ambapo unahitaji kutaja jina la sifa na thamani yake. Mstari wa mwisho wa hati hii inathibitisha mabadiliko yaliyofanywa, yaani, objUser.SetInfo().

    Mfano wa matumizi:

    Weka objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com” Weka objUser=objOU.Create(“mtumiaji”,”CN= Yuri Solovyov”) objUser.Weka “sAMAccountName” ,"Yuriy.Soloviev" objMtumiaji.Weka "UserPrincipalName" [barua pepe imelindwa]” objUser.Weka “GivenName”,”Yuri” objUser.Weka “sn”Soloviev” objUser.SetInfo()

    Kuunda Watumiaji Kwa Kutumia PowerShell

    Mfumo wa uendeshaji wa Windows Server 2008 R2 ulianzisha uwezo wa kudhibiti vitu vya Active Directory kwa kutumia Windows PowerShell. Mazingira ya PowerShell yanachukuliwa kuwa safu ya amri yenye nguvu, iliyotengenezwa kwa misingi ya .Net Framework na iliyoundwa ili kudhibiti na kufanya otomatiki usimamizi wa mifumo ya uendeshaji ya Windows na programu zinazoendeshwa chini ya mifumo hii ya uendeshaji. PowerShell inajumuisha zaidi ya zana 150 za mstari wa amri, zinazoitwa cmdlets, ambazo hutoa uwezo wa kudhibiti kompyuta za biashara kutoka kwa safu ya amri. Shell hii ni sehemu ya mfumo wa uendeshaji.

    Ili kuunda mtumiaji mpya katika kikoa cha Saraka Inayotumika, tumia New-ADUser cmdlet, ambayo maadili mengi ya mali yanaweza kuongezwa kwa kutumia vigezo vya cmdlet hii. Kigezo cha -Path kinatumika kuonyesha jina la LDAP. Kigezo hiki kinabainisha chombo au kitengo cha shirika (OU) kwa mtumiaji mpya. Ikiwa kigezo cha Njia hakijabainishwa, cmdlet huunda kipengee cha mtumiaji kwenye chombo chaguo-msingi cha vitu vya mtumiaji kwenye kikoa, ambacho ni chombo cha Watumiaji. Ili kubainisha nenosiri, tumia kigezo cha -AccountPassword chenye thamani (Read-Host -AsSecureString "Nenosiri la akaunti yako"). Inafaa pia kuzingatia ukweli kwamba thamani ya parameta ya -Nchi ni msimbo wa nchi au eneo la lugha iliyochaguliwa na mtumiaji. Syntax ya cmdlet ni kama ifuatavyo:

    Mtumiaji-Mpya [-Jina] [-Tarehe ya Kuisha kwa Akaunti ] [-AccountNotDelegated ] [-AccountPassword ] [-AllowReversiblePasswordEncryption ] [-AuthType (Negotiate | Msingi)] [-CannotChangePassword ] [-Vyeti ] [-BadilishaNenosiriAtLogon ] [-Mji ] [-Kampuni ] [-Nchi ] [-Hati ] [-Idara ] [-Maelezo ] [-Jina la Kuonyesha ] [-Mgawanyiko ] [-Barua pepe ] [-Kitambulisho cha Mfanyakazi ] [-Nambari ya Mfanyakazi ] [-Imewezeshwa ] [-Faksi ] [-Jina Lililopewa ] [-HomeDirectory ] [-HomeDrive ] [-Ukurasa wa Nyumbani ] [-Simu ya Nyumbani ] [-Mianzilishi ] [-Mfano ] [-LogonWorkstations ] [-Meneja ] [-Simu ya rununu ] [-Ofisi ] [-Simu ya Ofisi ] [-Shirika ] [-Sifa Nyingine ] [-Jina lingine ] [-PassThru ] [-PasswordNeverExpires ] [-NenosiriNotRequired ] [-Njia ] [-Sanduku la posta ] [-Msimbo wa Posta ] [-ProfilePath ] [-SamAccountName ] [-ScriptPath ] [-Seva ] [-ServicePrincipalNames ] [-SmartcardLogonInahitajika ] [-Jimbo ] [-Anuani ya mtaa ] [-Jina la ukoo ] [-Kichwa ] [-TrustedForDelegation ] [-Aina ] [-UserPrincipalName ] [-Thibitisha] [-WhatIf] [ ]

    Kama unaweza kuona kutoka kwa syntax hii, hakuna maana katika kuelezea vigezo vyote, kwa kuwa vinafanana na sifa za mkuu wa usalama na hazihitaji maelezo. Wacha tuangalie mfano wa matumizi:

    New-ADUser -SamAccountName "Evgeniy.Romanov" -Jina "Evgeniy Romanov" -GivenName "Evgeniy" -Surname "Romanov" -DisplayName "Evgeniy Romanov" -Njia "OU=Marketing,OU=Users,DC=testdomain,DC=com " -Haiwezi KubadilishaNenosiri $false -BadilishaNenosiriAtLogon $true -Jiji "Kherson" -Jimbo "Kherson" -Nchi UA -Idara ya "Marketing" -Kichwa "Marketer" -UserPrincipalName "!} [barua pepe imelindwa]" -Barua pepe " [barua pepe imelindwa]" -Imewasha $true -AccountPassword (Read-Host -AsSecureString "AccountPassword")

    Mchele. 10. Unda akaunti ya mtumiaji kwa kutumia Windows PowerShell

    Hitimisho

    Katika makala haya, ulijifunza kuhusu dhana ya mkuu wa usalama na jukumu ambalo akaunti za watumiaji huwakilisha katika mazingira ya kikoa. Hali kuu za kuunda akaunti za watumiaji katika kikoa cha Saraka Inayotumika zilijadiliwa kwa kina. Umejifunza jinsi ya kuunda akaunti za watumiaji kwa kutumia snap-in "Saraka Inayotumika - Watumiaji na Kompyuta", kwa kutumia violezo, huduma za mstari wa amri Dsadd, CSVDE na LDIFDE. Pia ulijifunza jinsi ya kuunda akaunti za watumiaji kwa kutumia lugha ya uandishi ya VBScript na ganda la mstari wa amri la Windows PowerShell.

    Saraka Inayotumika - Huduma ya Saraka Inayotumika inayoweza kupanuliwa na inayoweza kupanuka hukuruhusu kudhibiti rasilimali za mtandao kwa ufanisi.
    Saraka Inayotumika ni hifadhi iliyopangwa kihierarkia ya data kuhusu vitu vya mtandao, ikitoa njia rahisi za kutafuta na kutumia data hii. Kompyuta inayoendesha Active Directory inaitwa kidhibiti cha kikoa. Takriban kazi zote za usimamizi zinahusiana na Active Directory.
    Teknolojia ya Active Directory inategemea itifaki za kawaida za Mtandao na husaidia kufafanua kwa uwazi muundo wa mtandao; soma zaidi kuhusu jinsi ya kusambaza kikoa cha Saraka Inayotumika kuanzia mwanzo hapa.

    Saraka Inayotumika na DNS

    Active Directory hutumia mfumo wa jina la kikoa.

    Kwa kutumia huduma ya Active Directory, akaunti za kompyuta zinaundwa, zimeunganishwa kwenye kikoa, na kompyuta, vidhibiti vya kikoa, na vitengo vya shirika (OUs) vinasimamiwa.

    Zana za Utawala na usaidizi hutolewa ili kudhibiti Saraka Inayotumika. Zana zilizoorodheshwa hapa chini pia zinatekelezwa kama snap-ins katika kiweko cha MMC (Microsoft Management Console):

    Active Directory - watumiaji na kompyuta (Active Directory Watumiaji na Kompyuta) utapata kusimamia watumiaji, vikundi, kompyuta na vitengo shirika (OU);

    Active Directory - domains na amana (Active Directory Domains and Trusts) hutumika kufanya kazi na vikoa, miti ya kikoa na misitu ya kikoa;

    Tovuti na Huduma za Saraka Inayotumika hukuruhusu kudhibiti tovuti na nyavu ndogo;

    Seti Inayotumika ya Sera inatumika kutazama sera ya sasa ya mtumiaji au mfumo na kuratibu mabadiliko ya sera.

    Katika Seva ya Microsoft Windows 2003, unaweza kufikia snap-ins hizi moja kwa moja kutoka kwa menyu ya Zana za Utawala.

    Zana nyingine ya utawala, Active Directory Schema snap-in, hukuruhusu kudhibiti na kurekebisha schema ya saraka.

    Ili kudhibiti vitu vya Saraka Inayotumika, kuna zana za mstari wa amri ambazo hukuuruhusu kufanya anuwai ya kazi za kiutawala:

    DSADD - huongeza kompyuta, waasiliani, vikundi, OU na watumiaji kwenye Saraka Inayotumika.

    DSGET - huonyesha sifa za kompyuta, anwani, vikundi, OUs, watumiaji, tovuti, subnets na seva zilizosajiliwa katika Active Directory.

    DSMOD - hubadilisha sifa za kompyuta, wasiliani, vikundi, OP, watumiaji na seva zilizosajiliwa katika Saraka Inayotumika.

    DSMOVE - Huhamisha kitu kimoja hadi eneo jipya ndani ya kikoa au kubadilisha jina la kitu bila kukisogeza.

    DSQXJERY - hutafuta kompyuta, anwani, vikundi, OP, watumiaji, tovuti, subnets na seva katika Saraka Amilifu kulingana na vigezo maalum.

    DSRM - huondoa kitu kutoka kwa Saraka Inayotumika.

    NTDSUTIL - hukuruhusu kuona habari kuhusu tovuti, kikoa au seva, kudhibiti mabwana wa utendakazi na kudumisha hifadhidata ya Active Directory.

    • Mafunzo

    Katika kazi yangu, mara nyingi nimelazimika kushughulika na gridi ambazo zinaonekana kufanya kazi, lakini ambapo tukio lolote dogo linaweza kusababisha masaa ya kupumzika nje ya bluu. KD alikufa? Hakuna shida, tunayo ya pili. Vipi mipira haifunguki? Kwa nini lango halijibu? Na, kwenye CD hiyo kulikuwa na seva moja ya DHCP na sasa zote zimetoweka.

    Katika makala hii nitajaribu kuelezea sahihi, kutoka kwa mtazamo wangu, ufumbuzi wa kuunda miundombinu ya mtandao wa biashara ndogo. Na bila shaka, makala haya yanaonyesha utendaji mzuri wa kibinafsi wa mwandishi na inaweza kutofautiana na maadili ya msomaji.

    Hivyo. Tuna hadi wateja 100. Kila kitu ni cha kawaida, watumiaji huenda kwenye mtandao, kutuma barua, kutumia hifadhi ya faili, kufanya kazi katika 1C, wanataka kompyuta ya baridi na kujaribu kupata virusi. Na ndio, hatujui jinsi ya kuweka wingu bado.

    Nguzo kadhaa za karibu miundombinu yoyote,
    na kisha tutapitia nuances dhahiri na sio dhahiri. Kwa njia, narudia, sisi ni biashara ndogo ya kati, usifanye mambo kuwa mabaya zaidi.
    Usalama wa data. "Bomu la ardhini liligonga chumba cha seva."
    Ikiwa bomu la ardhini litagonga chumba chako cha seva, basi uwezekano mkubwa wa usalama wa data yako itakuwa jambo la mwisho unalojali. Kuna uwezekano mkubwa zaidi kwamba mnamo Desemba 31 bomba hapo juu lilipasuka, na kusababisha moto hapo na kusababisha sakafu kuanguka.
    - Data ni kila kitu chetu. Moja ya seva mbadala lazima iwe iko nje ya chumba cha seva. Hii ni njia ya maisha. Hata ikiwa ina vitu muhimu zaidi, kwa siku moja au mbili unaweza kununua au kukodisha seva tena na kupeleka miundombinu ya kufanya kazi. Hutaweza kamwe kupata hifadhidata iliyopotea isiyoweza kurekebishwa ya 1C. Kwa njia, mzee la P4-2400/1024 kawaida hukabiliana na chelezo zilizopangwa vizuri.
    Ufuatiliaji. “01/01/2013 02:24 | Kutoka: Zabbix | Mada: Uzinduzi wa nyuklia umegunduliwa!
    Unakuwa na wakati mzuri wa kusherehekea Mwaka Mpya na marafiki. Kwa njia, sio wewe tu, mtunzaji wa jengo ambalo unakodisha majengo pia haipotezi muda. Kwa hivyo, chumba kilichochomwa kilichojaa maji kitakuwa bonus ya kupendeza kwa kichwa chako asubuhi kwa Mwaka Mpya wa Furaha.
    - Ikiwa kitu kitaenda vibaya, lazima uwe wa kwanza kujua juu yake. Arifa sawa za SMS kuhusu matukio muhimu ndizo za kawaida. Kwa njia, ikiwa asubuhi dakika 5 baada ya saa ya kengele ilipiga seva ya ufuatiliaji haijakujibu, ni wakati wa kupiga kengele. Baada ya yote, seva inayofuatilia seva ya ufuatiliaji pia haikuandika chochote. Kwa ujumla, ni sawa, una seva ya chelezo nje ya chumba cha seva, ambayo hata hivyo ilikuandikia kwamba imepoteza kila mtu, lakini bado inafanya kazi.
    Mpango wa kurejesha. "Tulia, Kazladoev, tuketi chini!"
    Huu ni Mwaka Mpya wa kutisha zaidi katika uzoefu wako. Ndio, baada ya kupokea SMS na kutathmini hali hiyo, wapiganaji wa moto waliitwa mara moja, na walifika kwa karibu dakika 5 na kuzima moto haraka. Lakini hata hivyo, sehemu moja ya chumba cha seva ilichomwa moto, ya pili ilijaa povu, na ya tatu hatimaye ikaanguka chini ya sakafu.
    - Uongo, bila shaka. Hii sio ya kupendeza zaidi, lakini pia sio Mwaka Mpya mbaya zaidi. Ndiyo, una wiki yenye shughuli nyingi mbele, lakini kutokana na mpango wazi, unajua wapi pa kuanzia na nini cha kufanya. Ninapendekeza kuwa katika mpango wa kurejesha maafa ueleze kila kitu kwa undani sana, ikiwa ni pamoja na amri za console. Ikiwa unahitaji kurejesha seva ya MySQL ambayo ilisanidiwa miaka mitatu iliyopita, hakuna uwezekano kwamba utakumbuka nuance ndogo ambayo hatimaye itakuhitaji kutumia nusu ya siku. Kwa njia, kila kitu kitaenda tofauti na ulivyopanga, labda hata tofauti kabisa, uwe tayari kwa hili.
    Sasa kwa misingi ya mtandao kwenye AD.
    Sitaelezea faida za nguzo na Uhamiaji mwingine wa moja kwa moja. Sisi ni biashara ndogo na hatuna pesa za vMotions. Kwa kweli, sio lazima; huduma nyingi zimeungwa mkono kikamilifu nje ya boksi. Hapo chini hakutakuwa na jinsi ya kuweka, lakini nitajaribu kutoa mwelekeo sahihi wa kujisomea.
    • Saraka Inayotumika. Lazima kuwe na vidhibiti viwili vya kikoa, kimwili kwenye vipande tofauti vya maunzi. Kwa njia, Microsoft haipendekezi (haikupendekeza) kufanya CD zote kwenye mashine za kawaida, i.e. angalau CD moja lazima iwe chuma tu. Kwa ujumla, huu ni upuuzi; unaweza kuunda CD tofauti kwenye wapangishaji tofauti halisi, fuata tu mapendekezo ya jumla ya Microsoft ya kusanidi CD katika mazingira pepe. Kwa njia, usisahau kuhifadhi GC kwenye vidhibiti vyote viwili vya kikoa.
    • DNS ni msingi tu. Iwapo Huduma ya Jina la Kikoa chako inafanya kazi kwa upotovu, utapata matatizo mara kwa mara. Lazima kuwe na angalau seva mbili za DNS, na kwa kusudi hili CD zinafaa kabisa kwetu. Na kinyume na mapendekezo ya "Mchanganuzi wa Uzingatiaji wa Mapendekezo", nakushauri ujitambulishe kama bwana kwenye CD zenyewe. Na jambo moja zaidi, sahau kuhusu mazoezi ya kusajili seva kwa wateja kwa anwani za IP: ikiwa hii ni seva ya NTP, basi wateja wanapaswa kuijua kama ntp.company.xyz, ikiwa ni proksi, basi kitu kama gate.company. xyz, Kweli, kwa ujumla ni wazi. Kwa njia, hii inaweza kuwa seva sawa na jina srv0.domain.xyz, lakini kwa CNAME tofauti. Hii itasaidia sana wakati wa kupanua au kuhamisha huduma.
    • Seva ya NTP inayofuata DNS. CD zako zinapaswa kutoa wakati halisi kila wakati.
      Asante foxmuldercp kwa ushauri
    • Kunapaswa pia kuwa na seva mbili za DHCP. Kwenye CD hizi hizo, mpango wa kufanya kazi kabisa. Isanidi tu ili safu zinazotoa zisiingiliane, lakini ili kila DHCP iweze kufunika kundi zima la mashine. Na ndio, acha kila seva ya DHCP ijitambulishe kama seva ya kwanza ya DNS. Nadhani ni wazi kwa nini.
    • Seva ya faili. Kila kitu ni rahisi hapa pia. Tunatengeneza DFS na replication, kwenye CD sawa. Kwa ujumla, urudufishaji hauna uhusiano wowote nayo, jiandikishe kila wakati viungo vya hisa kupitia DFS, jaribu kuambatana na mazoezi haya kuhusiana na rasilimali zote za faili. Unapohitaji kuhamisha sehemu hadi eneo jipya, sogeza tu kushiriki na ubadilishe kiungo katika DFS. Mteja anaweza asitambue chochote.
    • Seva ya MSSQL 1c. Si rahisi tena. Na gharama kubwa. Una hifadhidata kubwa kwa kiasi fulani, na kuweka seva mbadala ya SQL ni marufuku. Jambo hili haliwezi kuhifadhiwa; kwa hali yoyote, unahitaji mfano mpya, ambao unagharimu pesa. Hifadhi rudufu ndio kila kitu chetu, hakuna jambo kubwa. Fikiria juu ya wapi unaweza kupeleka seva ya muda ya DBMS haraka. Kwa njia, kuna MSSQL Express ya bure na kikomo juu ya ukubwa wa database, labda itakuwa ya kutosha kwako.
    • Lango. Linux na FreeBSD nyingine. Haijalishi jinsi inaweza kuwa mbaya, hakuna pesa kwa TMG na kerios zingine. Bado unapaswa kuelewa iptables. Hapa naweza kutoa ushauri usio na utata - ikiwa wewe ni marafiki na OSI, hakutakuwa na matatizo, ikiwa wewe si marafiki, kutakuwa na matatizo na Kerio. Kwa njia, ikiwa unafikiri kuwa wewe ni msimamizi na hujui ni tofauti gani kati ya sura na sura, basi itakuwa vigumu kwako.
    • Usalama. Hii ni mada pana sana, kwa hivyo aya zifuatazo zinahusu suala hili la karibu.
      Watumiaji lazima wafanye kazi chini ya Watumiaji wa Kikoa. Yoyote, ninasisitiza, programu yoyote inaweza kusanidiwa kufanya kazi katika mazingira yenye haki chache. Wakati mwingine inatosha kuongeza ruhusa za kuandika kwenye saraka na programu iliyosanikishwa na kuzima uandishi wa faili zinazoweza kutekelezwa ndani. Wakati mwingine, ili kujua maalum, utahitaji kufuatilia Usajili na mfumo wa faili. Wakati mwingine unataka kuua na kutoa haki za msimamizi. Wakati mwingine ni mantiki. Chaguo ni lako, lakini usiwahi kuzima UAC. Na wewe, umekaa mahali pako pa kazi, unapaswa kuwa na haki za msimamizi wa karibu kwenye vituo vyote vya kazi, na kwa hali yoyote usiwe msimamizi wa kikoa. Ikiwa ni lazima, dhibiti seva kupitia terminal.
    • Akaunti. Sitasema chochote kuhusu watumiaji, nadhani ni wazi kuwa kuna akaunti moja kwa kila mtumiaji. Lakini si kila mtu anaelewa kuwa kila huduma inapaswa kuwa na akaunti yake mwenyewe. Kwa mfano, MSSQL inayoendesha katika mazingira ya AD haihitaji haki za msimamizi wa kikoa. Unda akaunti ya kawaida ya mtumiaji na ueleze wakati wa kusakinisha DBMS. Kisakinishi kitasajili haki zinazohitajika na kila kitu kitafanya kazi vizuri. Na hivyo na karibu huduma yoyote. Ikiwa firefire fulani inauliza akaunti ya msimamizi kuunganishwa na AD - hilo ni jina moja, inahitaji tu kusoma huduma ya saraka.
    • Sasisho la Programu. Tumia WSUS na usisahau kuingia angalau Jumatano ya pili ya mwezi na uangalie sasisho mpya. Chagua magari 10-15 kutoka kwa meli yako na uwajumuishe katika kikundi cha majaribio. Angalia masasisho mapya katika kikundi hiki, na usipopata hitilafu zozote, zipeleke kwa kila mtu. Kwa njia, hapa

    Mtumiaji yeyote wa novice, anayekabiliwa na kifupi AD, anashangaa Active Directory ni nini? Active Directory ni huduma ya saraka iliyotengenezwa na Microsoft kwa mitandao ya kikoa ya Windows. Imejumuishwa katika mifumo mingi ya uendeshaji ya Seva ya Windows kama seti ya michakato na huduma. Hapo awali, huduma ilishughulika na vikoa pekee. Walakini, kuanzia na Windows Server 2008, AD ikawa jina la anuwai ya huduma za utambulisho wa saraka. Hii inaifanya Active Directory kwa wanaoanza uzoefu bora wa kujifunza.

    Ufafanuzi wa kimsingi

    Seva inayoendesha Huduma za Saraka ya Kikoa cha Active Directory inaitwa kidhibiti cha kikoa. Inathibitisha na kuidhinisha watumiaji na kompyuta zote katika kikoa cha mtandao cha Windows, kugawa na kutekeleza sera za usalama kwa Kompyuta zote, na kusakinisha au kusasisha programu. Kwa mfano, mtumiaji anapoingia kwenye kompyuta ambayo imeunganishwa kwenye kikoa cha Windows, Active Directory hukagua nenosiri lililotolewa na kubaini kama mhusika ni msimamizi wa mfumo au mtumiaji wa kawaida. Pia huwezesha usimamizi na uhifadhi wa taarifa, hutoa mbinu za uthibitishaji na uidhinishaji, na huanzisha mfumo wa kupeleka huduma zingine zinazohusiana: huduma za cheti, huduma za saraka zilizoshirikishwa na nyepesi, na usimamizi wa haki.

    Active Directory hutumia matoleo ya 2 na 3 ya LDAP, toleo la Microsoft la Kerberos na DNS.

    Saraka Inayotumika - ni nini? Kwa maneno rahisi kuhusu tata

    Kufuatilia data ya mtandao ni kazi inayotumia wakati. Hata kwenye mitandao midogo, watumiaji huwa na ugumu wa kupata faili za mtandao na vichapishi. Bila aina fulani ya saraka, mitandao ya kati hadi mikubwa haiwezi kudhibitiwa na mara nyingi inakabiliwa na matatizo katika kutafuta rasilimali.

    Matoleo ya awali ya Microsoft Windows yalijumuisha huduma za kuwasaidia watumiaji na wasimamizi kupata taarifa. Ujirani wa Mtandao ni muhimu katika mazingira mengi, lakini hasara dhahiri ni kiolesura kisicho na uhakika na kutotabirika kwake. Kidhibiti cha WINS na Kidhibiti Seva zinaweza kutumika kutazama orodha ya mifumo, lakini hazikupatikana kwa watumiaji wa mwisho. Wasimamizi walitumia Kidhibiti cha Mtumiaji kuongeza na kuondoa data kutoka kwa aina tofauti kabisa ya kitu cha mtandao. Maombi haya yalionekana kuwa hayafanyi kazi kwa mitandao mikubwa na ikauliza swali, kwa nini kampuni zinahitaji Active Directory?

    Saraka, kwa maana ya jumla, ni orodha kamili ya vitu. Kitabu cha simu ni aina ya saraka ambayo huhifadhi habari kuhusu watu, biashara, na mashirika ya serikali, naKawaida hurekodi majina, anwani na nambari za simu. Kushangaa Active Directory - ni nini, kwa maneno rahisi tunaweza kusema kwamba teknolojia hii ni sawa na saraka, lakini ni rahisi zaidi. AD huhifadhi taarifa kuhusu mashirika, tovuti, mifumo, watumiaji, hisa na huluki nyingine yoyote ya mtandao.

    Utangulizi wa Dhana za Saraka Inayotumika

    Kwa nini shirika linahitaji Active Directory? Kama ilivyoelezwa katika utangulizi wa Active Directory, huduma huhifadhi taarifa kuhusu vipengele vya mtandao. Mwongozo wa Active Directory kwa Kompyuta unaeleza kuwa hili Huruhusu wateja kupata vitu katika nafasi yao ya majina. Hii t Neno (pia linaitwa mti wa console) linamaanisha eneo ambalo sehemu ya mtandao inaweza kupatikana. Kwa mfano, jedwali la yaliyomo katika kitabu huunda nafasi ya majina ambayo sura zinaweza kugawiwa kwa nambari za ukurasa.

    DNS ni mti wa kiweko ambao husuluhisha majina ya mwenyeji kwa anwani za IP, kama vileVitabu vya simu vinatoa nafasi ya majina ya kusuluhisha majina ya nambari za simu. Je, hii inafanyikaje katika Active Directory? AD hutoa mti wa console kwa ajili ya kutatua majina ya kitu cha mtandao kwa vitu wenyewe nainaweza kutatua anuwai ya huluki, ikijumuisha watumiaji, mifumo na huduma kwenye mtandao.

    Vitu na Sifa

    Kitu chochote ambacho Active Directory hufuata kinachukuliwa kuwa kitu. Tunaweza kusema kwa maneno rahisi kwamba hii ni katika Active Directory ni mtumiaji, mfumo, rasilimali au huduma yoyote. Neno la kawaida la kitu hutumiwa kwa sababu AD ina uwezo wa kufuatilia vipengele vingi, na vitu vingi vinaweza kushiriki sifa zinazofanana. Ina maana gani?

    Sifa huelezea vitu katika Saraka Inayotumika, kwa mfano, vitu vyote vya watumiaji hushiriki sifa za kuhifadhi jina la mtumiaji. Hii inatumika pia kwa maelezo yao. Mifumo pia ni vitu, lakini ina seti tofauti ya sifa zinazojumuisha jina la mwenyeji, anwani ya IP na eneo.

    Seti ya sifa zinazopatikana kwa aina yoyote ya kitu inaitwa schema. Inafanya madarasa ya kitu kuwa tofauti kutoka kwa kila mmoja. Maelezo ya schema kwa kweli yamehifadhiwa katika Saraka Inayotumika. Kwamba tabia hii ya itifaki ya usalama ni muhimu sana inadhihirishwa na ukweli kwamba muundo huruhusu wasimamizi kuongeza sifa kwenye madarasa ya vitu na kuzisambaza kwenye mtandao kwenye pembe zote za kikoa bila kuanzisha upya vidhibiti vyovyote vya kikoa.

    Chombo cha LDAP na jina

    Chombo ni aina maalum ya kitu ambacho hutumiwa kupanga uendeshaji wa huduma. Haiwakilishi huluki halisi kama mtumiaji au mfumo. Badala yake, hutumiwa kujumuisha vipengele vingine. Vitu vya kontena vinaweza kuwekwa ndani ya vyombo vingine.

    Kila kipengele katika AD kina jina. Hizi sio ambazo umezoea, kwa mfano, Ivan au Olga. Haya ni majina mashuhuri ya LDAP. Majina mahususi ya LDAP ni changamano, lakini yanakuruhusu kutambua kwa njia ya kipekee kitu chochote ndani ya saraka, bila kujali aina yake.

    Mti wa masharti na tovuti

    Neno mti hutumika kuelezea seti ya vitu katika Active Directory. Hii ni nini? Kwa maneno rahisi, hii inaweza kuelezewa kwa kutumia ushirika wa mti. Wakati vyombo na vitu vimeunganishwa kwa hierarkia, huwa na kuunda matawi - kwa hivyo jina. Neno linalohusiana ni mti mdogo unaoendelea, ambao unarejelea shina kuu la mti ambalo halijavunjika.

    Kuendeleza sitiari, neno "msitu" linaelezea mkusanyiko ambao si sehemu ya nafasi sawa ya majina, lakini hushiriki schema ya kawaida, usanidi, na saraka ya kimataifa. Vipengee katika miundo hii vinapatikana kwa watumiaji wote ikiwa usalama unaruhusu. Mashirika yaliyogawanywa katika vikoa vingi yanapaswa kuweka miti katika msitu mmoja.

    Tovuti ni eneo la kijiografia lililofafanuliwa katika Saraka Inayotumika. Tovuti zinalingana na subneti za IP na, kwa hivyo, zinaweza kutumiwa na programu kupata seva iliyo karibu kwenye mtandao. Kutumia maelezo ya tovuti kutoka kwa Active Directory kunaweza kupunguza kwa kiasi kikubwa trafiki kwenye WAN.

    Usimamizi wa Saraka Inayotumika

    Kipengele cha kuingia cha Watumiaji wa Saraka Inayotumika. Hiki ndicho chombo kinachofaa zaidi cha kusimamia Active Directory. Inapatikana moja kwa moja kutoka kwa kikundi cha programu cha Zana za Utawala kwenye menyu ya Mwanzo. Inabadilisha na kuboresha Kidhibiti cha Seva na Kidhibiti cha Mtumiaji kutoka Windows NT 4.0.


    Usalama

    Active Directory ina jukumu muhimu katika siku zijazo za mitandao ya Windows. Wasimamizi lazima waweze kulinda saraka zao dhidi ya wavamizi na watumiaji huku wakikabidhi kazi kwa wasimamizi wengine. Haya yote yanawezekana kwa kutumia modeli ya usalama ya Active Directory, ambayo inahusisha orodha ya udhibiti wa ufikiaji (ACL) na kila chombo na sifa ya kitu kwenye saraka.

    Kiwango cha juu cha udhibiti huruhusu msimamizi kuwapa watumiaji binafsi na vikundi viwango tofauti vya ruhusa kwenye vitu na mali zao. Wanaweza hata kuongeza sifa kwa vitu na kuficha sifa hizo kutoka kwa vikundi fulani vya watumiaji. Kwa mfano, unaweza kuweka ACL ili wasimamizi pekee waweze kuona simu za nyumbani za watumiaji wengine.

    Utawala uliokabidhiwa

    Dhana mpya kwa Seva ya Windows 2000 imekabidhiwa usimamizi. Hii hukuruhusu kugawa kazi kwa watumiaji wengine bila kutoa haki za ziada za ufikiaji. Utawala uliokabidhiwa unaweza kukabidhiwa kupitia vitu maalum au subtrees za saraka zilizo karibu. Hii ni mbinu bora zaidi ya kutoa mamlaka kwenye mitandao.

    KATIKA mahali ambapo mtu amepewa haki zote za msimamizi wa kikoa cha kimataifa, mtumiaji anaweza tu kupewa ruhusa ndani ya mti mdogo mahususi. Active Directory hutumia urithi, kwa hivyo vitu vyovyote vipya vinarithi ACL ya kontena lao.

    Neno "uhusiano wa uaminifu"

    Neno "uhusiano wa uaminifu" bado linatumika, lakini lina utendaji tofauti. Hakuna tofauti kati ya amana za njia moja na mbili. Baada ya yote, mahusiano yote ya uaminifu ya Active Directory ni ya pande mbili. Zaidi ya hayo, zote ni za mpito. Kwa hivyo, ikiwa kikoa A kinaamini kikoa B, na B kinaamini C, basi kuna uhusiano wa moja kwa moja wa uaminifu kati ya kikoa A na kikoa C.

    Ukaguzi katika Saraka Inayotumika - ni nini kwa maneno rahisi? Hiki ni kipengele cha usalama kinachokuruhusu kuamua ni nani anayejaribu kufikia vitu na jinsi jaribio limefanikiwa.

    Kutumia DNS (Mfumo wa Jina la Kikoa)

    Mfumo, unaojulikana kama DNS, ni muhimu kwa shirika lolote lililounganishwa kwenye Mtandao. DNS hutoa azimio la jina kati ya majina ya kawaida, kama vile mspress.microsoft.com, na anwani ghafi za IP, ambazo vipengele vya safu ya mtandao hutumia kwa mawasiliano.

    Active Directory hutumia sana teknolojia ya DNS kutafuta vitu. Haya ni mabadiliko makubwa kutoka kwa mifumo ya uendeshaji ya Windows ya awali, ambayo inahitaji majina ya NetBIOS kutatuliwa na anwani za IP na kutegemea WINS au mbinu zingine za utatuzi wa jina la NetBIOS.

    Active Directory hufanya kazi vizuri zaidi inapotumiwa na seva za DNS zinazoendesha Windows 2000. Microsoft imerahisisha wasimamizi kuhamia kwenye seva za DNS za Windows 2000 kwa kutoa wachawi wa uhamiaji ambao humwongoza msimamizi katika mchakato huu.

    Seva zingine za DNS zinaweza kutumika. Hata hivyo, hii itahitaji wasimamizi kutumia muda zaidi kudhibiti hifadhidata za DNS. Je, ni nuances gani? Ukichagua kutotumia seva za DNS zinazotumia Windows 2000, ni lazima uhakikishe kuwa seva zako za DNS zinatii itifaki mpya ya usasishaji inayobadilika ya DNS. Seva zinategemea kusasisha rekodi zao kwa nguvu ili kupata vidhibiti vya kikoa. Sio vizuri. Baada ya yote, eIkiwa usasishaji unaobadilika hautumiki, lazima usasishe hifadhidata wewe mwenyewe.

    Vikoa vya Windows na vikoa vya Mtandao sasa vinaendana kikamilifu. Kwa mfano, jina kama vile mspress.microsoft.com litatambua vidhibiti vya Active Directory vinavyohusika na kikoa, ili mteja yeyote aliye na ufikiaji wa DNS anaweza kupata kidhibiti cha kikoa.Wateja wanaweza kutumia ubora wa DNS kutafuta idadi yoyote ya huduma kwa sababu seva za Active Directory huchapisha orodha ya anwani kwenye DNS kwa kutumia vipengele vipya vya sasisho vinavyobadilika. Data hii inafafanuliwa kama kikoa na kuchapishwa kupitia rekodi za rasilimali za huduma. SRV RR kufuata umbizo huduma.itifaki.kikoa.

    Seva za Saraka Inayotumika hutoa huduma ya LDAP kwa upangishaji wa kitu, na LDAP hutumia TCP kama itifaki ya msingi ya safu ya usafirishaji. Kwa hivyo, mteja anayetafuta seva ya Saraka Inayotumika katika kikoa cha mspress.microsoft.com atatafuta ingizo la DNS la ldap.tcp.mspress.microsoft.com.

    Katalogi ya ulimwengu

    Active Directory hutoa katalogi ya kimataifa (GC) nahutoa chanzo kimoja cha kutafuta kitu chochote kwenye mtandao wa shirika.

    Katalogi ya Ulimwenguni ni huduma katika Seva ya Windows 2000 ambayo inaruhusu watumiaji kupata vitu vyovyote ambavyo vimeshirikiwa. Utendaji huu ni bora zaidi kuliko programu ya Tafuta Kompyuta iliyojumuishwa katika matoleo ya awali ya Windows. Baada ya yote, watumiaji wanaweza kutafuta kitu chochote katika Saraka Inayotumika: seva, vichapishaji, watumiaji na programu.



    Mnamo 2002, nilipokuwa nikitembea kando ya ukanda wa idara ya sayansi ya kompyuta ya chuo kikuu ninachopenda, niliona bango safi kwenye mlango wa ofisi ya "NT Systems". Bango lilionyesha aikoni za akaunti ya mtumiaji zilizowekwa katika vikundi, ambapo mishale ilielekeza kwenye aikoni nyingine. Haya yote yaliunganishwa kimkakati katika muundo fulani, kitu kiliandikwa kuhusu mfumo mmoja wa kuingia, idhini na kadhalika. Kwa kadiri ninavyoelewa sasa, bango hilo lilionyesha usanifu wa Windows NT 4.0 Domains na Windows 2000 Active Directory System. Kuanzia wakati huo kufahamiana kwangu kwa mara ya kwanza na Active Directory kulianza na kumalizika mara moja, kwani wakati huo kulikuwa na kikao kigumu, likizo ya kufurahisha, baada ya hapo rafiki alishiriki diski za FreeBSD 4 na Red Hat Linux, na kwa miaka michache iliyofuata niliingia ulimwenguni. ya mifumo kama ya Unix, lakini sikuwahi kusahau yaliyomo kwenye bango.
    Ilinibidi kurudi kwenye mifumo inayotegemea jukwaa la Windows Server na kuifahamu zaidi nilipohamia kufanya kazi kwa kampuni ambapo usimamizi wa miundombinu yote ya TEHAMA ulitegemea Active Directory. Nakumbuka kwamba msimamizi mkuu wa kampuni hiyo aliendelea kurudia jambo fulani kuhusu Baadhi ya Mazoezi Bora ya Saraka katika kila mkutano. Sasa, baada ya miaka 8 ya mawasiliano ya mara kwa mara na Active Directory, ninaelewa vizuri kabisa jinsi mfumo huu unavyofanya kazi na Kanuni Bora za Active Directory ni zipi.
    Kama labda ulivyokisia, tutazungumza juu ya Saraka Inayotumika.
    Mtu yeyote ambaye ana nia ya mada hii anakaribishwa paka.

    Mapendekezo haya ni halali kwa mifumo ya mteja kuanzia Windows 7 na matoleo mapya zaidi, kwa vikoa na misitu katika kiwango cha Windows Server 2008/R2 na matoleo mapya zaidi.

    Kuweka viwango
    Kupanga kwa Saraka Inayotumika kunapaswa kuanza kwa kukuza viwango vyako vya kutaja vitu na eneo lao kwenye saraka. Ni muhimu kuunda hati ambayo inafafanua viwango vyote muhimu. Kwa kweli, hii ni pendekezo la kawaida kwa wataalamu wa IT. Kanuni "kwanza tunaandika nyaraka, na kisha tunajenga mfumo kwa kutumia nyaraka hizi" ni nzuri sana, lakini mara chache hutekelezwa katika mazoezi kwa sababu nyingi. Miongoni mwa sababu hizi ni uvivu wa kibinadamu au ukosefu wa umahiri unaofaa; sababu zilizobaki zinatokana na zile mbili za kwanza.
    Ninapendekeza kwamba uandike nyaraka kwanza, ufikirie, na kisha tu kuendelea na kusakinisha kidhibiti cha kikoa cha kwanza.
    Kwa mfano, nitatoa sehemu ya hati juu ya viwango vya kutaja vitu vya Active Directory.
    Kutaja vitu.

    • Jina la vikundi vya watumiaji lazima lianze na kiambishi awali GRUS_ (GR - Group, US - Users)
    • Jina la vikundi vya kompyuta lazima lianze na kiambishi awali GRCP_ (GR - Group, CP - Computers)
    • Jina la kaumu ya vikundi vya mamlaka lazima lianze na kiambishi awali GRDL_ (GR - Group, DL - Delegation)
    • Jina la vikundi vya ufikiaji wa rasilimali lazima lianze na kiambishi awali GRRS_ (GR - Group, RS - rasilimali)
    • Jina la vikundi vya sera lazima lianze na viambishi awali GPUS_, GPCP_ (GP - Sera ya Kikundi, Marekani - Watumiaji, CP - Kompyuta)
    • Jina la kompyuta za mteja lazima liwe na barua mbili au tatu kutoka kwa jina la shirika, ikifuatiwa na nambari iliyotengwa na hyphen, kwa mfano, nnt-01.
    • Jina la seva lazima lianze na herufi mbili tu, ikifuatiwa na hyphen na ikifuatiwa na jukumu la seva na nambari yake, kwa mfano, nn-dc01.
    Ninapendekeza kutaja vitu vya Saraka Inayotumika ili sio lazima ujaze sehemu ya Maelezo. Kwa mfano, kutoka kwa jina la kikundi GPCP_Restricted_Groups ni wazi kwamba hili ni kundi la sera ambalo linatumika kwa kompyuta na hufanya kazi ya utaratibu wa Vikundi Vizuizi.
    Njia yako ya kuandika nyaraka inapaswa kuwa ya kina sana, hii itaokoa muda mwingi katika siku zijazo.

    Rahisisha kila kitu iwezekanavyo, jaribu kufikia usawa
    Wakati wa kujenga Directory Active, ni muhimu kufuata kanuni ya kufikia usawa, kuchagua taratibu rahisi na zinazoeleweka.
    Kanuni ya usawa ni kufikia utendaji unaohitajika na usalama kwa unyenyekevu mkubwa wa suluhisho.
    Ni muhimu kujaribu kujenga mfumo ili muundo wake ueleweke kwa msimamizi asiye na ujuzi au hata mtumiaji. Kwa mfano, wakati mmoja kulikuwa na pendekezo la kuunda muundo wa msitu wa vikoa kadhaa. Zaidi ya hayo, ilipendekezwa kupeleka sio tu miundo ya vikoa vingi, lakini pia miundo kutoka kwa misitu kadhaa. Labda pendekezo hili lilikuwepo kwa sababu ya kanuni ya "gawanya na ushinde", au kwa sababu Microsoft iliambia kila mtu kuwa kikoa ndio mpaka wa usalama na kwa kugawa shirika katika vikoa, tutapata miundo tofauti ambayo ni rahisi kudhibiti kibinafsi. Lakini kama mazoezi yameonyesha, ni rahisi kudumisha na kudhibiti mifumo ya kikoa kimoja, ambapo mipaka ya usalama ni vitengo vya shirika (OUs) badala ya vikoa. Kwa hivyo, epuka kuunda miundo tata ya vikoa vingi; ni bora kupanga vitu kwa OU.
    Bila shaka, unapaswa kutenda bila fanaticism - ikiwa haiwezekani kufanya bila nyanja kadhaa, basi unahitaji kuunda nyanja kadhaa, pia na misitu. Jambo kuu ni kwamba unaelewa kile unachofanya na nini kinaweza kusababisha.
    Ni muhimu kuelewa kwamba miundombinu rahisi ya Saraka Inayotumika ni rahisi kusimamia na kufuatilia. Ningesema hata rahisi zaidi, salama zaidi.
    Tumia kanuni ya kurahisisha. Jaribu kufikia usawa.

    Fuata kanuni - "kikundi cha kitu"
    Anza kuunda vitu vya Directory Active kwa kuunda kikundi cha kitu hiki, na upe haki zinazohitajika kwa kikundi. Hebu tuangalie mfano. Unahitaji kuunda akaunti ya msimamizi mkuu. Kwanza unda kikundi cha Wasimamizi Wakuu na kisha uunde akaunti yenyewe na uiongeze kwenye kikundi hiki. Peana haki za msimamizi mkuu kwa kikundi cha Wasimamizi Wakuu, kwa mfano, kwa kuiongeza kwenye kikundi cha Wasimamizi wa Kikoa. Inabadilika kuwa baada ya muda mfanyakazi mwingine anakuja kazini ambaye anahitaji haki sawa, na badala ya kukabidhi haki kwa sehemu tofauti za Saraka ya Active, itawezekana kumuongeza tu kwenye kikundi kinachohitajika ambacho mfumo tayari umefafanua jukumu. na mamlaka muhimu yanakabidhiwa.
    Mfano mmoja zaidi. Unahitaji kukabidhi haki kwa OU iliyo na watumiaji kwenye kikundi cha wasimamizi wa mfumo. Usikabidhi haki moja kwa moja kwa kikundi cha wasimamizi, lakini unda kikundi maalum kama vile GRDL_OUName_Operator_Accounts ambazo unawapa haki. Kisha ongeza tu kikundi cha wasimamizi wanaowajibika kwenye kikundi cha GRDL_OUName_Operator_Accounts. Kwa hakika itatokea kwamba katika siku za usoni utahitaji kukabidhi haki kwa OU hii kwa kundi lingine la wasimamizi. Na katika hali hii, utaongeza tu kikundi cha data cha wasimamizi kwenye kikundi cha kaumu cha GRDL_OUName_Operator_Accounts.
    Ninapendekeza muundo wa kikundi ufuatao.

    • Vikundi vya watumiaji (GRUS_)
    • Vikundi vya Wasimamizi (GRAD_)
    • Vikundi vya uwakilishi (GRDL_)
    • Vikundi vya sera (GRGP_)
    Vikundi vya kompyuta
    • Vikundi vya seva (GRSR_)
    • Vikundi vya kompyuta za mteja (GRCP_)
    Vikundi vya Ufikiaji Rasilimali
    • Vikundi vya Ufikiaji Rasilimali Zilizoshirikiwa (GRRS_)
    • Vikundi vya Ufikiaji wa Printa (GRPR_)
    Katika mfumo uliojengwa kulingana na mapendekezo haya, karibu utawala wote utajumuisha kuongeza vikundi kwa vikundi.
    Dumisha usawa kwa kupunguza idadi ya majukumu ya vikundi na kumbuka kwamba jina la kikundi linapaswa kuelezea kikamilifu jukumu lake.

    Usanifu wa OU.
    Usanifu wa OU lazima kwanza ufikiriwe kupitia kwa mtazamo wa usalama na ugawaji wa haki kwa OU hii kwa wasimamizi wa mfumo. Sipendekezi kupanga usanifu wa OUs kutoka kwa mtazamo wa kuunganisha sera za kikundi kwao (ingawa hii hufanywa mara nyingi). Kwa wengine, pendekezo langu linaweza kuonekana kuwa la kushangaza kidogo, lakini sipendekezi kuunganisha sera za kikundi na OU hata kidogo. Soma zaidi katika sehemu ya Sera za Kikundi.
    Wasimamizi wa OU
    Ninapendekeza kuunda OU tofauti kwa akaunti na vikundi vya usimamizi, ambapo unaweza kuweka akaunti na vikundi vya wasimamizi wote na wahandisi wa usaidizi wa kiufundi. Ufikiaji wa OU hii unapaswa kufikiwa kwa watumiaji wa kawaida tu, na usimamizi wa vitu kutoka kwa OU hii unapaswa kukabidhiwa kwa wasimamizi wakuu pekee.
    Kompyuta za OU
    Kompyuta OUs zimepangwa vyema kulingana na eneo la kijiografia la kompyuta na aina za kompyuta. Sambaza kompyuta kutoka maeneo tofauti ya kijiografia katika OU tofauti, na kwa upande mwingine uzigawanye katika kompyuta za mteja na seva. Seva zinaweza pia kugawanywa katika Exchange, SQL na wengine.

    Watumiaji, haki katika Saraka Inayotumika
    Akaunti za watumiaji wa Active Directory zinapaswa kuzingatiwa maalum. Kama ilivyosemwa katika sehemu kuhusu OU, akaunti za watumiaji zinapaswa kupangwa kulingana na kanuni ya ugawaji wa mamlaka kwa akaunti hizi. Pia ni muhimu kuzingatia kanuni ya upendeleo mdogo - haki chache ambazo mtumiaji anazo katika mfumo, bora zaidi. Ninapendekeza ujumuishe mara moja kiwango cha mapendeleo ya mtumiaji katika jina la akaunti yake. Akaunti ya kazi ya kila siku inapaswa kuwa na jina la mwisho la mtumiaji na waanzilishi katika Kilatini (Kwa mfano, IvanovIV au IVIvanov). Sehemu zinazohitajika ni: Jina la Kwanza, Jina la Kwanza, Jina la Mwisho, Jina la Kuonyesha (kwa Kirusi), barua pepe, simu ya mkononi, Kichwa cha Kazi, Meneja.
    Akaunti za msimamizi lazima ziwe za aina zifuatazo:

    • Na haki za msimamizi kwa kompyuta za watumiaji, lakini sio seva. Lazima iwe na herufi za mwanzo za mmiliki na kiambishi awali cha ndani (Kwa mfano, iivlocal)
    • Na haki za kusimamia seva na Saraka Inayotumika. Lazima iwe na herufi za kwanza pekee (Kwa mfano, iiv).
    Sehemu ya Jina la aina zote mbili za akaunti za kiutawala inapaswa kuanza na herufi I (Kwa mfano, iPetrov P Vasily)
    Acha nieleze kwa nini unapaswa kutenganisha akaunti za usimamizi kuwa wasimamizi wa seva na wasimamizi wa kompyuta za mteja. Hii lazima ifanyike kwa sababu za usalama. Wasimamizi wa kompyuta za mteja watakuwa na haki ya kusakinisha programu kwenye kompyuta za mteja. Haiwezekani kamwe kusema kwa uhakika ni programu gani itasakinishwa na kwa nini. Kwa hivyo, si salama kuendesha usakinishaji wa programu yenye haki za msimamizi wa kikoa; kikoa kizima kinaweza kuathiriwa. Ni lazima usimamie kompyuta za mteja zilizo na haki za msimamizi wa ndani wa kompyuta hiyo pekee. Hii itafanya kutowezekana kwa mashambulizi kadhaa kwenye akaunti za wasimamizi wa kikoa, kama vile "Pitisha Hash". Zaidi ya hayo, wasimamizi wa kompyuta za mteja wanahitaji kufunga miunganisho kupitia Huduma za Kituo na miunganisho ya mtandao kwenye kompyuta. Usaidizi wa kiufundi na kompyuta za utawala zinapaswa kuwekwa kwenye VLAN tofauti ili kupunguza ufikiaji wao kutoka kwa mtandao wa kompyuta za mteja.
    Kupeana haki za msimamizi kwa watumiaji
    Ikiwa unahitaji kutoa haki za msimamizi kwa mtumiaji, usiwahi kuweka akaunti yake kwa matumizi ya kila siku katika kikundi cha wasimamizi wa ndani wa kompyuta. Akaunti ya kazi ya kila siku inapaswa kuwa na haki chache kila wakati. Mfungulie akaunti tofauti ya usimamizi kama vile jina na uongeze akaunti hii kwa kikundi cha wasimamizi wa eneo lako kwa kutumia sera, ukiwekea kikomo matumizi yake kwenye kompyuta ya mtumiaji kwa kutumia ulengaji wa kiwango cha bidhaa. Mtumiaji ataweza kutumia akaunti hii kwa kutumia utaratibu wa Run AS.
    Sera za Nenosiri
    Unda sera tofauti za nenosiri kwa watumiaji na wasimamizi kwa kutumia sera ya nenosiri iliyoboreshwa. Inashauriwa kuwa nywila ya mtumiaji iwe na angalau herufi 8 na inabadilishwa angalau mara moja kwa robo. Inashauriwa kwa wasimamizi kubadilisha nenosiri kila baada ya miezi miwili, na inapaswa kuwa angalau wahusika 10-15 na kukidhi mahitaji ya utata.

    Muundo wa kikoa na vikundi vya ndani. Utaratibu wa Vikundi Vilivyozuiliwa
    Muundo wa vikundi vya kikoa na vya karibu kwenye kompyuta za kikoa unapaswa kudhibitiwa kiotomatiki tu, kwa kutumia utaratibu wa Vikundi Vilivyozuiliwa. Nitaelezea kwa nini inahitaji kufanywa kwa njia hii tu kwa kutumia mfano ufuatao. Kwa kawaida, baada ya kikoa cha Saraka Inayotumika kuvunjwa, wasimamizi wanajiongeza kwenye vikundi vya vikoa kama vile wasimamizi wa Kikoa, wasimamizi wa Biashara, kuongeza wahandisi wa usaidizi wa kiufundi kwenye vikundi vinavyohitajika, na pia kusambaza watumiaji wengine katika vikundi. Katika mchakato wa kusimamia kikoa hiki, mchakato wa kutoa haki unarudiwa mara nyingi na itakuwa ngumu sana kukumbuka kuwa jana uliongeza mhasibu Nina Petrovna kwa kikundi cha wasimamizi wa 1C na kwamba leo unahitaji kumwondoa kwenye kikundi hiki. Hali itakuwa mbaya zaidi ikiwa kampuni ina wasimamizi kadhaa na kila mmoja wao mara kwa mara anatoa haki kwa watumiaji kwa mtindo sawa. Katika mwaka mmoja tu, itakuwa vigumu kujua ni haki gani zimepewa nani. Kwa hiyo, muundo wa vikundi unapaswa kudhibitiwa tu na sera za kikundi, ambazo zitaweka kila kitu kwa utaratibu na kila maombi.
    Muundo wa vikundi vilivyojengwa
    Inafaa kusema kuwa vikundi vilivyojumuishwa kama vile Viendeshaji Akaunti, waendeshaji Hifadhi nakala, Viendeshaji vya Crypt, Wageni, Viendeshaji vya Kuchapisha, Viendeshaji Seva vinapaswa kuwa tupu, katika kikoa na kwenye kompyuta za mteja. Makundi haya yanahitajika ili kuhakikisha upatanifu wa nyuma na mifumo ya zamani, na watumiaji wa vikundi hivi wanapewa haki nyingi katika mfumo, na mashambulizi ya kuongezeka kwa marupurupu yanawezekana.

    Akaunti za Msimamizi wa Mitaa
    Kwa kutumia utaratibu wa Vikundi vilivyo na Mipaka, lazima uzuie akaunti za msimamizi wa ndani kwenye kompyuta za karibu nawe, uzuie akaunti za wageni, na ufute kikundi cha wasimamizi wa ndani kwenye kompyuta za karibu nawe. Usiwahi kutumia sera za kikundi kuweka manenosiri kwa akaunti za msimamizi wa karibu. Utaratibu huu si salama; nenosiri linaweza kutolewa moja kwa moja kutoka kwa sera. Lakini, ukiamua kutozuia akaunti za msimamizi wa eneo lako, basi tumia utaratibu wa LAPS kuweka nywila kwa usahihi na kuzizungusha. Kwa bahati mbaya, kusanidi LAPS sio otomatiki kabisa, na kwa hivyo utahitaji kuongeza mwenyewe sifa kwenye schema ya Active Directory, kuwapa haki, kugawa vikundi, na kadhalika. Kwa hiyo, ni rahisi kuzuia akaunti za msimamizi wa ndani.
    Akaunti za huduma.
    Ili kuendesha huduma, tumia akaunti za huduma na utaratibu wa gMSA (unapatikana kwenye Windows 2012 na mifumo ya juu zaidi)

    Sera za Kikundi
    Hati sera kabla ya kuunda/kurekebisha.
    Unapounda sera, tumia kanuni ya Policy - Group. Hiyo ni, kabla ya kuunda sera, kwanza unda kikundi cha sera hii, ondoa kikundi cha watumiaji Walioidhinishwa kutoka kwa upeo wa sera na uongeze kikundi kilichoundwa. Unganisha sera na OU, lakini kwa mzizi wa kikoa, na udhibiti upeo wa matumizi yake kwa kuongeza vitu kwenye kikundi cha sera. Ninachukulia utaratibu huu kuwa rahisi na unaoeleweka zaidi kuliko kuunganisha sera na OU. (Hivi ndivyo nilivyoandika juu ya sehemu kuhusu Usanifu wa OU).
    Rekebisha upeo wa sera kila wakati. Ikiwa umeunda sera ya watumiaji pekee, basi zima muundo wa kompyuta na kinyume chake, zima muundo wa mtumiaji ikiwa umeunda sera ya kompyuta pekee. Shukrani kwa mipangilio hii, sera zitatumika kwa haraka zaidi.
    Sanidi hifadhi rudufu za sera za kila siku kwa kutumia Power Shell ili hitilafu za usanidi zikitokea, unaweza kurejesha mipangilio kwenye mipangilio yake ya awali wakati wowote.
    Hifadhi ya Kati
    Kuanzia na Windows 2008, iliwezekana kuhifadhi violezo vya Sera ya Kikundi cha ADMX katika eneo kuu la kuhifadhi, SYSVOL. Hapo awali, kwa chaguo-msingi, violezo vyote vya sera vilihifadhiwa ndani kwa wateja. Ili kuweka violezo vya ADMX kwenye hifadhi kuu, unahitaji kunakili yaliyomo kwenye folda ya %SystemDrive%\Windows\PolicyDefinitions pamoja na folda ndogo kutoka kwa mifumo ya mteja (Windows 7/8/8.1) hadi saraka ya kidhibiti cha kikoa %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions na maudhui yaliyounganishwa, lakini bila uingizwaji. Ifuatayo, unapaswa kufanya nakala sawa kutoka kwa mifumo ya seva, kuanzia na ya zamani zaidi. Mwishowe, wakati wa kunakili folda na faili kutoka kwa toleo la hivi karibuni la seva, fanya nakala ya UNGANISHA NA UBADILISHE.

    Kunakili violezo vya ADMX

    Zaidi ya hayo, violezo vya ADMX vya bidhaa zozote za programu, kwa mfano, Ofisi ya Microsoft, bidhaa za Adobe, bidhaa za Google na nyinginezo, zinaweza kuwekwa kwenye hifadhi kuu. Nenda kwenye tovuti ya muuzaji programu, pakua kiolezo cha Sera ya Kikundi cha ADMX na ukifungue kwenye %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions folder kwenye kidhibiti chochote cha kikoa. Sasa unaweza kudhibiti bidhaa ya programu unayohitaji kupitia sera za kikundi.
    Vichungi vya WMI
    Vichungi vya WMI si vya haraka sana, kwa hivyo ni vyema kutumia utaratibu wa kulenga kiwango cha bidhaa. Lakini ikiwa ulengaji wa kiwango cha bidhaa hauwezi kutumika, na unaamua kutumia WMI, basi ninapendekeza uunda vichungi kadhaa vya kawaida kwako mara moja: kichungi cha "Mifumo ya uendeshaji ya Mteja pekee", "Mifumo ya uendeshaji ya seva pekee", "Windows 7". ” vichujio, vichujio vya “Windows” 8", "Windows 8.1", "Windows 10". Ikiwa una seti zilizotengenezwa tayari za vichungi vya WMI, basi itakuwa rahisi kutumia kichujio unachotaka kwa sera inayotaka.

    Kukagua Matukio ya Saraka Inayotumika
    Hakikisha kuwasha ukaguzi wa matukio kwenye vidhibiti vya kikoa na seva zingine. Ninapendekeza kuwezesha ukaguzi wa vitu vifuatavyo:

    • Ukaguzi wa Usimamizi wa Akaunti ya Kompyuta - Mafanikio, Kushindwa
    • Kagua Matukio Mengine ya Usimamizi wa Akaunti - Mafanikio, Kushindwa
    • Ukaguzi wa Usimamizi wa Kikundi cha Usalama - Mafanikio, Kushindwa
    • Kagua Usimamizi wa Akaunti ya Mtumiaji - Mafanikio, Kushindwa
    • Kagua Huduma ya Uthibitishaji wa Kerberos - Imeshindwa
    • Kagua Matukio ya Login ya Akaunti Nyingine - Kushindwa
    • Mabadiliko ya Sera ya Ukaguzi - Mafanikio, Kushindwa
    Ukaguzi lazima usanidiwe katika sehemu Usanidi wa Sera ya Ukaguzi wa Hali ya Juu na hakikisha kuwasha mpangilio katika sehemu hiyo Chaguzi za Sera/Usalama za Mitaa - Lazimisha mipangilio ya kitengo cha sera ya ukaguzi (Windows Vista au matoleo mapya zaidi) ili kubatilisha mipangilio ya kategoria ya sera ya ukaguzi., ambayo itabatilisha mipangilio ya kiwango cha juu na kutumia yale ya juu.

    Mipangilio ya ukaguzi wa hali ya juu

    Sitakaa kwa undani juu ya mipangilio ya ukaguzi, kwa kuwa kuna idadi ya kutosha ya vifungu kwenye mtandao vinavyotolewa kwa mada hii. Nitaongeza tu kwamba pamoja na kuwezesha ukaguzi, unapaswa kuweka arifa za barua pepe kuhusu matukio muhimu ya usalama. Inafaa pia kuzingatia kuwa katika mifumo iliyo na idadi kubwa ya matukio, inafaa kujitolea kwa seva tofauti kwa kukusanya na kuchambua faili za logi.

    Maandishi ya utawala na kusafisha
    Vitendo vyote vinavyofanana na vinavyorudiwa mara kwa mara lazima vifanywe kwa kutumia hati za usimamizi. Vitendo hivi ni pamoja na: kuunda akaunti za watumiaji, kuunda akaunti za msimamizi, kuunda vikundi, kuunda OU, na kadhalika. Kuunda vipengee kwa kutumia hati hukuruhusu kuheshimu mantiki ya jina la Saraka Inayotumika kwa kuunda ukaguzi wa sintaksia hadi kwenye hati.
    Inafaa pia kuandika maandishi ya kusafisha ambayo yatafuatilia kiotomati muundo wa vikundi, kutambua watumiaji na kompyuta ambazo hazijaunganishwa kwa kikoa kwa muda mrefu, kutambua ukiukwaji wa viwango vingine, na kadhalika.
    Sijaona kama pendekezo dhahiri rasmi la kutumia hati za msimamizi kufuatilia utiifu na kufanya shughuli za chinichini. Lakini mimi mwenyewe napendelea ukaguzi na taratibu katika hali ya kiotomatiki kwa kutumia maandishi, kwani hii inaokoa muda mwingi na kuondoa idadi kubwa ya makosa na, kwa kweli, hapa ndipo njia yangu ya Unix ya usimamizi inapoanza, wakati ni rahisi kuandika. amri kadhaa kuliko kubofya kwenye windows.

    Utawala wa mwongozo
    Wewe na wenzako mtahitaji kufanya shughuli za usimamizi kwa mikono. Kwa madhumuni haya, ninapendekeza kutumia mmc console na snap-ins imeongezwa kwake.
    Kama itakavyosemwa baadaye, vidhibiti vya kikoa chako vinapaswa kufanya kazi katika hali ya Msingi ya Seva, yaani, unapaswa kudhibiti mazingira yote ya AD pekee kutoka kwa kompyuta yako kwa kutumia consoles. Ili kusimamia Saraka Inayotumika, unahitaji kusakinisha Zana za Utawala wa Seva ya Mbali kwenye kompyuta yako. Dashibodi zinapaswa kuendeshwa kwenye kompyuta yako kama mtumiaji aliye na haki za msimamizi wa Saraka Inayotumika na udhibiti uliokabidhiwa.
    Sanaa ya kusimamia Active Directory kwa kutumia consoles inahitaji makala tofauti, na labda hata video tofauti ya mafunzo, kwa hiyo hapa ninazungumzia tu kanuni yenyewe.

    Vidhibiti vya kikoa
    Katika kikoa chochote, lazima kuwe na angalau vidhibiti viwili. Vidhibiti vya kikoa vinapaswa kuwa na huduma chache iwezekanavyo. Haupaswi kugeuza kidhibiti cha kikoa kuwa seva ya faili au, mbali na Mungu, kuisasisha hadi jukumu la seva ya wastaafu. Tumia mifumo ya uendeshaji kwenye vidhibiti vya kikoa katika hali ya Seva Core, ukiondoa kabisa usaidizi wa WoW64; hii itapunguza kwa kiasi kikubwa idadi ya masasisho yanayohitajika na kuongeza usalama wao.
    Microsoft hapo awali ilikatisha tamaa vidhibiti vya uboreshaji wa kikoa kutokana na uwezekano wa mizozo isiyoweza kutatulika ya urudufishaji wakati wa kurejesha kutoka kwa vijipicha. Kunaweza kuwa na sababu zingine, siwezi kusema kwa uhakika. Sasa hypervisors wamejifunza kuwaambia watawala kuwarejesha kutoka kwa snapshots, na tatizo hili limetoweka. Nimekuwa nikiboresha vidhibiti kila wakati, bila kuchukua muhtasari wowote, kwa sababu sielewi kwa nini kunaweza kuwa na hitaji la kuchukua vijipicha kama hivyo kwenye vidhibiti vya kikoa. Kwa maoni yangu, ni rahisi kutengeneza nakala ya chelezo ya kidhibiti cha kikoa kwa kutumia njia za kawaida. Kwa hivyo, ninapendekeza uboreshaji wa vidhibiti vyote vya kikoa ambavyo vinawezekana. Usanidi huu utakuwa rahisi zaidi. Unapoboresha vidhibiti vya kikoa, viweke kwenye wapangishaji tofauti halisi.
    Ikiwa unahitaji kuweka kidhibiti cha kikoa katika mazingira ya kimwili yasiyolindwa au katika ofisi ya tawi ya shirika lako, basi tumia RODC kwa madhumuni haya.

    Majukumu ya FSMO, vidhibiti vya msingi na vya sekondari
    Majukumu ya kidhibiti cha kikoa cha FSMO yanaendelea kuleta hofu katika akili za wasimamizi wapya. Mara nyingi, wanaoanza kujifunza Directory Active kutoka kwa nyaraka zilizopitwa na wakati au kusikiliza hadithi kutoka kwa wasimamizi wengine ambao walisoma kitu mahali fulani mara moja.
    Kwa majukumu yote matano + 1, yafuatayo yanapaswa kusemwa kwa ufupi. Kuanzia na Windows Server 2008, hakuna tena vidhibiti vya msingi na vya upili. Majukumu yote matano ya kidhibiti cha kikoa yanaweza kubebeka, lakini hayawezi kukaa kwa zaidi ya kidhibiti kimoja kwa wakati mmoja. Ikiwa tunachukua mmoja wa watawala, ambayo, kwa mfano, alikuwa mmiliki wa majukumu 4 na kuifuta, basi tunaweza kuhamisha kwa urahisi majukumu haya yote kwa watawala wengine, na hakuna kitu kibaya kitatokea kwenye kikoa, hakuna kitu kitakachovunja. Hili linawezekana kwa sababu mmiliki huhifadhi taarifa zote kuhusu kazi inayohusiana na jukumu fulani moja kwa moja kwenye Saraka Inayotumika. Na ikiwa tunahamisha jukumu kwa mtawala mwingine, basi kwanza kabisa hugeuka kwenye taarifa iliyohifadhiwa kwenye Active Directory na huanza kufanya huduma. Kikoa kinaweza kuwepo kwa muda mrefu bila wamiliki wa majukumu. "Jukumu" pekee ambalo linapaswa kuwa katika Orodha ya Active daima, na bila ambayo kila kitu kitakuwa mbaya sana, ni jukumu la orodha ya kimataifa (GC), ambayo inaweza kubebwa na watawala wote kwenye kikoa. Ninapendekeza kukabidhi jukumu la GC kwa kila mtawala kwenye kikoa, kadiri kuna zaidi, bora zaidi. Bila shaka, unaweza kupata kesi ambapo haifai kusakinisha jukumu la GC kwenye mtawala wa kikoa. Naam, ikiwa huhitaji, basi usifanye. Fuata mapendekezo bila ushabiki.

    Huduma ya DNS
    Huduma ya DNS ni muhimu kwa uendeshaji wa Active Directory na lazima ifanye kazi bila kukatizwa. Ni bora kusakinisha huduma ya DNS kwenye kila kidhibiti cha kikoa na kuhifadhi kanda za DNS kwenye Active Directory yenyewe. Ikiwa utatumia Active Directory kuhifadhi kanda za DNS, basi unapaswa kusanidi sifa za muunganisho wa TCP/IP kwenye vidhibiti vya kikoa ili kila kidhibiti kiwe na seva nyingine yoyote ya DNS kama seva ya msingi ya DNS, na unaweza kuweka ya pili kushughulikia 127.0. 0.1. Mpangilio huu lazima ufanyike kwa sababu ili huduma ya Active Directory ianze kawaida, DNS inayofanya kazi inahitajika, na ili DNS ianze, huduma ya Active Directory lazima iendeshe, kwani eneo la DNS yenyewe liko ndani yake.
    Hakikisha umeweka maeneo ya kuangalia nyuma kwa mitandao yako yote na uwashe usasishaji salama wa kiotomatiki wa rekodi za PTR.
    Ninapendekeza kwa kuongeza kuwezesha usafishaji wa kiotomatiki wa ukanda wa rekodi za zamani za DNS (utafutaji wa dns).
    Ninapendekeza kubainisha seva za Yandex zilizolindwa kama DNS-Forwarders ikiwa hakuna zingine zenye kasi zaidi katika eneo lako la kijiografia.

    Maeneo na urudufu
    Wasimamizi wengi wamezoea kufikiria kuwa tovuti ni kundi la kijiografia la kompyuta. Kwa mfano, tovuti ya Moscow, tovuti ya St. Wazo hili liliibuka kutokana na ukweli kwamba mgawanyiko wa awali wa Saraka ya Amilifu katika tovuti ulifanyika kwa madhumuni ya kusawazisha na kutenganisha trafiki ya mtandao wa replication. Watawala wa kikoa huko Moscow hawana haja ya kujua kwamba akaunti kumi za kompyuta sasa zimeundwa huko St. Na kwa hiyo, habari hiyo kuhusu mabadiliko inaweza kupitishwa mara moja kwa saa kulingana na ratiba. Au hata kuiga mabadiliko mara moja kwa siku na usiku tu, ili kuokoa kipimo data.
    Ningesema hivi kuhusu tovuti: tovuti ni makundi yenye mantiki ya kompyuta. Kompyuta ambazo zimeunganishwa kwa kila mmoja kwa uunganisho mzuri wa mtandao. Na tovuti zenyewe zimeunganishwa kwa kila mmoja kwa uunganisho wa chini wa bandwidth, ambayo ni rarity siku hizi. Kwa hiyo, ninagawanya Active Directory katika tovuti ili si kusawazisha trafiki ya kurudia, lakini kusawazisha mzigo wa mtandao kwa ujumla na kwa usindikaji wa haraka wa maombi ya mteja kutoka kwa kompyuta za tovuti. Acha nieleze kwa mfano. Kuna mtandao wa ndani wa megabit 100 wa shirika, ambao hutumiwa na watawala wawili wa kikoa, na kuna wingu ambapo seva za maombi za shirika hili ziko na watawala wengine wawili wa wingu. Nitagawanya mtandao kama huo katika tovuti mbili ili watawala kwenye mchakato wa mtandao wa ndani waombe kutoka kwa wateja kutoka kwa mtandao wa ndani, na watawala katika mchakato wa wingu waombe kutoka kwa seva za programu. Zaidi ya hayo, hii itakuruhusu kutenganisha maombi kwa huduma za DFS na Exchange. Na kwa kuwa sasa sioni chaneli ya Mtandaoni chini ya megabiti 10 kwa sekunde, nitawasha Urudiaji Kulingana na Arifa, wakati huu urudiaji wa data unatokea mara tu mabadiliko yoyote yanapotokea kwenye Saraka Inayotumika.

    Hitimisho
    Asubuhi ya leo nilikuwa nikifikiria kwa nini ubinafsi wa kibinadamu haukaribishwi katika jamii na mahali fulani kwa kiwango cha kina cha mtazamo husababisha hisia mbaya sana. Na jibu pekee lililokuja akilini mwangu lilikuwa kwamba jamii ya wanadamu haingeweza kuishi kwenye sayari hii ikiwa haingejifunza kugawana rasilimali za mwili na kiakili. Ndiyo sababu ninashiriki nakala hii na wewe na ninatumahi kuwa mapendekezo yangu yatakusaidia kuboresha mifumo yako na utatumia wakati mdogo sana kutatua shida. Yote hii itasababisha kufungia wakati na nguvu zaidi kwa ubunifu. Inapendeza zaidi kuishi katika ulimwengu wa watu wabunifu na huru.
    Itakuwa vyema ikiwa, ikiwezekana, utashiriki ujuzi wako na mazoea ya kujenga Active Directory katika maoni.
    Amani na wema kwa kila mtu!

    Unaweza kusaidia na kuhamisha baadhi ya fedha kwa ajili ya maendeleo ya tovuti



    MAKALA INAYOHUSIANA