Saraka Inayotumika(AD) ni huduma iliyoundwa kwa ajili ya mfumo wa uendeshaji Seva ya Microsoft. Hapo awali iliundwa kama algorithm nyepesi ya kupata saraka za watumiaji. Kutoka kwa toleo Seva ya Windows 2008: ushirikiano na huduma za idhini ilionekana.

Huwezesha kutii sera ya kikundi inayotumia aina sawa ya mipangilio na programu kwenye Kompyuta zote zinazodhibitiwa kwa kutumia Kidhibiti cha Usanidi cha Kituo cha Mfumo.

Kama kwa maneno rahisi kwa wanaoanza, hili ni jukumu la seva ambalo hukuruhusu kudhibiti ufikiaji na ruhusa zote katika sehemu moja mtandao wa ndani

Kazi na madhumuni

Microsoft Active Directory - (kinachojulikana saraka) kifurushi cha zana ambazo hukuruhusu kudhibiti watumiaji na data ya mtandao. lengo la msingi uumbaji - kuwezesha kazi ya wasimamizi wa mfumo katika mitandao mikubwa.

Saraka zina habari mbalimbali zinazohusiana na watumiaji, vikundi, vifaa vya mtandao, rasilimali za faili- kwa neno, vitu. Kwa mfano, sifa za mtumiaji ambazo zimehifadhiwa kwenye saraka zinapaswa kuwa zifuatazo: anwani, kuingia, nenosiri, nambari ya simu ya mkononi, nk. Saraka inatumika kama pointi za uthibitishaji, ambayo unaweza kupata habari muhimu kuhusu mtumiaji.

Dhana za msingi zilizokutana wakati wa kazi

Kuna idadi ya dhana maalum ambayo hutumiwa wakati wa kufanya kazi na AD:

1. Seva ni kompyuta ambayo ina data zote.
2. Kidhibiti ni seva iliyo na jukumu la AD ambayo huchakata maombi kutoka kwa watu wanaotumia kikoa.
3. Kikoa cha AD ni mkusanyiko wa vifaa vilivyounganishwa chini ya jina moja la kipekee, kwa wakati mmoja kwa kutumia hifadhidata ya saraka ya kawaida.
4. Hifadhi ya data ni sehemu ya saraka inayohusika na kuhifadhi na kurejesha data kutoka kwa kidhibiti chochote cha kikoa.

Jinsi saraka amilifu zinavyofanya kazi

Kanuni kuu za uendeshaji ni:

• Uidhinishaji, ambayo unaweza kutumia Kompyuta yako kwenye mtandao kwa kuingiza nenosiri lako la kibinafsi. Katika kesi hii, habari zote kutoka kwa akaunti huhamishwa.
• Usalama. Active Directory ina vipengele vya utambuzi wa mtumiaji. Kwa kitu chochote cha mtandao, unaweza kwa mbali, kutoka kwa kifaa kimoja, kuweka haki muhimu, ambayo itategemea makundi na watumiaji maalum.
• Utawala wa mtandao kutoka hatua moja. Wakati wa kufanya kazi na Orodha ya Active, msimamizi wa mfumo hawana haja ya kurekebisha tena Kompyuta zote ikiwa ni muhimu kubadilisha haki za kufikia, kwa mfano, kwa printer. Mabadiliko yanafanywa kwa mbali na kimataifa.
• Imejaa Ujumuishaji wa DNS. Kwa msaada wake, hakuna machafuko katika AD; vifaa vyote vimeteuliwa sawa na kwenye Wavuti ya Ulimwenguni Pote.
• Kiwango kikubwa. Seti ya seva inaweza kudhibitiwa na Saraka Amilifu moja.
• Tafuta zinazozalishwa kulingana na vigezo mbalimbali, kwa mfano, jina la kompyuta, kuingia.

Vitu na Sifa

Kitu ni seti ya sifa, iliyounganishwa chini ya jina lake, inayowakilisha rasilimali ya mtandao.

Sifa - sifa za kitu kwenye orodha. Kwa mfano, hizi ni pamoja na jina kamili la mtumiaji na kuingia. Lakini sifa za akaunti ya PC zinaweza kuwa jina la kompyuta hii na maelezo yake.

"Mfanyakazi" ni kitu ambacho kina sifa "Jina", "Nafasi" na "TabN".

Chombo cha LDAP na jina

Chombo ni aina ya kitu ambacho kinaweza inajumuisha vitu vingine. Kikoa, kwa mfano, kinaweza kujumuisha vitu vya akaunti.

Kusudi lao kuu ni kuandaa vitu kwa aina za ishara. Mara nyingi, vyombo hutumiwa kupanga vitu vilivyo na sifa sawa.

Takriban kontena zote zinaonyesha mkusanyiko wa vitu, na rasilimali zimepangwa kwa kitu cha kipekee cha Saraka Inayotumika. Moja ya aina kuu za vyombo vya AD ni moduli ya shirika, au OU (kitengo cha shirika). Vitu vilivyowekwa kwenye chombo hiki ni vya kikoa ambamo vimeundwa.

Itifaki ya Ufikiaji wa Saraka Nyepesi (LDAP) ndiyo kanuni ya msingi ya miunganisho ya TCP/IP. Imeundwa ili kupunguza kiasi cha nuance wakati wa kupata huduma za saraka. LDAP pia inafafanua vitendo vinavyotumiwa kuuliza na kuhariri data ya saraka.

Mti na tovuti

Mti wa kikoa ni muundo, mkusanyiko wa vikoa ambavyo vina mpangilio wa kawaida na usanidi unaounda nafasi ya pamoja majina na wamefungwa na uhusiano wa kuaminiana.

Msitu wa kikoa ni mkusanyiko wa miti iliyounganishwa kwa kila mmoja.

Tovuti - mkusanyiko wa vifaa katika subnets za IP, zinazowakilisha mfano wa kimwili mtandao, upangaji ambao unafanywa bila kujali uwakilishi wa kimantiki wa ujenzi wake. Active Directory ina uwezo wa kuunda n-idadi ya tovuti au kuchanganya n-idadi ya vikoa chini ya tovuti moja.

Kusakinisha na kusanidi Saraka Inayotumika

Sasa hebu tuende moja kwa moja ili kusanidi Active Directory kuwasha Mfano wa Windows Seva 2008 (utaratibu ni sawa na matoleo mengine):

Bonyeza kitufe cha "Sawa". Inafaa kuzingatia hilo maadili sawa haihitajiki. Unaweza kutumia anwani ya IP na DNS kutoka kwa mtandao wako.

• Ifuatayo, unahitaji kwenda kwenye menyu ya "Anza", chagua "Utawala" na "".
  
• Nenda kwenye kipengee cha "Majukumu", chagua " Ongeza majukumu”.
  
• Chagua "Active Directory Domain Services", bofya "Inayofuata" mara mbili, na kisha "Sakinisha".
  
• Subiri usakinishaji ukamilike.
  
• Fungua menyu ya "Anza" - " Tekeleza" Ingiza dcpromo.exe kwenye uwanja.
  
• Bonyeza "Ijayo".
  
• Chagua " Unda kikoa kipya katika msitu mpya” na ubofye “Ifuatayo” tena.
  
• Katika dirisha linalofuata, ingiza jina na bonyeza "Next".
  
• Chagua Hali ya Utangamano(Windows Server 2008).
  
• Katika dirisha linalofuata, acha kila kitu kama chaguo-msingi.
  
• Itaanza dirisha la usanidiDNS. Kwa kuwa haikuwa imetumika kwenye seva hapo awali, hakuna kaumu yoyote iliyoundwa.
  
• Chagua saraka ya usakinishaji.
  
• Baada ya hatua hii unahitaji kuweka nenosiri la utawala.

Ili kuwa salama, nenosiri lazima likidhi mahitaji yafuatayo:

Baada ya AD kukamilisha mchakato wa usanidi wa sehemu, lazima uwashe seva upya.

Usanidi umekamilika, snap-in na jukumu imewekwa kwenye mfumo. Unaweza kusakinisha AD kwenye familia ya Windows Server pekee; matoleo ya kawaida, kwa mfano 7 au 10, yanaweza tu kukuruhusu kusakinisha kiweko cha usimamizi.

Utawala katika Saraka Amilifu

Kwa chaguo-msingi, katika Seva ya Windows, koni ya Watumiaji wa Saraka ya Active na Kompyuta hufanya kazi na kikoa ambacho kompyuta ni ya. Unaweza kufikia vipengee vya kompyuta na mtumiaji katika kikoa hiki kupitia mti wa kiweko au kuunganisha kwa kidhibiti kingine.

Zana katika console sawa hukuruhusu kutazama Chaguzi za ziada vitu na utafute, unaweza kuunda watumiaji wapya, vikundi na kubadilisha ruhusa.

Kwa njia, kuna Aina 2 za vikundi katika Saraka ya Mali - usalama na usambazaji. Vikundi vya usalama vina jukumu la kuweka mipaka ya haki za ufikiaji kwa vitu; vinaweza kutumika kama vikundi vya usambazaji.

Vikundi vya usambazaji haviwezi kutofautisha haki na hutumiwa kimsingi kwa kusambaza ujumbe kwenye mtandao.

Ujumbe wa AD ni nini

Ujumbe wenyewe ndio uhamisho wa sehemu ya ruhusa na udhibiti kutoka kwa mzazi hadi kwa mtu mwingine anayewajibika.

Inajulikana kuwa kila shirika lina wasimamizi kadhaa wa mfumo katika makao makuu yake. Kazi tofauti zinapaswa kupewa mabega tofauti. Ili kuomba mabadiliko, lazima uwe na haki na ruhusa, ambazo zimegawanywa katika kiwango na maalum. Ruhusa mahususi hutumika kwa kitu mahususi, huku ruhusa za kawaida ni seti ya ruhusa zilizopo zinazofanya vipengele mahususi vipatikane au visipatikane.

Kuanzisha uaminifu

Kuna aina mbili za mahusiano ya uaminifu katika AD: "unidirectional" na "bidirectional". Katika kesi ya kwanza, kikoa kimoja kinaamini kingine, lakini sio kinyume chake; ipasavyo, ya kwanza ina ufikiaji wa rasilimali ya pili, lakini ya pili haina ufikiaji. Katika aina ya pili, uaminifu ni "kuheshimiana". Pia kuna uhusiano "unaotoka" na "unaoingia". Katika zinazotoka, kikoa cha kwanza huamini cha pili, na hivyo kuruhusu watumiaji wa pili kutumia rasilimali za kwanza.

Wakati wa ufungaji, taratibu zifuatazo zinapaswa kufuatwa:

• Angalia miunganisho ya mtandao kati ya vidhibiti.
• Angalia mipangilio.
• Tune azimio la jina kwa vikoa vya nje.
• Unda muunganisho kutoka kwa kikoa kinachoaminika.
• Unda muunganisho kutoka kwa upande wa kidhibiti ambacho uaminifu unashughulikiwa.
• Angalia uhusiano wa njia moja iliyoundwa.
• Kama hitaji linatokea katika kuanzisha mahusiano ya nchi mbili - kufanya ufungaji.

Katalogi ya ulimwengu

Hiki ni kidhibiti cha kikoa ambacho huhifadhi nakala za vitu vyote msituni. Inawapa watumiaji na programu uwezo wa kutafuta vitu katika kikoa chochote cha msitu wa sasa kwa kutumia zana za ugunduzi wa sifa imejumuishwa katika orodha ya kimataifa.

Katalogi ya kimataifa (GC) inajumuisha seti ndogo ya sifa kwa kila kitu cha msitu katika kila kikoa. Inapokea data kutoka sehemu zote za saraka za kikoa msituni, na inakiliwa kwa kutumia mchakato wa urudufishaji wa Saraka Inayotumika.

Ratiba huamua ikiwa sifa itanakiliwa. Kuna uwezekano sanidi vipengele vya ziada, ambayo itaundwa upya katika katalogi ya kimataifa kwa kutumia "Active Directory Schema". Ili kuongeza sifa kwenye katalogi ya kimataifa, unahitaji kuchagua sifa ya urudufishaji na utumie chaguo la "Nakili". Hii itaunda uigaji wa sifa kwenye katalogi ya kimataifa. Thamani ya kigezo cha sifa isMemberOfPartialAttributeSet itakuwa kweli.

Ili kujua eneo orodha ya kimataifa, unahitaji kuingia kwenye mstari wa amri:

Seva ya Dsquery -isgc

Urudiaji wa data katika Saraka Amilifu

Urudiaji ni utaratibu wa kunakili ambao unafanywa wakati inahitajika kuhifadhi habari ya sasa iliyo kwenye kidhibiti chochote.

Inazalishwa bila ushiriki wa waendeshaji. Kuna aina zifuatazo za maudhui ya nakala:

• Nakala za data huundwa kutoka kwa vikoa vyote vilivyopo.
• Nakala za miundo ya data. Kwa kuwa schema ya data ni sawa kwa vitu vyote vya msitu Saraka Amilifu, nakala zake zimehifadhiwa kwenye vikoa vyote.
• Data ya usanidi. Inaonyesha ujenzi wa nakala kati ya vidhibiti. Habari hiyo inasambazwa kwa vikoa vyote msituni.

Aina kuu za replicas ni intra-nodi na inter-node.

Katika kesi ya kwanza, baada ya mabadiliko, mfumo unasubiri, kisha unamjulisha mshirika kuunda replica ili kukamilisha mabadiliko. Hata kwa kutokuwepo kwa mabadiliko, mchakato wa kurudia hutokea moja kwa moja baada ya muda fulani. Baada ya mabadiliko ya kuvunja hutumiwa kwa saraka, replication hutokea mara moja.

Utaratibu wa kurudia kati ya nodi hutokea kati kiwango cha chini cha mzigo kwa mtandao, hii inaepuka upotezaji wa habari.

Active Directory hutoa huduma kwa usimamizi wa mfumo. Wao ni mbadala bora zaidi kwa vikundi vya ndani na kuruhusu kuunda mitandao ya kompyuta Na usimamizi bora Na ulinzi wa kuaminika data.

Ikiwa haujawahi kukutana na dhana ya Active Directory na hujui jinsi huduma hizo zinavyofanya kazi, makala hii ni kwa ajili yako. Hebu tujue maana yake dhana hii, ni faida gani za hifadhidata hizo na jinsi ya kuunda na kuzisanidi kwa matumizi ya awali.

Active Directory ni sana njia rahisi usimamizi wa mfumo. Kwa kutumia Directory Active, unaweza kudhibiti data yako kwa ufanisi.

Huduma hizi hukuruhusu kuunda hifadhidata moja inayodhibitiwa na vidhibiti vya kikoa. Ikiwa unamiliki biashara, unasimamia ofisi, au unadhibiti kwa ujumla shughuli za watu wengi wanaohitaji kuwa na umoja, kikoa kama hicho kitakuwa na manufaa kwako.

Inajumuisha vitu vyote - kompyuta, printa, faksi, akaunti za mtumiaji, nk. Jumla ya vikoa ambavyo data iko inaitwa "msitu". Hifadhidata ya Active Directory ni mazingira ya kikoa ambapo idadi ya vitu inaweza kuwa hadi bilioni 2. Je, unaweza kufikiria mizani hii?

Hiyo ni, kwa msaada wa "msitu" kama huo au hifadhidata, unaweza kuunganisha idadi kubwa ya wafanyikazi na vifaa kwenye ofisi, na bila kuunganishwa na eneo - watumiaji wengine wanaweza pia kushikamana katika huduma, kwa mfano; kutoka kwa ofisi ya kampuni katika mji mwingine.

Kwa kuongeza, ndani ya mfumo wa huduma za Active Directory, vikoa kadhaa vinaundwa na kuunganishwa - kampuni kubwa, zana zaidi zinahitajika ili kudhibiti vifaa vyake ndani ya hifadhidata.

Zaidi ya hayo, wakati wa kuunda mtandao kama huo, kikoa kimoja cha kudhibiti kimedhamiriwa, na hata kwa uwepo wa vikoa vingine, ile ya asili bado inabaki "mzazi" - ambayo ni, ina tu. ufikiaji kamili kwa usimamizi wa habari.

Data hii imehifadhiwa wapi, na ni nini kinachohakikisha kuwepo kwa vikoa? Ili kuunda Saraka Inayotumika, vidhibiti hutumiwa. Kawaida kuna mbili kati yao - ikiwa kitu kitatokea kwa moja, habari itahifadhiwa kwenye mtawala wa pili.

Chaguo jingine la kutumia hifadhidata ni kama, kwa mfano, kampuni yako inashirikiana na nyingine, na unapaswa kukamilisha mradi wa kawaida. Katika kesi hii, watu wasioidhinishwa wanaweza kuhitaji upatikanaji wa faili za kikoa, na hapa unaweza kuanzisha aina ya "uhusiano" kati ya "misitu" miwili tofauti, kuruhusu upatikanaji wa taarifa zinazohitajika bila kuhatarisha usalama wa data iliyobaki.

Kwa ujumla, Active Directory ni chombo cha kuunda hifadhidata ndani ya muundo fulani, bila kujali ukubwa wake. Watumiaji na vifaa vyote vinaunganishwa katika "msitu" mmoja, vikoa vinaundwa na kuwekwa kwenye watawala.

Inashauriwa pia kufafanua kuwa huduma zinaweza kufanya kazi tu kwenye vifaa vilivyo na mifumo ya seva ya Windows. Kwa kuongeza, 3-4 huundwa kwenye watawala Seva ya DNS. Wanatumikia eneo kuu la kikoa, na ikiwa mmoja wao atashindwa, seva zingine huibadilisha.

Baada ya muhtasari mfupi Saraka Inayotumika ya dummies, kwa asili unavutiwa na swali - kwa nini ubadilishe kikundi cha karibu kwa hifadhidata nzima? Kwa kawaida, uwanja wa uwezekano hapa ni mara nyingi zaidi, na ili kujua tofauti nyingine kati ya huduma hizi kwa usimamizi wa mfumo, hebu tuchunguze kwa undani faida zao.

Manufaa ya Active Directory

Faida za Active Directory ni:

1. Kutumia rasilimali moja kwa uthibitishaji. Katika hali hii, unahitaji kuongeza kwenye kila PC akaunti zote zinazohitaji upatikanaji wa taarifa za jumla. Watumiaji zaidi na vifaa kuna, ni vigumu zaidi kusawazisha data hii kati yao.

Na kwa hiyo, wakati wa kutumia huduma na database, akaunti zinahifadhiwa katika hatua moja, na mabadiliko yanafanyika mara moja kwenye kompyuta zote.

Inavyofanya kazi? Kila mfanyakazi, akija ofisini, huzindua mfumo na kuingia kwenye akaunti yake. Ombi la kuingia litawasilishwa kiotomatiki kwa seva na uthibitishaji utafanyika kupitia hilo.

Kuhusu agizo fulani la kutunza kumbukumbu, unaweza kugawa watumiaji katika vikundi kila wakati - "Idara ya Utumishi" au "Uhasibu".

Katika kesi hii, ni rahisi zaidi kutoa ufikiaji wa habari - ikiwa unahitaji kufungua folda kwa wafanyikazi kutoka idara moja, fanya hivi kupitia hifadhidata. Kwa pamoja wanapata ufikiaji wa folda inayohitajika na data, wakati kwa wengine hati zimefungwa.

1. Udhibiti juu ya kila mshiriki wa hifadhidata.

Ikiwa katika kikundi cha ndani kila mwanachama anajitegemea na ni vigumu kudhibiti kutoka kwa kompyuta nyingine, basi katika vikoa unaweza kuweka sheria fulani zinazozingatia sera ya kampuni.

Kama msimamizi wa mfumo, unaweza kuweka mipangilio ya ufikiaji na mipangilio ya usalama, na kisha kuitumia kwa kila kikundi cha watumiaji. Kwa kawaida, kulingana na uongozi, vikundi vingine vinaweza kupewa mipangilio mikali zaidi, wakati wengine wanaweza kupewa ufikiaji wa faili na vitendo vingine kwenye mfumo.

Kwa kuongeza, wakati mtu mpya anajiunga na kampuni, kompyuta yake itapokea mara moja seti sahihi mipangilio ambapo vipengele vya uendeshaji vimewezeshwa.

1. Uwezo mwingi katika usakinishaji wa programu.

Kwa njia, kuhusu vipengele - wakati Msaada Unaotumika Saraka unaweza kuwapa vichapishi, sakinisha programu zinazohitajika mara moja weka vigezo vya faragha kwa wafanyakazi wote. Kwa ujumla, kuunda hifadhidata kutaboresha kazi kwa kiasi kikubwa, kufuatilia usalama na kuunganisha watumiaji kwa ufanisi mkubwa wa kazi.

Na ikiwa kampuni hutumia matumizi tofauti au huduma maalum, zinaweza kusawazishwa na vikoa na rahisi kufikia. Vipi? Ikiwa unachanganya bidhaa zote zinazotumiwa katika kampuni, mfanyakazi hatahitaji kuingia logins tofauti na nywila ili kuingia kila programu - habari hii itakuwa ya kawaida.

Sasa faida na maana inakuwa wazi kwa kutumia Active Saraka, hebu tuangalie mchakato wa kusakinisha huduma hizi.

Tunatumia hifadhidata kwenye Windows Server 2012

Kufunga na kusanidi Active Directory sio kazi ngumu, na pia ni rahisi zaidi kuliko inaonekana kwa mtazamo wa kwanza.

Ili kupakia huduma, kwanza unahitaji kufanya yafuatayo:

1. Badilisha jina la kompyuta: bonyeza "Anza", fungua Jopo la Kudhibiti, chagua "Mfumo". Chagua "Badilisha mipangilio" na katika Mali, kinyume na mstari wa "Jina la Kompyuta", bofya "Badilisha", ingiza thamani mpya kwa PC kuu.
2. Anzisha tena PC yako kama inavyohitajika.
3. Weka mipangilio ya mtandao kama hii:
   • Kupitia jopo la kudhibiti, fungua menyu na mitandao na ufikiaji wa pamoja.
   • Rekebisha mipangilio ya adapta. Bonyeza-click "Mali" na ufungue kichupo cha "Mtandao".
   • Katika dirisha kutoka kwenye orodha, bofya nambari ya itifaki ya mtandao 4, tena bofya kwenye "Mali".
   • Ingiza mipangilio inayohitajika, kwa mfano: anwani ya IP - 192.168.10.252, subnet mask - 255.255.255.0, lango kuu - 192.168.10.1.
   • Katika mstari wa "Seva ya DNS inayopendekezwa", taja anwani ya seva ya ndani, katika "Mbadala ..." - anwani zingine za seva za DNS.
   • Hifadhi mabadiliko yako na ufunge madirisha.

Sanidi majukumu ya Active Directory kama hii:

1. Kupitia Anza, fungua Kidhibiti cha Seva.
2. Kutoka kwenye menyu, chagua Ongeza Majukumu na Vipengele.
3. Mchawi utazindua, lakini unaweza kuruka dirisha la kwanza na maelezo.
4. Angalia mstari "Kuweka majukumu na vipengele", endelea zaidi.
5. Teua kompyuta yako ili kusakinisha Active Directory juu yake.
6. Kutoka kwenye orodha, chagua jukumu ambalo linahitaji kupakiwa - kwa upande wako ni "Huduma za Kikoa cha Saraka inayotumika".
7. Dirisha ndogo itaonekana kukuuliza kupakua vipengele vinavyohitajika kwa huduma - kukubali.
8. Kisha utaombwa kusakinisha vipengele vingine - ikiwa huvihitaji, ruka tu hatua hii kwa kubofya "Inayofuata".
9. Mchawi wa usanidi utaonyesha dirisha na maelezo ya huduma unazosakinisha - soma na uendelee.
10. Orodha ya vipengele ambavyo tutaweka itaonekana - angalia ikiwa kila kitu ni sahihi, na ikiwa ni hivyo, bonyeza kitufe kinachofaa.
11. Wakati mchakato ukamilika, funga dirisha.
12. Hiyo ndiyo yote - huduma zinapakuliwa kwenye kompyuta yako.

Kuweka Saraka Amilifu

Ili kusanidi huduma ya kikoa unahitaji kufanya yafuatayo:

• Zindua mchawi wa usanidi wa jina moja.
• Bofya kwenye kielekezi cha njano kilicho juu ya dirisha na uchague "Pandisha seva kwa kidhibiti cha kikoa."
• Bofya kwenye ongeza msitu mpya na uunde jina la kikoa cha mizizi, kisha ubofye Ijayo.
• Taja njia za uendeshaji za "msitu" na kikoa - mara nyingi hufanana.
• Unda nenosiri, lakini hakikisha kulikumbuka. Endelea zaidi.
• Baada ya hayo, unaweza kuona onyo kwamba kikoa hakijakabidhiwa na haraka ya kuangalia jina la kikoa - unaweza kuruka hatua hizi.
• Katika dirisha linalofuata unaweza kubadilisha njia ya saraka za hifadhidata - fanya hivi ikiwa hazikufaa.
• Sasa utaona chaguo zote unakaribia kuweka - angalia ili kuona ikiwa umezichagua kwa usahihi na uendelee.
• maombi kuangalia kama sharti, na ikiwa hakuna maoni, au sio muhimu, bofya "Sakinisha".
• Baada ya usakinishaji kukamilika, PC itaanza upya yenyewe.

Unaweza pia kuwa unashangaa jinsi ya kuongeza mtumiaji kwenye hifadhidata. Ili kufanya hivyo, tumia menyu "Watumiaji au Kompyuta zinazotumika Saraka", ambayo utapata katika sehemu ya "Utawala" ya jopo la kudhibiti, au tumia menyu ya mipangilio ya hifadhidata.

Ili kuongeza mtumiaji mpya, bonyeza-click kwenye jina la kikoa, chagua "Unda", kisha "Mgawanyiko". Dirisha litaonekana mbele yako ambapo unahitaji kuingiza jina la idara mpya - hutumika kama folda ambapo unaweza kukusanya watumiaji kutoka idara tofauti. Kwa njia hiyo hiyo, baadaye utaunda mgawanyiko kadhaa zaidi na uweke kwa usahihi wafanyikazi wote.

Ifuatayo, unapounda jina la idara, bonyeza-click juu yake na uchague "Unda", kisha "Mtumiaji". Sasa kinachobakia ni kuingiza data muhimu na kuweka mipangilio ya ufikiaji kwa mtumiaji.

Mara wasifu mpya umeundwa, bonyeza juu yake kwa kuchagua menyu ya muktadha, na ufungue Mali. Katika kichupo cha "Akaunti", ondoa kisanduku cha kuteua karibu na "Zuia ...". Ni hayo tu.

Hitimisho la jumla ni kwamba Active Directory ina nguvu na chombo muhimu kwa usimamizi wa mfumo, ambayo itasaidia kuunganisha kompyuta zote za wafanyakazi katika timu moja. Kwa kutumia huduma, unaweza kuunda hifadhidata salama na kuboresha kwa kiasi kikubwa kazi na maingiliano ya habari kati ya watumiaji wote. Ikiwa shughuli za kampuni yako na sehemu nyingine yoyote ya kazi zimeunganishwa na kompyuta na mitandao ya elektroniki, unahitaji kuchanganya akaunti na kufuatilia kazi na usiri, kusanikisha hifadhidata kwenye kulingana na Active Saraka itakuwa suluhisho nzuri.

Mnamo 2002, nilipokuwa nikitembea kando ya ukanda wa idara ya sayansi ya kompyuta ya chuo kikuu ninachopenda, niliona bango safi kwenye mlango wa ofisi ya "NT Systems". Bango lilionyesha aikoni za akaunti ya mtumiaji zilizowekwa katika vikundi, ambapo mishale ilielekeza kwenye aikoni nyingine. Haya yote yaliunganishwa kimkakati katika muundo fulani, kitu kiliandikwa kuhusu mfumo mmoja wa kuingia, idhini na kadhalika. Kwa kadiri ninavyoelewa sasa, bango hilo lilionyesha usanifu wa Windows NT 4.0 Domains na Windows 2000 Active Directory System. Kuanzia wakati huo kufahamiana kwangu kwa mara ya kwanza na Active Directory kulianza na kumalizika mara moja, kwani wakati huo kulikuwa na kikao kigumu, likizo ya kufurahisha, baada ya hapo rafiki alishiriki FreeBSD 4 na diski Nyekundu. Kofia ya Linux, na kwa miaka michache iliyofuata nilitumbukia katika ulimwengu wa mifumo kama ya Unix, lakini sikusahau kamwe yaliyomo kwenye bango.
Ilinibidi kurudi kwenye mifumo inayotegemea jukwaa la Windows Server na kuifahamu zaidi nilipohamia kufanya kazi kwa kampuni ambapo usimamizi wa miundombinu yote ya TEHAMA ulitegemea Active Directory. Nakumbuka kwamba msimamizi mkuu wa kampuni hiyo aliendelea kurudia jambo fulani kuhusu Baadhi ya Mazoezi Bora ya Saraka katika kila mkutano. Sasa, baada ya miaka 8 ya mawasiliano ya mara kwa mara na Active Directory, ninaelewa vizuri jinsi inavyofanya kazi mfumo huu na Mbinu Bora za Saraka Inayotumika ni zipi.
Kama labda ulivyokisia, tutazungumza juu ya Saraka Inayotumika.
Mtu yeyote ambaye ana nia ya mada hii anakaribishwa paka.

Mapendekezo haya ni halali kwa mifumo ya mteja kuanzia Windows 7 na matoleo mapya zaidi, kwa vikoa na misitu Kiwango cha Windows Seva ya 2008/R2 na ya juu zaidi.

Kuweka viwango
Kupanga kwa Saraka Inayotumika kunapaswa kuanza kwa kukuza viwango vyako vya kutaja vitu na eneo lao kwenye saraka. Ni muhimu kuunda hati ambayo kufafanua kila kitu viwango vinavyohitajika. Kwa kweli, hii ni pendekezo la kawaida kwa wataalamu wa IT. Kanuni "kwanza tunaandika nyaraka, na kisha tunajenga mfumo kwa kutumia nyaraka hizi" ni nzuri sana, lakini mara chache hutekelezwa katika mazoezi kwa sababu nyingi. Miongoni mwa sababu hizi ni uvivu wa kibinadamu au ukosefu wa umahiri unaofaa; sababu zilizobaki zinatokana na zile mbili za kwanza.
Ninapendekeza kwamba uandike nyaraka kwanza, ufikirie, na kisha tu kuendelea na kusakinisha kidhibiti cha kikoa cha kwanza.
Kwa mfano, nitatoa sehemu ya hati juu ya viwango vya kutaja vitu vya Active Directory.
Kutaja vitu.

• Jina vikundi vya watumiaji lazima ianze na kiambishi awali GRUS_ (GR - Group, US - Users)
• Jina vikundi vya kompyuta lazima ianze na kiambishi awali GRCP_ (GR - Group, CP - Computers)
• Jina la kaumu ya vikundi vya mamlaka lazima lianze na kiambishi awali GRDL_ (GR - Group, DL - Delegation)
• Jina la vikundi vya ufikiaji wa rasilimali lazima lianze na kiambishi awali GRRS_ (GR - Group, RS - rasilimali)
• Jina la vikundi vya sera lazima lianze na viambishi awali GPUS_, GPCP_ (GP - Sera ya Kikundi, Marekani - Watumiaji, CP - Kompyuta)
• Jina la kompyuta za mteja lazima liwe na barua mbili au tatu kutoka kwa jina la shirika, ikifuatiwa na nambari iliyotengwa na hyphen, kwa mfano, nnt-01.
• Jina la seva lazima lianze na herufi mbili tu, ikifuatiwa na hyphen na ikifuatiwa na jukumu la seva na nambari yake, kwa mfano, nn-dc01.

Ninapendekeza kutaja vitu vya Saraka Inayotumika ili sio lazima ujaze sehemu ya Maelezo. Kwa mfano, kutoka kwa jina la kikundi GPCP_Restricted_Groups ni wazi kwamba hili ni kundi la sera ambalo linatumika kwa kompyuta na hufanya kazi ya utaratibu wa Vikundi Vizuizi.
Njia yako ya kuandika nyaraka inapaswa kuwa ya kina sana, hii itaokoa muda mwingi katika siku zijazo.

Rahisisha kila kitu iwezekanavyo, jaribu kufikia usawa
Wakati wa kujenga Directory Active, ni muhimu kufuata kanuni ya kufikia usawa, kuchagua taratibu rahisi na zinazoeleweka.
Kanuni ya usawa ni kufikia utendaji unaohitajika na usalama kwa unyenyekevu mkubwa wa suluhisho.
Ni muhimu kujaribu kujenga mfumo ili muundo wake ueleweke kwa msimamizi asiye na ujuzi au hata mtumiaji. Kwa mfano, wakati mmoja kulikuwa na pendekezo la kuunda muundo wa msitu wa vikoa kadhaa. Zaidi ya hayo, ilipendekezwa kupeleka sio tu miundo ya vikoa vingi, lakini pia miundo kutoka kwa misitu kadhaa. Labda pendekezo hili lilikuwepo kwa sababu ya kanuni ya "gawanya na ushinde", au kwa sababu Microsoft iliambia kila mtu kuwa kikoa ndio mpaka wa usalama na kwa kugawa shirika katika vikoa, tutapata miundo tofauti ambayo ni rahisi kudhibiti kibinafsi. Lakini kama mazoezi yameonyesha, ni rahisi kudumisha na kudhibiti mifumo ya kikoa kimoja, ambapo mipaka ya usalama ni vitengo vya shirika (OUs) badala ya vikoa. Kwa hivyo, epuka kuunda miundo tata ya vikoa vingi; ni bora kupanga vitu kwa OU.
Bila shaka, unapaswa kutenda bila fanaticism - ikiwa haiwezekani kufanya bila nyanja kadhaa, basi unahitaji kuunda nyanja kadhaa, pia na misitu. Jambo kuu ni kwamba unaelewa kile unachofanya na nini kinaweza kusababisha.
Ni muhimu kuelewa kwamba miundombinu rahisi Active Saraka ni rahisi zaidi kusimamia na kudhibiti. Ningesema hata rahisi zaidi, salama zaidi.
Tumia kanuni ya kurahisisha. Jaribu kufikia usawa.

Fuata kanuni - "kikundi cha kitu"
Anza kuunda vitu vya Saraka Inayotumika kwa kuunda kikundi cha kitu hiki, na kisha uwape kikundi haki zinazohitajika. Hebu tuangalie mfano. Unahitaji kuunda akaunti ya msimamizi mkuu. Kwanza unda kikundi cha Wasimamizi Wakuu na kisha tu unda akaunti yenyewe na uiongeze kundi hili. Peana haki za msimamizi mkuu kwa kikundi cha Wasimamizi Wakuu, kwa mfano, kwa kuiongeza kwenye kikundi cha Wasimamizi wa Kikoa. Inabadilika kuwa baada ya muda mfanyakazi mwingine anakuja kazini ambaye anahitaji haki sawa, na badala ya kukabidhi haki kwa sehemu tofauti za Saraka ya Active, itawezekana kumuongeza tu kwenye kikundi kinachohitajika ambacho mfumo tayari umefafanua jukumu. na mamlaka muhimu yanakabidhiwa.
Mfano mmoja zaidi. Unahitaji kukabidhi haki kwa OU iliyo na watumiaji kwenye kikundi cha wasimamizi wa mfumo. Usikabidhi haki moja kwa moja kwa kikundi cha Wasimamizi, lakini unda kikundi maalum kama AkauntiL_OUNname_Operator_Accounts, ambazo unazipa haki. Kisha ongeza tu kikundi cha wasimamizi wanaowajibika kwenye kikundi cha GRDL_OUName_Operator_Accounts. Kwa hakika itatokea kwamba katika siku za usoni utahitaji kukabidhi haki kwa OU hii kwa kundi lingine la wasimamizi. Na katika hali hii, utaongeza tu kikundi cha data cha wasimamizi kwenye kikundi cha kaumu cha GRDL_OUName_Operator_Accounts.
Ninapendekeza muundo wa kikundi ufuatao.

• Vikundi vya watumiaji (GRUS_)
• Vikundi vya Wasimamizi (GRAD_)
• Vikundi vya uwakilishi (GRDL_)
• Vikundi vya sera (GRGP_)

Vikundi vya kompyuta

• Vikundi vya seva (GRSR_)
• Vikundi vya kompyuta za mteja (GRCP_)

Vikundi vya Ufikiaji Rasilimali

• Vikundi vya Ufikiaji Rasilimali Zilizoshirikiwa (GRRS_)
• Vikundi vya Ufikiaji wa Printa (GRPR_)

Katika mfumo uliojengwa kulingana na mapendekezo haya, karibu utawala wote utajumuisha kuongeza vikundi kwa vikundi.
Dumisha usawa kwa kupunguza idadi ya majukumu ya vikundi na kumbuka kwamba jina la kikundi linapaswa kuelezea kikamilifu jukumu lake.

Usanifu wa OU.
Usanifu wa OU lazima kwanza ufikiriwe kupitia kwa mtazamo wa usalama na ugawaji wa haki kwa OU hii kwa wasimamizi wa mfumo. Sipendekezi kupanga usanifu wa OUs kutoka kwa mtazamo wa kuunganisha sera za kikundi kwao (ingawa hii hufanywa mara nyingi). Kwa wengine, pendekezo langu linaweza kuonekana kuwa la kushangaza kidogo, lakini sipendekezi kuunganisha sera za kikundi na OU hata kidogo. Soma zaidi katika sehemu ya Sera za Kikundi.
Wasimamizi wa OU
Ninapendekeza kusanidi OU tofauti kwa akaunti na vikundi vya usimamizi, ambapo unaweza kuweka akaunti na vikundi vya wasimamizi na wahandisi wote. msaada wa kiufundi. Ufikiaji wa OU hii unapaswa kufikiwa kwa watumiaji wa kawaida tu, na usimamizi wa vitu kutoka kwa OU hii unapaswa kukabidhiwa kwa wasimamizi wakuu pekee.
Kompyuta za OU
Kompyuta OUs zimepangwa vyema kulingana na eneo la kijiografia la kompyuta na aina za kompyuta. Sambaza kompyuta kutoka maeneo tofauti ya kijiografia katika OU tofauti, na kwa upande mwingine uzigawanye katika kompyuta za mteja na seva. Seva zinaweza pia kugawanywa katika Exchange, SQL na wengine.

Watumiaji, haki katika Saraka Inayotumika
Akaunti za mtumiaji za Active Directory zinapaswa kutolewa Tahadhari maalum. Kama ilivyoelezwa katika sehemu ya OU, akaunti za mtumiaji inapaswa kuwekwa katika makundi kulingana na kanuni ya ugawaji wa mamlaka kwa akaunti hizi. Pia ni muhimu kuzingatia kanuni ya upendeleo mdogo - haki chache ambazo mtumiaji anazo katika mfumo, bora zaidi. Ninapendekeza ujumuishe mara moja kiwango cha mapendeleo ya mtumiaji katika jina la akaunti yake. Akaunti ya kazi ya kila siku inapaswa kuwa na jina la mwisho la mtumiaji na waanzilishi katika Kilatini (Kwa mfano, IvanovIV au IVIvanov). Sehemu zinazohitajika ni: Jina la Kwanza, Jina la Kwanza, Jina la Mwisho, Jina la Kuonyesha (kwa Kirusi), barua pepe, simu ya mkononi, Kichwa cha Kazi, Meneja.
Akaunti za msimamizi lazima ziwe za aina zifuatazo:

• Na haki za msimamizi kwa kompyuta za watumiaji, lakini sio seva. Lazima iwe na herufi za mwanzo za mmiliki na kiambishi awali cha ndani (Kwa mfano, iivlocal)
• Na haki za kusimamia seva na Saraka Inayotumika. Lazima iwe na herufi za kwanza pekee (Kwa mfano, iiv).

Sehemu ya Jina la aina zote mbili za akaunti za kiutawala inapaswa kuanza na herufi I (Kwa mfano, iPetrov P Vasily)
Acha nieleze kwa nini unapaswa kutenganisha akaunti za usimamizi kuwa wasimamizi wa seva na wasimamizi wa kompyuta za mteja. Hii lazima ifanyike kwa sababu za usalama. Wasimamizi wa kompyuta za mteja watakuwa na haki ya kusakinisha programu kwenye kompyuta za mteja. Haiwezekani kamwe kusema kwa uhakika ni programu gani itasakinishwa na kwa nini. Kwa hivyo, si salama kuendesha usakinishaji wa programu yenye haki za msimamizi wa kikoa; kikoa kizima kinaweza kuathiriwa. Ni lazima usimamie kompyuta za mteja kwa haki za msimamizi wa ndani pekee ya kompyuta hii. Hii itafanya kutowezekana kwa mashambulizi kadhaa kwenye akaunti za wasimamizi wa kikoa, kama vile "Pitisha Hash". Zaidi ya hayo, wasimamizi wa kompyuta za mteja wanahitaji kufunga miunganisho kupitia Huduma za Kituo na miunganisho ya mtandao kwenye kompyuta. Usaidizi wa kiufundi na kompyuta za utawala zinapaswa kuwekwa kwenye VLAN tofauti ili kupunguza ufikiaji wao kutoka kwa mtandao wa kompyuta za mteja.
Inapeana haki za msimamizi kwa watumiaji
Ikiwa unahitaji kumpa mtumiaji haki za msimamizi, usiweke akaunti yake ya kazi ya kila siku kwenye kikundi. watawala wa mitaa kompyuta. Akaunti ya kazi ya kila siku inapaswa kuwa na haki chache kila wakati. Mfungulie akaunti tofauti ya usimamizi kama vile jina na uongeze akaunti hii kwa kikundi cha wasimamizi wa eneo lako kwa kutumia sera, ukiwekea kikomo matumizi yake kwenye kompyuta ya mtumiaji kwa kutumia ulengaji wa kiwango cha bidhaa. Mtumiaji ataweza kutumia akaunti hii kwa kutumia utaratibu wa Run AS.
Sera za Nenosiri
Unda sera tofauti za nenosiri kwa watumiaji na wasimamizi kwa kutumia sera ya nenosiri iliyoboreshwa. Inashauriwa kuwa nywila ya mtumiaji iwe na angalau herufi 8 na inabadilishwa angalau mara moja kwa robo. Inashauriwa kwa wasimamizi kubadilisha nenosiri kila baada ya miezi miwili, na inapaswa kuwa angalau wahusika 10-15 na kukidhi mahitaji ya utata.

Muundo wa kikoa na vikundi vya ndani. Utaratibu wa Vikundi Vilivyozuiliwa
Muundo wa vikundi vya kikoa na vya karibu kwenye kompyuta za kikoa unapaswa kudhibitiwa ndani tu mode otomatiki, kwa kutumia utaratibu wa Vikundi Vilivyozuiliwa. Nitaelezea kwa nini inahitaji kufanywa kwa njia hii tu kwa kutumia mfano ufuatao. Kwa kawaida, baada ya kubomoa kikoa cha Saraka Inayotumika, wasimamizi wanajiongeza kwenye vikundi vya kikoa kama vile wasimamizi wa Kikoa, wasimamizi wa Biashara, kuongeza makundi muhimu wahandisi wa msaada wa kiufundi na watumiaji wengine pia wamegawanywa katika vikundi. Katika mchakato wa kusimamia kikoa hiki, mchakato wa kutoa haki unarudiwa mara nyingi na itakuwa ngumu sana kukumbuka kuwa jana uliongeza mhasibu Nina Petrovna kwa kikundi cha wasimamizi wa 1C na kwamba leo unahitaji kumwondoa kwenye kikundi hiki. Hali itakuwa mbaya zaidi ikiwa kampuni ina wasimamizi kadhaa na kila mmoja wao mara kwa mara anatoa haki kwa watumiaji kwa mtindo sawa. Katika mwaka mmoja tu, itakuwa vigumu kujua ni haki gani zimepewa nani. Kwa hiyo, muundo wa vikundi unapaswa kudhibitiwa tu na sera za kikundi, ambazo zitaweka kila kitu kwa utaratibu na kila maombi.
Muundo wa vikundi vilivyojengwa
Inafaa kusema kuwa vikundi vilivyojumuishwa kama vile Viendeshaji Akaunti, waendeshaji Hifadhi nakala, Viendeshaji vya Crypt, Wageni, Viendeshaji vya Kuchapisha, Viendeshaji Seva vinapaswa kuwa tupu, katika kikoa na kwenye kompyuta za mteja. Vikundi hivi kimsingi ni muhimu ili kuhakikisha utangamano wa nyuma na mifumo ya zamani, na watumiaji wa vikundi hivi wanapewa haki nyingi sana katika mfumo, na mashambulizi ya kuongezeka kwa marupurupu yanawezekana.

Akaunti za Msimamizi wa Mitaa
Kwa kutumia utaratibu wa Vikundi Vilivyozuiliwa, unahitaji kuzuia Akaunti wasimamizi wa ndani wamewashwa kompyuta za ndani, zuia akaunti za wageni na ufute kikundi cha wasimamizi wa ndani kwenye kompyuta za ndani. Usiwahi kutumia sera za kikundi kuweka manenosiri kwa akaunti za msimamizi wa karibu. Utaratibu huu si salama; nenosiri linaweza kutolewa moja kwa moja kutoka kwa sera. Lakini, ukiamua kutozuia akaunti za msimamizi wa eneo lako, basi tumia utaratibu wa LAPS kuweka nywila kwa usahihi na kuzizungusha. Kwa bahati mbaya, kusanidi LAPS sio otomatiki kabisa, na kwa hivyo utahitaji kuongeza sifa kwa mikono Mpango unaotumika Orodha, wape haki, wape vikundi, na kadhalika. Kwa hiyo, ni rahisi kuzuia akaunti za msimamizi wa ndani.
Akaunti za huduma.
Ili kuendesha huduma, tumia akaunti za huduma na utaratibu wa gMSA (unapatikana kwenye Windows 2012 na mifumo ya juu zaidi)

Sera za Kikundi
Hati sera kabla ya kuunda/kurekebisha.
Unapounda sera, tumia kanuni ya Policy - Group. Hiyo ni, kabla ya kuunda sera, kwanza unda kikundi cha sera hii, ondoa kikundi cha watumiaji Walioidhinishwa kutoka kwa upeo wa sera na uongeze kikundi kilichoundwa. Unganisha sera na OU, lakini kwa mzizi wa kikoa, na udhibiti upeo wa matumizi yake kwa kuongeza vitu kwenye kikundi cha sera. Ninachukulia utaratibu huu kuwa rahisi na unaoeleweka zaidi kuliko kuunganisha sera na OU. (Hivi ndivyo nilivyoandika juu ya sehemu kuhusu Usanifu wa OU).
Rekebisha upeo wa sera kila wakati. Ikiwa umeunda sera ya watumiaji pekee, basi zima muundo wa kompyuta na kinyume chake, zima muundo wa mtumiaji ikiwa umeunda sera ya kompyuta pekee. Shukrani kwa mipangilio hii, sera zitatumika kwa haraka zaidi.
Sanidi chelezo za sera za kila siku lini Msaada wa Nguvu Shell, ili katika kesi ya makosa ya usanidi unaweza kurudisha mipangilio kwa ile ya asili kila wakati.
Hifadhi ya Kati
Kuanzia na Windows 2008, iliwezekana kuhifadhi violezo vya Sera ya Kikundi cha ADMX katika eneo kuu la kuhifadhi, SYSVOL. Hapo awali, kwa chaguo-msingi, violezo vyote vya sera vilihifadhiwa ndani kwa wateja. Ili kuweka violezo vya ADMX kwenye hifadhi kuu, unahitaji kunakili yaliyomo kwenye folda ya %SystemDrive%\Windows\PolicyDefinitions pamoja na folda ndogo kutoka kwa mifumo ya mteja (Windows 7/8/8.1) hadi saraka ya kidhibiti cha kikoa %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions na maudhui yaliyounganishwa, lakini bila uingizwaji. Ifuatayo unapaswa kufanya nakala sawa kutoka mifumo ya seva, kuanzia wa zamani zaidi. Mwishowe, wakati wa kunakili folda na faili kutoka kwa toleo la hivi karibuni la seva, fanya nakala ya UNGANISHA NA UBADILISHE.

Kunakili violezo vya ADMX

Zaidi ya hayo, violezo vya ADMX vya bidhaa zozote za programu vinaweza kuwekwa kwenye hifadhi kuu, kwa mfano, Ofisi ya Microsoft, bidhaa kutoka kwa Adobe, Google na zingine. Nenda kwenye tovuti ya muuzaji programu, pakua kiolezo cha Sera ya Kikundi cha ADMX na ukifungue kwenye %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions folder kwenye kidhibiti chochote cha kikoa. Sasa unaweza kudhibiti bidhaa ya programu unayohitaji kupitia sera za kikundi.
Vichungi vya WMI
Vichungi vya WMI si vya haraka sana, kwa hivyo ni vyema kutumia utaratibu wa kulenga kiwango cha bidhaa. Lakini ikiwa ulengaji wa kiwango cha bidhaa hauwezi kutumika, na unaamua kutumia WMI, basi ninapendekeza uunda vichungi kadhaa vya kawaida kwako mara moja: kichungi cha "Mifumo ya uendeshaji ya Mteja pekee", "Mifumo ya uendeshaji ya seva pekee", "Windows 7". ” vichujio, vichujio vya “Windows” 8", "Windows 8.1", "Windows 10". Ikiwa una seti zilizopangwa tayari za vichungi vya WMI, basi itakuwa rahisi kutumia kichujio kinachohitajika kwa sera inayotakiwa.

Kukagua Matukio ya Saraka Inayotumika
Hakikisha kuwasha ukaguzi wa matukio kwenye vidhibiti vya kikoa na seva zingine. Ninapendekeza kuwezesha ukaguzi wa vitu vifuatavyo:

• Ukaguzi wa Usimamizi wa Akaunti ya Kompyuta - Mafanikio, Kushindwa
• Kagua Matukio Mengine ya Usimamizi wa Akaunti - Mafanikio, Kushindwa
• Ukaguzi wa Usimamizi wa Kikundi cha Usalama - Mafanikio, Kushindwa
• Ukaguzi Akaunti ya Mtumiaji Usimamizi - Mafanikio, Kushindwa

• Kagua Huduma ya Uthibitishaji wa Kerberos - Imeshindwa
• Kagua Matukio ya Login ya Akaunti Nyingine - Kushindwa
• Mabadiliko ya Sera ya Ukaguzi - Mafanikio, Kushindwa

Ukaguzi lazima usanidiwe katika sehemu Usanidi wa Sera ya Ukaguzi wa Hali ya Juu na hakikisha kuwasha mpangilio katika sehemu hiyo Chaguzi za Sera/Usalama za Mitaa - Lazimisha mipangilio ya kategoria ndogo ya sera ( Windows Vista au baadaye) ili kubatilisha mipangilio ya kategoria ya sera ya ukaguzi, ambayo itabatilisha mipangilio ya kiwango cha juu na kutumia yale ya juu.

Mipangilio ya ukaguzi wa hali ya juu

Sitakaa kwa undani juu ya mipangilio ya ukaguzi, kwa kuwa kuna idadi ya kutosha ya vifungu kwenye mtandao vinavyotolewa kwa mada hii. Nitaongeza tu kwamba pamoja na kuwezesha ukaguzi, unapaswa kuweka arifa za barua pepe kuhusu matukio muhimu ya usalama. Inafaa pia kuzingatia kuwa katika mifumo iliyo na idadi kubwa ya matukio, inafaa kujitolea kwa seva tofauti kwa kukusanya na kuchambua faili za logi.

Maandishi ya utawala na kusafisha
Vitendo vyote vinavyofanana na vinavyorudiwa mara kwa mara lazima vifanywe kwa kutumia hati za usimamizi. Vitendo hivi ni pamoja na: kuunda akaunti za watumiaji, kuunda akaunti za msimamizi, kuunda vikundi, kuunda OU, na kadhalika. Kuunda vipengee kwa kutumia hati hukuruhusu kuheshimu mantiki ya jina la Saraka Inayotumika kwa kuunda ukaguzi wa sintaksia hadi kwenye hati.
Inafaa pia kuandika maandishi ya kusafisha ambayo yatafuatilia kiotomati muundo wa vikundi, kutambua watumiaji na kompyuta ambazo hazijaunganishwa kwa kikoa kwa muda mrefu, kutambua ukiukwaji wa viwango vingine, na kadhalika.
Sijaona kama pendekezo dhahiri rasmi la kutumia hati za msimamizi kufuatilia utiifu na kufanya shughuli za chinichini. Lakini mimi mwenyewe napendelea hundi na taratibu za moja kwa moja kwa kutumia maandiko, kwa kuwa hii inaokoa muda mwingi na kuondokana kiasi kikubwa makosa na, kwa kweli, hapa ndipo mbinu yangu ya Unix ya usimamizi inapoanza kutumika, wakati ni rahisi kuandika amri kadhaa kuliko kubofya kwenye windows.

Utawala wa mwongozo
Wewe na wenzako mtahitaji kufanya shughuli za usimamizi kwa mikono. Kwa madhumuni haya, ninapendekeza kutumia mmc console na snap-ins imeongezwa kwake.
Kama itakavyojadiliwa hapa chini, vidhibiti vya kikoa chako lazima vifanye kazi ndani Msingi wa Seva, yaani, usimamizi wa mazingira yote ya AD unapaswa kufanywa tu kutoka kwa kompyuta yako kwa kutumia consoles. Ili kusimamia Saraka Inayotumika, unahitaji kusakinisha Zana za Utawala wa Seva ya Mbali kwenye kompyuta yako. Dashibodi zinapaswa kuendeshwa kwenye kompyuta yako kama mtumiaji aliye na haki za msimamizi wa Saraka Inayotumika na udhibiti uliokabidhiwa.
Sanaa ya kusimamia Active Directory kwa kutumia consoles inahitaji makala tofauti, na labda hata video tofauti ya mafunzo, kwa hiyo hapa ninazungumzia tu kanuni yenyewe.

Vidhibiti vya kikoa
Katika kikoa chochote, lazima kuwe na angalau vidhibiti viwili. Vidhibiti vya kikoa vinapaswa kuwa na huduma chache iwezekanavyo. Haupaswi kugeuza kidhibiti cha kikoa kuwa seva ya faili au, mbali na Mungu, kuisasisha hadi jukumu la seva ya wastaafu. Tumia mifumo ya uendeshaji katika hali ya Msingi ya Seva kwenye vidhibiti vya kikoa, ukiondoa kabisa usaidizi wa WoW64, hii itapunguza kwa kiasi kikubwa idadi hiyo. sasisho zinazohitajika na kuongeza usalama wao.
Microsoft hapo awali haikupendekeza virtualizing watawala wa kikoa kutokana na ukweli kwamba wakati wa kurejesha kutoka picha Migogoro ya urudufishaji isiyoweza kusuluhishwa iliwezekana. Kunaweza kuwa na sababu zingine, siwezi kusema kwa uhakika. Sasa hypervisors wamejifunza kuwaambia watawala kuwarejesha kutoka kwa snapshots, na tatizo hili limetoweka. Nimekuwa nikiboresha vidhibiti kila wakati, bila kuchukua muhtasari wowote, kwa sababu sielewi kwa nini kunaweza kuwa na hitaji la kuchukua vijipicha kama hivyo kwenye vidhibiti vya kikoa. Nadhani ni rahisi kufanya nakala ya chelezo mtawala wa kikoa njia za kawaida. Kwa hivyo, ninapendekeza uboreshaji wa vidhibiti vyote vya kikoa ambavyo vinawezekana. Usanidi huu utakuwa rahisi zaidi. Unapoboresha vidhibiti vya kikoa, viweke kwenye wapangishaji tofauti halisi.
Ikiwa unahitaji kuweka kidhibiti cha kikoa katika mazingira ya kimwili yasiyolindwa au katika ofisi ya tawi ya shirika lako, basi tumia RODC kwa madhumuni haya.

Majukumu ya FSMO, vidhibiti vya msingi na vya sekondari
Majukumu ya kidhibiti cha kikoa cha FSMO yanaendelea kuleta hofu katika akili za wasimamizi wapya. Mara nyingi, wanaoanza kujifunza Directory Active kutoka kwa nyaraka zilizopitwa na wakati au kusikiliza hadithi kutoka kwa wasimamizi wengine ambao walisoma kitu mahali fulani mara moja.
Kwa majukumu yote matano + 1, yafuatayo yanapaswa kusemwa kwa ufupi. Kuanzia na Windows Server 2008, hakuna tena vidhibiti vya msingi na vya upili. Majukumu yote matano ya kidhibiti cha kikoa yanaweza kubebeka, lakini hayawezi kukaa kwa zaidi ya kidhibiti kimoja kwa wakati mmoja. Ikiwa tunachukua mmoja wa watawala, ambayo, kwa mfano, alikuwa mmiliki wa majukumu 4 na kuifuta, basi tunaweza kuhamisha kwa urahisi majukumu haya yote kwa watawala wengine, na hakuna kitu kibaya kitatokea kwenye kikoa, hakuna kitu kitakachovunja. Hili linawezekana kwa sababu mmiliki huhifadhi taarifa zote kuhusu kazi inayohusiana na jukumu fulani moja kwa moja kwenye Saraka Inayotumika. Na ikiwa tunahamisha jukumu kwa mtawala mwingine, basi kwanza kabisa hugeuka kwenye taarifa iliyohifadhiwa kwenye Active Directory na huanza kufanya huduma. Kikoa kinaweza kuwepo kwa muda mrefu bila wamiliki wa majukumu. "Jukumu" pekee ambalo linapaswa kuwa katika Orodha ya Active daima, na bila ambayo kila kitu kitakuwa mbaya sana, ni jukumu la orodha ya kimataifa (GC), ambayo inaweza kubebwa na watawala wote kwenye kikoa. Ninapendekeza kukabidhi jukumu la GC kwa kila mtawala kwenye kikoa, kadiri kuna zaidi, bora zaidi. Bila shaka, unaweza kupata kesi ambapo haifai kusakinisha jukumu la GC kwenye mtawala wa kikoa. Naam, ikiwa huhitaji, basi usifanye. Fuata mapendekezo bila ushabiki.

Huduma ya DNS
Huduma ya DNS ni muhimu kwa uendeshaji wa Active Directory na lazima ifanye kazi bila kukatizwa. Ni bora kusakinisha huduma ya DNS kwenye kila kidhibiti na hifadhi ya kikoa Kanda za DNS katika Active Directory yenyewe. Ikiwa utatumia Active Directory kuhifadhi kanda za DNS, basi unapaswa kusanidi sifa za muunganisho wa TCP/IP kwenye vidhibiti vya kikoa ili kwa kila kidhibiti kama. seva ya msingi ya DNS kulikuwa na seva nyingine yoyote ya DNS, na unaweza kuweka anwani 127.0.0.1 kama ya pili. Mpangilio huu lazima ufanyike kwa sababu ili huduma ya Active Directory ianze kawaida, DNS inayofanya kazi inahitajika, na ili DNS ianze, huduma ya Active Directory lazima iendeshe, kwani eneo la DNS yenyewe liko ndani yake.
Hakikisha umeweka maeneo ya kuangalia nyuma kwa mitandao yako yote na uwashe usasishaji salama wa kiotomatiki wa rekodi za PTR.
Ninapendekeza kwa kuongeza kuwezesha usafishaji wa kiotomatiki wa ukanda wa rekodi za zamani za DNS (utafutaji wa dns).
Ninapendekeza kubainisha seva za Yandex zilizolindwa kama DNS-Forwarders ikiwa hakuna zingine zenye kasi zaidi katika eneo lako la kijiografia.

Maeneo na urudufu
Wasimamizi wengi wamezoea kufikiria kuwa tovuti ni kundi la kijiografia la kompyuta. Kwa mfano, tovuti ya Moscow, tovuti ya St. Wazo hili liliibuka kutokana na ukweli kwamba mgawanyiko wa awali wa Saraka ya Amilifu katika tovuti ulifanyika kwa madhumuni ya kusawazisha na kutenganisha trafiki ya mtandao wa replication. Watawala wa kikoa huko Moscow hawana haja ya kujua kwamba akaunti kumi za kompyuta sasa zimeundwa huko St. Na kwa hiyo, habari hiyo kuhusu mabadiliko inaweza kupitishwa mara moja kwa saa kulingana na ratiba. Au hata kuiga mabadiliko mara moja kwa siku na usiku tu, ili kuokoa kipimo data.
Ningesema hivi kuhusu tovuti: tovuti ni makundi yenye mantiki ya kompyuta. Kompyuta ambazo zimeunganishwa kwa kila mmoja kwa uunganisho mzuri wa mtandao. Na tovuti zenyewe zimeunganishwa kwa kila mmoja kwa unganisho na ndogo matokeo, ambayo ni nadra sana siku hizi. Kwa hivyo, ninagawanya Active Directory katika tovuti si kwa ajili ya kusawazisha trafiki ya urudufishaji, lakini kwa kusawazisha mzigo wa mtandao kwa ujumla na kwa zaidi. usindikaji wa haraka maombi ya mteja kutoka kwa kompyuta za tovuti. Acha nieleze kwa mfano. Kuna mtandao wa ndani wa megabit 100 wa shirika, ambao hutumiwa na watawala wawili wa kikoa, na kuna wingu ambapo seva za maombi za shirika hili ziko na watawala wengine wawili wa wingu. Nitagawanya mtandao kama huo katika tovuti mbili ili watawala kwenye mchakato wa mtandao wa ndani waombe kutoka kwa wateja kutoka kwa mtandao wa ndani, na watawala katika mchakato wa wingu waombe kutoka kwa seva za programu. Zaidi ya hayo, hii itakuruhusu kutenganisha maombi kwa huduma za DFS na Exchange. Na kwa kuwa sasa sioni chaneli ya Mtandaoni chini ya megabiti 10 kwa sekunde, nitawasha Urudiaji Kulingana na Arifa, wakati huu urudiaji wa data unatokea mara tu mabadiliko yoyote yanapotokea kwenye Saraka Inayotumika.

Hitimisho
Asubuhi ya leo nilikuwa nikifikiria kwa nini ubinafsi wa kibinadamu haukaribishwi katika jamii na mahali fulani kwa kiwango cha kina cha mtazamo husababisha hisia mbaya sana. Na jibu pekee lililokuja akilini mwangu lilikuwa kwamba jamii ya wanadamu haingeweza kuishi kwenye sayari hii ikiwa haingejifunza kugawana rasilimali za mwili na kiakili. Ndiyo sababu ninashiriki nakala hii na wewe na ninatumahi kuwa mapendekezo yangu yatakusaidia kuboresha mifumo yako na utatumia wakati mdogo sana kutatua shida. Yote hii itasababisha kufungia wakati na nguvu zaidi kwa ubunifu. Inapendeza zaidi kuishi katika ulimwengu wa watu wabunifu na huru.
Itakuwa nzuri ikiwa unashiriki maarifa na mazoea yako katika maoni ikiwa inawezekana. jengo Active Orodha.
Amani na wema kwa kila mtu!

Unaweza kusaidia na kuhamisha baadhi ya fedha kwa ajili ya maendeleo ya tovuti

Mtumiaji yeyote wa novice, anayekabiliwa na kifupi AD, anashangaa Active Directory ni nini? Active Directory ni huduma ya saraka iliyotengenezwa na Microsoft kwa mitandao ya kikoa Windows. Imejumuishwa katika mifumo mingi ya uendeshaji ya Seva ya Windows kama seti ya michakato na huduma. Hapo awali, huduma ilishughulika na vikoa pekee. Walakini, kuanzia na Windows Server 2008, AD ikawa jina la anuwai ya huduma za utambulisho wa saraka. Hii inaifanya Active Directory kwa wanaoanza uzoefu bora wa kujifunza.

Ufafanuzi wa msingi

Seva inayoendesha Huduma za Saraka ya Kikoa cha Active Directory inaitwa kidhibiti cha kikoa. Inathibitisha na kuidhinisha watumiaji wote na kompyuta katika kikoa cha mtandao cha Windows, inapeana na kutekeleza sera za usalama kwa Kompyuta zote, na kusakinisha au kusasisha. programu. Kwa mfano, mtumiaji anapoingia kwenye kompyuta ambayo imewashwa Kikoa cha Windows, Saraka Inayotumika hukagua nenosiri lililotolewa na kuamua ikiwa kitu hicho ni msimamizi wa mfumo au mtumiaji wa kawaida. Pia huwezesha usimamizi na uhifadhi wa taarifa, hutoa mbinu za uthibitishaji na uidhinishaji, na huanzisha mfumo wa kupeleka huduma zingine zinazohusiana: huduma za cheti, huduma za saraka zilizoshirikishwa na nyepesi, na usimamizi wa haki.

Active Directory hutumia matoleo ya 2 na 3 ya LDAP, toleo la Microsoft la Kerberos na DNS.

Saraka Inayotumika - ni nini? Kwa maneno rahisi kuhusu tata

Kufuatilia data ya mtandao ni kazi inayotumia wakati. Hata katika mitandao midogo Watumiaji huwa na ugumu wa kutafuta faili za mtandao na wachapishaji. Bila aina fulani ya saraka, mitandao ya kati hadi mikubwa haiwezi kudhibitiwa na mara nyingi inakabiliwa na matatizo katika kutafuta rasilimali.

Matoleo ya awali Microsoft Windows huduma zilizojumuishwa ili kuwasaidia watumiaji na wasimamizi kupata data. mtandao muhimu katika mazingira mengi, lakini upande wa chini wazi ni kiolesura kisicho na uhakika na kutotabirika kwake. Msimamizi wa WINS na Meneja wa Seva inaweza kutumika kutazama orodha ya mifumo, lakini haikutolewa kwa watumiaji wa mwisho. Wasimamizi walitumia Kidhibiti cha Mtumiaji kuongeza na kuondoa data kutoka kwa aina tofauti kabisa ya kitu cha mtandao. Maombi haya yamethibitishwa kuwa hayafanyi kazi katika mitandao mikubwa na kuibua swali, kwa nini kampuni inahitaji Active Directory?

Saraka, kwa maana ya jumla, ni orodha kamili ya vitu. Kitabu cha simu ni aina ya saraka ambayo huhifadhi taarifa kuhusu watu, biashara, na mashirika ya serikali, naKawaida hurekodi majina, anwani na nambari za simu. Kushangaa Active Directory - ni nini, kwa maneno rahisi tunaweza kusema kwamba teknolojia hii ni sawa na saraka, lakini ni rahisi zaidi. AD huhifadhi taarifa kuhusu mashirika, tovuti, mifumo, watumiaji, rasilimali za pamoja na kitu kingine chochote cha mtandao.

Utangulizi wa Dhana za Saraka Inayotumika

Kwa nini shirika linahitaji Active Directory? Kama ilivyoelezwa katika utangulizi wa Active Directory, huduma huhifadhi taarifa kuhusu vipengele vya mtandao. Mwongozo wa Active Directory kwa Kompyuta unaeleza kuwa hili Huruhusu wateja kupata vitu katika nafasi yao ya majina. Hii t Neno (pia linaitwa mti wa console) linamaanisha eneo ambalo sehemu ya mtandao inaweza kupatikana. Kwa mfano, jedwali la yaliyomo katika kitabu huunda nafasi ya majina ambayo sura zinaweza kugawiwa kwa nambari za ukurasa.

DNS ni mti wa kiweko ambao husuluhisha majina ya mwenyeji kwa anwani za IP, kama vileVitabu vya simu vinatoa nafasi ya majina ya kusuluhisha majina ya nambari za simu. Je, hii inafanyikaje katika Saraka Inayotumika? AD hutoa mti wa console kwa ajili ya kutatua majina ya kitu cha mtandao kwa vitu wenyewe nainaweza kutatua anuwai ya huluki, ikijumuisha watumiaji, mifumo na huduma kwenye mtandao.

Vitu na Sifa

Kitu chochote ambacho Active Directory hufuata kinachukuliwa kuwa kitu. Tunaweza kusema kwa maneno rahisi kwamba hii ni katika Active Directory ni mtumiaji, mfumo, rasilimali au huduma yoyote. Neno la kawaida la kitu hutumiwa kwa sababu AD ina uwezo wa kufuatilia vipengele vingi, na vitu vingi vinaweza kushiriki sifa zinazofanana. Ina maana gani?

Sifa huelezea vitu vilivyo katika amilifu Saraka inayotumika Saraka, kwa mfano, vitu vyote vya mtumiaji hushiriki sifa za kuhifadhi jina la mtumiaji. Hii inatumika pia kwa maelezo yao. Mifumo pia ni vitu, lakini ina seti tofauti ya sifa zinazojumuisha jina la mwenyeji, anwani ya IP na eneo.

Seti ya sifa zinazopatikana kwa aina yoyote ya kitu inaitwa schema. Inafanya madarasa ya kitu kuwa tofauti kutoka kwa kila mmoja. Maelezo ya schema kwa kweli yamehifadhiwa katika Saraka Inayotumika. Kwamba tabia hii ya itifaki ya usalama ni muhimu sana inadhihirishwa na ukweli kwamba muundo huruhusu wasimamizi kuongeza sifa kwenye madarasa ya vitu na kuzisambaza kwenye mtandao kwenye pembe zote za kikoa bila kuanzisha upya vidhibiti vyovyote vya kikoa.

Chombo cha LDAP na jina

Chombo ni aina maalum ya kitu ambacho hutumiwa kupanga uendeshaji wa huduma. Haiwakilishi huluki halisi kama mtumiaji au mfumo. Badala yake, hutumiwa kujumuisha vipengele vingine. Vitu vya kontena vinaweza kuwekwa ndani ya vyombo vingine.

Kila kipengele katika AD kina jina. Hizi sio ambazo umezoea, kwa mfano, Ivan au Olga. Haya ni majina mashuhuri ya LDAP. Majina mahususi ya LDAP ni changamano, lakini yanakuruhusu kutambua kwa njia ya kipekee kitu chochote ndani ya saraka, bila kujali aina yake.

Mti wa masharti na tovuti

Neno mti hutumika kuelezea seti ya vitu katika Active Directory. Hii ni nini? Kwa maneno rahisi, hii inaweza kuelezewa kwa kutumia ushirika wa mti. Wakati vyombo na vitu vimeunganishwa kwa hierarkia, huwa na kuunda matawi - kwa hivyo jina. Neno linalohusiana ni mti mdogo unaoendelea, ambao unarejelea shina kuu la mti ambalo halijavunjika.

Kuendeleza sitiari, neno "msitu" linaelezea mkusanyiko ambao sio sehemu ya nafasi sawa ya majina, lakini ina mpango wa jumla, usanidi na katalogi ya kimataifa. Vipengee katika miundo hii vinapatikana kwa watumiaji wote ikiwa usalama unaruhusu. Mashirika yaliyogawanywa katika nyanja nyingi yanapaswa kuunganisha miti katika msitu mmoja.

Tovuti ni eneo la kijiografia lililofafanuliwa katika Saraka Inayotumika. Tovuti zinalingana na subneti za IP na, kwa hivyo, zinaweza kutumiwa na programu kupata seva iliyo karibu kwenye mtandao. Kutumia maelezo ya tovuti kutoka kwa Active Directory kunaweza kupunguza kwa kiasi kikubwa trafiki kwenye WAN.

Usimamizi wa Saraka Inayotumika

Kipengele cha kuingia cha Watumiaji wa Saraka Inayotumika. Hiki ndicho chombo kinachofaa zaidi cha kusimamia Active Directory. Inapatikana moja kwa moja kutoka kwa kikundi cha programu cha Zana za Utawala kwenye menyu ya Mwanzo. Inabadilisha na kuboresha Kidhibiti cha Seva na Kidhibiti cha Mtumiaji kutoka Windows NT 4.0.

Usalama

Saraka Inayotumika inacheza jukumu muhimu katika siku zijazo za mitandao ya Windows. Wasimamizi lazima waweze kulinda saraka zao dhidi ya wavamizi na watumiaji huku wakikabidhi kazi kwa wasimamizi wengine. Yote hii inawezekana kwa kutumia mfano Usalama Unatumika Saraka, ambayo inahusisha orodha ya udhibiti wa ufikiaji (ACL) na kila chombo na sifa ya kitu kwenye saraka.

Ngazi ya juu udhibiti huruhusu msimamizi kutoa watumiaji binafsi na vikundi vina viwango tofauti vya ruhusa kwa vitu na mali zao. Wanaweza hata kuongeza sifa kwa vitu na kuficha sifa hizo makundi fulani watumiaji. Kwa mfano, unaweza kuweka ACL ili wasimamizi pekee waweze kuona simu za nyumbani za watumiaji wengine.

Utawala uliokabidhiwa

Dhana mpya kwa Seva ya Windows 2000 imekabidhiwa usimamizi. Hii hukuruhusu kugawa kazi kwa watumiaji wengine bila kutoa haki za ziada ufikiaji. Utawala uliokabidhiwa unaweza kukabidhiwa kupitia vitu maalum au subtrees za saraka zilizo karibu. Ni mengi zaidi njia ya ufanisi kutoa mamlaka juu ya mitandao.

KATIKA mahali ambapo mtu amepewa haki zote za msimamizi wa kikoa cha kimataifa, mtumiaji anaweza tu kupewa ruhusa ndani ya mti mdogo mahususi. Active Directory hutumia urithi, kwa hivyo vitu vyovyote vipya vinarithi ACL ya kontena lao.

Neno "uhusiano wa uaminifu"

Neno "uhusiano wa uaminifu" bado linatumika, lakini lina utendaji tofauti. Hakuna tofauti kati ya amana za njia moja na mbili. Baada ya yote, mahusiano yote ya uaminifu ya Active Directory ni ya pande mbili. Zaidi ya hayo, zote ni za mpito. Kwa hivyo, ikiwa kikoa A kinaamini kikoa B, na B kinaamini C, basi kuna uhusiano wa moja kwa moja wa uaminifu kati ya kikoa A na kikoa C.

Ukaguzi katika Saraka Inayotumika - ni nini kwa maneno rahisi? Hiki ni kipengele cha usalama kinachokuruhusu kuamua ni nani anayejaribu kufikia vitu na jinsi jaribio limefanikiwa.

Kutumia DNS (Mfumo wa Jina la Kikoa)

Mfumo, unaojulikana kama DNS, ni muhimu kwa shirika lolote lililounganishwa kwenye Mtandao. DNS hutoa azimio la jina kati ya majina ya kawaida, kama vile mspress.microsoft.com, na anwani mbichi za IP ambazo vipengele vya safu ya mtandao hutumia kwa mawasiliano.

Active Directory hutumia sana teknolojia ya DNS kutafuta vitu. Haya ni mabadiliko makubwa kutoka kwa mifumo ya uendeshaji ya Windows ya awali, ambayo inahitaji majina ya NetBIOS kutatuliwa na anwani za IP na kutegemea WINS au mbinu zingine za utatuzi wa jina la NetBIOS.

Active Directory hufanya kazi vizuri zaidi inapotumiwa na seva za DNS zinazoendesha Windows 2000. Microsoft imerahisisha wasimamizi kuhamia kwenye seva za DNS za Windows 2000 kwa kutoa wachawi wa uhamiaji ambao humwongoza msimamizi katika mchakato huu.

Seva zingine za DNS zinaweza kutumika. Hata hivyo, hii itahitaji wasimamizi kutumia muda zaidi kudhibiti hifadhidata za DNS. Je, ni nuances gani? Ukichagua kutotumia seva za DNS zinazotumia Windows 2000, ni lazima uhakikishe kuwa seva zako za DNS zinatii itifaki mpya ya usasishaji inayobadilika ya DNS. Seva zinategemea sasisho la nguvu rekodi zako ili kupata vidhibiti vya kikoa. Sio vizuri. Baada ya yote, eIkiwa usasishaji unaobadilika hautumiki, lazima usasishe hifadhidata wewe mwenyewe.

Vikoa vya Windows na vikoa vya Mtandao sasa vinaendana kikamilifu. Kwa mfano, jina kama vile mspress.microsoft.com litatambua vidhibiti vya Active Directory vinavyohusika na kikoa, ili mteja yeyote aliye na ufikiaji wa DNS anaweza kupata kidhibiti cha kikoa.Wateja wanaweza kutumia ubora wa DNS kutafuta idadi yoyote ya huduma kwa sababu seva za Active Directory huchapisha orodha ya anwani kwenye DNS kwa kutumia vipengele vipya vya sasisho vinavyobadilika. Data hii inafafanuliwa kama kikoa na kuchapishwa kupitia rekodi za rasilimali za huduma. SRV RR kufuata umbizo kikoa.cha.itifaki.ya.huduma.

Seva za Saraka Inayotumika hutoa huduma ya LDAP kupangisha kitu, na LDAP hutumia TCP kama itifaki ya msingi kiwango cha usafiri. Kwa hivyo, mteja anayetafuta seva ya Saraka Inayotumika katika kikoa cha mspress.microsoft.com angetafuta Rekodi ya DNS kwa ldap.tcp.mspress.microsoft.com.

Katalogi ya ulimwengu

Active Directory hutoa katalogi ya kimataifa (GC) nahutoa chanzo kimoja cha kutafuta kitu chochote kwenye mtandao wa shirika.

Katalogi ya Ulimwenguni ni huduma katika Seva ya Windows 2000 ambayo inaruhusu watumiaji kupata vitu vyovyote ambavyo vimeshirikiwa. Utendaji huu ni bora zaidi kuliko programu ya Tafuta Kompyuta iliyojumuishwa nayo matoleo ya awali Windows. Baada ya yote, watumiaji wanaweza kutafuta kitu chochote katika Saraka Inayotumika: seva, vichapishaji, watumiaji na programu.

Active Directory - Huduma ya saraka ya Microsoft kwa OS Familia ya Windows N.T.

Huduma hii inaruhusu wasimamizi kutumia sera za kikundi ili kuhakikisha uthabiti katika mipangilio ya mtumiaji mazingira ya kazi, usakinishaji wa programu, masasisho, n.k.

Ni nini kiini cha Active Directory na inasuluhisha matatizo gani? Endelea kusoma.

Kanuni za kupanga mitandao ya rika-kwa-rika na mitandao ya rika nyingi

Lakini tatizo jingine linatokea, ni nini ikiwa mtumiaji2 kwenye PC2 anaamua kubadilisha nenosiri lake? Kisha ikiwa mtumiaji1 atabadilisha nenosiri la akaunti, mtumiaji2 kwenye PC1 hataweza kufikia rasilimali.

Mfano mwingine: tuna vituo 20 vya kazi vilivyo na akaunti 20 ambazo tunataka kutoa ufikiaji kwa fulani , kwa hili ni lazima tuunde akaunti 20 seva ya faili na kutoa ufikiaji wa rasilimali inayohitajika.

Je, ikiwa hakuna 20 lakini 200 kati yao?

Kama unavyoelewa, usimamizi wa mtandao kwa njia hii hubadilika kuwa kuzimu kabisa.

Kwa hiyo, mbinu ya kikundi cha kazi inafaa kwa ndogo mitandao ya ofisi na idadi ya PC si zaidi ya vitengo 10.

Ikiwa kuna vituo zaidi ya 10 vya kazi kwenye mtandao, mbinu ambayo nodi moja ya mtandao inakabidhiwa haki za kufanya uthibitishaji na uidhinishaji inakuwa halali.

Nodi hii ndio kidhibiti cha kikoa - Saraka Inayotumika.

Kidhibiti cha Kikoa

Mdhibiti huhifadhi hifadhidata ya akaunti, i.e. huhifadhi akaunti za PC1 na PC2.

Sasa akaunti zote zimesajiliwa mara moja kwenye mtawala, na haja ya akaunti za ndani inakuwa haina maana.

Sasa, wakati mtumiaji anaingia kwenye PC, akiingiza jina lake la mtumiaji na nenosiri, data hii inapitishwa kwa fomu ya kibinafsi kwa mtawala wa kikoa, ambayo hufanya taratibu za uthibitishaji na idhini.

Baadaye, mtawala hutoa mtumiaji ambaye ameingia kwenye kitu kama pasipoti, ambayo baadaye anafanya kazi kwenye mtandao na ambayo anawasilisha kwa ombi la kompyuta nyingine za mtandao, seva ambazo rasilimali anataka kuunganisha.

Muhimu! Kidhibiti cha kikoa ni kompyuta inayoendesha Saraka Inayotumika inayodhibiti ufikiaji wa mtumiaji kwa rasilimali za mtandao. Huhifadhi rasilimali (km vichapishi, folda zilizoshirikiwa), huduma (km barua pepe), watu (akaunti za vikundi vya watumiaji na watumiaji), kompyuta (akaunti za kompyuta).

Idadi ya rasilimali hizo zilizohifadhiwa zinaweza kufikia mamilioni ya vitu.

Matoleo yafuatayo ya MS Windows yanaweza kufanya kazi kama kidhibiti cha kikoa: Windows Server 2000/2003/2008/2012 isipokuwa Toleo la Wavuti.

Mdhibiti wa kikoa, pamoja na kuwa kituo cha uthibitishaji wa mtandao, pia ni kituo cha udhibiti wa kompyuta zote.

Mara baada ya kugeuka, kompyuta huanza kuwasiliana na mtawala wa kikoa, muda mrefu kabla ya dirisha la uthibitishaji kuonekana.

Kwa hivyo, sio tu mtumiaji anayeingia kuingia na nenosiri ni kuthibitishwa, lakini pia kompyuta ya mteja.

Inasakinisha Orodha Inayotumika

Hebu tuangalie mfano wa kusakinisha Active Directory kwenye Windows Server 2008 R2. Kwa hivyo, ili kusakinisha jukumu la Saraka inayotumika, nenda kwa "Meneja wa Seva":

Ongeza jukumu "Ongeza Majukumu":

Chagua jukumu la Huduma za Kikoa cha Saraka Inayotumika:

Na wacha tuanze ufungaji:

Baada ya hapo tunapokea dirisha la arifa kuhusu jukumu lililowekwa:

Baada ya kusakinisha jukumu la mtawala wa kikoa, hebu tuendelee kusakinisha kidhibiti yenyewe.

Bofya "Anza" kwenye uwanja wa utafutaji wa programu, ingiza jina la mchawi wa DCPromo, uzindua na uangalie kisanduku kwa mipangilio ya usakinishaji wa hali ya juu:

Bofya "Inayofuata" na uchague kuunda kikoa kipya na msitu kutoka kwa chaguo zinazotolewa.

Ingiza jina la kikoa, kwa mfano, example.net.

Tunaandika jina la kikoa cha NetBIOS, bila eneo:

Chagua kiwango cha utendaji cha kikoa chetu:

Kwa sababu ya upekee wa utendakazi wa kidhibiti cha kikoa, pia tunasakinisha seva ya DNS.