ไดเรกทอรีที่ใช้งานอยู่
ไดเรกทอรีที่ใช้งานอยู่(“ไดเรกทอรีที่ใช้งานอยู่”, ค.ศ) - แอลดีเอพี- การใช้งานร่วมกันได้ของบริการไดเร็กทอรีของบริษัท ไมโครซอฟต์สำหรับระบบปฏิบัติการของครอบครัว วินโดวส์เอ็นที. ไดเรกทอรีที่ใช้งานอยู่อนุญาตให้ผู้ดูแลระบบใช้นโยบายกลุ่มเพื่อให้แน่ใจว่ามีการกำหนดค่าสภาพแวดล้อมการทำงานของผู้ใช้ที่เหมือนกัน ปรับใช้ซอฟต์แวร์บนคอมพิวเตอร์หลายเครื่องผ่านนโยบายกลุ่มหรือผ่าน ตัวจัดการการกำหนดค่าระบบศูนย์(ก่อนหน้านี้ เซิร์ฟเวอร์การจัดการระบบ Microsoft) ติดตั้งการอัปเดตซอฟต์แวร์ระบบปฏิบัติการ แอปพลิเคชัน และเซิร์ฟเวอร์บนคอมพิวเตอร์ทุกเครื่องบนเครือข่ายโดยใช้ Update Service วินโดวส์เซิร์ฟเวอร์ . ไดเรกทอรีที่ใช้งานอยู่เก็บข้อมูลและการตั้งค่าสภาพแวดล้อมไว้ในฐานข้อมูลส่วนกลาง เครือข่าย ไดเรกทอรีที่ใช้งานอยู่อาจมี ขนาดต่างๆ: จากหลายสิบถึงหลายล้านวัตถุ
ผลงาน ไดเรกทอรีที่ใช้งานอยู่เกิดขึ้นในปี พ.ศ. 2542 โดยมีผลิตภัณฑ์ออกจำหน่ายครั้งแรกด้วย เซิร์ฟเวอร์วินโดวส์ 2000และได้รับการแก้ไขและปรับปรุงในภายหลังเมื่อมีการเผยแพร่ วินโดวส์เซิร์ฟเวอร์ 2003- ต่อมา ไดเรกทอรีที่ใช้งานอยู่ได้รับการปรับปรุงให้ดีขึ้นใน วินโดวส์เซิร์ฟเวอร์ 2003 R2, วินโดวส์เซิร์ฟเวอร์ 2008และ วินโดวส์เซิร์ฟเวอร์ 2008 R2และเปลี่ยนชื่อเป็น บริการโดเมน Active Directory- ก่อนหน้านี้มีการเรียกบริการไดเร็กทอรี บริการไดเรกทอรี NT (NTDS) ชื่อนี้ยังสามารถพบได้ในไฟล์ปฏิบัติการบางไฟล์
ไม่เหมือนเวอร์ชั่น หน้าต่างถึง วินโดว์ 2000ซึ่งใช้โปรโตคอลเป็นหลัก เน็ตไบออสสำหรับ เครือข่าย, บริการ ไดเรกทอรีที่ใช้งานอยู่บูรณาการกับ DNSและ ทีพีซี/ไอพี- โปรโตคอลการตรวจสอบความถูกต้องเริ่มต้นคือ เคอร์เบรอส- หากไคลเอ็นต์หรือแอปพลิเคชันไม่รองรับการตรวจสอบสิทธิ์ เคอร์เบรอสจะใช้โปรโตคอล NTLM .
อุปกรณ์
วัตถุ
ไดเรกทอรีที่ใช้งานอยู่มีโครงสร้างลำดับชั้นที่ประกอบด้วยวัตถุ ออบเจ็กต์แบ่งออกเป็นสามประเภทหลัก: ทรัพยากร (เช่น เครื่องพิมพ์) บริการ (เช่น อีเมล) และบัญชีผู้ใช้และคอมพิวเตอร์ ไดเรกทอรีที่ใช้งานอยู่ให้ข้อมูลเกี่ยวกับออบเจ็กต์ ช่วยให้คุณสามารถจัดระเบียบออบเจ็กต์ ควบคุมการเข้าถึงออบเจ็กต์ และยังสร้างกฎความปลอดภัยอีกด้วย
ออบเจ็กต์สามารถเป็นคอนเทนเนอร์สำหรับออบเจ็กต์อื่นๆ (กลุ่มความปลอดภัยและการกระจาย) ออบเจ็กต์จะถูกระบุโดยไม่ซ้ำกันด้วยชื่อของมัน และมีชุดคุณลักษณะ เช่น ลักษณะและข้อมูล ที่สามารถมีได้ ในทางกลับกันก็ขึ้นอยู่กับประเภทของวัตถุ คุณลักษณะจะสร้างพื้นฐานของโครงสร้างของออบเจ็กต์และถูกกำหนดไว้ในสคีมา สคีมาจะกำหนดประเภทของออบเจ็กต์ที่สามารถมีอยู่ได้
สคีมานั้นประกอบด้วยอ็อบเจ็กต์สองประเภท: อ็อบเจ็กต์คลาสสคีมา และอ็อบเจ็กต์แอตทริบิวต์สคีมา ออบเจ็กต์คลาสสคีมาหนึ่งรายการกำหนดประเภทออบเจ็กต์หนึ่งประเภท ไดเรกทอรีที่ใช้งานอยู่(เช่นวัตถุผู้ใช้) และวัตถุแอตทริบิวต์สคีมาหนึ่งตัวกำหนดคุณลักษณะที่วัตถุสามารถมีได้
แต่ละอ็อบเจ็กต์แอ็ตทริบิวต์สามารถใช้ได้ในอ็อบเจ็กต์คลาสสคีมาที่แตกต่างกันหลายอัน ออบเจ็กต์เหล่านี้เรียกว่าออบเจ็กต์สคีมา (หรือข้อมูลเมตา) และช่วยให้คุณสามารถเปลี่ยนแปลงและขยายสคีมาได้ตามต้องการ อย่างไรก็ตาม ทุกออบเจ็กต์สคีมาเป็นส่วนหนึ่งของคำจำกัดความของออบเจ็กต์ ไดเรกทอรีที่ใช้งานอยู่ดังนั้นการปิดใช้งานหรือการเปลี่ยนแปลงวัตถุเหล่านี้อาจส่งผลร้ายแรง เนื่องจากผลของการกระทำเหล่านี้ โครงสร้างจะเปลี่ยนไป ไดเรกทอรีที่ใช้งานอยู่- การเปลี่ยนแปลงกับออบเจ็กต์สคีมาจะถูกเผยแพร่โดยอัตโนมัติ ไดเรกทอรีที่ใช้งานอยู่- เมื่อสร้างแล้ว วัตถุสคีมาจะไม่สามารถลบได้ แต่สามารถปิดใช้งานได้เท่านั้น โดยทั่วไปแล้ว การเปลี่ยนแปลงสคีมาทั้งหมดจะมีการวางแผนอย่างรอบคอบ
คอนเทนเนอร์คล้ายกัน วัตถุในแง่ที่ว่ามันมีคุณสมบัติและเป็นของเนมสเปซด้วย แต่ไม่เหมือนกับอ็อบเจ็กต์ คอนเทนเนอร์ไม่ได้หมายถึงสิ่งที่เฉพาะเจาะจง: มันสามารถประกอบด้วยกลุ่มของอ็อบเจ็กต์หรือคอนเทนเนอร์อื่น ๆ
โครงสร้าง
ระดับบนสุดของโครงสร้างคือฟอเรสต์ - การรวบรวมออบเจ็กต์ คุณลักษณะ และกฎทั้งหมด (ไวยากรณ์ของแอตทริบิวต์) ใน ไดเรกทอรีที่ใช้งานอยู่- ป่าประกอบด้วยต้นไม้ตั้งแต่หนึ่งต้นขึ้นไปที่เชื่อมต่อกันด้วยสกรรมกริยา ความสัมพันธ์ของความไว้วางใจ - แผนภูมิประกอบด้วยโดเมนตั้งแต่หนึ่งโดเมนขึ้นไป ซึ่งเชื่อมโยงเข้ากับลำดับชั้นด้วยความสัมพันธ์ที่เชื่อถือได้แบบสกรรมกริยา โดเมนจะถูกระบุโดยโครงสร้างชื่อ DNS - เนมสเปซ
ออบเจ็กต์ในโดเมนสามารถจัดกลุ่มเป็นคอนเทนเนอร์ได้ - การแบ่ง แผนกช่วยให้คุณสร้างลำดับชั้นภายในโดเมน ลดความซับซ้อนในการดูแลระบบ และอนุญาตให้คุณสร้างแบบจำลองโครงสร้างองค์กรและ/หรือภูมิศาสตร์ของบริษัทใน ไดเรกทอรีที่ใช้งานอยู่- ดิวิชั่นอาจมีดิวิชั่นอื่นๆ บริษัท ไมโครซอฟต์แนะนำให้ใช้ให้มากที่สุด โดเมนน้อยลงวี ไดเรกทอรีที่ใช้งานอยู่และใช้การแบ่งฝ่ายเพื่อกำหนดโครงสร้างและนโยบาย นโยบายกลุ่มมักจะใช้กับแผนกต่างๆ โดยเฉพาะ นโยบายกลุ่มเป็นวัตถุของตัวเอง มีการแบ่งแยกมากที่สุด ระดับต่ำซึ่งสามารถมอบอำนาจการบริหารได้
การแบ่งอีกวิธีหนึ่ง ไดเรกทอรีที่ใช้งานอยู่เป็น เว็บไซต์ ซึ่งเป็นวิธีการจัดกลุ่มทางกายภาพ (แทนที่จะเป็นเชิงตรรกะ) ตามส่วนของเครือข่าย ไซต์แบ่งออกเป็นไซต์ที่มีการเชื่อมต่อผ่านช่องทางความเร็วต่ำ (เช่น ผ่านช่องทางเครือข่ายทั่วโลก การใช้เครือข่ายส่วนตัวเสมือน) และผ่านช่องทางความเร็วสูง (เช่น ผ่านเครือข่ายท้องถิ่น) เว็บไซต์สามารถมีได้ตั้งแต่หนึ่งโดเมนขึ้นไป และโดเมนสามารถมีเว็บไซต์ได้ตั้งแต่หนึ่งเว็บไซต์ขึ้นไป เมื่อออกแบบ ไดเรกทอรีที่ใช้งานอยู่สิ่งสำคัญคือต้องพิจารณาการรับส่งข้อมูลเครือข่ายที่สร้างขึ้นเมื่อมีการซิงโครไนซ์ข้อมูลระหว่างไซต์
การตัดสินใจออกแบบที่สำคัญ ไดเรกทอรีที่ใช้งานอยู่คือการตัดสินใจแบ่งโครงสร้างพื้นฐานข้อมูลออกเป็นโดเมนและแผนกตามลำดับชั้น ระดับบนสุด- โมเดลทั่วไปที่ใช้สำหรับการแยกดังกล่าวคือแบบจำลองการแยกตามแผนกงานของบริษัท ตามที่ตั้งทางภูมิศาสตร์ และตามบทบาทในโครงสร้างพื้นฐานข้อมูลของบริษัท มักใช้การผสมผสานของรุ่นเหล่านี้
โครงสร้างทางกายภาพและการจำลองแบบ
ในเชิงกายภาพ ข้อมูลจะถูกจัดเก็บไว้ในตัวควบคุมโดเมนที่เทียบเท่าตั้งแต่หนึ่งตัวขึ้นไป โดยแทนที่ตัวควบคุมโดเมนที่ใช้ วินโดวส์เอ็นทีตัวควบคุมโดเมนหลักและสำรอง แม้ว่าเซิร์ฟเวอร์ที่เรียกว่า "การดำเนินการหลักเดียว" จะยังคงอยู่สำหรับการดำเนินการบางอย่าง ซึ่งสามารถจำลองตัวควบคุมโดเมนหลักได้ ตัวควบคุมโดเมนแต่ละตัวจะรักษาสำเนาข้อมูลแบบอ่าน-เขียน การเปลี่ยนแปลงที่ทำบนตัวควบคุมตัวเดียวจะถูกซิงโครไนซ์กับตัวควบคุมโดเมนทั้งหมดผ่านการจำลองแบบ เซิร์ฟเวอร์ที่ใช้บริการนั้นเอง ไดเรกทอรีที่ใช้งานอยู่ไม่ได้ติดตั้ง แต่เป็นส่วนหนึ่งของโดเมน ไดเรกทอรีที่ใช้งานอยู่เรียกว่าเซิร์ฟเวอร์สมาชิก
การจำลองแบบ ไดเรกทอรีที่ใช้งานอยู่ดำเนินการเมื่อมีการร้องขอ บริการ ตัวตรวจสอบความสอดคล้องของความรู้สร้างโทโพโลยีการจำลองแบบที่ใช้ไซต์ที่กำหนดไว้ในระบบเพื่อควบคุมการรับส่งข้อมูล การจำลองแบบภายในไซต์เกิดขึ้นบ่อยครั้งและโดยอัตโนมัติโดยใช้ตัวตรวจสอบความสอดคล้องกัน (แจ้งให้พันธมิตรการจำลองแบบทราบถึงการเปลี่ยนแปลง) การจำลองแบบข้ามไซต์สามารถกำหนดค่าได้สำหรับแต่ละช่องทางของไซต์ (ขึ้นอยู่กับคุณภาพของช่องทาง) - สามารถกำหนด "คะแนน" (หรือ "ต้นทุน") ที่แตกต่างกันให้กับแต่ละช่องทางได้ (เช่น ดีเอส3, , ไอเอสดีเอ็นฯลฯ) และการรับส่งข้อมูลการจำลองจะถูกจำกัด กำหนดเวลา และกำหนดเส้นทางตามการประมาณการลิงก์ที่กำหนด ข้อมูลการจำลองแบบสามารถไหลผ่านหลายไซต์ผ่านทางบริดจ์ลิงก์ไซต์ หาก "คะแนน" ต่ำ แม้ว่า AD จะกำหนดเพิ่มเติมโดยอัตโนมัติ คะแนนต่ำสำหรับการเชื่อมต่อระหว่างไซต์ถึงไซต์มากกว่าการเชื่อมต่อแบบสกรรมกริยา การจำลองแบบไซต์ต่อไซต์จะดำเนินการโดยเซิร์ฟเวอร์บริดจ์เฮดในแต่ละไซต์ ซึ่งจำลองการเปลี่ยนแปลงไปยังตัวควบคุมโดเมนแต่ละตัวในไซต์ของตนแล้ว การจำลองแบบภายในโดเมนเป็นไปตามโปรโตคอล อาร์พีซีตามระเบียบการ ไอพี, อินเตอร์โดเมน - สามารถใช้โปรโตคอลได้เช่นกัน SMTP.
ถ้าเป็นโครงสร้าง ไดเรกทอรีที่ใช้งานอยู่มีหลายโดเมน ใช้เพื่อแก้ปัญหาการค้นหาวัตถุ แคตตาล็อกทั่วโลก: ตัวควบคุมโดเมนที่มีวัตถุทั้งหมดในฟอเรสต์ แต่มีชุดคุณลักษณะที่จำกัด (แบบจำลองบางส่วน) แค็ตตาล็อกถูกจัดเก็บไว้ในเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางที่ระบุ และให้บริการคำขอข้ามโดเมน
ความสามารถของโฮสต์เดียวช่วยให้สามารถประมวลผลคำร้องขอได้เมื่อไม่สามารถจำลองแบบหลายโฮสต์ได้ การดำเนินการดังกล่าวมีห้าประเภท: การจำลองตัวควบคุมโดเมนหลัก (โปรแกรมจำลอง PDC), ต้นแบบตัวระบุแบบสัมพันธ์ (ต้นแบบตัวระบุแบบสัมพันธ์หรือต้นแบบ RID), ต้นแบบโครงสร้างพื้นฐาน (ต้นแบบโครงสร้างพื้นฐาน), ต้นแบบสคีมา (ต้นแบบสคีมา) และต้นแบบการตั้งชื่อโดเมน (domain ตัวช่วยสร้างการตั้งชื่อ) บทบาทสามบทบาทแรกไม่ซ้ำกันภายในโดเมน สองบทบาทสุดท้ายไม่ซ้ำกันภายในฟอเรสต์ทั้งหมด
ฐาน ไดเรกทอรีที่ใช้งานอยู่สามารถแบ่งออกเป็นสามร้านค้าตรรกะหรือ "พาร์ติชัน" แผนภาพเป็นแม่แบบสำหรับ ไดเรกทอรีที่ใช้งานอยู่และกำหนดประเภทของออบเจ็กต์ทุกประเภท คลาสและคุณลักษณะ ไวยากรณ์ของแอตทริบิวต์ (ทรีทั้งหมดอยู่ในฟอเรสต์เดียวกันเนื่องจากมีสคีมาเหมือนกัน) ลักษณะเป็นโครงสร้างของป่าไม้และต้นไม้ ไดเรกทอรีที่ใช้งานอยู่- โดเมนจัดเก็บข้อมูลทั้งหมดเกี่ยวกับวัตถุที่สร้างขึ้นในโดเมนนั้น ร้านค้าสองแห่งแรกถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมดในฟอเรสต์ พาร์ติชันที่สามถูกจำลองแบบอย่างสมบูรณ์ระหว่างตัวควบคุมแบบจำลองภายในแต่ละโดเมน และจำลองแบบบางส่วนไปยังเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง
การตั้งชื่อ
ไดเรกทอรีที่ใช้งานอยู่รองรับรูปแบบการตั้งชื่อวัตถุต่อไปนี้: ชื่อประเภททั่วไป ยูเอ็นซี, URLและ URL ของ LDAP- เวอร์ชัน แอลดีเอพีรูปแบบการตั้งชื่อ X.500 ที่ใช้ภายใน ไดเรกทอรีที่ใช้งานอยู่.
แต่ละวัตถุมี ชื่อที่โดดเด่น (ภาษาอังกฤษ) ชื่อที่โดดเด่น, ดีเอ็น- ตัวอย่างเช่น วัตถุเครื่องพิมพ์ชื่อ HPLaser3ใน Marketing OU และในโดเมน foo.org จะมีชื่อเฉพาะต่อไปนี้: CN=HPLaser3,OU=Marketing,DC=foo,DC=org โดยที่ CN คือชื่อทั่วไป, OU คือส่วน, DC คือโดเมน คลาสอ็อบเจ็กต์ ชื่อเฉพาะสามารถมีได้หลายส่วนมากกว่าสี่ส่วนในตัวอย่างนี้ ออบเจ็กต์ยังมีชื่อตามรูปแบบบัญญัติด้วย ชื่อเหล่านี้เป็นชื่อเฉพาะที่เขียนในลำดับย้อนกลับ โดยไม่มีตัวระบุ และใช้เครื่องหมายทับเป็นตัวคั่น: foo.org/Marketing/HPLaser3 หากต้องการกำหนดวัตถุภายในคอนเทนเนอร์ให้ใช้ ชื่อเด่นญาติ : CN=HPLaser3 . แต่ละออบเจ็กต์ยังมีตัวระบุที่ไม่ซ้ำกันทั่วโลก ( แนวทาง) เป็นสตริง 128 บิตที่ไม่ซ้ำใครและไม่เปลี่ยนรูปที่ใช้ ไดเรกทอรีที่ใช้งานอยู่สำหรับการค้นหาและการจำลองแบบ วัตถุบางอย่างยังมี UPN ( ยูพีเอ็นตาม อาร์เอฟซี 822) ในรูปแบบ object@domain
การรวมระบบยูนิกซ์
ระดับต่างๆ ของการโต้ตอบด้วย ไดเรกทอรีที่ใช้งานอยู่สามารถนำไปปฏิบัติได้เป็นส่วนใหญ่ ยูนิกซ์-เหมือนระบบปฏิบัติการผ่านมาตรฐาน แอลดีเอพีลูกค้า แต่ตามกฎแล้วระบบดังกล่าวไม่รับรู้ถึงคุณลักษณะส่วนใหญ่ที่เกี่ยวข้องกับส่วนประกอบต่างๆ หน้าต่างเช่นนโยบายกลุ่มและการสนับสนุนหนังสือมอบอำนาจแบบทางเดียว
ผู้จำหน่ายบุคคลที่สามเสนอการผสานรวม ไดเรกทอรีที่ใช้งานอยู่บนแพลตฟอร์ม ยูนิกซ์, รวมทั้ง ยูนิกซ์, ลินุกซ์, แมค โอเอส เอ็กซ์และแอปพลิเคชั่นจำนวนหนึ่งตาม ชวาพร้อมแพ็คเกจผลิตภัณฑ์:
มีการเพิ่มสคีมาด้วย วินโดวส์เซิร์ฟเวอร์ 2003 R2รวมคุณลักษณะที่เกี่ยวข้องมากพอกับ RFC 2307 ที่จะใช้โดยทั่วไป เสนอการใช้งานพื้นฐานของ RFC 2307, nss_ldap และ pam_ldap PADL.comสนับสนุนคุณลักษณะเหล่านี้โดยตรง รูปแบบมาตรฐานสำหรับการเป็นสมาชิกกลุ่มเป็นไปตาม RFC 2307bis (ที่เสนอ) วินโดวส์เซิร์ฟเวอร์ 2003 R2รวม Microsoft Management Console สำหรับการสร้างและแก้ไขแอตทริบิวต์
อีกทางเลือกหนึ่งคือการใช้บริการไดเรกทอรีอื่น เช่น เซิร์ฟเวอร์ไดเรกทอรี 389(ก่อนหน้านี้ เซิร์ฟเวอร์ไดเรกทอรี Fedora, เอฟดีเอส), eB2Bcom ViewDS เวอร์ชัน 7.1 ไดเรกทอรีที่เปิดใช้งาน XMLหรือ เซิร์ฟเวอร์ไดเรกทอรีระบบ Sun Javaจาก ซัน ไมโครซิสเต็มส์ซึ่งดำเนินการซิงโครไนซ์สองทางด้วย ไดเรกทอรีที่ใช้งานอยู่จึงตระหนักถึงการบูรณาการแบบ "สะท้อน" เมื่อลูกค้า ยูนิกซ์และ ลินุกซ์ได้รับการรับรองความถูกต้อง เอฟดีเอสและลูกค้า หน้าต่างได้รับการรับรองความถูกต้อง ไดเรกทอรีที่ใช้งานอยู่- อีกทางเลือกหนึ่งคือการใช้ OpenLDAPด้วยความสามารถในการซ้อนทับแบบโปร่งแสงขยายองค์ประกอบเซิร์ฟเวอร์ระยะไกล แอลดีเอพีคุณลักษณะเพิ่มเติมที่จัดเก็บไว้ในฐานข้อมูลท้องถิ่น
ไดเรกทอรีที่ใช้งานอยู่เป็นแบบอัตโนมัติโดยใช้ พาวเวอร์เชลล์ .
วรรณกรรม
- แรนด์ โมริโมโตะ, เคนตัน การ์ดิเนียร์, ไมเคิล โนเอล, โจ โคคา ไมโครซอฟต์เอ็กซ์เชนจ์เซิร์ฟเวอร์ 2003. คู่มือฉบับสมบูรณ์ = เปิดตัว Microsoft Exchange Server 2003- - อ.: “วิลเลียมส์”, 2549. - หน้า 1024. - ISBN 0-672-32581-0
ดูเพิ่มเติม
ลิงค์
หมายเหตุ
| คอมโพเนนต์ของ Microsoft Windows | |
|---|---|
| ขั้นพื้นฐาน | |
| บริการ การจัดการ |
|
| การใช้งาน |
ผู้ติดต่อเครื่องเล่นดีวีดี แฟกซ์และการสแกน อินเทอร์เน็ตเอ็กซ์พลอเรอร์นิตยสาร แว่นขยาย มีเดียเซ็นเตอร์ วินโดว์มีเดียเพลเยอร์ โครงการความร่วมมือ ศูนย์อุปกรณ์ วินโดวส์โมบาย ศูนย์การเคลื่อนไหวผู้บรรยาย ระบายสี เครื่องมือแก้ไขสัญลักษณ์ส่วนบุคคล ความช่วยเหลือระยะไกล การรู้จำเสียงเวิร์ดแพด โน๊ตบุ๊ค แถบด้านข้าง การบันทึกเสียงปฏิทิน เครื่องคิดเลข กรรไกร จดหมาย ตารางสัญลักษณ์ ประวัติศาสตร์: โปรแกรมสร้างภาพยนตร์ เน็ตมีทติ้ง เอาท์ลุค เอ็กซ์เพรส ผู้จัดการโปรแกรม ตัวจัดการไฟล์ อัลบั้มรูป |
| เกมส์ | |
| เคอร์เนลระบบปฏิบัติการ | |
| บริการ | |
| ไฟล์ ระบบ |
|
| เซิร์ฟเวอร์ |
ไดเรกทอรีที่ใช้งานอยู่ บริการปรับใช้ บริการการจำลองแบบไฟล์โดเมน DNS การเปลี่ยนเส้นทางโฟลเดอร์ MSMQ บริการสื่อ Hyper-V IIS การป้องกันการเข้าถึงเครือข่าย (NAP) บริการการพิมพ์สำหรับ UNIX การบีบอัดส่วนต่างระยะไกล บริการติดตั้งระยะไกล บริการการจัดการสิทธิ์ โปรไฟล์ผู้ใช้โรมมิ่ง แชร์พอร์ต ผู้จัดส่ง ทรัพยากรระบบ เดสก์ท็อประยะไกลสสส นโยบายกลุ่ม ผู้ประสานงานธุรกรรมแบบกระจาย |
| สถาปัตยกรรม | |
| ความปลอดภัย | |
| ความเข้ากันได้ | |
| ไมโครซอฟต์ | ||
|---|---|---|
| โดย | ||
| ซอฟต์แวร์เซิร์ฟเวอร์ | ||
| เทคโนโลยี | ||
| อินเทอร์เน็ต | ||
| เกมส์ | ||
| ฮาร์ดแวร์ ความปลอดภัย |
||
| การศึกษา | ||
| การออกใบอนุญาต | ||
| ดิวิชั่น | ||
โดเมนคือหน่วยการดูแลระบบขั้นพื้นฐาน โครงสร้างพื้นฐานเครือข่ายองค์กรซึ่งรวมถึงออบเจ็กต์เครือข่ายทั้งหมด เช่น ผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ การแบ่งปัน ฯลฯ คอลเลกชัน (ลำดับชั้น) ของโดเมนเรียกว่าฟอเรสต์ แต่ละบริษัทสามารถมีโดเมนภายนอกและภายในได้
ตัวอย่างเช่น เว็บไซต์คือโดเมนภายนอกบนอินเทอร์เน็ตที่ซื้อจากผู้รับจดทะเบียนชื่อ โดเมนนี้โฮสต์เว็บไซต์และเซิร์ฟเวอร์อีเมลของเรา lankey.local เป็นโดเมนภายในของบริการไดเรกทอรี Active Directory ที่โฮสต์บัญชีสำหรับผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ เซิร์ฟเวอร์ และแอปพลิเคชันขององค์กร บางครั้งทั้งภายนอกและภายใน ชื่อโดเมนทำให้พวกเขาเหมือนกัน
Microsoft Active Directory ได้กลายเป็นมาตรฐานสำหรับระบบไดเรกทอรีรวมขององค์กร โดเมนที่ใช้ Active Directory ได้รับการปรับใช้ในเกือบทุกบริษัทในโลก และ Microsoft แทบไม่มีคู่แข่งเหลืออยู่ในตลาดนี้ ส่วนแบ่งของ Novell Directory Service (NDS) เดียวกันนั้นมีน้อยมาก และบริษัทที่เหลือก็ค่อยๆ ย้ายไปที่ ไดเรกทอรีที่ใช้งานอยู่
Active Directory (Directory Service) เป็นฐานข้อมูลแบบกระจายที่มีออบเจ็กต์ทั้งหมดในโดเมน สภาพแวดล้อมโดเมน Active Directory ให้การรับรองความถูกต้องและการอนุญาตจุดเดียวสำหรับผู้ใช้และแอปพลิเคชันทั่วทั้งองค์กร การสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กรเริ่มต้นขึ้นด้วยการจัดโดเมนและการปรับใช้ Active Directory ฐานข้อมูล Active Directory ถูกจัดเก็บไว้ในเซิร์ฟเวอร์เฉพาะ – ตัวควบคุมโดเมน Active Directory เป็นบทบาทการทำงานของเซิร์ฟเวอร์ ระบบไมโครซอฟต์วินโดวส์เซิร์ฟเวอร์ ปัจจุบัน LanKey กำลังใช้งานโดเมน Active Directory บนระบบปฏิบัติการ Windows Server 2008 R2
การปรับใช้ Active Directory บนเวิร์กกรุ๊ปให้ประโยชน์ดังต่อไปนี้:
- การรับรองความถูกต้องจุดเดียว เมื่อคอมพิวเตอร์ทำงานในเวิร์กกรุ๊ป คอมพิวเตอร์แต่ละเครื่องจะไม่มีฐานข้อมูลผู้ใช้ของตัวเอง ดังนั้น ตามค่าเริ่มต้น ไม่มีผู้ใช้รายใดที่มีการเข้าถึงเครือข่ายไปยังคอมพิวเตอร์หรือเซิร์ฟเวอร์ของผู้ใช้รายอื่น และอย่างที่คุณทราบ จุดประสงค์ของเครือข่ายคือเพื่อให้ผู้ใช้สามารถโต้ตอบได้อย่างแม่นยำ พนักงานจำเป็นต้องแชร์เอกสารหรือใบสมัคร ในเวิร์กกรุ๊ป คุณจะต้องเพิ่มด้วยตนเองในคอมพิวเตอร์หรือเซิร์ฟเวอร์แต่ละเครื่อง รายการทั้งหมดผู้ใช้ที่ต้องการการเข้าถึงเครือข่าย หากจู่ๆ พนักงานคนใดคนหนึ่งต้องการเปลี่ยนรหัสผ่าน ก็จะต้องเปลี่ยนรหัสผ่านในคอมพิวเตอร์และเซิร์ฟเวอร์ทุกเครื่อง เป็นการดีถ้าเครือข่ายประกอบด้วยคอมพิวเตอร์ 10 เครื่อง แต่หากมี 100 หรือ 1,000 เครื่องก็จะยอมรับการใช้เวิร์กกรุ๊ปไม่ได้ เมื่อใช้โดเมน Active Directory บัญชีผู้ใช้ทั้งหมดจะถูกจัดเก็บไว้ในฐานข้อมูลเดียว และคอมพิวเตอร์ทุกเครื่องจะมองหาการอนุญาต ผู้ใช้โดเมนทั้งหมดจะรวมอยู่ในกลุ่มที่เหมาะสม เช่น “การบัญชี” “ทรัพยากรบุคคล” “ฝ่ายการเงิน” เป็นต้น การตั้งค่าการอนุญาตสำหรับบางกลุ่มเพียงครั้งเดียวก็เพียงพอแล้ว และผู้ใช้ทุกคนจะสามารถเข้าถึงเอกสารและแอปพลิเคชันได้อย่างเหมาะสม หากมีพนักงานใหม่เข้าร่วมบริษัท บัญชีจะถูกสร้างขึ้นให้เขาซึ่งรวมอยู่ในกลุ่มที่เหมาะสม เท่านี้ก็เรียบร้อย! หลังจากนั้นไม่กี่นาที พนักงานใหม่จะสามารถเข้าถึงทรัพยากรเครือข่ายทั้งหมดที่เขาควรได้รับอนุญาตให้เข้าถึง บนเซิร์ฟเวอร์และคอมพิวเตอร์ทุกเครื่อง หากพนักงานลาออก การบล็อกหรือลบบัญชีของเขาก็เพียงพอแล้ว และเขาจะสูญเสียการเข้าถึงคอมพิวเตอร์ เอกสาร และแอปพลิเคชันทั้งหมดทันที
- การจัดการนโยบายจุดเดียว ในเครือข่ายเพียร์ทูเพียร์ (เวิร์กกรุ๊ป) คอมพิวเตอร์ทุกเครื่องมีสิทธิ์เท่าเทียมกัน ไม่มีคอมพิวเตอร์เครื่องใดสามารถควบคุมอีกเครื่องได้ คอมพิวเตอร์ทุกเครื่องได้รับการกำหนดค่าต่างกัน และเป็นไปไม่ได้ที่จะตรวจสอบการปฏิบัติตามนโยบายที่เหมือนกันหรือกฎความปลอดภัย เมื่อใช้ Active Directory เดียว ผู้ใช้และคอมพิวเตอร์ทั้งหมดจะมีการกระจายตามลำดับชั้นไปยังหน่วยขององค์กร ซึ่งแต่ละแห่งอยู่ภายใต้นโยบายกลุ่มเดียวกัน นโยบายอนุญาตให้คุณตั้งค่าการตั้งค่าแบบเดียวกันและการตั้งค่าความปลอดภัยสำหรับกลุ่มคอมพิวเตอร์และผู้ใช้ เมื่อมีการเพิ่มคอมพิวเตอร์หรือผู้ใช้ใหม่ในโดเมน ระบบจะได้รับการตั้งค่าที่สอดคล้องกับมาตรฐานองค์กรที่ยอมรับโดยอัตโนมัติ นอกจากนี้ เมื่อใช้นโยบาย คุณสามารถมอบหมายให้กับผู้ใช้จากส่วนกลางได้ เครื่องพิมพ์เครือข่าย, ติดตั้งแอปพลิเคชันที่จำเป็น, ตั้งค่าความปลอดภัยอินเทอร์เน็ตเบราว์เซอร์, กำหนดค่าแอปพลิเคชัน ไมโครซอฟต์ ออฟฟิศฯลฯ
- บูรณาการกับ แอปพลิเคชันระดับองค์กรและอุปกรณ์ ข้อได้เปรียบที่สำคัญของ Active Directory คือการปฏิบัติตามมาตรฐาน LDAP ซึ่งได้รับการสนับสนุนโดยแอปพลิเคชันหลายร้อยรายการ เช่น เมลเซิร์ฟเวอร์(Exchange, Lotus, Mdaemon), ระบบ ERP (Dynamics, CRM), พร็อกซีเซิร์ฟเวอร์ (ISA Server, Squid) ฯลฯ และสิ่งเหล่านี้ไม่ได้เป็นเพียงแอพพลิเคชั่นสำหรับ ไมโครซอฟต์ วินโดวส์แต่ยังรวมถึงเซิร์ฟเวอร์ที่ใช้ Linux ด้วย ข้อดีของการรวมระบบดังกล่าวคือผู้ใช้ไม่จำเป็นต้องจำข้อมูลเข้าสู่ระบบและรหัสผ่านจำนวนมากเพื่อเข้าถึงแอปพลิเคชันเฉพาะ ในทุกแอปพลิเคชัน ผู้ใช้มีข้อมูลประจำตัวเดียวกัน เนื่องจาก การรับรองความถูกต้องเกิดขึ้นใน Active Directory เดียว นอกจากนี้พนักงานไม่จำเป็นต้องป้อนชื่อผู้ใช้และรหัสผ่านหลายครั้งเมื่อสตาร์ทคอมพิวเตอร์ก็เพียงพอแล้วและในอนาคตผู้ใช้จะได้รับการรับรองความถูกต้องโดยอัตโนมัติในแอปพลิเคชันทั้งหมด Windows Server จัดเตรียมโปรโตคอล RADIUS สำหรับการทำงานร่วมกับ Active Directory ซึ่งได้รับการสนับสนุนโดยอุปกรณ์เครือข่ายจำนวนมาก ด้วยวิธีนี้ คุณสามารถทำการตรวจสอบสิทธิ์สำหรับผู้ใช้โดเมนเมื่อเชื่อมต่อ เป็นต้น เราเตอร์ของซิสโก้ผ่านทาง VPN
- พื้นที่เก็บข้อมูลการกำหนดค่าแอปพลิเคชันแบบรวม แอปพลิเคชันบางตัวจัดเก็บการกำหนดค่าไว้ใน Active Directory เช่น Exchange Server หรือ Office Communications Server การปรับใช้บริการไดเรกทอรี Active Directory ถือเป็นข้อกำหนดเบื้องต้นสำหรับแอปพลิเคชันเหล่านี้ในการทำงาน คุณยังสามารถจัดเก็บการกำหนดค่าเซิร์ฟเวอร์ชื่อโดเมน DNS ไว้ในบริการไดเร็กทอรีได้ การจัดเก็บการกำหนดค่าแอปพลิเคชันในบริการไดเร็กทอรีให้ประโยชน์ด้านความยืดหยุ่นและความน่าเชื่อถือ ตัวอย่างเช่น ในกรณีที่เซิร์ฟเวอร์ Exchange ล้มเหลวโดยสมบูรณ์ การกำหนดค่าทั้งหมดจะยังคงอยู่เหมือนเดิม เนื่องจาก เก็บไว้ใน Active Directory และหากต้องการคืนค่าฟังก์ชันการทำงานของเมลองค์กรก็เพียงพอแล้วที่จะติดตั้งใหม่ เซิร์ฟเวอร์แลกเปลี่ยนในโหมดการกู้คืน
- เพิ่มระดับความปลอดภัยของข้อมูล การใช้ Active Directory จะเพิ่มระดับความปลอดภัยของเครือข่ายอย่างมาก ประการแรก มันเป็นที่เก็บข้อมูลบัญชีเดียวและปลอดภัย ในเครือข่ายแบบเพียร์ทูเพียร์ ข้อมูลรับรองผู้ใช้จะถูกจัดเก็บไว้ในฐานข้อมูลบัญชีท้องถิ่น (SAM) ซึ่งสามารถถูกแฮ็กในทางทฤษฎีได้โดยการครอบครองคอมพิวเตอร์ ในสภาพแวดล้อมของโดเมน รหัสผ่านทั้งหมด ผู้ใช้โดเมนจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ตัวควบคุมโดเมนเฉพาะ ซึ่งโดยปกติจะได้รับการปกป้องจากการเข้าถึงจากภายนอก ประการที่สอง เมื่อใช้สภาพแวดล้อมโดเมน โปรโตคอล Kerberos จะใช้สำหรับการตรวจสอบสิทธิ์ซึ่งมีความปลอดภัยมากกว่า NTLM ซึ่งใช้ในกลุ่มงานมาก หรือคุณสามารถใช้ การรับรองความถูกต้องด้วยสองปัจจัยการใช้สมาร์ทการ์ด เหล่านั้น. เพื่อให้พนักงานสามารถเข้าถึงคอมพิวเตอร์ได้ เขาจะต้องป้อนข้อมูลเข้าสู่ระบบและรหัสผ่าน รวมทั้งใส่สมาร์ทการ์ดด้วย
ความสามารถในการปรับขนาดและความยืดหยุ่นของ Active Directory
บริการไดเรกทอรี Microsoft Active Directory สามารถปรับขนาดได้สูง สามารถสร้างอ็อบเจ็กต์ได้มากกว่า 2 พันล้านอ็อบเจ็กต์ในฟอเรสต์ Active Directory ซึ่งช่วยให้สามารถใช้งานบริการไดเร็กทอรีในบริษัทที่มีคอมพิวเตอร์และผู้ใช้หลายแสนเครื่อง โครงสร้างลำดับชั้นโดเมนช่วยให้คุณปรับขนาดโครงสร้างพื้นฐานด้านไอทีได้อย่างยืดหยุ่นไปยังทุกสาขาและแผนกระดับภูมิภาคของบริษัท สำหรับแต่ละสาขาหรือแผนกของบริษัท คุณสามารถสร้างโดเมนแยกต่างหากพร้อมนโยบายของตนเอง ผู้ใช้และกลุ่มของตนเองได้ สำหรับแต่ละโดเมนลูก อำนาจการบริหารสามารถมอบหมายให้กับผู้ดูแลระบบภายในเครื่องได้ ในขณะเดียวกัน โดเมนย่อยยังคงอยู่ภายใต้การปกครองของผู้ปกครอง
นอกจากนี้ Active Directory ยังช่วยให้คุณกำหนดค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์โดเมนได้ แต่ละบริษัทมีฟอเรสต์โดเมนของตัวเอง โดยแต่ละบริษัทมีทรัพยากรของตัวเอง แต่บางครั้งคุณจำเป็นต้องให้สิทธิ์การเข้าถึงของคุณ ทรัพยากรขององค์กรพนักงานจากบริษัทพันธมิตร เช่น เมื่อเข้าร่วมโครงการร่วมกัน พนักงานจากบริษัทคู่ค้าอาจต้องทำงานร่วมกันด้วย เอกสารทั่วไปหรือแอปพลิเคชัน ในการทำเช่นนี้ คุณสามารถตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ขององค์กร ซึ่งจะช่วยให้พนักงานจากองค์กรหนึ่งสามารถเข้าสู่ระบบโดเมนของอีกองค์กรหนึ่งได้
รับประกันความผิดพลาดของบริการไดเร็กทอรีโดยการปรับใช้เซิร์ฟเวอร์ 2 ตัวขึ้นไป - ตัวควบคุมโดเมนในแต่ละโดเมน การเปลี่ยนแปลงทั้งหมดจะถูกจำลองแบบโดยอัตโนมัติระหว่างตัวควบคุมโดเมน หากตัวควบคุมโดเมนตัวใดตัวหนึ่งล้มเหลว การทำงานของเครือข่ายจะไม่ได้รับผลกระทบ เนื่องจาก ส่วนที่เหลือยังคงทำงานต่อไป ระดับการยอมรับข้อผิดพลาดเพิ่มเติมมีให้โดยการวางเซิร์ฟเวอร์ DNS บนตัวควบคุมโดเมนใน Active Directory ซึ่งอนุญาตให้แต่ละโดเมนมีเซิร์ฟเวอร์ DNS หลายเซิร์ฟเวอร์ที่ให้บริการโซนโดเมนหลัก และหากเซิร์ฟเวอร์ DNS ตัวใดตัวหนึ่งล้มเหลว เซิร์ฟเวอร์ที่เหลือจะยังคงทำงานต่อไป และจะสามารถเข้าถึงได้ทั้งสำหรับการอ่านและการเขียน ซึ่งไม่สามารถรับประกันได้โดยใช้ ตัวอย่างเช่น เซิร์ฟเวอร์ BIND DNS ที่ใช้ Linux
ประโยชน์ของการอัพเกรดเป็น Windows Server 2008 R2
แม้ว่าบริษัทของคุณมีบริการไดเร็กทอรี Active Directory ที่ทำงานบน Windows Server 2003 อยู่แล้ว แต่คุณก็สามารถเก็บเกี่ยวผลประโยชน์หลายประการได้โดยการอัพเกรดเป็น Windows Server 2008 R2 Windows Server 2008 R2 มีคุณสมบัติเพิ่มเติมดังต่อไปนี้:
ตัวควบคุมโดเมนแบบอ่านอย่างเดียว RODC (ตัวควบคุมโดเมนแบบอ่านอย่างเดียว) ตัวควบคุมโดเมนจัดเก็บบัญชีผู้ใช้ ใบรับรอง และข้อมูลที่ละเอียดอ่อนอื่นๆ อีกมากมาย หากเซิร์ฟเวอร์ตั้งอยู่ในศูนย์ข้อมูลที่ปลอดภัย คุณก็สามารถสบายใจเกี่ยวกับความปลอดภัยของข้อมูลนี้ได้ แต่จะทำอย่างไรถ้าตัวควบคุมโดเมนตั้งอยู่ในสำนักงานสาขาในสถานที่ที่สาธารณะเข้าถึงได้ ในกรณีนี้ มีความเป็นไปได้ที่เซิร์ฟเวอร์จะถูกขโมยโดยผู้โจมตีและถูกแฮ็ก จากนั้นพวกเขาก็ใช้ข้อมูลนี้เพื่อจัดระเบียบการโจมตีเครือข่ายองค์กรของคุณเพื่อขโมยหรือทำลายข้อมูล เพื่อป้องกันกรณีดังกล่าวที่สาขาติดตั้งตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODC) ประการแรก ตัวควบคุม RODC จะไม่จัดเก็บรหัสผ่านของผู้ใช้ แต่เพียงแคชรหัสผ่านเพื่อเพิ่มความเร็วในการเข้าถึง และประการที่สอง ตัวควบคุมใช้การจำลองแบบทางเดียว จากเซิร์ฟเวอร์กลางไปยังสาขาเท่านั้น แต่จะไม่สำรองข้อมูลกลับ และแม้ว่าผู้โจมตีจะเข้ายึดตัวควบคุมโดเมน RODC พวกเขาจะไม่ได้รับรหัสผ่านผู้ใช้และจะไม่สามารถสร้างความเสียหายให้กับเครือข่ายหลักได้
การกู้คืนวัตถุ Active Directory ที่ถูกลบ ผู้ดูแลระบบเกือบทุกคนต้องเผชิญกับความจำเป็นในการกู้คืนบัญชีผู้ใช้ที่ถูกลบโดยไม่ตั้งใจหรือกลุ่มผู้ใช้ทั้งหมด ใน Windows 2003 จำเป็นต้องกู้คืนบริการไดเร็กทอรีจากข้อมูลสำรองซึ่งมักไม่มีอยู่จริง แต่แม้ว่าจะมีอยู่ก็ตาม การคืนค่าก็ใช้เวลานานมาก Windows Server 2008 R2 เปิดตัว Active Directory Recycle Bin ตอนนี้ เมื่อคุณลบผู้ใช้หรือคอมพิวเตอร์ มันจะไปที่ถังรีไซเคิล ซึ่งสามารถกู้คืนได้ภายในไม่กี่นาทีภายใน 180 วัน โดยคงคุณลักษณะดั้งเดิมทั้งหมดไว้
การจัดการที่ง่ายขึ้น Windows Server 2008 R2 มีการเปลี่ยนแปลงหลายอย่างซึ่งจะช่วยลดภาระของผู้ดูแลระบบลงอย่างมาก และทำให้โครงสร้างพื้นฐานด้านไอทีจัดการได้ง่ายขึ้น ตัวอย่างเช่น เครื่องมือต่างๆ เช่น: การตรวจสอบ การเปลี่ยนแปลงที่ใช้งานอยู่ไดเร็กทอรีแสดงว่าใครเปลี่ยนแปลงอะไรและเมื่อใด นโยบายความซับซ้อนของรหัสผ่านสามารถกำหนดค่าได้ในระดับกลุ่มผู้ใช้ ก่อนหน้านี้สามารถทำได้ในระดับโดเมนเท่านั้น เครื่องมือการจัดการผู้ใช้และคอมพิวเตอร์ใหม่ แม่แบบนโยบาย ควบคุมโดย บรรทัดคำสั่งพาวเวอร์เชลล์ ฯลฯ
การใช้ Active Directory
บริการไดเรกทอรี Active Directory เป็นหัวใจสำคัญของโครงสร้างพื้นฐานด้านไอทีขององค์กร หากล้มเหลว เครือข่ายทั้งหมด เซิร์ฟเวอร์ทั้งหมด และงานของผู้ใช้ทั้งหมดจะเป็นอัมพาต จะไม่มีใครสามารถเข้าสู่ระบบคอมพิวเตอร์หรือเข้าถึงเอกสารและแอปพลิเคชันของตนได้ ดังนั้นบริการไดเรกทอรีจะต้องได้รับการออกแบบและปรับใช้อย่างระมัดระวังโดยคำนึงถึงความแตกต่างที่เป็นไปได้ทั้งหมด ตัวอย่างเช่น โครงสร้างของไซต์ควรสร้างขึ้นบนพื้นฐานของโทโพโลยีทางกายภาพของเครือข่ายและความจุของช่องทางระหว่างสาขาหรือสำนักงานของบริษัท เนื่องจาก สิ่งนี้ส่งผลโดยตรงต่อความเร็วของการเข้าสู่ระบบของผู้ใช้ รวมถึงการจำลองแบบระหว่างตัวควบคุมโดเมน นอกจากนี้ ขึ้นอยู่กับโทโพโลยีของไซต์ Exchange Server 2007/2010 ดำเนินการกำหนดเส้นทางเมล นอกจากนี้คุณยังจำเป็นต้องคำนวณจำนวนและตำแหน่งของเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางที่เก็บรายการกลุ่มสากลและแอตทริบิวต์ที่ใช้กันทั่วไปอื่น ๆ ทั่วทั้งโดเมนทั้งหมดในฟอเรสต์อย่างถูกต้อง นั่นเป็นเหตุผลที่บริษัทต่างๆ มอบหมายงานในการนำไปใช้ จัดระเบียบใหม่ หรือย้ายบริการไดเรกทอรี Active Directory ให้กับผู้วางระบบ อย่างไรก็ตาม คุณไม่ควรทำผิดพลาดเมื่อเลือกผู้วางระบบ คุณควรตรวจสอบให้แน่ใจว่าเขาได้รับการรับรองให้ทำงานประเภทนี้และมีความสามารถที่เหมาะสม
LanKey เป็นผู้รวมระบบที่ได้รับการรับรองและมีสถานะ Microsoft Gold Certified Partner LanKey มีความสามารถด้านแพลตฟอร์ม Datacenter (โซลูชันโครงสร้างพื้นฐานขั้นสูง) ซึ่งยืนยันประสบการณ์และคุณสมบัติของเราในเรื่องที่เกี่ยวข้องกับการปรับใช้ Active Directory และการใช้งานโซลูชันเซิร์ฟเวอร์จาก Microsoft
งานทั้งหมดในโครงการนี้ดำเนินการโดยวิศวกรที่ผ่านการรับรองจาก Microsoft MCSE, MCITP ซึ่งมีประสบการณ์กว้างขวางในโครงการขนาดใหญ่และซับซ้อนเพื่อสร้างโครงสร้างพื้นฐานด้านไอทีและใช้โดเมน Active Directory
LanKey จะพัฒนาโครงสร้างพื้นฐานด้านไอที ปรับใช้บริการไดเร็กทอรี Active Directory และรับรองการรวมทรัพยากรขององค์กรที่มีอยู่ทั้งหมดไว้ในพื้นที่ข้อมูลเดียว การใช้งาน Active Directory จะช่วยลดต้นทุนรวมในการเป็นเจ้าของระบบข้อมูล รวมทั้งเพิ่มประสิทธิภาพในการแบ่งปันทรัพยากรที่ใช้ร่วมกัน LanKey ยังให้บริการสำหรับการโยกย้ายโดเมน การรวมและการแยกโครงสร้างพื้นฐานด้านไอทีในระหว่างการควบรวมกิจการ การบำรุงรักษาและการสนับสนุนระบบข้อมูล
ตัวอย่างของโครงการใช้งาน Active Directory บางโครงการที่ LanKey นำมาใช้:
| ลูกค้า | คำอธิบายของโซลูชัน |
|
ในส่วนที่เกี่ยวข้องกับการทำธุรกรรมการซื้อหุ้น 100% ของบริษัท OJSC "SIBUR-Minudobreniya" (ต่อมาเปลี่ยนชื่อเป็น OJSC "SDS-Azot") Holding Company "Siberian Business Union" ในเดือนธันวาคม 2554 จำเป็นต้องแยก โครงสร้างพื้นฐานด้านไอทีของ OJSC "SDS" -Azot" จากเครือข่าย SIBUR Holding LanKey ได้ย้ายบริการ Active Directory แล้ว แผนกไดเร็กทอรี SIBUR-Minudobreniya จากเครือข่ายของ SIBUR ถือครองโครงสร้างพื้นฐานใหม่ บัญชีผู้ใช้ คอมพิวเตอร์ และแอปพลิเคชันก็ถูกย้ายเช่นกัน จากผลของโครงการได้รับจดหมายแสดงความขอบคุณจากลูกค้า |
|
| เนื่องจากการปรับโครงสร้างธุรกิจ บริการไดเรกทอรี Active Directory จึงถูกปรับใช้ สำนักงานกลางและร้านค้าในมอสโกและภูมิภาค 50 แห่ง บริการไดเร็กทอรีให้การจัดการทรัพยากรขององค์กรทั้งหมดแบบรวมศูนย์ ตลอดจนการรับรองความถูกต้องและการอนุญาตของผู้ใช้ทั้งหมด | |
| LanKey ได้ปรับใช้โดเมน Active Directory เพื่อเป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กร บริษัทจัดการและ 3 แผนกภูมิภาค มีการสร้างไซต์แยกต่างหากสำหรับแต่ละสาขา โดยมีการใช้ตัวควบคุมโดเมน 2 ตัวในแต่ละไซต์ มีบริการออกใบรับรองด้วย บริการทั้งหมดถูกปรับใช้บน เครื่องเสมือนอา อยู่ภายใต้การควบคุม ไมโครซอฟต์ ไฮเปอร์-วี- คุณภาพของงานของ บริษัท LanKey ได้รับการสังเกตจากการทบทวน | |
| เป็นส่วนหนึ่งของโครงการครบวงจรเพื่อสร้างองค์กร ระบบสารสนเทศบริการไดเร็กทอรี Active Directory ถูกปรับใช้โดยใช้ Windows Server 2008 R2 ระบบถูกปรับใช้โดยใช้เทคโนโลยีเซิร์ฟเวอร์เสมือนจริงที่ใช้ Microsoft Hyper-V บริการไดเรกทอรีที่มีให้ การรับรองความถูกต้องเพียงครั้งเดียวและการอนุญาตของพนักงานโรงพยาบาลทุกคน และยังรับประกันการทำงานของแอปพลิเคชัน เช่น Exchange, TMG, SQL เป็นต้น | |
|
|
บริการไดเรกทอรี Active Directory ถูกปรับใช้บน Windows Server 2008 R2 เพื่อลดต้นทุน การติดตั้งได้ดำเนินการในระบบเซิร์ฟเวอร์เสมือนจริงที่ใช้ Microsoft Hyper-V |
| ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอทีระดับองค์กร มีการปรับใช้บริการไดเร็กทอรีที่ใช้ Windows Server 2008 R2 ตัวควบคุมโดเมนทั้งหมดถูกปรับใช้โดยใช้ระบบการจำลองเสมือน เซิร์ฟเวอร์ไมโครซอฟต์ไฮเปอร์-วี คุณภาพของงานได้รับการยืนยันจากการตอบรับที่ได้รับจากลูกค้า | |
|
|
ฟังก์ชันการทำงานของบริการไดเรกทอรี Active Directory ได้รับการกู้คืนในเวลาที่สั้นที่สุดที่เป็นไปได้ในสถานการณ์ทางธุรกิจที่สำคัญ ผู้เชี่ยวชาญของ LanKey กู้คืนฟังก์ชันการทำงานของโดเมนรูทอย่างแท้จริงภายในเวลาเพียงไม่กี่ชั่วโมง และเขียนคำแนะนำสำหรับการกู้คืนการจำลองแบบของสำนักงานสาขา 80 แห่ง เราได้รับผลตอบรับจากลูกค้าถึงประสิทธิภาพและคุณภาพของงาน |
| ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอที โดเมน Active Directory จึงถูกปรับใช้โดยใช้ Windows Server 2008 R2 มั่นใจได้ถึงการทำงานของบริการไดเร็กทอรีโดยใช้ตัวควบคุมโดเมน 5 ตัวที่ติดตั้งบนคลัสเตอร์ของเครื่องเสมือน บริการไดเร็กทอรีได้รับการสำรองข้อมูลโดยใช้ Microsoft Data Protection Manager 2010 และได้รับการตรวจสอบคุณภาพแล้ว | |
|
ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างระบบข้อมูลองค์กร บริการไดเรกทอรีแบบรวม Active Directory ได้รับการปรับใช้โดยใช้ Windows Server 2008 โครงสร้างพื้นฐานด้านไอทีถูกสร้างขึ้นโดยใช้ การจำลองเสมือน Hyper-V- หลังจากเสร็จสิ้นโครงการได้มีการสรุปข้อตกลงในการบำรุงรักษาระบบสารสนเทศต่อไป คุณภาพของงานได้รับการยืนยันจากการทบทวน |
|
| เทคโนโลยีน้ำมันและก๊าซ | ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอที ไดเร็กทอรี Active Directory เดียวจึงถูกปรับใช้บน Windows Server 2008 R2 โครงการแล้วเสร็จภายใน 1 เดือน หลังจากเสร็จสิ้นโครงการ ได้มีการสรุปข้อตกลงในการบำรุงรักษาระบบต่อไป คุณภาพของงานได้รับการยืนยันจากการทบทวน |
| Active Directory ถูกปรับใช้บน Windows Server 2008 โดยเป็นส่วนหนึ่งของโครงการการใช้งาน Exchange Server 2007 | |
| บริการไดเรกทอรี Active Directory ที่ใช้ Windows Server 2003 ได้รับการจัดระเบียบใหม่มาก่อน การดำเนินการแลกเปลี่ยน Server 2007 คุณภาพของงานได้รับการยืนยันจากการตรวจสอบแล้ว | |
| บริการไดเรกทอรี Active Directory ถูกปรับใช้บน Windows Server 2003 R2 หลังจากเสร็จสิ้นโครงการ ได้มีการลงนามในสัญญาการบำรุงรักษาระบบเพิ่มเติม คุณภาพของงานได้รับการยืนยันจากการทบทวน | |
|
|
Active Directory ถูกปรับใช้บน Windows Server 2003 หลังจากเสร็จสิ้นโครงการ มีการลงนามข้อตกลงเพื่อสนับสนุนระบบเพิ่มเติม |
- บทช่วยสอน
ในงานของฉัน ฉันมักจะต้องจัดการกับกริดที่ดูเหมือนจะใช้งานได้ แต่เหตุการณ์เล็กๆ น้อยๆ ใดๆ ก็ตามอาจส่งผลให้ต้องหยุดทำงานหลายชั่วโมงโดยไม่คาดคิด เคดีตายเหรอ? ไม่มีปัญหา เรามีอันที่สองแล้ว ลูกไม่เปิดได้อย่างไร? ทำไมเกตเวย์ไม่ตอบสนอง? และในแผ่นซีดีนั้นมีเซิร์ฟเวอร์ DHCP ตัวเดียว และตอนนี้เซิร์ฟเวอร์ทั้งหมดก็หายไปแล้ว
ในบทความนี้ ฉันจะพยายามอธิบายวิธีแก้ปัญหาที่ถูกต้องสำหรับการสร้างโครงสร้างพื้นฐานเครือข่ายธุรกิจขนาดเล็กจากมุมมองของฉัน และแน่นอนว่าบทความนี้สะท้อนถึงแนวปฏิบัติที่ดีส่วนตัวของผู้เขียนและอาจแตกต่างจากอุดมคติของผู้อ่าน
ดังนั้น. เรามีลูกค้ามากถึง 100 ราย ทุกอย่างเป็นไปตามมาตรฐาน ผู้ใช้ใช้อินเทอร์เน็ต ส่งเมล ใช้พื้นที่จัดเก็บไฟล์ ทำงานใน 1C ต้องการคอมพิวเตอร์ที่เย็นกว่าและพยายามตรวจจับไวรัส ใช่แล้ว เรายังไม่รู้ว่าจะคลาวด์อย่างไร
เสาหลักสองสามต้นของโครงสร้างพื้นฐานเกือบทุกชนิด
จากนั้นเราจะพูดถึงความแตกต่างที่ชัดเจนและไม่ชัดเจนนัก ขอย้ำอีกครั้งว่าเราเป็นธุรกิจขนาดเล็ก-กลาง อย่าทำให้อะไรแย่ลงความปลอดภัยของข้อมูล “กับระเบิดโจมตีห้องเซิร์ฟเวอร์”
หากกับระเบิดโจมตีห้องเซิร์ฟเวอร์ของคุณ ความปลอดภัยของข้อมูลของคุณน่าจะเป็นสิ่งสุดท้ายที่คุณใส่ใจ มีความเป็นไปได้มากกว่ามากว่าในวันที่ 31 ธันวาคม ท่อด้านบนจะแตก ทำให้เกิดไฟไหม้ที่นั่นและทำให้พื้นถล่ม- ข้อมูลคือทุกสิ่งของเรา เซิร์ฟเวอร์สำรองข้อมูลตัวใดตัวหนึ่งต้องอยู่นอกห้องเซิร์ฟเวอร์ นี่คือเส้นชีวิต แม้ว่าจะมีเฉพาะสิ่งที่สำคัญที่สุด แต่ในหนึ่งหรือสองวันคุณสามารถซื้อหรือเช่าเซิร์ฟเวอร์อีกครั้งและปรับใช้โครงสร้างพื้นฐานที่ใช้งานได้ คุณจะไม่สามารถกู้คืนฐานข้อมูล 1C ที่สูญหายอย่างไม่อาจแก้ไขได้ อย่างไรก็ตามคนเก่า a la P4-2400/1024 มักจะรับมือกับการสำรองข้อมูลที่จัดระเบียบอย่างเหมาะสม
การตรวจสอบ “01/01/2013 02:24 | จาก: Zabbix | เรื่อง: ตรวจพบการปล่อยนิวเคลียร์!”
คุณกำลังมีช่วงเวลาที่ดีในการเฉลิมฉลองปีใหม่กับเพื่อน ๆ อย่างไรก็ตาม ไม่ใช่แค่คุณเท่านั้น ผู้ดูแลอาคารที่คุณเช่าสถานที่ก็ไม่เสียเวลาเช่นกัน ดังนั้นห้องที่ถูกไฟไหม้ซึ่งเต็มไปด้วยน้ำจะเป็นโบนัสที่น่าพอใจสำหรับการปวดหัวของคุณในตอนเช้าสำหรับสวัสดีปีใหม่- หากมีสิ่งผิดปกติเกิดขึ้น คุณเพียงแค่ต้องเป็นคนแรกที่รู้เกี่ยวกับเรื่องนั้น การแจ้งเตือนทาง SMS เดียวกันเกี่ยวกับเหตุการณ์สำคัญถือเป็นเรื่องปกติ อย่างไรก็ตาม หากในตอนเช้า 5 นาทีหลังจากนาฬิกาปลุกดังขึ้น เซิร์ฟเวอร์ตรวจสอบไม่ตอบกลับคุณ ก็ถึงเวลาส่งเสียงปลุก ท้ายที่สุดแล้ว เซิร์ฟเวอร์ที่มอนิเตอร์เซิร์ฟเวอร์การมอนิเตอร์ก็ไม่ได้เขียนอะไรเลย โดยทั่วไป ไม่เป็นไร คุณมีเซิร์ฟเวอร์สำรองอยู่นอกห้องเซิร์ฟเวอร์ ซึ่งเขียนถึงคุณว่าสูญเสียทุกคนไปแล้ว แต่ยังคงใช้งานได้อยู่
แผนการฟื้นฟู “ ใจเย็น ๆ Kazladoev นั่งลงกันเถอะ!”
นี่เป็นปีใหม่ที่แย่ที่สุดในประสบการณ์ของคุณ ใช่ เมื่อได้รับ SMS และประเมินสถานการณ์แล้ว เจ้าหน้าที่ดับเพลิงก็ถูกเรียกทันที และมาถึงในเวลาเกือบ 5 นาที จึงดับไฟได้อย่างรวดเร็ว แต่อย่างไรก็ตาม ส่วนหนึ่งของห้องเซิร์ฟเวอร์ถูกไฟไหม้ ส่วนที่สองเต็มไปด้วยโฟม และส่วนที่สามก็ตกลงไปใต้พื้นในที่สุด- แน่นอนว่าเป็นเรื่องโกหก นี่ไม่ใช่วันที่น่ารื่นรมย์ที่สุด แต่ก็ไม่ใช่ปีใหม่ที่แย่ที่สุดด้วย ใช่ คุณอยู่ในช่วงสัปดาห์ที่วุ่นวาย แต่ด้วยแผนการที่ชัดเจน คุณจะรู้ว่าจะเริ่มต้นที่ไหนและต้องทำอะไร ฉันแนะนำว่าในแผนการกู้คืนระบบ คุณควรอธิบายทุกอย่างโดยละเอียด รวมถึงคำสั่งคอนโซลด้วย หากคุณต้องการกู้คืนเซิร์ฟเวอร์ MySQL บางตัวที่กำหนดค่าไว้เมื่อสามปีที่แล้ว ไม่น่าเป็นไปได้ที่คุณจะจำความแตกต่างเล็กๆ น้อยๆ บางอย่างที่จะทำให้คุณต้องใช้เวลาครึ่งวันในท้ายที่สุด อย่างไรก็ตาม ทุกอย่างจะแตกต่างไปจากที่คุณวางแผนไว้เล็กน้อย และอาจแตกต่างไปจากเดิมอย่างสิ้นเชิงด้วยซ้ำ เตรียมตัวให้พร้อมสำหรับสิ่งนี้
ตอนนี้ถึงพื้นฐานของระบบเครือข่ายบน AD
ฉันจะไม่อธิบายประโยชน์ของการทำคลัสเตอร์และ LiveMigration อื่นๆ เราเป็นธุรกิจขนาดเล็กและไม่มีเงินสำหรับ vMotions จริงๆ แล้ว มันก็ไม่จำเป็น บริการส่วนใหญ่ได้รับการสำรองข้อมูลอย่างสมบูรณ์แบบตั้งแต่แกะกล่อง ด้านล่างนี้จะไม่มีวิธีการตั้งค่า แต่ฉันจะพยายามให้แนวทางที่ถูกต้องสำหรับการศึกษาด้วยตนเอง- ไดเรกทอรีที่ใช้งานอยู่ จะต้องมีตัวควบคุมโดเมนสองตัว บนฮาร์ดแวร์ที่แตกต่างกัน อย่างไรก็ตาม Microsoft ไม่แนะนำ (ไม่แนะนำ) ทำซีดีทั้งหมด เครื่องเสมือน, เช่น. ซีดีอย่างน้อยหนึ่งแผ่นต้องเป็นเหล็กล้วนๆ โดยทั่วไป นี่ไม่ใช่เรื่องไร้สาระ คุณสามารถทำซีดีที่แตกต่างกันบนโฮสต์กายภาพที่แตกต่างกันได้ แค่ทำอย่างนั้น คำแนะนำทั่วไป Microsoft ในการตั้งค่าซีดีในสภาพแวดล้อมเสมือน อย่าลืมเก็บ GC ไว้บนตัวควบคุมโดเมนทั้งสองเครื่องด้วย
- DNS เป็นเพียงพื้นฐานเท่านั้น หากบริการชื่อโดเมนของคุณทำงานผิดพลาด คุณจะประสบปัญหาโดยไม่คาดคิด ต้องมีเซิร์ฟเวอร์ DNS อย่างน้อยสองตัว และเพื่อจุดประสงค์นี้ ซีดีจึงค่อนข้างเหมาะสำหรับเรา และตรงกันข้ามกับคำแนะนำของ "ตัววิเคราะห์การปฏิบัติตามคำแนะนำ" ฉันขอแนะนำให้คุณระบุว่าตัวเองเป็นผู้เชี่ยวชาญในซีดี และอีกอย่างหนึ่ง ลืมแนวปฏิบัติในการลงทะเบียนเซิร์ฟเวอร์บนไคลเอนต์ด้วยที่อยู่ IP: หากนี่คือเซิร์ฟเวอร์ NTP ลูกค้าควรรู้ว่าเป็น ntp.company.xyz หากเป็นพรอกซี ก็เหมือนกับ gate.company xyz โดยทั่วไปแล้วมันชัดเจน อย่างไรก็ตาม นี่อาจเป็นเซิร์ฟเวอร์เดียวกันกับชื่อ srv0.domain.xyz แต่มี CNAME ต่างกัน ซึ่งจะมีประโยชน์มากเมื่อขยายหรือย้ายบริการ
- เซิร์ฟเวอร์ NTP ที่ติดตาม DNS ซีดีของคุณควรบอกเวลาที่แน่นอนเสมอ
ขอบคุณ foxmuldercp สำหรับคำแนะนำ - ควรมีเซิร์ฟเวอร์ DHCP สองเครื่องด้วย ในซีดีแผ่นเดียวกันนี้ค่อนข้างมาก แผนภาพการทำงาน- เพียงกำหนดค่าเพื่อให้ช่วงการออกไม่ทับซ้อนกัน แต่เพื่อให้ DHCP แต่ละตัวสามารถครอบคลุมกลุ่มเครื่องจักรทั้งหมดได้ ใช่ ให้แต่ละเซิร์ฟเวอร์ DHCP ระบุตัวเองว่าเป็นเซิร์ฟเวอร์ DNS แรก ฉันคิดว่ามันชัดเจนว่าทำไม
- ไฟล์เซิร์ฟเวอร์ ทุกอย่างก็ง่ายที่นี่เช่นกัน เราสร้าง DFS ด้วยการจำลองแบบบนซีดีแผ่นเดียวกัน โดยทั่วไปแล้ว การจำลองแบบไม่เกี่ยวข้องกับมัน เพียงแค่ลงทะเบียนลิงก์เพื่อแชร์ผ่าน DFS เสมอ พยายามปฏิบัติตามแนวปฏิบัตินี้ที่เกี่ยวข้องกับทรัพยากรไฟล์ทั้งหมด เมื่อคุณต้องการย้ายการแชร์ไปยังตำแหน่งใหม่ เพียงย้ายการแชร์และเปลี่ยนลิงก์ใน DFS ลูกค้าอาจไม่สังเกตเห็นสิ่งใดเลย
- เซิร์ฟเวอร์ MSSQL 1c มันไม่ง่ายอีกต่อไป และมีราคาแพง คุณมีบางส่วน ฐานขนาดใหญ่และห้ามบำรุงรักษาเซิร์ฟเวอร์ SQL สำรอง สิ่งนี้ไม่สามารถจองได้ ไม่ว่าในกรณีใด คุณต้องมีอินสแตนซ์ใหม่ซึ่งต้องเสียเงิน การสำรองข้อมูลคือทุกสิ่งของเรา ไม่ใช่เรื่องใหญ่ ลองนึกถึงตำแหน่งที่คุณสามารถปรับใช้เซิร์ฟเวอร์ DBMS ชั่วคราวได้อย่างรวดเร็ว อย่างไรก็ตาม มี MSSQL Express ฟรีที่มีการจำกัดขนาดของฐานข้อมูล ซึ่งอาจเพียงพอสำหรับคุณ
- เกตเวย์. Linux และ FreeBSD อื่น ๆ ไม่ว่าจะไม่พึงประสงค์แค่ไหนก็ไม่มีเงินสำหรับ TMG และ kerios อื่น ๆ คุณยังต้องเข้าใจ iptables ฉันสามารถให้คำแนะนำที่ชัดเจนได้ที่นี่ - หากคุณเป็นเพื่อนกับ OSI จะไม่มีปัญหาหากคุณไม่เป็นเพื่อนจะมีปัญหากับ Kerio อย่างไรก็ตาม หากคุณคิดว่าคุณเป็นผู้ดูแลระบบและไม่รู้ว่าเฟรมกับเฟรมแตกต่างกันอย่างไร มันจะเป็นเรื่องยากสำหรับคุณ
- ความปลอดภัย. นี่เป็นหัวข้อที่กว้างมาก ดังนั้นย่อหน้าต่อไปนี้จึงเกี่ยวกับประเด็นที่ใกล้ชิดนี้
ผู้ใช้จะต้องทำงานภายใต้ผู้ใช้โดเมน ฉันขอย้ำว่าแอปพลิเคชันใดๆ ก็ตามสามารถกำหนดค่าให้ทำงานในสภาพแวดล้อมด้วยได้ สิทธิอันจำกัด- บางครั้งก็เพียงพอที่จะเพิ่มสิทธิ์การเขียนลงในไดเร็กทอรีด้วย โปรแกรมที่ติดตั้งและปิดการบันทึกภายใน ไฟล์ปฏิบัติการ- บางครั้ง หากต้องการทราบข้อมูลเฉพาะเจาะจง คุณจะต้องตรวจสอบรีจิสทรีและระบบไฟล์ บางครั้งคุณต้องการฆ่าและให้สิทธิ์ผู้ดูแลระบบ บางครั้งก็สมเหตุสมผล ทางเลือกเป็นของคุณ แต่อย่าปิดการใช้งาน UAC และคุณ ซึ่งนั่งอยู่ในที่ทำงาน อย่างน้อยที่สุดควรมีสิทธิ์ของผู้ดูแลระบบในเครื่องเหนือเวิร์กสเตชันทั้งหมด และไม่ว่าในกรณีใด คุณไม่ควรเป็นผู้ดูแลระบบโดเมน หากจำเป็น ให้จัดการเซิร์ฟเวอร์ผ่านเทอร์มินัล - บัญชี. ฉันจะไม่พูดอะไรเกี่ยวกับผู้ใช้ ฉันคิดว่ามันชัดเจนว่ามีหนึ่งบัญชีต่อผู้ใช้ แต่ไม่ใช่ทุกคนที่เข้าใจว่าแต่ละบริการควรมีบัญชีของตัวเอง ตัวอย่างเช่น MSSQL ที่ทำงานในสภาพแวดล้อม AD ไม่จำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบโดเมน สร้างบัญชีผู้ใช้ปกติและระบุเมื่อติดตั้ง DBMS โปรแกรมติดตั้งจะเขียนเอง สิทธิที่จำเป็นและทุกอย่างจะทำงานได้ดี และด้วยบริการเกือบทุกอย่าง หาก openfire บางตัวขอบัญชีผู้ดูแลระบบเพื่อเชื่อมต่อกับ AD นั่นคือชื่อเดียว ระบบจะต้องอ่านบริการไดเร็กทอรีเท่านั้น
- อัพเดตซอฟต์แวร์ ขยาย WSUS และอย่าลืมเข้าสู่ระบบอย่างน้อยในวันพุธที่สองของเดือนและตรวจสอบการอัปเดตใหม่ เลือกรถยนต์ 10-15 คันจากกลุ่มยานพาหนะของคุณและรวมไว้ในกลุ่มทดสอบ ตรวจสอบการอัปเดตใหม่ๆ ในกลุ่มนี้ และเมื่อคุณไม่พบข้อผิดพลาดใดๆ ให้ปรับใช้กับทุกคน โดยวิธีการที่นี่
ในปี 2002 ขณะเดินไปตามทางเดินของแผนกวิทยาการคอมพิวเตอร์ของมหาวิทยาลัยที่ฉันชื่นชอบ ฉันเห็นโปสเตอร์ใหม่อยู่ที่ประตูสำนักงาน "NT Systems" โปสเตอร์แสดงภาพไอคอนบัญชีผู้ใช้ที่จัดกลุ่มเป็นกลุ่ม โดยลูกศรจะแยกออกเป็นไอคอนอื่นๆ ทั้งหมดนี้ถูกรวมเข้าด้วยกันในโครงสร้างบางอย่างตามแผนผัง มีบางอย่างเขียนเกี่ยวกับระบบการลงชื่อเพียงครั้งเดียว การอนุญาต และอื่นๆ ที่คล้ายคลึงกัน เท่าที่ฉันเข้าใจตอนนี้ โปสเตอร์นั้นบรรยายถึงสถาปัตยกรรมของ Windows NT 4.0 Domains และระบบ Windows 2000 Active Directory ตั้งแต่นั้นเป็นต้นมาการรู้จัก Active Directory ครั้งแรกของฉันก็เริ่มขึ้นและจบลงทันทีตั้งแต่นั้นมาก็มีเซสชั่นที่ยากลำบากวันหยุดพักผ่อนที่สนุกสนานหลังจากนั้นเพื่อนก็แชร์ FreeBSD 4 และ หมวกแดง Linux และในอีกไม่กี่ปีข้างหน้าฉันก็เข้าสู่โลกของระบบที่เหมือน Unix แต่ฉันไม่เคยลืมเนื้อหาของโปสเตอร์
ฉันต้องกลับไปใช้ระบบบนแพลตฟอร์ม Windows Server และคุ้นเคยกับระบบเหล่านี้มากขึ้นเมื่อฉันย้ายไปทำงานให้กับบริษัทที่การจัดการโครงสร้างพื้นฐานด้านไอทีทั้งหมดใช้ Active Directory ฉันจำได้ว่าหัวหน้าผู้บริหารของบริษัทนั้นมักจะพูดซ้ำๆ เกี่ยวกับแนวทางปฏิบัติที่ดีที่สุดของ Active Directory ทุกครั้งในการประชุม หลังจาก 8 ปีของการสื่อสารเป็นระยะกับ Active Directory ฉันเข้าใจค่อนข้างดีว่าระบบนี้ทำงานอย่างไรและแนวทางปฏิบัติที่ดีที่สุดของ Active Directory คืออะไร
ดังที่คุณคงเดาได้อยู่แล้ว เราจะพูดถึง Active Directory
สำหรับทุกท่านที่สนใจ หัวข้อนี้ยินดีต้อนรับสู่แมว
คำแนะนำเหล่านี้ใช้ได้กับระบบไคลเอนต์ที่เริ่มต้นจาก Windows 7 ขึ้นไป สำหรับโดเมนและฟอเรสต์ในระดับ Windows Server 2008/R2 ขึ้นไป
การทำให้เป็นมาตรฐาน
การวางแผนสำหรับ Active Directory ควรเริ่มต้นด้วยการพัฒนามาตรฐานของคุณสำหรับการตั้งชื่ออ็อบเจ็กต์และตำแหน่งในไดเร็กทอรี มีความจำเป็นต้องสร้างเอกสารเพื่อกำหนดทุกสิ่ง มาตรฐานที่จำเป็น- แน่นอนว่านี่เป็นคำแนะนำที่ค่อนข้างธรรมดาสำหรับผู้เชี่ยวชาญด้านไอที หลักการ “อันดับแรกเราเขียนเอกสาร จากนั้นเราสร้างระบบโดยใช้เอกสารนี้” เป็นสิ่งที่ดีมาก แต่ในทางปฏิบัติไม่ค่อยมีใครนำไปใช้ด้วยเหตุผลหลายประการ สาเหตุเหล่านี้เกิดจากความเกียจคร้านของมนุษย์หรือการขาดความสามารถที่เหมาะสม เหตุผลที่เหลือนั้นมาจากสองเหตุผลแรก
ฉันขอแนะนำให้คุณเขียนเอกสารประกอบก่อน จากนั้นคิดทบทวน จากนั้นจึงดำเนินการติดตั้งตัวควบคุมโดเมนตัวแรกเท่านั้น
ตัวอย่างเช่น ฉันจะให้ส่วนหนึ่งของเอกสารเกี่ยวกับมาตรฐานสำหรับการตั้งชื่อวัตถุ Active Directory
การตั้งชื่อวัตถุ
- ชื่อกลุ่มผู้ใช้ต้องขึ้นต้นด้วยคำนำหน้า GRUS_ (GR - Group, US - Users)
- ชื่อกลุ่มคอมพิวเตอร์ต้องขึ้นต้นด้วยคำนำหน้า GRCP_ (GR - Group, CP - Computers)
- ชื่อกลุ่มการมอบหมายต้องขึ้นต้นด้วยคำนำหน้า GRDL_ (GR - Group, DL - Delegation)
- ชื่อของกลุ่มการเข้าถึงทรัพยากรต้องขึ้นต้นด้วยคำนำหน้า GRRS_ (GR - กลุ่ม, RS - ทรัพยากร)
- ชื่อกลุ่มสำหรับนโยบายต้องขึ้นต้นด้วยคำนำหน้า GPUS_, GPCP_ (GP - นโยบายกลุ่ม, US - ผู้ใช้, CP - คอมพิวเตอร์)
- ชื่อของคอมพิวเตอร์ไคลเอนต์ต้องประกอบด้วยตัวอักษรสองหรือสามตัวจากชื่อองค์กร ตามด้วยตัวเลขที่คั่นด้วยเครื่องหมายยัติภังค์ เช่น nnt-01
- ชื่อของเซิร์ฟเวอร์ต้องขึ้นต้นด้วยตัวอักษรสองตัวเท่านั้น ตามด้วยยัติภังค์ และตามด้วยบทบาทของเซิร์ฟเวอร์และหมายเลข เช่น nn-dc01
แนวทางการเขียนเอกสารของคุณควรละเอียดถี่ถ้วน ซึ่งจะช่วยประหยัดเวลาได้มากในอนาคต
ลดความซับซ้อนของทุกสิ่งให้มากที่สุดพยายามให้เกิดความสมดุล
เมื่อสร้าง Active Directory จำเป็นต้องปฏิบัติตามหลักการของการบรรลุความสมดุล โดยเลือกใช้กลไกที่เรียบง่ายและเข้าใจได้
หลักการของความสมดุลคือการบรรลุฟังก์ชันการทำงานและความปลอดภัยที่ต้องการพร้อมโซลูชันที่เรียบง่ายสูงสุด
มีความจำเป็นต้องพยายามสร้างระบบเพื่อให้ผู้ดูแลระบบหรือผู้ใช้ที่ไม่มีประสบการณ์มากที่สุดสามารถเข้าใจโครงสร้างของระบบได้ ตัวอย่างเช่น ครั้งหนึ่งมีข้อเสนอแนะให้สร้างโครงสร้างฟอเรสต์หลายโดเมน ยิ่งไปกว่านั้น ขอแนะนำให้ปรับใช้ไม่เพียงแต่โครงสร้างแบบหลายโดเมนเท่านั้น แต่ยังรวมถึงโครงสร้างจากหลายฟอเรสต์ด้วย บางทีคำแนะนำนี้อาจเกิดขึ้นเนื่องจากหลักการ "แบ่งและพิชิต" หรือเนื่องจาก Microsoft บอกทุกคนว่าโดเมนคือขอบเขตด้านความปลอดภัย และโดยการแบ่งองค์กรออกเป็นโดเมน เราจะได้โครงสร้างที่แยกจากกันซึ่งง่ายต่อการควบคุมทีละรายการ แต่ตามแนวทางปฏิบัติแสดงให้เห็นแล้ว การบำรุงรักษาและตรวจสอบระบบโดเมนเดียวทำได้ง่ายกว่า โดยที่ขอบเขตความปลอดภัยคือหน่วยองค์กร (OU) ไม่ใช่โดเมน ดังนั้น หลีกเลี่ยงการสร้างโครงสร้างหลายโดเมนที่ซับซ้อน จะดีกว่าถ้าจัดกลุ่มออบเจ็กต์ตาม OU
แน่นอนคุณควรดำเนินการโดยไม่คลั่งไคล้ - หากเป็นไปไม่ได้หากไม่มีหลายโดเมนคุณจะต้องสร้างหลายโดเมนพร้อมกับฟอเรสต์ด้วย สิ่งสำคัญคือคุณเข้าใจว่าคุณกำลังทำอะไรอยู่และสิ่งที่จะนำไปสู่อะไร
สิ่งสำคัญคือต้องเข้าใจว่าโครงสร้างพื้นฐาน Active Directory แบบธรรมดานั้นง่ายต่อการจัดการและตรวจสอบ ฉันจะบอกว่ายิ่งง่ายและปลอดภัยยิ่งขึ้น
ใช้หลักการทำให้เข้าใจง่าย พยายามที่จะบรรลุความสมดุล
ปฏิบัติตามหลักการ - "วัตถุ - กลุ่ม"
เริ่มสร้างวัตถุ Active Directory โดยการสร้างกลุ่มสำหรับ ของวัตถุชิ้นนี้และกำหนดให้กับกลุ่มแล้ว สิทธิที่จำเป็น- ลองดูตัวอย่าง คุณต้องสร้างบัญชีผู้ดูแลระบบหลัก ขั้นแรกให้สร้างกลุ่มหัวหน้าผู้ดูแลระบบ จากนั้นจึงสร้างบัญชีและเพิ่มลงในกลุ่มนี้เท่านั้น กำหนดสิทธิ์ของหัวหน้าผู้ดูแลระบบให้กับกลุ่มหัวหน้าผู้ดูแลระบบ เช่น โดยการเพิ่มลงในกลุ่มผู้ดูแลระบบโดเมน เกือบทุกครั้งปรากฎว่าหลังจากผ่านไประยะหนึ่ง พนักงานอีกคนมาทำงานที่ต้องการสิทธิ์ที่คล้ายกัน และแทนที่จะมอบหมายสิทธิ์ให้กับส่วน Active Directory ต่างๆ ก็เป็นไปได้ที่จะเพิ่มเขาเข้าไปในกลุ่มที่จำเป็นซึ่งระบบได้กำหนดบทบาทไว้แล้ว และมอบอำนาจที่จำเป็นให้แล้ว
อีกตัวอย่างหนึ่ง คุณต้องมอบหมายสิทธิ์ให้กับ OU กับผู้ใช้ให้กับกลุ่มผู้ดูแลระบบ อย่ามอบสิทธิ์ให้กับกลุ่มผู้ดูแลระบบโดยตรง แต่สร้างกลุ่มพิเศษ เช่น GRDL_OUName_Operator_Accounts ที่คุณมอบหมายสิทธิ์ให้ จากนั้นเพียงเพิ่มกลุ่มผู้ดูแลระบบที่รับผิดชอบลงในกลุ่ม GRDL_OUName_Operator_Accounts มันจะเกิดขึ้นอย่างแน่นอนว่าในอนาคตอันใกล้นี้คุณจะต้องมอบสิทธิ์ให้กับ OU นี้ให้กับผู้ดูแลระบบกลุ่มอื่น และในกรณีนี้ คุณเพียงแค่เพิ่มกลุ่มข้อมูลผู้ดูแลระบบลงในกลุ่มการมอบหมาย GRDL_OUName_Operator_Accounts
ฉันแนะนำ โครงสร้างต่อไปนี้กลุ่ม
- กลุ่มผู้ใช้ (GRUS_)
- กลุ่มผู้ดูแลระบบ (GRAD_)
- กลุ่มการมอบหมาย (GRDL_)
- กลุ่มนโยบาย (GRGP_)
- กลุ่มเซิร์ฟเวอร์ (GRSR_)
- กลุ่มคอมพิวเตอร์ไคลเอนต์ (GRCP_)
- กลุ่มการเข้าถึงทรัพยากรที่ใช้ร่วมกัน (GRRS_)
- กลุ่มการเข้าถึงเครื่องพิมพ์ (GRPR_)
รักษาสมดุลโดยการจำกัดจำนวนบทบาทของกลุ่ม และจำไว้ว่าชื่อกลุ่มควรอธิบายบทบาทของกลุ่มได้ครบถ้วน
สถาปัตยกรรม OU
ก่อนอื่นควรคำนึงถึงสถาปัตยกรรมของ OU จากมุมมองของความปลอดภัยและการมอบสิทธิ์ใน OU นี้ให้กับผู้ดูแลระบบ ฉันไม่แนะนำให้วางแผนสถาปัตยกรรมของ OU จากมุมมองของการเชื่อมโยงนโยบายกลุ่มเข้ากับนโยบายเหล่านั้น (แม้ว่าวิธีนี้จะทำบ่อยที่สุดก็ตาม) สำหรับบางคน คำแนะนำของฉันอาจดูแปลกนิดหน่อย แต่ฉันไม่แนะนำให้ผูกนโยบายกลุ่มเข้ากับ OU เลย อ่านเพิ่มเติมในส่วนนโยบายกลุ่ม
ผู้ดูแลระบบ OU
ฉันแนะนำให้สร้าง OU แยกต่างหากสำหรับบัญชีและกลุ่มผู้ดูแลระบบ ซึ่งคุณสามารถวางบัญชีและกลุ่มของผู้ดูแลระบบและวิศวกรฝ่ายสนับสนุนด้านเทคนิคทั้งหมดได้ การเข้าถึง OU นี้ควรจำกัดไว้สำหรับผู้ใช้ทั่วไป และการจัดการออบเจ็กต์จาก OU นี้ควรได้รับมอบหมายให้ผู้ดูแลระบบหลักเท่านั้น
คอมพิวเตอร์ OU
OU ของคอมพิวเตอร์ได้รับการวางแผนอย่างดีที่สุดในแง่ของที่ตั้งทางภูมิศาสตร์ของคอมพิวเตอร์และประเภทของคอมพิวเตอร์ กระจายคอมพิวเตอร์จากที่ตั้งทางภูมิศาสตร์ที่แตกต่างกันไปยัง OU ที่แตกต่างกัน และแบ่งออกเป็นคอมพิวเตอร์ไคลเอนต์และเซิร์ฟเวอร์ เซิร์ฟเวอร์ยังสามารถแบ่งออกเป็น Exchange, SQL และอื่นๆ
ผู้ใช้ สิทธิ์ใน Active Directory
ควรให้บัญชีผู้ใช้ Active Directory ความสนใจเป็นพิเศษ- ดังที่กล่าวไว้ในส่วนเกี่ยวกับ OU บัญชีผู้ใช้ควรถูกจัดกลุ่มตามหลักการมอบอำนาจให้กับบัญชีเหล่านี้ สิ่งสำคัญคือต้องปฏิบัติตามหลักการของสิทธิ์ขั้นต่ำ - ยิ่งผู้ใช้มีสิทธิ์ในระบบน้อยลงเท่าไรก็ยิ่งดีเท่านั้น ฉันขอแนะนำให้คุณรวมระดับสิทธิ์ของผู้ใช้ไว้ในชื่อบัญชีของเขาทันที บัญชีสำหรับงานประจำวันควรประกอบด้วยนามสกุลและชื่อย่อของผู้ใช้เป็นภาษาละติน (เช่น IvanovIV หรือ IVIvanov) ช่องที่ต้องกรอก ได้แก่ ชื่อ ชื่อย่อ นามสกุล ชื่อที่แสดง (เป็นภาษารัสเซีย) อีเมล โทรศัพท์มือถือ ตำแหน่งงาน ผู้จัดการ
บัญชีผู้ดูแลระบบต้องเป็นประเภทต่อไปนี้:
- ด้วยสิทธิ์ของผู้ดูแลระบบในคอมพิวเตอร์ของผู้ใช้ แต่ไม่ใช่เซิร์ฟเวอร์ ต้องประกอบด้วยชื่อย่อของเจ้าของและคำนำหน้าท้องถิ่น (เช่น iivlocal)
- พร้อมสิทธิ์ในการดูแลเซิร์ฟเวอร์และ Active Directory ต้องประกอบด้วยอักษรย่อเท่านั้น (เช่น iiv)
ให้ฉันอธิบายว่าทำไมคุณควรแยกบัญชีผู้ดูแลระบบออกเป็นผู้ดูแลระบบเซิร์ฟเวอร์และผู้ดูแลระบบคอมพิวเตอร์ไคลเอนต์ จะต้องดำเนินการนี้ด้วยเหตุผลด้านความปลอดภัย ผู้ดูแลระบบคอมพิวเตอร์ไคลเอนต์จะมีสิทธิ์ติดตั้งซอฟต์แวร์บนคอมพิวเตอร์ไคลเอนต์ ไม่สามารถบอกได้อย่างแน่นอนว่าซอฟต์แวร์ใดจะถูกติดตั้งและเพราะเหตุใด ดังนั้นจึงไม่ปลอดภัยที่จะเรียกใช้การติดตั้งโปรแกรมด้วยสิทธิ์ของผู้ดูแลระบบโดเมน คุณต้องดูแลคอมพิวเตอร์ไคลเอนต์ด้วยสิทธิ์ผู้ดูแลระบบภายในสำหรับคอมพิวเตอร์เครื่องนั้นเท่านั้น ซึ่งจะทำให้ไม่สามารถโจมตีบัญชีผู้ดูแลระบบโดเมนได้ เช่น "Pass The Hash" นอกจากนี้ ผู้ดูแลระบบคอมพิวเตอร์ไคลเอนต์จำเป็นต้องปิดการเชื่อมต่อผ่านบริการเทอร์มินัลและการเชื่อมต่อเครือข่ายไปยังคอมพิวเตอร์ ฝ่ายสนับสนุนทางเทคนิคและคอมพิวเตอร์ด้านการดูแลระบบควรอยู่ใน VLAN แยกต่างหาก เพื่อจำกัดการเข้าถึงจากเครือข่ายของคอมพิวเตอร์ไคลเอนต์
การกำหนดสิทธิ์ผู้ดูแลระบบให้กับผู้ใช้
หากคุณต้องการให้สิทธิ์ผู้ดูแลระบบแก่ผู้ใช้ อย่าวางบัญชีงานประจำวันของผู้ใช้ไว้ในกลุ่ม ผู้ดูแลระบบท้องถิ่นคอมพิวเตอร์. บัญชีสำหรับงานประจำวันควรมีสิทธิ์ที่จำกัดเสมอ สร้างบัญชีผู้ดูแลระบบแยกต่างหากสำหรับเขาเช่น namelocal และเพิ่มบัญชีนี้ลงในกลุ่มผู้ดูแลระบบท้องถิ่นโดยใช้นโยบาย โดยจำกัดแอปพลิเคชันบนคอมพิวเตอร์ของผู้ใช้โดยใช้การกำหนดเป้าหมายระดับรายการเท่านั้น ผู้ใช้จะสามารถใช้บัญชีนี้โดยใช้กลไก Run AS
นโยบายรหัสผ่าน
สร้างนโยบายรหัสผ่านแยกต่างหากสำหรับผู้ใช้และผู้ดูแลระบบโดยใช้นโยบายรหัสผ่านแบบละเอียด ขอแนะนำว่ารหัสผ่านผู้ใช้ประกอบด้วยอักขระอย่างน้อย 8 ตัวและเปลี่ยนอย่างน้อยไตรมาสละครั้ง ขอแนะนำให้ผู้ดูแลระบบเปลี่ยนรหัสผ่านทุกๆ สองเดือน และควรมีอักขระอย่างน้อย 10-15 ตัว และตรงตามข้อกำหนดด้านความซับซ้อน
องค์ประกอบของโดเมนและ กลุ่มท้องถิ่น- กลไกกลุ่มที่ถูกจำกัด
องค์ประกอบของโดเมนและกลุ่มท้องถิ่นบนคอมพิวเตอร์โดเมนควรได้รับการควบคุมโดยอัตโนมัติเท่านั้น โดยใช้กลไกกลุ่มที่ถูกจำกัด ฉันจะอธิบายว่าทำไมจึงต้องทำเช่นนี้โดยใช้ตัวอย่างต่อไปนี้ โดยทั่วไป หลังจากที่โดเมน Active Directory ถูกยกเลิก ผู้ดูแลระบบจะเพิ่มตนเองเข้าไป กลุ่มโดเมนเช่น ผู้ดูแลระบบโดเมน ผู้ดูแลระบบองค์กร เพิ่มเข้าไป กลุ่มที่จำเป็นวิศวกรฝ่ายสนับสนุนด้านเทคนิคและผู้ใช้รายอื่นก็แบ่งออกเป็นกลุ่มเช่นกัน ในกระบวนการจัดการโดเมนนี้ กระบวนการออกสิทธิ์ซ้ำหลายครั้ง และจะเป็นเรื่องยากมากที่จะจำได้ว่าเมื่อวานคุณได้เพิ่มนักบัญชี Nina Petrovna ในกลุ่มผู้ดูแลระบบ 1C ชั่วคราว และวันนี้คุณต้องลบเธอออกจากกลุ่มนี้ สถานการณ์จะแย่ลงหากบริษัทมีผู้ดูแลระบบหลายคน และแต่ละคนให้สิทธิ์แก่ผู้ใช้ในลักษณะเดียวกันเป็นครั้งคราว ในเวลาเพียงหนึ่งปีแทบจะเป็นไปไม่ได้เลยที่จะทราบว่าสิทธิ์ใดที่มอบให้กับใคร ดังนั้นองค์ประกอบของกลุ่มควรได้รับการควบคุมโดยนโยบายกลุ่มเท่านั้นซึ่งจะทำให้ทุกอย่างตามลำดับในแต่ละแอปพลิเคชัน
องค์ประกอบของกลุ่มบิวท์อิน
เป็นเรื่องที่ควรค่าแก่การบอกว่ากลุ่มในตัว เช่น Account Operators, Backup Operators, Crypt Operators, Guest, Print Operators, Server Operators ควรว่างเปล่า ทั้งในโดเมนและบนคอมพิวเตอร์ไคลเอนต์ กลุ่มเหล่านี้มีความจำเป็นเป็นหลักเพื่อให้แน่ใจว่า ความเข้ากันได้แบบย้อนหลังด้วยระบบเก่า และผู้ใช้กลุ่มเหล่านี้ได้รับสิทธิ์ในระบบมากเกินไป และการโจมตีเพื่อยกระดับสิทธิ์ก็เป็นไปได้
บัญชีผู้ดูแลระบบท้องถิ่น
การใช้กลไกกลุ่มที่ถูกจำกัด จำเป็นต้องบล็อกบัญชีผู้ดูแลระบบภายในเครื่อง คอมพิวเตอร์ท้องถิ่นบล็อกบัญชีผู้เยี่ยมชมและล้างกลุ่มผู้ดูแลระบบภายในเครื่องคอมพิวเตอร์ ห้ามใช้นโยบายกลุ่มเพื่อตั้งรหัสผ่านสำหรับบัญชีผู้ดูแลระบบภายในเครื่อง กลไกนี้ไม่ปลอดภัย สามารถดึงรหัสผ่านออกจากนโยบายได้โดยตรง แต่ถ้าคุณตัดสินใจที่จะไม่บล็อกบัญชีผู้ดูแลระบบภายใน ให้ใช้กลไก LAPS เพื่อตั้งรหัสผ่านให้ถูกต้องและสับเปลี่ยนรหัสผ่าน ขออภัย การตั้งค่า LAPS ไม่ใช่แบบอัตโนมัติทั้งหมด ดังนั้น คุณจะต้องเพิ่มแอตทริบิวต์ให้กับ Active Directory schema กำหนดสิทธิ์ให้กับแอตทริบิวต์ กำหนดกลุ่ม และอื่นๆ ด้วยตนเอง ดังนั้นจึงเป็นการง่ายกว่าที่จะบล็อกบัญชีผู้ดูแลระบบภายใน
บัญชีบริการ
หากต้องการเรียกใช้บริการ ให้ใช้บัญชีบริการและกลไก gMSA (พร้อมใช้งานบน Windows 2012 และระบบที่สูงกว่า)
นโยบายกลุ่ม
จัดทำเอกสารนโยบายก่อนสร้าง/แก้ไข
เมื่อสร้างนโยบาย ให้ใช้นโยบาย - หลักการกลุ่ม นั่นคือ ก่อนที่จะสร้างนโยบาย ให้สร้างกลุ่มสำหรับนโยบายนี้ก่อน จากนั้นลบกลุ่มผู้ใช้ที่ได้รับการรับรองความถูกต้องออกจากขอบเขตของนโยบาย และเพิ่มกลุ่มที่สร้างขึ้น เชื่อมโยงนโยบายไม่ใช่กับ OU แต่เชื่อมโยงกับรูทโดเมน และควบคุมขอบเขตของแอปพลิเคชันโดยการเพิ่มออบเจ็กต์ลงในกลุ่มนโยบาย ฉันถือว่ากลไกนี้มีความยืดหยุ่นและเข้าใจได้มากกว่าการเชื่อมโยงนโยบายกับ OU (นี่คือสิ่งที่ฉันเขียนไว้ในส่วนเกี่ยวกับสถาปัตยกรรม OU)
ปรับขอบเขตนโยบายอยู่เสมอ หากคุณสร้างนโยบายสำหรับผู้ใช้เท่านั้น ให้ปิดใช้งานโครงสร้างคอมพิวเตอร์ และในทางกลับกัน ปิดใช้งานโครงสร้างผู้ใช้หากคุณสร้างนโยบายสำหรับคอมพิวเตอร์เท่านั้น ด้วยการตั้งค่าเหล่านี้ นโยบายต่างๆ จะถูกนำไปใช้อย่างรวดเร็วยิ่งขึ้น
ตั้งทุกวัน การสำรองข้อมูลนโยบายที่ใช้ Power Shell ดังนั้นในกรณีที่เกิดข้อผิดพลาดในการกำหนดค่า คุณสามารถคืนการตั้งค่ากลับไปเป็นค่าเดิมได้ตลอดเวลา
ร้านเซ็นทรัล
ตั้งแต่ Windows 2008 เป็นต้นไป คุณสามารถจัดเก็บเทมเพลตนโยบายกลุ่ม ADMX ไว้ในที่เก็บข้อมูลส่วนกลาง SYSVOL ได้ ก่อนหน้านี้ ตามค่าเริ่มต้น เทมเพลตนโยบายทั้งหมดจะถูกจัดเก็บไว้ในไคลเอ็นต์ หากต้องการวางเทมเพลต ADMX ในพื้นที่เก็บข้อมูลกลาง คุณต้องคัดลอกเนื้อหาของโฟลเดอร์ %SystemDrive%\Windows\PolicyDefinitions พร้อมกับโฟลเดอร์ย่อยจากระบบไคลเอนต์ (Windows 7/8/8.1) ไปยังไดเรกทอรีตัวควบคุมโดเมน %SystemDrive%\Windows\ SYSVOL\domain\Policies\PolicyDefinitions ที่มีเนื้อหาผสาน แต่ไม่มีการแทนที่ ถัดไป คุณควรทำสำเนาเดียวกันจากระบบเซิร์ฟเวอร์ โดยเริ่มจากระบบที่เก่าที่สุด สุดท้ายนี้ เมื่อคัดลอกโฟลเดอร์และไฟล์จากเซิร์ฟเวอร์เวอร์ชันล่าสุด ให้ทำการคัดลอกแบบรวมและแทนที่
กำลังคัดลอกเทมเพลต ADMX
นอกจากนี้ เทมเพลต ADMX สำหรับผลิตภัณฑ์ซอฟต์แวร์ใดๆ เช่น Microsoft Office, ผลิตภัณฑ์ Adobe, ผลิตภัณฑ์ของ Google และอื่นๆ สามารถวางไว้ในที่จัดเก็บข้อมูลส่วนกลางได้ ไปที่เว็บไซต์ของผู้จำหน่ายซอฟต์แวร์ ดาวน์โหลดเทมเพลต ADMX Group Policy และแตกไฟล์ลงในโฟลเดอร์ %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions บนตัวควบคุมโดเมนใดๆ ตอนนี้คุณสามารถจัดการผลิตภัณฑ์ซอฟต์แวร์ที่คุณต้องการผ่านนโยบายกลุ่มได้แล้ว
ตัวกรอง WMI
ตัวกรอง WMI ไม่เร็วมาก ดังนั้นจึงควรใช้กลไกการกำหนดเป้าหมายระดับรายการ แต่หากไม่สามารถใช้การกำหนดเป้าหมายระดับรายการได้ และคุณตัดสินใจใช้ WMI ฉันขอแนะนำให้สร้างตัวกรองที่พบบ่อยที่สุดสำหรับตัวคุณเองทันที: ตัวกรอง "ระบบปฏิบัติการไคลเอนต์เท่านั้น", "ระบบปฏิบัติการเซิร์ฟเวอร์เท่านั้น", "Windows 7 ” ตัวกรอง, ตัวกรอง“ Windows” 8", "Windows 8.1", "Windows 10" หากคุณมีชุดตัวกรอง WMI สำเร็จรูป การใช้ตัวกรองที่ต้องการกับนโยบายที่ต้องการจะง่ายกว่า
การตรวจสอบเหตุการณ์ Active Directory
อย่าลืมเปิดใช้งานการตรวจสอบเหตุการณ์บนตัวควบคุมโดเมนและเซิร์ฟเวอร์อื่นๆ ฉันแนะนำให้เปิดใช้งานการตรวจสอบวัตถุต่อไปนี้:
- ตรวจสอบการจัดการบัญชีคอมพิวเตอร์ - ความสำเร็จความล้มเหลว
- ตรวจสอบกิจกรรมการจัดการบัญชีอื่นๆ - สำเร็จ ล้มเหลว
- การตรวจสอบการจัดการกลุ่มความปลอดภัย - ความสำเร็จ ความล้มเหลว
- ตรวจสอบการจัดการบัญชีผู้ใช้ - สำเร็จ ล้มเหลว
- ตรวจสอบบริการรับรองความถูกต้อง Kerberos - ล้มเหลว
- ตรวจสอบเหตุการณ์การเข้าสู่ระบบบัญชีอื่น - ล้มเหลว
- การเปลี่ยนแปลงนโยบายการตรวจสอบการตรวจสอบ - ความสำเร็จความล้มเหลว
การตั้งค่าการตรวจสอบขั้นสูง
ฉันจะไม่ลงรายละเอียดเกี่ยวกับการตั้งค่าการตรวจสอบเนื่องจากมีบทความบนอินเทอร์เน็ตเพียงพอสำหรับหัวข้อนี้ ฉันจะเพิ่มเพียงว่านอกเหนือจากการเปิดใช้งานการตรวจสอบแล้ว คุณควรตั้งค่าการแจ้งเตือนทางอีเมลเกี่ยวกับเหตุการณ์ด้านความปลอดภัยที่สำคัญ นอกจากนี้ยังควรพิจารณาด้วยว่าควรเน้นในระบบที่มีเหตุการณ์จำนวนมาก เซิร์ฟเวอร์แยกต่างหากเพื่อรวบรวมและวิเคราะห์ไฟล์บันทึก
สคริปต์การดูแลระบบและการทำความสะอาด
การกระทำที่คล้ายกันและทำซ้ำบ่อยครั้งทั้งหมดจะต้องดำเนินการโดยใช้สคริปต์การดูแลระบบ การดำเนินการเหล่านี้ได้แก่: การสร้างบัญชีผู้ใช้ การสร้างบัญชีผู้ดูแลระบบ การสร้างกลุ่ม การสร้าง OU และอื่นๆ การสร้างออบเจ็กต์โดยใช้สคริปต์ช่วยให้คุณเคารพตรรกะการตั้งชื่อออบเจ็กต์ Active Directory ของคุณโดยการสร้างการตรวจสอบไวยากรณ์ลงในสคริปต์
นอกจากนี้ยังควรเขียนสคริปต์ทำความสะอาดที่จะตรวจสอบองค์ประกอบของกลุ่มโดยอัตโนมัติ ระบุผู้ใช้และคอมพิวเตอร์ที่ไม่ได้เชื่อมต่อกับโดเมนเป็นเวลานาน ระบุการละเมิดมาตรฐานอื่น ๆ เป็นต้น
ฉันไม่เคยเห็นการใช้สคริปต์ผู้ดูแลระบบเพื่อตรวจสอบการปฏิบัติตามข้อกำหนดและดำเนินการเบื้องหลังซึ่งเป็นคำแนะนำอย่างเป็นทางการที่ชัดเจน แต่ตัวฉันเองชอบการตรวจสอบและขั้นตอนในโหมดอัตโนมัติโดยใช้สคริปต์เนื่องจากช่วยประหยัดเวลาได้มากและกำจัดข้อผิดพลาดจำนวนมากและแน่นอนว่าแนวทางการดูแลระบบ Unix เล็กน้อยของฉันจะสะท้อนให้เห็นที่นี่เมื่อพิมพ์สองสามข้อได้ง่ายกว่า คำสั่งมากกว่าการคลิกบน windows
การบริหารด้วยตนเอง
คุณและเพื่อนร่วมงานจะต้องดำเนินการดูแลระบบด้วยตนเอง เพื่อวัตถุประสงค์เหล่านี้ ฉันขอแนะนำให้ใช้คอนโซล mmc โดยเพิ่มสแนปอินเข้าไป
ดังที่จะกล่าวในภายหลัง ตัวควบคุมโดเมนของคุณควรทำงานในโหมดเซิร์ฟเวอร์คอร์ กล่าวคือ คุณควรจัดการสภาพแวดล้อม AD ทั้งหมดจากคอมพิวเตอร์ของคุณโดยใช้คอนโซลเท่านั้น ในการจัดการ Active Directory คุณต้องติดตั้งเครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกลบนคอมพิวเตอร์ของคุณ คอนโซลควรทำงานบนคอมพิวเตอร์ของคุณในฐานะผู้ใช้ที่มีสิทธิ์ผู้ดูแลระบบ Active Directory และการควบคุมที่ได้รับมอบหมาย
ศิลปะของการจัดการ Active Directory โดยใช้คอนโซลจำเป็นต้องมีบทความแยกต่างหาก และอาจเป็นวิดีโอการฝึกอบรมแยกต่างหาก ดังนั้นในที่นี้ฉันจะพูดถึงหลักการเท่านั้น
ตัวควบคุมโดเมน
ในโดเมนใดๆ จะต้องมีตัวควบคุมอย่างน้อยสองตัว ตัวควบคุมโดเมนควรมีบริการน้อยที่สุดเท่าที่จะเป็นไปได้ คุณไม่ควรเปลี่ยนตัวควบคุมโดเมนให้เป็นไฟล์เซิร์ฟเวอร์ หรือพระเจ้าห้ามไม่ให้อัปเกรดเป็นบทบาทของเซิร์ฟเวอร์เทอร์มินัล ใช้ระบบปฏิบัติการในโหมดเซิร์ฟเวอร์คอร์บนตัวควบคุมโดเมน ยกเลิกการสนับสนุน WoW64 โดยสิ้นเชิง ซึ่งจะช่วยลดจำนวนลงอย่างมาก การอัปเดตที่จำเป็นและเพิ่มความปลอดภัย
ก่อนหน้านี้ Microsoft ไม่แนะนำให้ทำการจำลองเสมือนตัวควบคุมโดเมนเนื่องจากข้อเท็จจริงที่ว่าเมื่อทำการกู้คืนจาก สแนปชอตความขัดแย้งในการจำลองแบบที่แก้ไขไม่ได้เกิดขึ้นได้ อาจมีเหตุผลอื่นฉันไม่สามารถพูดได้อย่างแน่นอน ตอนนี้ไฮเปอร์ไวเซอร์ได้เรียนรู้ที่จะบอกให้คอนโทรลเลอร์กู้คืนจากสแน็ปช็อต และปัญหานี้ก็หายไป ฉันได้ทำการจำลองเสมือนคอนโทรลเลอร์ตลอดเวลาโดยไม่ต้องถ่ายภาพสแนปช็อตใด ๆ เพราะฉันไม่เข้าใจว่าทำไมจึงจำเป็นต้องถ่ายภาพสแนปช็อตดังกล่าวบนตัวควบคุมโดเมน ในความคิดของฉัน การสร้างสำเนาสำรองของตัวควบคุมโดเมนทำได้ง่ายกว่า วิธีการมาตรฐาน- ดังนั้น ฉันขอแนะนำให้จำลองตัวควบคุมโดเมนทั้งหมดที่เป็นไปได้ การกำหนดค่านี้จะมีความยืดหยุ่นมากขึ้น เมื่อจำลองตัวควบคุมโดเมน ให้วางไว้บนโฮสต์จริงที่แตกต่างกัน
หากคุณต้องการวางตัวควบคุมโดเมนในสภาพแวดล้อมทางกายภาพที่ไม่ปลอดภัยหรือในสำนักงานสาขาขององค์กรของคุณ ให้ใช้ RODC เพื่อจุดประสงค์นี้
บทบาท FSMO ตัวควบคุมหลักและรอง
บทบาทของตัวควบคุมโดเมน FSMO ยังคงสร้างความหวาดกลัวในใจของผู้ดูแลระบบคนใหม่ บ่อยครั้งที่มือใหม่เรียนรู้ Active Directory จากเอกสารที่ล้าสมัยหรือฟังเรื่องราวจากผู้ดูแลระบบคนอื่นๆ ที่เคยอ่านบางเรื่องมาก่อน
สำหรับบทบาททั้งห้า + 1 ควรกล่าวสั้นๆ ดังต่อไปนี้ ตั้งแต่ Windows Server 2008 เป็นต้นไป จะไม่มีตัวควบคุมโดเมนหลักและรองอีกต่อไป บทบาทของตัวควบคุมโดเมนทั้งห้าบทบาทสามารถพกพาได้ แต่ไม่สามารถอยู่บนตัวควบคุมมากกว่าหนึ่งตัวในแต่ละครั้ง หากเราลบตัวควบคุมตัวใดตัวหนึ่งซึ่งเป็นเจ้าของ 4 บทบาทออกไป เราก็จะสามารถถ่ายโอนบทบาทเหล่านี้ทั้งหมดไปยังตัวควบคุมอื่น ๆ ได้อย่างง่ายดาย และจะไม่มีอะไรเลวร้ายเกิดขึ้นในโดเมน และจะไม่มีอะไรเสียหาย สิ่งนี้เป็นไปได้เนื่องจากเจ้าของจัดเก็บข้อมูลทั้งหมดเกี่ยวกับงานที่เกี่ยวข้องกับบทบาทใดบทบาทหนึ่งโดยตรงใน Active Directory และถ้าเราถ่ายโอนบทบาทไปยังคอนโทรลเลอร์อื่น ก่อนอื่นมันจะเปลี่ยนเป็นข้อมูลที่เก็บไว้ใน Active Directory และเริ่มให้บริการ โดเมนสามารถดำรงอยู่ได้เป็นเวลานานโดยไม่ต้องมีเจ้าของบทบาท “บทบาท” เดียวที่ควรอยู่ใน Active Directory เสมอ และหากปราศจากซึ่งทุกอย่างจะแย่มาก ก็คือบทบาท Global Catalog (GC) ซึ่งผู้ควบคุมทั้งหมดในโดเมนสามารถรับภาระได้ ฉันขอแนะนำให้กำหนดบทบาท GC ให้กับตัวควบคุมแต่ละตัวในโดเมน ยิ่งมีบทบาทมากเท่าไรก็ยิ่งดีเท่านั้น แน่นอน คุณสามารถค้นหากรณีที่ไม่คุ้มที่จะติดตั้งบทบาท GC บนตัวควบคุมโดเมนได้ ถ้าคุณไม่ต้องการมันก็ไม่ทำ ทำตามคำแนะนำโดยไม่คลั่งไคล้
บริการดีเอ็นเอส
บริการ DNS มีความสำคัญต่อการทำงานของ Active Directory และต้องทำงานโดยไม่มีการหยุดชะงัก บริการดีเอ็นเอสวิธีที่ดีที่สุดคือติดตั้งบนตัวควบคุมโดเมนแต่ละตัวและจัดเก็บโซน DNS ไว้ใน Active Directory หากคุณจะใช้ Active Directory เพื่อจัดเก็บโซน DNS คุณควรกำหนดค่าคุณสมบัติการเชื่อมต่อ TCP/IP บนตัวควบคุมโดเมนเพื่อให้แต่ละตัวควบคุมเป็น เซิร์ฟเวอร์ DNS หลักมีเซิร์ฟเวอร์ DNS อื่น ๆ และคุณสามารถตั้งค่าที่อยู่ 127.0.0.1 เป็นที่อยู่รองได้ ต้องทำการตั้งค่านี้เนื่องจากบริการ Active Directory จะเริ่มทำงานตามปกติ จำเป็นต้องมี DNS ที่ใช้งานได้ และสำหรับ DNS เพื่อเริ่มทำงาน จะต้องทำงานอยู่ บริการที่ใช้งานอยู่ไดเร็กทอรีเนื่องจากมีโซน DNS อยู่
อย่าลืมตั้งค่าโซน ค้นหาแบบย้อนกลับสำหรับทุกเครือข่ายของคุณและเปิดใช้งานการอัปเดตบันทึก PTR ที่ปลอดภัยโดยอัตโนมัติ
ฉันขอแนะนำให้เปิดใช้งานการล้างโซนอัตโนมัติของบันทึก DNS ที่ล้าสมัย (การกำจัด DNS)
ฉันแนะนำให้ระบุเซิร์ฟเวอร์ Yandex ที่ได้รับการป้องกันเป็น DNS-Forwarders หากไม่มีเซิร์ฟเวอร์อื่นที่เร็วกว่าในที่ตั้งทางภูมิศาสตร์ของคุณ
ไซต์และการจำลองแบบ
ผู้ดูแลระบบหลายคนคุ้นเคยกับการคิดว่าเว็บไซต์คือการจัดกลุ่มคอมพิวเตอร์ทางภูมิศาสตร์ ตัวอย่างเช่น เว็บไซต์มอสโก เว็บไซต์เซนต์ปีเตอร์สเบิร์ก แนวคิดนี้เกิดขึ้นเนื่องจากการแบ่ง Active Directory เดิมออกเป็นไซต์ต่างๆ มีวัตถุประสงค์เพื่อสร้างสมดุลและการแยกส่วน การรับส่งข้อมูลเครือข่ายการจำลองแบบ ตัวควบคุมโดเมนในมอสโกไม่จำเป็นต้องรู้ว่าขณะนี้มีการสร้างบัญชีคอมพิวเตอร์สิบบัญชีในเซนต์ปีเตอร์สเบิร์ก ดังนั้นข้อมูลเกี่ยวกับการเปลี่ยนแปลงดังกล่าวจึงสามารถส่งได้ชั่วโมงละครั้งตามกำหนดเวลา หรือแม้แต่ทำซ้ำการเปลี่ยนแปลงวันละครั้งและเฉพาะตอนกลางคืนเท่านั้น เพื่อประหยัดแบนด์วิธ
ฉันจะพูดสิ่งนี้เกี่ยวกับเว็บไซต์: เว็บไซต์เป็นกลุ่มทางตรรกะของคอมพิวเตอร์ คอมพิวเตอร์ที่เชื่อมต่อถึงกันอย่างดี การเชื่อมต่อเครือข่าย- และไซต์เองก็เชื่อมต่อถึงกันด้วยการเชื่อมต่อกับไซต์เล็ก ๆ ปริมาณงานซึ่งหาได้ยากมากในสมัยนี้ ดังนั้นฉันจึงแบ่ง Active Directory ออกเป็นไซต์ต่างๆ ไม่ใช่เพื่อสร้างสมดุลการรับส่งข้อมูลการจำลอง แต่เพื่อปรับสมดุลโหลดเครือข่ายโดยทั่วไปและอื่นๆ การประมวลผลที่รวดเร็วคำขอของลูกค้าจากคอมพิวเตอร์ของไซต์ ให้ฉันอธิบายด้วยตัวอย่าง มีเครือข่ายท้องถิ่นขนาด 100 เมกะบิตขององค์กร ซึ่งให้บริการโดยตัวควบคุมโดเมนสองตัว และมีคลาวด์ที่เซิร์ฟเวอร์แอปพลิเคชันขององค์กรนี้ตั้งอยู่พร้อมกับตัวควบคุมคลาวด์อีกสองตัว ฉันจะแบ่งเครือข่ายดังกล่าวออกเป็นสองไซต์เพื่อให้ผู้ควบคุม เครือข่ายท้องถิ่นคำขอไคลเอ็นต์ที่ประมวลผลจากเครือข่ายท้องถิ่น และตัวควบคุมในระบบคลาวด์ที่ประมวลผลคำขอจากแอปพลิเคชันเซิร์ฟเวอร์ นอกจากนี้ การดำเนินการนี้จะช่วยให้คุณสามารถแยกคำขอไปยังบริการ DFS และ Exchange ได้ และเนื่องจากตอนนี้ฉันไม่ค่อยเห็นช่องทางอินเทอร์เน็ตที่น้อยกว่า 10 เมกะบิตต่อวินาที ฉันจะเปิดใช้งาน Notify Based Replication ซึ่งเป็นเวลาที่การจำลองข้อมูลเกิดขึ้นทันทีที่มีการเปลี่ยนแปลงใดๆ เกิดขึ้นใน Active Directory
บทสรุป
เช้านี้ฉันกำลังคิดว่าเหตุใดความเห็นแก่ตัวของมนุษย์จึงไม่ได้รับการต้อนรับในสังคม และที่ไหนสักแห่งในระดับลึกของการรับรู้ทำให้เกิดอารมณ์เชิงลบอย่างยิ่ง และคำตอบเดียวที่อยู่ในใจของฉันก็คือ เผ่าพันธุ์มนุษย์คงจะไม่สามารถอยู่รอดได้บนโลกนี้หากไม่เรียนรู้ การแบ่งปันทรัพยากรทางกายภาพและทางปัญญา นั่นคือเหตุผลที่ฉันแบ่งปันบทความนี้กับคุณ และหวังว่าคำแนะนำของฉันจะช่วยคุณปรับปรุงระบบของคุณ และคุณจะใช้เวลาในการแก้ไขปัญหาน้อยลงอย่างมาก ทั้งหมดนี้จะนำไปสู่การมีเวลาและพลังงานมากขึ้นสำหรับความคิดสร้างสรรค์ น่าอยู่กว่ามากที่ได้อยู่ในโลกที่เต็มไปด้วยผู้คนที่สร้างสรรค์และเป็นอิสระ
คงจะดีไม่น้อยหากคุณแบ่งปันความรู้และแนวปฏิบัติในการสร้าง Active Directory ในความคิดเห็น
สันติภาพและความดีต่อทุกคน!
คุณสามารถช่วยเหลือและโอนเงินบางส่วนเพื่อการพัฒนาเว็บไซต์ได้
ผู้ใช้มือใหม่คนไหนที่เจอตัวย่อ AD สงสัยว่า Active Directory คืออะไร? Active Directory เป็นบริการไดเรกทอรีที่พัฒนาโดย Microsoft สำหรับเครือข่ายโดเมน Windows รวมอยู่ในระบบปฏิบัติการ Windows Server ส่วนใหญ่เป็นชุดกระบวนการและบริการ ในตอนแรก บริการจะจัดการเฉพาะกับโดเมนเท่านั้น อย่างไรก็ตาม ตั้งแต่ Windows Server 2008 เป็นต้นมา AD ได้กลายเป็นชื่อของบริการระบุตัวตนตามไดเร็กทอรีที่หลากหลาย ทำให้ Active Directory สำหรับผู้เริ่มต้นได้รับประสบการณ์การเรียนรู้ที่ดียิ่งขึ้น
คำจำกัดความพื้นฐาน
เซิร์ฟเวอร์ที่เรียกใช้บริการไดเรกทอรีโดเมน Active Directory เรียกว่าตัวควบคุมโดเมน โดยจะตรวจสอบและอนุญาตผู้ใช้และคอมพิวเตอร์ทั้งหมดในโดเมนเครือข่าย Windows กำหนดและบังคับใช้นโยบายความปลอดภัยสำหรับพีซีทุกเครื่อง และการติดตั้งหรืออัปเดตซอฟต์แวร์ ตัวอย่างเช่น เมื่อผู้ใช้เข้าสู่ระบบคอมพิวเตอร์ที่เปิดอยู่ โดเมนวินโดวส์, Active Directory จะตรวจสอบรหัสผ่านที่ให้มาและกำหนดว่าออบเจ็กต์นั้นเป็นผู้ดูแลระบบหรือผู้ใช้มาตรฐาน นอกจากนี้ยังช่วยให้คุณจัดการและจัดเก็บข้อมูล จัดเตรียมกลไกการตรวจสอบสิทธิ์และการอนุญาต และสร้างกรอบการทำงานสำหรับการปรับใช้อื่นๆ บริการที่เกี่ยวข้อง: บริการออกใบรับรอง บริการไดเร็กทอรีแบบรวมศูนย์และแบบไลท์เวท และการจัดการสิทธิ์
Active Directory ใช้ LDAP เวอร์ชัน 2 และ 3, Kerberos เวอร์ชันของ Microsoft และ DNS
Active Directory - มันคืออะไร? พูดง่ายๆเกี่ยวกับความซับซ้อน
การตรวจสอบข้อมูลเครือข่ายเป็นงานที่ใช้เวลานาน แม้กระทั่งใน เครือข่ายขนาดเล็กโดยทั่วไปผู้ใช้จะมีปัญหาในการค้นหาไฟล์เครือข่ายและเครื่องพิมพ์ หากไม่มีไดเร็กทอรีบางประเภท เครือข่ายขนาดกลางถึงขนาดใหญ่จะไม่สามารถจัดการได้ และมักจะประสบปัญหาในการค้นหาทรัพยากร
ก่อนหน้า เวอร์ชันของไมโครซอฟต์ Windows รวมบริการเพื่อช่วยให้ผู้ใช้และผู้ดูแลระบบค้นหาข้อมูล Network Neighborhood มีประโยชน์ในหลาย ๆ สภาพแวดล้อม แต่ข้อเสียที่ชัดเจนคืออินเทอร์เฟซที่ยุ่งยากและคาดเดาไม่ได้ ผู้จัดการ WINS และ ผู้จัดการเซิร์ฟเวอร์สามารถใช้เพื่อดูรายการระบบได้ แต่ไม่สามารถให้บริการแก่ผู้ใช้ปลายทางได้ ผู้ดูแลระบบใช้ตัวจัดการผู้ใช้เพื่อเพิ่มและลบข้อมูลจากออบเจ็กต์เครือข่ายประเภทอื่นโดยสิ้นเชิง พบว่าแอปพลิเคชันเหล่านี้ใช้ไม่ได้ผลกับเครือข่ายขนาดใหญ่ และเกิดคำถามว่าทำไมบริษัทถึงต้องการ Active Directory
โดยทั่วไปแล้ว ไดเร็กทอรีคือรายการออบเจ็กต์ที่สมบูรณ์ สมุดโทรศัพท์เป็นไดเร็กทอรีประเภทหนึ่งที่เก็บข้อมูลเกี่ยวกับบุคคล ธุรกิจ และหน่วยงานของรัฐ และโดยปกติแล้วจะบันทึกชื่อ ที่อยู่ และหมายเลขโทรศัพท์สงสัย Active Directory - มันคืออะไร ด้วยคำพูดง่ายๆเราสามารถพูดได้ว่าเทคโนโลยีนี้คล้ายกับไดเร็กทอรี แต่มีความยืดหยุ่นมากกว่ามาก AD เก็บข้อมูลเกี่ยวกับองค์กร เว็บไซต์ ระบบ ผู้ใช้ ทรัพยากรที่ใช้ร่วมกันและวัตถุเครือข่ายอื่นๆ.
ความรู้เบื้องต้นเกี่ยวกับแนวคิด Active Directory
เหตุใดองค์กรจึงต้องการ Active Directory ตามที่กล่าวไว้ในบทนำของ Active Directory บริการจะจัดเก็บข้อมูลเกี่ยวกับส่วนประกอบของเครือข่ายคู่มือ Active Directory สำหรับผู้เริ่มต้นอธิบายว่าสิ่งนี้ อนุญาตให้ไคลเอ็นต์ค้นหาวัตถุในเนมสเปซของตนทีนี้ คำว่า (เรียกอีกอย่างว่าคอนโซลทรี) หมายถึงพื้นที่ที่สามารถวางส่วนประกอบเครือข่ายได้ ตัวอย่างเช่น สารบัญของหนังสือจะสร้างเนมสเปซซึ่งสามารถกำหนดบทให้กับหมายเลขหน้าได้
DNS เป็นแผนผังคอนโซลที่แก้ไขชื่อโฮสต์ให้เป็นที่อยู่ IP เช่นสมุดโทรศัพท์เป็นเนมสเปซสำหรับแก้ไขชื่อหมายเลขโทรศัพท์สิ่งนี้เกิดขึ้นใน Active Directory ได้อย่างไร AD จัดให้มีแผนผังคอนโซลสำหรับการแก้ไขชื่อวัตถุเครือข่ายให้กับวัตถุนั้นเองและสามารถแก้ไขเอนทิตีได้หลากหลาย รวมถึงผู้ใช้ ระบบ และบริการบนเครือข่าย
วัตถุและคุณลักษณะ
สิ่งใดก็ตามที่ติดตาม Active Directory จะถือเป็นออบเจ็กต์เราสามารถพูดง่ายๆ ว่าสิ่งนี้อยู่ใน Active Directory คือผู้ใช้ ระบบ ทรัพยากร หรือบริการใดๆ มีการใช้คำทั่วไปเนื่องจาก AD สามารถติดตามองค์ประกอบได้หลายอย่าง และวัตถุจำนวนมากสามารถใช้คุณลักษณะร่วมกันได้ มันหมายความว่าอะไร?
คุณลักษณะจะอธิบายออบเจ็กต์ใน Active Directory ตัวอย่างเช่น ออบเจ็กต์ผู้ใช้ทั้งหมดจะแชร์คุณลักษณะเพื่อจัดเก็บชื่อผู้ใช้ สิ่งนี้ใช้กับคำอธิบายด้วย ระบบก็เป็นออบเจ็กต์เช่นกัน แต่มีชุดคุณลักษณะแยกต่างหากซึ่งรวมถึงชื่อโฮสต์ ที่อยู่ IP และตำแหน่ง
ชุดคุณลักษณะที่มีสำหรับวัตถุประเภทใดประเภทหนึ่งเรียกว่าสคีมา มันทำให้คลาสอ็อบเจ็กต์แตกต่างจากกัน ข้อมูลสคีมาถูกจัดเก็บไว้ใน Active Directory จริงๆ ลักษณะการทำงานของโปรโตคอลความปลอดภัยนี้มีความสำคัญมาก ซึ่งแสดงให้เห็นได้จากข้อเท็จจริงที่ว่าการออกแบบช่วยให้ผู้ดูแลระบบสามารถเพิ่มคุณลักษณะให้กับคลาสอ็อบเจ็กต์ และกระจายคุณลักษณะเหล่านั้นผ่านเครือข่ายไปยังทุกมุมของโดเมนโดยไม่ต้องรีสตาร์ทตัวควบคุมโดเมนใดๆ
คอนเทนเนอร์ LDAP และชื่อ
คอนเทนเนอร์เป็นออบเจ็กต์ชนิดพิเศษที่ใช้ในการจัดระเบียบการทำงานของบริการ มันไม่ได้แสดงถึงเอนทิตีทางกายภาพเช่นผู้ใช้หรือระบบ แต่จะใช้เพื่อจัดกลุ่มองค์ประกอบอื่นๆ แทน ออบเจ็กต์คอนเทนเนอร์สามารถซ้อนกันภายในคอนเทนเนอร์อื่นได้
ทุกองค์ประกอบใน AD มีชื่อ สิ่งเหล่านี้ไม่ใช่สิ่งที่คุณคุ้นเคยเช่น Ivan หรือ Olga เหล่านี้เป็นชื่อเฉพาะของ LDAP ชื่อที่แตกต่างของ LDAP นั้นซับซ้อน แต่อนุญาตให้คุณระบุอ็อบเจ็กต์ใดๆ ภายในไดเร็กทอรีได้โดยไม่ซ้ำกัน ไม่ว่าจะเป็นประเภทใดก็ตาม
แผนผังเงื่อนไขและเว็บไซต์
คำว่า tree ใช้เพื่ออธิบายชุดของวัตถุใน Active Directory นี่คืออะไร? พูดง่ายๆ ก็คือ สามารถอธิบายสิ่งนี้ได้โดยใช้การเชื่อมโยงแบบต้นไม้ เมื่อคอนเทนเนอร์และออบเจ็กต์ถูกรวมเข้าด้วยกันตามลำดับชั้น พวกมันมักจะก่อตัวเป็นสาขา - จึงเป็นที่มาของชื่อ คำที่เกี่ยวข้องคือทรีย่อยต่อเนื่อง ซึ่งหมายถึงลำต้นหลักของต้นไม้ที่ไม่ขาดตอน
จากการอุปมาอุปไมยต่อไป คำว่า "ฟอเรสต์" อธิบายถึงคอลเลกชันที่ไม่ได้เป็นส่วนหนึ่งของเนมสเปซเดียวกัน แต่ใช้สคีมา การกำหนดค่า และไดเร็กทอรีส่วนกลางร่วมกัน ออบเจ็กต์ในโครงสร้างเหล่านี้จะพร้อมใช้งานสำหรับผู้ใช้ทุกคน หากการรักษาความปลอดภัยอนุญาต องค์กรที่แบ่งออกเป็นหลายโดเมนควรจัดกลุ่มต้นไม้ให้เป็นฟอเรสต์เดียว
ไซต์คือที่ตั้งทางภูมิศาสตร์ที่กำหนดไว้ใน Active Directory ไซต์ต่างๆ สอดคล้องกับเครือข่ายย่อย IP แบบลอจิคัล และด้วยเหตุนี้ แอปพลิเคชันจึงสามารถใช้เพื่อค้นหาเซิร์ฟเวอร์ที่ใกล้ที่สุดบนเครือข่ายได้ การใช้ข้อมูลไซต์จาก Active Directory สามารถลดการรับส่งข้อมูลบน WAN ได้อย่างมาก
การจัดการไดเรกทอรีที่ใช้งานอยู่
คอมโพเนนต์สแน็ปอินผู้ใช้ Active Directory นี่เป็นเครื่องมือที่สะดวกที่สุดสำหรับการจัดการ Active Directory สามารถเข้าถึงได้โดยตรงจากกลุ่มโปรแกรมเครื่องมือการดูแลระบบในเมนูเริ่ม จะแทนที่และปรับปรุงตาม Server Manager และ User Manager จาก Windows NT 4.0
ความปลอดภัย
Active Directory มีบทบาทสำคัญในอนาคตของเครือข่าย Windows ผู้ดูแลระบบจะต้องสามารถปกป้องไดเร็กทอรีของตนจากผู้โจมตีและผู้ใช้ในขณะที่มอบหมายงานให้กับผู้ดูแลระบบรายอื่น ทั้งหมดนี้เป็นไปได้โดยใช้โมเดลการรักษาความปลอดภัยของ Active Directory ซึ่งเชื่อมโยงรายการควบคุมการเข้าถึง (ACL) กับทุกคุณลักษณะของคอนเทนเนอร์และอ็อบเจ็กต์ในไดเร็กทอรี
ระดับสูงการควบคุมช่วยให้ผู้ดูแลระบบสามารถให้สิทธิ์แก่ผู้ใช้แต่ละรายและกลุ่มในระดับต่างๆ บนออบเจ็กต์และคุณสมบัติได้ พวกเขายังสามารถเพิ่มคุณลักษณะให้กับวัตถุและซ่อนคุณลักษณะเหล่านั้นจากกลุ่มผู้ใช้บางกลุ่มได้ ตัวอย่างเช่น คุณสามารถตั้งค่า ACL เพื่อให้ผู้จัดการเท่านั้นที่สามารถดูโทรศัพท์บ้านของผู้ใช้รายอื่นได้
การบริหารงานที่ได้รับมอบหมาย
แนวคิดใหม่สำหรับ Windows 2000 Server คือการดูแลระบบที่ได้รับมอบหมาย ซึ่งจะทำให้คุณสามารถมอบหมายงานให้กับผู้ใช้รายอื่นโดยไม่ต้องจัดเตรียมให้ สิทธิเพิ่มเติมเข้าถึง. การดูแลระบบที่ได้รับมอบหมายสามารถกำหนดผ่านออบเจ็กต์เฉพาะหรือแผนผังย่อยไดเร็กทอรีที่อยู่ติดกัน มันมากขึ้น วิธีการที่มีประสิทธิภาพการให้อำนาจเหนือเครือข่าย
ใน สถานที่ที่บุคคลได้รับมอบหมายสิทธิ์ของผู้ดูแลระบบโดเมนส่วนกลางทั้งหมด ผู้ใช้สามารถได้รับสิทธิ์ภายในแผนผังย่อยที่ระบุเท่านั้น Active Directory รองรับการสืบทอด ดังนั้นออบเจ็กต์ใหม่จะสืบทอด ACL ของคอนเทนเนอร์ 
คำว่า "ความสัมพันธ์ที่ไว้วางใจ"
คำว่า "ความสัมพันธ์ที่ไว้วางใจ" ยังคงใช้อยู่ แต่มีฟังก์ชันการทำงานที่แตกต่างกัน ไม่มีความแตกต่างระหว่างความไว้วางใจแบบทางเดียวและแบบสองทาง ท้ายที่สุดแล้ว ความสัมพันธ์ที่เชื่อถือได้ของ Active Directory ทั้งหมดเป็นแบบสองทิศทาง ยิ่งกว่านั้นพวกมันทั้งหมดเป็นสกรรมกริยา ดังนั้น หากโดเมน A เชื่อถือโดเมน B และ B เชื่อถือ C ก็จะมีความสัมพันธ์การเชื่อถือโดยนัยโดยอัตโนมัติระหว่างโดเมน A และโดเมน C
การตรวจสอบใน Active Directory - คำง่ายๆคืออะไร? นี่คือคุณลักษณะด้านความปลอดภัยที่ช่วยให้คุณสามารถระบุได้ว่าใครกำลังพยายามเข้าถึงออบเจ็กต์และความพยายามนั้นประสบความสำเร็จเพียงใด
การใช้ DNS (ระบบชื่อโดเมน)
ระบบหรือที่เรียกว่า DNS เป็นสิ่งจำเป็นสำหรับองค์กรใดๆ ที่เชื่อมต่อกับอินเทอร์เน็ต DNS ให้การจำแนกชื่อระหว่าง ชื่อสามัญเช่น mspress.microsoft.com และที่อยู่ IP ดิบที่คอมโพเนนต์เลเยอร์เครือข่ายใช้สำหรับการสื่อสาร
Active Directory ใช้เทคโนโลยี DNS อย่างกว้างขวางเพื่อค้นหาวัตถุ นี่เป็นการเปลี่ยนแปลงที่สำคัญเมื่อเทียบกับครั้งก่อน ระบบปฏิบัติการ Windows ที่ต้องใช้ชื่อ NetBIOS เพื่อแก้ไขโดยที่อยู่ IP และอาศัย WINS หรือเทคนิคการจำแนกชื่อ NetBIOS อื่นๆ
Active Directory ทำงานได้ดีที่สุดเมื่อใช้กับเซิร์ฟเวอร์ DNS ภายใต้ การควบคุมหน้าต่าง 2000. Microsoft ได้ทำให้ผู้ดูแลระบบสามารถโยกย้ายไปยังเซิร์ฟเวอร์ DNS ที่ใช้ Windows 2000 ได้ง่ายขึ้น โดยจัดให้มีตัวช่วยสร้างการโยกย้ายที่แนะนำผู้ดูแลระบบตลอดกระบวนการ
อาจใช้เซิร์ฟเวอร์ DNS อื่น ๆ อย่างไรก็ตาม ผู้ดูแลระบบต้องใช้เวลามากขึ้นในการจัดการฐานข้อมูล DNS ความแตกต่างคืออะไร? หากคุณเลือกที่จะไม่ใช้เซิร์ฟเวอร์ DNS ที่ใช้ Windows 2000 คุณต้องตรวจสอบให้แน่ใจว่าเซิร์ฟเวอร์ DNS ของคุณสอดคล้องกับโปรโตคอลการปรับปรุงแบบไดนามิก DNS ใหม่ เซิร์ฟเวอร์อาศัยการอัปเดตบันทึกแบบไดนามิกเพื่อค้นหาตัวควบคุมโดเมน มันไม่สะดวก หลังจากนั้นอีหากไม่รองรับการอัพเดตแบบไดนามิก คุณต้องอัพเดตฐานข้อมูลด้วยตนเอง 
ขณะนี้โดเมน Windows และโดเมนอินเทอร์เน็ตเข้ากันได้อย่างสมบูรณ์แล้ว ตัวอย่างเช่น ชื่อเช่น mspress.microsoft.com จะระบุตัวควบคุมโดเมน Active Directory ที่รับผิดชอบโดเมน ดังนั้นไคลเอ็นต์ใดๆ ที่มีการเข้าถึง DNS จึงสามารถค้นหาตัวควบคุมโดเมนได้ลูกค้าสามารถใช้การแก้ไข DNS เพื่อค้นหาบริการจำนวนเท่าใดก็ได้ เนื่องจากเซิร์ฟเวอร์ Active Directory เผยแพร่รายการที่อยู่ไปยัง DNS โดยใช้คุณสมบัติการอัปเดตแบบไดนามิกใหม่ ข้อมูลนี้ถูกกำหนดให้เป็นโดเมนและเผยแพร่ผ่านบันทึกทรัพยากรบริการ SRV RR เป็นไปตามรูปแบบบริการ.โปรโตคอล.โดเมน.
เซิร์ฟเวอร์ Active Directory ให้บริการ LDAP สำหรับการโฮสต์ออบเจ็กต์ และ LDAP จะใช้ TCP เป็นโปรโตคอลการขนส่งเลเยอร์พื้นฐาน ดังนั้น ไคลเอนต์ที่กำลังมองหาเซิร์ฟเวอร์ Active Directory ในโดเมน mspress.microsoft.com จะค้นหารายการ DNS สำหรับ ldap.tcp.mspress.microsoft.com
แคตตาล็อกทั่วโลก
Active Directory มีแคตตาล็อกส่วนกลาง (GC) และเป็นแหล่งเดียวสำหรับการค้นหาวัตถุใดๆ บนเครือข่ายขององค์กร
Global Catalog เป็นบริการใน Windows 2000 Server ที่ช่วยให้ผู้ใช้สามารถค้นหาออบเจ็กต์ใด ๆ ที่มีการแชร์ได้ ฟังก์ชันการทำงานนี้เหนือกว่าแอปพลิเคชัน Find Computer ที่รวมอยู่ใน Windows รุ่นก่อนหน้ามาก ท้ายที่สุดแล้ว ผู้ใช้สามารถค้นหาออบเจ็กต์ใดๆ ใน Active Directory ได้ ไม่ว่าจะเป็นเซิร์ฟเวอร์ เครื่องพิมพ์ ผู้ใช้ และแอพพลิเคชั่น
