ไดเรกทอรีที่ใช้งานอยู่
ไดเรกทอรีที่ใช้งานอยู่(“ไดเรกทอรีที่ใช้งานอยู่”, ค.ศ) - แอลดีเอพี- การใช้งานร่วมกันได้ของบริการไดเร็กทอรีของบริษัท ไมโครซอฟต์สำหรับระบบปฏิบัติการของครอบครัว วินโดวส์เอ็นที. ไดเรกทอรีที่ใช้งานอยู่อนุญาตให้ผู้ดูแลระบบใช้นโยบายกลุ่มเพื่อให้แน่ใจว่ามีการกำหนดค่าสภาพแวดล้อมการทำงานของผู้ใช้ที่เหมือนกัน ปรับใช้ซอฟต์แวร์บนคอมพิวเตอร์หลายเครื่องผ่านนโยบายกลุ่มหรือผ่าน ตัวจัดการการกำหนดค่าระบบศูนย์(ก่อนหน้านี้ เซิร์ฟเวอร์การจัดการระบบ Microsoft) ติดตั้งการอัปเดตซอฟต์แวร์ระบบปฏิบัติการ แอปพลิเคชัน และเซิร์ฟเวอร์บนคอมพิวเตอร์ทุกเครื่องบนเครือข่ายโดยใช้ Update Service วินโดวส์เซิร์ฟเวอร์ . ไดเรกทอรีที่ใช้งานอยู่เก็บข้อมูลและการตั้งค่าสภาพแวดล้อมไว้ในฐานข้อมูลส่วนกลาง เครือข่าย ไดเรกทอรีที่ใช้งานอยู่สามารถมีขนาดแตกต่างกัน: จากหลายสิบถึงหลายล้านวัตถุ
ผลงาน ไดเรกทอรีที่ใช้งานอยู่เกิดขึ้นในปี พ.ศ. 2542 โดยมีผลิตภัณฑ์ออกจำหน่ายครั้งแรกด้วย เซิร์ฟเวอร์วินโดวส์ 2000และได้รับการแก้ไขและปรับปรุงในภายหลังเมื่อมีการเผยแพร่ วินโดวส์เซิร์ฟเวอร์ 2003- ต่อมา ไดเรกทอรีที่ใช้งานอยู่ได้รับการปรับปรุงให้ดีขึ้นใน วินโดวส์เซิร์ฟเวอร์ 2003 R2, วินโดวส์เซิร์ฟเวอร์ 2008และ วินโดวส์เซิร์ฟเวอร์ 2008 R2และเปลี่ยนชื่อเป็น บริการโดเมน Active Directory- ก่อนหน้านี้มีการเรียกบริการไดเร็กทอรี บริการไดเรกทอรี NT (NTDS) ชื่อนี้ยังสามารถพบได้ในไฟล์ปฏิบัติการบางไฟล์
ไม่เหมือนเวอร์ชั่น หน้าต่างถึง วินโดว์ 2000ซึ่งใช้โปรโตคอลเป็นหลัก เน็ตไบออสสำหรับการสื่อสารเครือข่ายการบริการ ไดเรกทอรีที่ใช้งานอยู่บูรณาการกับ DNSและ ทีพีซี/ไอพี- โปรโตคอลการตรวจสอบความถูกต้องเริ่มต้นคือ เคอร์เบรอส- หากไคลเอ็นต์หรือแอปพลิเคชันไม่รองรับการตรวจสอบสิทธิ์ เคอร์เบรอสจะใช้โปรโตคอล NTLM .
อุปกรณ์
วัตถุ
ไดเรกทอรีที่ใช้งานอยู่มีโครงสร้างลำดับชั้นที่ประกอบด้วยวัตถุ ออบเจ็กต์แบ่งออกเป็นสามประเภทหลัก: ทรัพยากร (เช่น เครื่องพิมพ์) บริการ (เช่น อีเมล) และบัญชีผู้ใช้และคอมพิวเตอร์ ไดเรกทอรีที่ใช้งานอยู่ให้ข้อมูลเกี่ยวกับออบเจ็กต์ ช่วยให้คุณสามารถจัดระเบียบออบเจ็กต์ ควบคุมการเข้าถึงออบเจ็กต์ และยังสร้างกฎความปลอดภัยอีกด้วย
ออบเจ็กต์สามารถเป็นคอนเทนเนอร์สำหรับออบเจ็กต์อื่นๆ (กลุ่มความปลอดภัยและการกระจาย) ออบเจ็กต์จะถูกระบุโดยไม่ซ้ำกันด้วยชื่อของมัน และมีชุดคุณลักษณะ เช่น ลักษณะและข้อมูล ที่สามารถมีได้ ในทางกลับกันก็ขึ้นอยู่กับประเภทของวัตถุ คุณลักษณะจะสร้างพื้นฐานของโครงสร้างของออบเจ็กต์และถูกกำหนดไว้ในสคีมา สคีมาจะกำหนดประเภทของออบเจ็กต์ที่สามารถมีอยู่ได้
สคีมานั้นประกอบด้วยอ็อบเจ็กต์สองประเภท: อ็อบเจ็กต์คลาสสคีมา และอ็อบเจ็กต์แอตทริบิวต์สคีมา ออบเจ็กต์คลาสสคีมาหนึ่งรายการกำหนดประเภทออบเจ็กต์หนึ่งประเภท ไดเรกทอรีที่ใช้งานอยู่(เช่นวัตถุผู้ใช้) และวัตถุแอตทริบิวต์สคีมาหนึ่งตัวกำหนดคุณลักษณะที่วัตถุสามารถมีได้
แต่ละอ็อบเจ็กต์แอ็ตทริบิวต์สามารถใช้ได้ในอ็อบเจ็กต์คลาสสคีมาที่แตกต่างกันหลายอัน ออบเจ็กต์เหล่านี้เรียกว่าออบเจ็กต์สคีมา (หรือข้อมูลเมตา) และช่วยให้คุณสามารถเปลี่ยนแปลงและขยายสคีมาได้ตามต้องการ อย่างไรก็ตาม ทุกออบเจ็กต์สคีมาเป็นส่วนหนึ่งของคำจำกัดความของออบเจ็กต์ ไดเรกทอรีที่ใช้งานอยู่ดังนั้นการปิดใช้งานหรือการเปลี่ยนแปลงวัตถุเหล่านี้อาจส่งผลร้ายแรง เนื่องจากผลของการกระทำเหล่านี้ โครงสร้างจะเปลี่ยนไป ไดเรกทอรีที่ใช้งานอยู่- การเปลี่ยนแปลงกับออบเจ็กต์สคีมาจะถูกเผยแพร่โดยอัตโนมัติ ไดเรกทอรีที่ใช้งานอยู่- เมื่อสร้างแล้ว วัตถุสคีมาจะไม่สามารถลบได้ แต่สามารถปิดใช้งานได้เท่านั้น โดยทั่วไปแล้ว การเปลี่ยนแปลงสคีมาทั้งหมดจะมีการวางแผนอย่างรอบคอบ
คอนเทนเนอร์คล้ายกัน วัตถุในแง่ที่ว่ามันมีคุณสมบัติและเป็นของเนมสเปซด้วย แต่ไม่เหมือนกับอ็อบเจ็กต์ คอนเทนเนอร์ไม่ได้หมายถึงสิ่งที่เฉพาะเจาะจง: มันสามารถประกอบด้วยกลุ่มของอ็อบเจ็กต์หรือคอนเทนเนอร์อื่น ๆ
โครงสร้าง
ระดับบนสุดของโครงสร้างคือฟอเรสต์ - การรวบรวมออบเจ็กต์ คุณลักษณะ และกฎทั้งหมด (ไวยากรณ์ของแอตทริบิวต์) ใน ไดเรกทอรีที่ใช้งานอยู่- ป่าประกอบด้วยต้นไม้ตั้งแต่หนึ่งต้นขึ้นไปที่เชื่อมต่อกันด้วยสกรรมกริยา ความสัมพันธ์ของความไว้วางใจ - แผนภูมิประกอบด้วยโดเมนตั้งแต่หนึ่งโดเมนขึ้นไป ซึ่งเชื่อมโยงเข้ากับลำดับชั้นด้วยความสัมพันธ์ที่เชื่อถือได้แบบสกรรมกริยา โดเมนจะถูกระบุโดยโครงสร้างชื่อ DNS - เนมสเปซ
ออบเจ็กต์ในโดเมนสามารถจัดกลุ่มเป็นคอนเทนเนอร์ได้ - การแบ่ง แผนกช่วยให้คุณสร้างลำดับชั้นภายในโดเมน ลดความซับซ้อนในการดูแลระบบ และอนุญาตให้คุณสร้างแบบจำลองโครงสร้างองค์กรและ/หรือภูมิศาสตร์ของบริษัทใน ไดเรกทอรีที่ใช้งานอยู่- ดิวิชั่นอาจมีดิวิชั่นอื่นๆ บริษัท ไมโครซอฟต์แนะนำให้ใช้โดเมนน้อยที่สุดเท่าที่จะเป็นไปได้ ไดเรกทอรีที่ใช้งานอยู่และใช้การแบ่งฝ่ายเพื่อกำหนดโครงสร้างและนโยบาย นโยบายกลุ่มมักจะใช้กับแผนกต่างๆ โดยเฉพาะ นโยบายกลุ่มเป็นวัตถุของตัวเอง แผนกคือระดับต่ำสุดที่สามารถมอบหมายอำนาจการบริหารได้
การแบ่งอีกวิธีหนึ่ง ไดเรกทอรีที่ใช้งานอยู่เป็น เว็บไซต์ ซึ่งเป็นวิธีการจัดกลุ่มทางกายภาพ (แทนที่จะเป็นเชิงตรรกะ) ตามส่วนของเครือข่าย ไซต์แบ่งออกเป็นไซต์ที่มีการเชื่อมต่อผ่านช่องทางความเร็วต่ำ (เช่น ผ่านช่องทางเครือข่ายทั่วโลก การใช้เครือข่ายส่วนตัวเสมือน) และผ่านช่องทางความเร็วสูง (เช่น ผ่านเครือข่ายท้องถิ่น) เว็บไซต์สามารถมีได้ตั้งแต่หนึ่งโดเมนขึ้นไป และโดเมนสามารถมีเว็บไซต์ได้ตั้งแต่หนึ่งเว็บไซต์ขึ้นไป เมื่อออกแบบ ไดเรกทอรีที่ใช้งานอยู่สิ่งสำคัญคือต้องพิจารณาการรับส่งข้อมูลเครือข่ายที่สร้างขึ้นเมื่อมีการซิงโครไนซ์ข้อมูลระหว่างไซต์
การตัดสินใจออกแบบที่สำคัญ ไดเรกทอรีที่ใช้งานอยู่คือการตัดสินใจแบ่งโครงสร้างพื้นฐานข้อมูลออกเป็นโดเมนแบบลำดับชั้นและหน่วยระดับบนสุด โมเดลทั่วไปที่ใช้สำหรับการแยกดังกล่าวคือแบบจำลองการแยกตามแผนกงานของบริษัท ตามที่ตั้งทางภูมิศาสตร์ และตามบทบาทในโครงสร้างพื้นฐานข้อมูลของบริษัท มักใช้การผสมผสานของรุ่นเหล่านี้
โครงสร้างทางกายภาพและการจำลองแบบ
ในเชิงกายภาพ ข้อมูลจะถูกจัดเก็บไว้ในตัวควบคุมโดเมนที่เทียบเท่าตั้งแต่หนึ่งตัวขึ้นไป โดยแทนที่ตัวควบคุมโดเมนที่ใช้ วินโดวส์เอ็นทีตัวควบคุมโดเมนหลักและสำรอง แม้ว่าเซิร์ฟเวอร์ที่เรียกว่า "การดำเนินการหลักเดียว" จะยังคงอยู่สำหรับการดำเนินการบางอย่าง ซึ่งสามารถจำลองตัวควบคุมโดเมนหลักได้ ตัวควบคุมโดเมนแต่ละตัวจะรักษาสำเนาข้อมูลแบบอ่าน-เขียน การเปลี่ยนแปลงที่ทำบนตัวควบคุมตัวเดียวจะถูกซิงโครไนซ์กับตัวควบคุมโดเมนทั้งหมดผ่านการจำลองแบบ เซิร์ฟเวอร์ที่ใช้บริการนั้นเอง ไดเรกทอรีที่ใช้งานอยู่ไม่ได้ติดตั้ง แต่เป็นส่วนหนึ่งของโดเมน ไดเรกทอรีที่ใช้งานอยู่เรียกว่าเซิร์ฟเวอร์สมาชิก
การจำลองแบบ ไดเรกทอรีที่ใช้งานอยู่ดำเนินการเมื่อมีการร้องขอ บริการ ตัวตรวจสอบความสอดคล้องของความรู้สร้างโทโพโลยีการจำลองแบบที่ใช้ไซต์ที่กำหนดไว้ในระบบเพื่อควบคุมการรับส่งข้อมูล การจำลองแบบภายในไซต์เกิดขึ้นบ่อยครั้งและโดยอัตโนมัติโดยใช้ตัวตรวจสอบความสอดคล้องกัน (แจ้งให้พันธมิตรการจำลองแบบทราบถึงการเปลี่ยนแปลง) การจำลองแบบข้ามไซต์สามารถกำหนดค่าได้สำหรับแต่ละช่องทางของไซต์ (ขึ้นอยู่กับคุณภาพของช่องทาง) - สามารถกำหนด "คะแนน" (หรือ "ต้นทุน") ที่แตกต่างกันให้กับแต่ละช่องทางได้ (เช่น ดีเอส3, , ไอเอสดีเอ็นฯลฯ) และการรับส่งข้อมูลการจำลองจะถูกจำกัด กำหนดเวลา และกำหนดเส้นทางตามการประมาณการลิงก์ที่กำหนด ข้อมูลการจำลองแบบสามารถไหลผ่านหลายไซต์ผ่านทางบริดจ์ลิงก์ไซต์ หาก "คะแนน" ต่ำ แม้ว่า AD จะกำหนดคะแนนให้กับลิงก์ระหว่างไซต์ต่อไซต์โดยอัตโนมัติมากกว่าลิงก์แบบสกรรมกริยาก็ตาม การจำลองแบบไซต์ต่อไซต์จะดำเนินการโดยเซิร์ฟเวอร์บริดจ์เฮดในแต่ละไซต์ ซึ่งจำลองการเปลี่ยนแปลงไปยังตัวควบคุมโดเมนแต่ละตัวในไซต์ของตนแล้ว การจำลองแบบภายในโดเมนเป็นไปตามโปรโตคอล อาร์พีซีตามระเบียบการ ไอพี, อินเตอร์โดเมน - สามารถใช้โปรโตคอลได้เช่นกัน SMTP.
ถ้าเป็นโครงสร้าง ไดเรกทอรีที่ใช้งานอยู่มีหลายโดเมน ใช้เพื่อแก้ปัญหาการค้นหาวัตถุ แคตตาล็อกทั่วโลก: ตัวควบคุมโดเมนที่มีวัตถุทั้งหมดในฟอเรสต์ แต่มีชุดคุณลักษณะที่จำกัด (แบบจำลองบางส่วน) แค็ตตาล็อกถูกจัดเก็บไว้ในเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางที่ระบุ และให้บริการคำขอข้ามโดเมน
ความสามารถของโฮสต์เดียวช่วยให้สามารถประมวลผลคำร้องขอได้เมื่อไม่สามารถจำลองแบบหลายโฮสต์ได้ การดำเนินการดังกล่าวมีห้าประเภท: การจำลองตัวควบคุมโดเมนหลัก (โปรแกรมจำลอง PDC), ต้นแบบตัวระบุแบบสัมพันธ์ (ต้นแบบตัวระบุแบบสัมพันธ์หรือต้นแบบ RID), ต้นแบบโครงสร้างพื้นฐาน (ต้นแบบโครงสร้างพื้นฐาน), ต้นแบบสคีมา (ต้นแบบสคีมา) และต้นแบบการตั้งชื่อโดเมน (domain ตัวช่วยสร้างการตั้งชื่อ) บทบาทสามบทบาทแรกไม่ซ้ำกันภายในโดเมน สองบทบาทสุดท้ายไม่ซ้ำกันภายในฟอเรสต์ทั้งหมด
ฐาน ไดเรกทอรีที่ใช้งานอยู่สามารถแบ่งออกเป็นสามร้านค้าตรรกะหรือ "พาร์ติชัน" แผนภาพเป็นแม่แบบสำหรับ ไดเรกทอรีที่ใช้งานอยู่และกำหนดประเภทของออบเจ็กต์ทุกประเภท คลาสและคุณลักษณะ ไวยากรณ์ของแอตทริบิวต์ (ทรีทั้งหมดอยู่ในฟอเรสต์เดียวกันเนื่องจากมีสคีมาเหมือนกัน) ลักษณะเป็นโครงสร้างของป่าไม้และต้นไม้ ไดเรกทอรีที่ใช้งานอยู่- โดเมนจัดเก็บข้อมูลทั้งหมดเกี่ยวกับวัตถุที่สร้างขึ้นในโดเมนนั้น ร้านค้าสองแห่งแรกถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมดในฟอเรสต์ พาร์ติชันที่สามถูกจำลองแบบอย่างสมบูรณ์ระหว่างตัวควบคุมแบบจำลองภายในแต่ละโดเมน และจำลองแบบบางส่วนไปยังเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลาง
การตั้งชื่อ
ไดเรกทอรีที่ใช้งานอยู่รองรับรูปแบบการตั้งชื่อวัตถุต่อไปนี้: ชื่อประเภททั่วไป ยูเอ็นซี, URLและ URL ของ LDAP- เวอร์ชัน แอลดีเอพีรูปแบบการตั้งชื่อ X.500 ที่ใช้ภายใน ไดเรกทอรีที่ใช้งานอยู่.
แต่ละวัตถุมี ชื่อที่โดดเด่น (ภาษาอังกฤษ) ชื่อที่โดดเด่น, ดีเอ็น- ตัวอย่างเช่น วัตถุเครื่องพิมพ์ชื่อ HPLaser3ใน Marketing OU และในโดเมน foo.org จะมีชื่อเฉพาะต่อไปนี้: CN=HPLaser3,OU=Marketing,DC=foo,DC=org โดยที่ CN คือชื่อทั่วไป, OU คือส่วน, DC คือโดเมน คลาสอ็อบเจ็กต์ ชื่อเฉพาะสามารถมีได้หลายส่วนมากกว่าสี่ส่วนในตัวอย่างนี้ ออบเจ็กต์ยังมีชื่อตามรูปแบบบัญญัติด้วย ชื่อเหล่านี้เป็นชื่อเฉพาะที่เขียนในลำดับย้อนกลับ โดยไม่มีตัวระบุ และใช้เครื่องหมายทับเป็นตัวคั่น: foo.org/Marketing/HPLaser3 หากต้องการกำหนดวัตถุภายในคอนเทนเนอร์ให้ใช้ ชื่อเด่นญาติ : CN=HPLaser3 . แต่ละออบเจ็กต์ยังมีตัวระบุที่ไม่ซ้ำกันทั่วโลก ( แนวทาง) เป็นสตริง 128 บิตที่ไม่ซ้ำใครและไม่เปลี่ยนรูปที่ใช้ ไดเรกทอรีที่ใช้งานอยู่สำหรับการค้นหาและการจำลองแบบ วัตถุบางอย่างยังมี UPN ( ยูพีเอ็นตาม อาร์เอฟซี 822) ในรูปแบบ object@domain
การรวมระบบยูนิกซ์
ระดับต่างๆ ของการโต้ตอบด้วย ไดเรกทอรีที่ใช้งานอยู่สามารถนำไปปฏิบัติได้เป็นส่วนใหญ่ ยูนิกซ์-เหมือนระบบปฏิบัติการผ่านมาตรฐาน แอลดีเอพีลูกค้า แต่ตามกฎแล้วระบบดังกล่าวไม่รับรู้ถึงคุณลักษณะส่วนใหญ่ที่เกี่ยวข้องกับส่วนประกอบต่างๆ หน้าต่างเช่นนโยบายกลุ่มและการสนับสนุนหนังสือมอบอำนาจแบบทางเดียว
ผู้จำหน่ายบุคคลที่สามเสนอการผสานรวม ไดเรกทอรีที่ใช้งานอยู่บนแพลตฟอร์ม ยูนิกซ์, รวมทั้ง ยูนิกซ์, ลินุกซ์, แมค โอเอส เอ็กซ์และแอปพลิเคชั่นจำนวนหนึ่งตาม ชวาพร้อมแพ็คเกจผลิตภัณฑ์:
มีการเพิ่มสคีมาด้วย วินโดวส์เซิร์ฟเวอร์ 2003 R2รวมคุณลักษณะที่เกี่ยวข้องมากพอกับ RFC 2307 ที่จะใช้โดยทั่วไป เสนอการใช้งานพื้นฐานของ RFC 2307, nss_ldap และ pam_ldap PADL.comสนับสนุนคุณลักษณะเหล่านี้โดยตรง รูปแบบมาตรฐานสำหรับการเป็นสมาชิกกลุ่มเป็นไปตาม RFC 2307bis (ที่เสนอ) วินโดวส์เซิร์ฟเวอร์ 2003 R2รวม Microsoft Management Console สำหรับการสร้างและแก้ไขแอตทริบิวต์
อีกทางเลือกหนึ่งคือการใช้บริการไดเรกทอรีอื่น เช่น เซิร์ฟเวอร์ไดเรกทอรี 389(ก่อนหน้านี้ เซิร์ฟเวอร์ไดเรกทอรี Fedora, เอฟดีเอส), eB2Bcom ViewDS เวอร์ชัน 7.1 ไดเรกทอรีที่เปิดใช้งาน XMLหรือ เซิร์ฟเวอร์ไดเรกทอรีระบบ Sun Javaจาก ซัน ไมโครซิสเต็มส์ซึ่งดำเนินการซิงโครไนซ์สองทางด้วย ไดเรกทอรีที่ใช้งานอยู่จึงตระหนักถึงการบูรณาการแบบ "สะท้อน" เมื่อลูกค้า ยูนิกซ์และ ลินุกซ์ได้รับการรับรองความถูกต้อง เอฟดีเอสและลูกค้า หน้าต่างได้รับการรับรองความถูกต้อง ไดเรกทอรีที่ใช้งานอยู่- อีกทางเลือกหนึ่งคือการใช้ OpenLDAPด้วยความสามารถในการซ้อนทับแบบโปร่งแสงขยายองค์ประกอบเซิร์ฟเวอร์ระยะไกล แอลดีเอพีคุณลักษณะเพิ่มเติมที่จัดเก็บไว้ในฐานข้อมูลท้องถิ่น
ไดเรกทอรีที่ใช้งานอยู่เป็นแบบอัตโนมัติโดยใช้ พาวเวอร์เชลล์ .
วรรณกรรม
- แรนด์ โมริโมโตะ, เคนตัน การ์ดิเนียร์, ไมเคิล โนเอล, โจ โคคา ไมโครซอฟต์เอ็กซ์เชนจ์เซิร์ฟเวอร์ 2003- คู่มือฉบับสมบูรณ์ = เปิดตัว Microsoft Exchange Server 2003- - อ.: “วิลเลียมส์”, 2549. - หน้า 1024. - ISBN 0-672-32581-0
ดูเพิ่มเติม
ลิงค์
หมายเหตุ
| คอมโพเนนต์ของ Microsoft Windows | |
|---|---|
| ขั้นพื้นฐาน | |
| บริการ การจัดการ |
|
| การใช้งาน |
ผู้ติดต่อเครื่องเล่นดีวีดี แฟกซ์และการสแกน อินเทอร์เน็ตเอ็กซ์พลอเรอร์นิตยสาร แว่นขยาย มีเดียเซ็นเตอร์ วินโดว์มีเดียเพลเยอร์ โครงการความร่วมมือ ศูนย์อุปกรณ์ Windows Mobile ศูนย์การเคลื่อนไหวผู้บรรยาย ระบายสี เครื่องมือแก้ไขสัญลักษณ์ส่วนบุคคล ความช่วยเหลือระยะไกล การรู้จำเสียงเวิร์ดแพด โน๊ตบุ๊ค แถบด้านข้าง การบันทึกเสียงปฏิทิน เครื่องคิดเลข กรรไกร จดหมาย ตารางสัญลักษณ์ ประวัติศาสตร์: โปรแกรมสร้างภาพยนตร์ เน็ตมีทติ้ง เอาท์ลุค เอ็กซ์เพรส ผู้จัดการโปรแกรม ตัวจัดการไฟล์ อัลบั้มรูป |
| เกมส์ | |
| เคอร์เนลระบบปฏิบัติการ | |
| บริการ | |
| ไฟล์ ระบบ |
|
| เซิร์ฟเวอร์ |
ไดเรกทอรีที่ใช้งานอยู่ บริการปรับใช้ บริการการจำลองแบบไฟล์โดเมน DNS การเปลี่ยนเส้นทางโฟลเดอร์ MSMQ บริการสื่อ Hyper-V IIS การป้องกันการเข้าถึงเครือข่าย (NAP) บริการการพิมพ์สำหรับ UNIX การบีบอัดส่วนต่างระยะไกล บริการติดตั้งระยะไกล บริการการจัดการสิทธิ์ โปรไฟล์ผู้ใช้โรมมิ่ง แชร์พอร์ต ตัวจัดการทรัพยากรระบบ เดสก์ท็อประยะไกลสสส นโยบายกลุ่ม ผู้ประสานงานธุรกรรมแบบกระจาย |
| สถาปัตยกรรม | |
| ความปลอดภัย | |
| ความเข้ากันได้ | |
| ไมโครซอฟต์ | ||
|---|---|---|
| โดย | ||
| ซอฟต์แวร์เซิร์ฟเวอร์ | ||
| เทคโนโลยี | ||
| อินเทอร์เน็ต | ||
| เกมส์ | ||
| ฮาร์ดแวร์ ความปลอดภัย |
||
| การศึกษา | ||
| การออกใบอนุญาต | ||
| ดิวิชั่น | ||
- บทช่วยสอน
ในงานของฉัน ฉันมักจะต้องจัดการกับกริดที่ดูเหมือนจะใช้งานได้ แต่เหตุการณ์เล็กๆ น้อยๆ ใดๆ ก็ตามอาจส่งผลให้ต้องหยุดทำงานหลายชั่วโมงโดยไม่คาดคิด เคดีตายเหรอ? ไม่มีปัญหา เรามีอันที่สองแล้ว ลูกไม่เปิดได้อย่างไร? ทำไมเกตเวย์ไม่ตอบสนอง? และในแผ่นซีดีนั้นมีเซิร์ฟเวอร์ DHCP ตัวเดียว และตอนนี้เซิร์ฟเวอร์ทั้งหมดก็หายไปแล้ว
ในบทความนี้ ฉันจะพยายามอธิบายวิธีแก้ปัญหาที่ถูกต้องสำหรับการสร้างโครงสร้างพื้นฐานเครือข่ายธุรกิจขนาดเล็กจากมุมมองของฉัน และแน่นอนว่าบทความนี้สะท้อนถึงแนวปฏิบัติที่ดีส่วนตัวของผู้เขียนและอาจแตกต่างจากอุดมคติของผู้อ่าน
ดังนั้น. เรามีลูกค้ามากถึง 100 ราย ทุกอย่างเป็นไปตามมาตรฐาน ผู้ใช้ใช้อินเทอร์เน็ต ส่งเมล ใช้พื้นที่จัดเก็บไฟล์ ทำงานใน 1C ต้องการคอมพิวเตอร์ที่เย็นกว่าและพยายามตรวจจับไวรัส ใช่แล้ว เรายังไม่รู้ว่าจะคลาวด์อย่างไร
เสาหลักสองสามต้นของโครงสร้างพื้นฐานเกือบทุกชนิด
จากนั้นเราจะพูดถึงความแตกต่างที่ชัดเจนและไม่ชัดเจนนัก ขอย้ำอีกครั้งว่าเราเป็นธุรกิจขนาดเล็ก-กลาง อย่าทำให้อะไรแย่ลงความปลอดภัยของข้อมูล “กับระเบิดโจมตีห้องเซิร์ฟเวอร์”
หากกับระเบิดโจมตีห้องเซิร์ฟเวอร์ของคุณ ความปลอดภัยของข้อมูลของคุณน่าจะเป็นสิ่งสุดท้ายที่คุณใส่ใจ มีความเป็นไปได้มากกว่ามากว่าในวันที่ 31 ธันวาคม ท่อด้านบนจะแตก ทำให้เกิดไฟไหม้ที่นั่นและทำให้พื้นถล่ม- ข้อมูลคือทุกสิ่งของเรา เซิร์ฟเวอร์สำรองข้อมูลตัวใดตัวหนึ่งต้องอยู่นอกห้องเซิร์ฟเวอร์ นี่คือเส้นชีวิต แม้ว่าจะมีเฉพาะสิ่งที่สำคัญที่สุด แต่ในหนึ่งหรือสองวันคุณสามารถซื้อหรือเช่าเซิร์ฟเวอร์อีกครั้งและปรับใช้โครงสร้างพื้นฐานที่ใช้งานได้ คุณจะไม่สามารถกู้คืนฐานข้อมูล 1C ที่สูญหายอย่างไม่อาจแก้ไขได้ อย่างไรก็ตามคนเก่า a la P4-2400/1024 มักจะรับมือกับการสำรองข้อมูลที่จัดระเบียบอย่างเหมาะสม
การตรวจสอบ “01/01/2013 02:24 | จาก: Zabbix | เรื่อง: ตรวจพบการปล่อยนิวเคลียร์!”
คุณกำลังมีช่วงเวลาที่ดีในการเฉลิมฉลองปีใหม่กับเพื่อน ๆ อย่างไรก็ตาม ไม่ใช่แค่คุณเท่านั้น ผู้ดูแลอาคารที่คุณเช่าสถานที่ก็ไม่เสียเวลาเช่นกัน ดังนั้นห้องที่ถูกไฟไหม้ซึ่งเต็มไปด้วยน้ำจะเป็นโบนัสที่น่าพอใจสำหรับการปวดหัวของคุณในตอนเช้าสำหรับสวัสดีปีใหม่- หากมีสิ่งผิดปกติเกิดขึ้น คุณเพียงแค่ต้องเป็นคนแรกที่รู้เกี่ยวกับเรื่องนั้น การแจ้งเตือนทาง SMS เดียวกันเกี่ยวกับเหตุการณ์สำคัญถือเป็นเรื่องปกติ อย่างไรก็ตาม หากในตอนเช้า 5 นาทีหลังจากนาฬิกาปลุกดังขึ้น เซิร์ฟเวอร์ตรวจสอบไม่ตอบกลับคุณ ก็ถึงเวลาส่งเสียงปลุก ท้ายที่สุดแล้ว เซิร์ฟเวอร์ที่มอนิเตอร์เซิร์ฟเวอร์การมอนิเตอร์ก็ไม่ได้เขียนอะไรเลย โดยทั่วไป ไม่เป็นไร คุณมีเซิร์ฟเวอร์สำรองอยู่นอกห้องเซิร์ฟเวอร์ ซึ่งเขียนถึงคุณว่าสูญเสียทุกคนไปแล้ว แต่ยังคงใช้งานได้อยู่
แผนการฟื้นฟู “ ใจเย็น ๆ Kazladoev นั่งลงกันเถอะ!”
นี่เป็นปีใหม่ที่แย่ที่สุดในประสบการณ์ของคุณ ใช่ เมื่อได้รับ SMS และประเมินสถานการณ์แล้ว เจ้าหน้าที่ดับเพลิงก็ถูกเรียกทันที และมาถึงในเวลาเกือบ 5 นาที จึงดับไฟได้อย่างรวดเร็ว แต่อย่างไรก็ตาม ส่วนหนึ่งของห้องเซิร์ฟเวอร์ถูกไฟไหม้ ส่วนที่สองเต็มไปด้วยโฟม และส่วนที่สามก็ตกลงไปใต้พื้นในที่สุด- แน่นอนว่าเป็นเรื่องโกหก นี่ไม่ใช่วันที่น่ารื่นรมย์ที่สุด แต่ก็ไม่ใช่ปีใหม่ที่แย่ที่สุดด้วย ใช่ คุณอยู่ในช่วงสัปดาห์ที่วุ่นวาย แต่ด้วยแผนการที่ชัดเจน คุณจะรู้ว่าจะเริ่มต้นที่ไหนและต้องทำอะไร ฉันแนะนำว่าในแผนการกู้คืนระบบ คุณควรอธิบายทุกอย่างโดยละเอียด รวมถึงคำสั่งคอนโซลด้วย หากคุณต้องการกู้คืนเซิร์ฟเวอร์ MySQL บางตัวที่กำหนดค่าไว้เมื่อสามปีที่แล้ว ไม่น่าเป็นไปได้ที่คุณจะจำความแตกต่างเล็กๆ น้อยๆ บางอย่างที่จะทำให้คุณต้องใช้เวลาครึ่งวันในท้ายที่สุด อย่างไรก็ตาม ทุกอย่างจะแตกต่างไปจากที่คุณวางแผนไว้เล็กน้อย และอาจแตกต่างไปจากเดิมอย่างสิ้นเชิงด้วยซ้ำ เตรียมตัวให้พร้อมสำหรับสิ่งนี้
ตอนนี้ถึงพื้นฐานของระบบเครือข่ายบน AD
ฉันจะไม่อธิบายประโยชน์ของการทำคลัสเตอร์และ LiveMigration อื่นๆ เราเป็นธุรกิจขนาดเล็กและไม่มีเงินสำหรับ vMotions จริงๆ แล้ว มันก็ไม่จำเป็น บริการส่วนใหญ่ได้รับการสำรองข้อมูลอย่างสมบูรณ์แบบตั้งแต่แกะกล่อง ด้านล่างนี้จะไม่มีวิธีการตั้งค่า แต่ฉันจะพยายามให้แนวทางที่ถูกต้องสำหรับการศึกษาด้วยตนเอง- ไดเรกทอรีที่ใช้งานอยู่ จะต้องมีตัวควบคุมโดเมนสองตัว บนฮาร์ดแวร์ที่แตกต่างกัน อย่างไรก็ตาม Microsoft ไม่แนะนำ (ไม่แนะนำ) ทำซีดีทั้งหมดในเครื่องเสมือนเช่น ซีดีอย่างน้อยหนึ่งแผ่นต้องเป็นเหล็กล้วนๆ โดยทั่วไปนี่เป็นเรื่องไร้สาระ คุณสามารถสร้างซีดีที่แตกต่างกันบนโฮสต์จริงที่แตกต่างกันได้ เพียงทำตามคำแนะนำทั่วไปของ Microsoft สำหรับการตั้งค่าซีดีในสภาพแวดล้อมเสมือน อย่าลืมเก็บ GC ไว้บนตัวควบคุมโดเมนทั้งสองเครื่องด้วย
- DNS เป็นเพียงพื้นฐานเท่านั้น หากบริการชื่อโดเมนของคุณทำงานผิดพลาด คุณจะประสบปัญหาโดยไม่คาดคิด ต้องมีเซิร์ฟเวอร์ DNS อย่างน้อยสองตัว และเพื่อจุดประสงค์นี้ ซีดีจึงค่อนข้างเหมาะสำหรับเรา และตรงกันข้ามกับคำแนะนำของ "ตัววิเคราะห์การปฏิบัติตามคำแนะนำ" ฉันขอแนะนำให้คุณระบุว่าตัวเองเป็นผู้เชี่ยวชาญในซีดี และอีกอย่างหนึ่ง ลืมแนวปฏิบัติในการลงทะเบียนเซิร์ฟเวอร์บนไคลเอนต์ด้วยที่อยู่ IP: หากนี่คือเซิร์ฟเวอร์ NTP ลูกค้าควรรู้ว่าเป็น ntp.company.xyz หากเป็นพรอกซี ก็เหมือนกับ gate.company xyz โดยทั่วไปแล้วมันชัดเจน อย่างไรก็ตาม นี่อาจเป็นเซิร์ฟเวอร์เดียวกันกับชื่อ srv0.domain.xyz แต่มี CNAME ต่างกัน ซึ่งจะมีประโยชน์มากเมื่อขยายหรือย้ายบริการ
- เซิร์ฟเวอร์ NTP ที่ติดตาม DNS ซีดีของคุณควรบอกเวลาที่แน่นอนเสมอ
ขอบคุณ foxmuldercp สำหรับคำแนะนำ - ควรมีเซิร์ฟเวอร์ DHCP สองเครื่องด้วย ในซีดีแผ่นเดียวกันนี้เป็นรูปแบบการทำงานที่สมบูรณ์ เพียงกำหนดค่าเพื่อให้ช่วงการออกไม่ทับซ้อนกัน แต่เพื่อให้ DHCP แต่ละตัวสามารถครอบคลุมกลุ่มเครื่องจักรทั้งหมดได้ ใช่ ให้แต่ละเซิร์ฟเวอร์ DHCP ระบุตัวเองว่าเป็นเซิร์ฟเวอร์ DNS แรก ฉันคิดว่ามันชัดเจนว่าทำไม
- ไฟล์เซิร์ฟเวอร์ ทุกอย่างก็ง่ายที่นี่เช่นกัน เราสร้าง DFS ด้วยการจำลองแบบบนซีดีแผ่นเดียวกัน โดยทั่วไปแล้ว การจำลองแบบไม่เกี่ยวข้องกับมัน เพียงแค่ลงทะเบียนลิงก์เพื่อแชร์ผ่าน DFS เสมอ พยายามปฏิบัติตามแนวปฏิบัตินี้ที่เกี่ยวข้องกับทรัพยากรไฟล์ทั้งหมด เมื่อคุณต้องการย้ายการแชร์ไปยังตำแหน่งใหม่ เพียงย้ายการแชร์และเปลี่ยนลิงก์ใน DFS ลูกค้าอาจไม่สังเกตเห็นสิ่งใดเลย
- เซิร์ฟเวอร์ MSSQL 1c มันไม่ง่ายอีกต่อไป และมีราคาแพง คุณมีฐานข้อมูลที่ค่อนข้างใหญ่ และการเก็บสำรองเซิร์ฟเวอร์ SQL ถือเป็นสิ่งต้องห้าม สิ่งนี้ไม่สามารถจองได้ ไม่ว่าในกรณีใด คุณต้องมีอินสแตนซ์ใหม่ซึ่งต้องเสียเงิน การสำรองข้อมูลคือทุกสิ่งของเรา ไม่ใช่เรื่องใหญ่ ลองนึกถึงตำแหน่งที่คุณสามารถปรับใช้เซิร์ฟเวอร์ DBMS ชั่วคราวได้อย่างรวดเร็ว อย่างไรก็ตาม มี MSSQL Express ฟรีที่มีการจำกัดขนาดของฐานข้อมูล ซึ่งอาจเพียงพอสำหรับคุณ
- เกตเวย์. Linux และ FreeBSD อื่น ๆ ไม่ว่าจะไม่พึงประสงค์แค่ไหนก็ไม่มีเงินสำหรับ TMG และ kerios อื่น ๆ คุณยังต้องเข้าใจ iptables ฉันสามารถให้คำแนะนำที่ชัดเจนได้ที่นี่ - หากคุณเป็นเพื่อนกับ OSI จะไม่มีปัญหาหากคุณไม่เป็นเพื่อนจะมีปัญหากับ Kerio อย่างไรก็ตาม หากคุณคิดว่าคุณเป็นผู้ดูแลระบบและไม่รู้ว่าเฟรมกับเฟรมแตกต่างกันอย่างไร มันจะเป็นเรื่องยากสำหรับคุณ
- ความปลอดภัย. นี่เป็นหัวข้อที่กว้างมาก ดังนั้นย่อหน้าต่อไปนี้จึงเกี่ยวกับประเด็นที่ใกล้ชิดนี้
ผู้ใช้จะต้องทำงานภายใต้ผู้ใช้โดเมน ฉันขอย้ำว่าแอปพลิเคชันใดๆ ก็ตามสามารถกำหนดค่าให้ทำงานในสภาพแวดล้อมที่มีสิทธิ์จำกัดได้ บางครั้งก็เพียงพอที่จะเพิ่มสิทธิ์การเขียนลงในไดเร็กทอรีด้วยโปรแกรมที่ติดตั้งและปิดใช้งานการเขียนไฟล์ปฏิบัติการภายใน บางครั้ง หากต้องการทราบข้อมูลเฉพาะเจาะจง คุณจะต้องตรวจสอบรีจิสทรีและระบบไฟล์ บางครั้งคุณต้องการฆ่าและให้สิทธิ์ผู้ดูแลระบบ บางครั้งก็สมเหตุสมผล ทางเลือกเป็นของคุณ แต่อย่าปิดการใช้งาน UAC และคุณ ซึ่งนั่งอยู่ในที่ทำงาน อย่างน้อยที่สุดควรมีสิทธิ์ของผู้ดูแลระบบในเครื่องเหนือเวิร์กสเตชันทั้งหมด และไม่ว่าในกรณีใด คุณไม่ควรเป็นผู้ดูแลระบบโดเมน หากจำเป็น ให้จัดการเซิร์ฟเวอร์ผ่านเทอร์มินัล - บัญชี. ฉันจะไม่พูดอะไรเกี่ยวกับผู้ใช้ ฉันคิดว่ามันชัดเจนว่ามีหนึ่งบัญชีต่อผู้ใช้ แต่ไม่ใช่ทุกคนที่เข้าใจว่าแต่ละบริการควรมีบัญชีของตัวเอง ตัวอย่างเช่น MSSQL ที่ทำงานในสภาพแวดล้อม AD ไม่จำเป็นต้องมีสิทธิ์ของผู้ดูแลระบบโดเมน สร้างบัญชีผู้ใช้ปกติและระบุเมื่อติดตั้ง DBMS โปรแกรมติดตั้งจะลงทะเบียนสิทธิ์ที่จำเป็นและทุกอย่างจะทำงานได้ดี และด้วยบริการเกือบทุกอย่าง หาก openfire บางตัวขอบัญชีผู้ดูแลระบบเพื่อเชื่อมต่อกับ AD นั่นคือชื่อเดียว ระบบจะต้องอ่านบริการไดเร็กทอรีเท่านั้น
- อัพเดตซอฟต์แวร์ ขยาย WSUS และอย่าลืมเข้าสู่ระบบอย่างน้อยในวันพุธที่สองของเดือนและตรวจสอบการอัปเดตใหม่ เลือกรถยนต์ 10-15 คันจากกลุ่มยานพาหนะของคุณและรวมไว้ในกลุ่มทดสอบ ตรวจสอบการอัปเดตใหม่ๆ ในกลุ่มนี้ และเมื่อคุณไม่พบข้อผิดพลาดใดๆ ให้ปรับใช้กับทุกคน โดยวิธีการที่นี่
Active Directory ให้บริการการจัดการระบบ เป็นทางเลือกที่ดีกว่ามากสำหรับกลุ่มท้องถิ่นและช่วยให้คุณสร้างเครือข่ายคอมพิวเตอร์ที่มีการจัดการที่มีประสิทธิภาพและการปกป้องข้อมูลที่เชื่อถือได้
หากคุณไม่เคยพบแนวคิดของ Active Directory มาก่อนและไม่ทราบว่าบริการดังกล่าวทำงานอย่างไร บทความนี้เหมาะสำหรับคุณ เรามาดูกันว่าแนวคิดนี้หมายถึงอะไรข้อดีของฐานข้อมูลดังกล่าวคืออะไรและจะสร้างและกำหนดค่าอย่างไรสำหรับการใช้งานครั้งแรก
Active Directory เป็นวิธีที่สะดวกมากในการจัดการระบบ การใช้ Active Directory ทำให้คุณสามารถจัดการข้อมูลของคุณได้อย่างมีประสิทธิภาพ
บริการเหล่านี้ช่วยให้คุณสร้างฐานข้อมูลเดียวที่จัดการโดยตัวควบคุมโดเมน หากคุณเป็นเจ้าของธุรกิจ จัดการสำนักงาน หรือควบคุมกิจกรรมของบุคคลจำนวนมากที่ต้องรวมเป็นหนึ่งเดียวกัน โดเมนดังกล่าวจะเป็นประโยชน์สำหรับคุณ
รวมถึงวัตถุทั้งหมด - คอมพิวเตอร์ เครื่องพิมพ์ แฟกซ์ บัญชีผู้ใช้ ฯลฯ ผลรวมของโดเมนที่มีข้อมูลอยู่เรียกว่า "ฟอเรสต์" ฐานข้อมูล Active Directory คือสภาพแวดล้อมของโดเมนที่จำนวนอ็อบเจ็กต์สามารถมีได้สูงสุด 2 พันล้านรายการ คุณนึกภาพตาชั่งเหล่านี้ออกไหม?
นั่นคือด้วยความช่วยเหลือของ "ฟอเรสต์" หรือฐานข้อมูล คุณสามารถเชื่อมต่อพนักงานและอุปกรณ์จำนวนมากในสำนักงานได้ และโดยไม่ต้องเชื่อมโยงกับที่ตั้ง - ผู้ใช้รายอื่นสามารถเชื่อมต่อกับบริการได้เช่น จากสำนักงานของบริษัทในเมืองอื่น
นอกจากนี้ ยังมีการสร้างและรวมโดเมนหลายโดเมนภายใน Active Directory Services ยิ่งบริษัทมีขนาดใหญ่เท่าใด จำเป็นต้องมีเครื่องมือในการควบคุมอุปกรณ์ภายในฐานข้อมูลมากขึ้นเท่านั้น
นอกจากนี้ เมื่อเครือข่ายดังกล่าวถูกสร้างขึ้น จะมีการกำหนดโดเมนควบคุมหนึ่งโดเมน และแม้ว่าจะมีโดเมนอื่นตามมาในภายหลัง โดเมนดั้งเดิมก็ยังคงเป็น "พาเรนต์" นั่นคือมีเพียงโดเมนเท่านั้นที่สามารถเข้าถึงการจัดการข้อมูลได้อย่างเต็มที่
ข้อมูลนี้ถูกเก็บไว้ที่ไหน และอะไรที่ทำให้มั่นใจได้ถึงการมีอยู่ของโดเมน ในการสร้าง Active Directory จะใช้ตัวควบคุม โดยปกติแล้วจะมีสองตัว - หากมีสิ่งใดเกิดขึ้นกับอันใดอันหนึ่ง ข้อมูลจะถูกบันทึกไว้ในคอนโทรลเลอร์ตัวที่สอง
อีกทางเลือกหนึ่งสำหรับการใช้ฐานข้อมูลคือ ตัวอย่างเช่น บริษัทของคุณร่วมมือกับฐานข้อมูลอื่น และคุณต้องทำโปรเจ็กต์ทั่วไปให้เสร็จสิ้น ในกรณีนี้ บุคคลที่ไม่ได้รับอนุญาตอาจจำเป็นต้องเข้าถึงไฟล์โดเมน และที่นี่คุณสามารถตั้งค่า "ความสัมพันธ์" ระหว่าง "ฟอเรสต์" สองแห่งที่แตกต่างกัน เพื่อให้สามารถเข้าถึงข้อมูลที่จำเป็นโดยไม่ต้องเสี่ยงต่อความปลอดภัยของข้อมูลที่เหลืออยู่
โดยทั่วไป Active Directory คือเครื่องมือสำหรับสร้างฐานข้อมูลภายในโครงสร้างบางอย่าง โดยไม่คำนึงถึงขนาด ผู้ใช้และอุปกรณ์ทั้งหมดจะรวมกันเป็น "ฟอเรสต์" เดียว โดเมนจะถูกสร้างขึ้นและวางบนตัวควบคุม
ขอแนะนำให้ชี้แจงด้วยว่าบริการสามารถทำงานได้บนอุปกรณ์ที่มีระบบเซิร์ฟเวอร์ Windows เท่านั้น นอกจากนี้ เซิร์ฟเวอร์ DNS 3-4 ตัวยังถูกสร้างขึ้นบนตัวควบคุม พวกเขาให้บริการในโซนหลักของโดเมน และหากหนึ่งในนั้นล้มเหลว เซิร์ฟเวอร์อื่นจะเข้ามาแทนที่
หลังจากภาพรวมโดยย่อของ Active Directory สำหรับ Dummies คุณสนใจคำถามนี้โดยธรรมชาติ - เหตุใดจึงเปลี่ยนกลุ่มโลคัลสำหรับฐานข้อมูลทั้งหมด โดยปกติแล้ว ขอบเขตของความเป็นไปได้ที่นี่จะกว้างกว่าหลายเท่า และเพื่อที่จะค้นหาความแตกต่างอื่นๆ ระหว่างบริการเหล่านี้สำหรับการจัดการระบบ เรามาดูข้อดีของมันกันดีกว่า
ประโยชน์ของ Active Directory
ข้อดีของ Active Directory คือ:
- การใช้ทรัพยากรเดียวในการตรวจสอบสิทธิ์ ในสถานการณ์นี้ คุณต้องเพิ่มบัญชีทั้งหมดที่ต้องเข้าถึงข้อมูลทั่วไปลงในพีซีแต่ละเครื่อง ยิ่งมีผู้ใช้และอุปกรณ์มากเท่าใด การซิงโครไนซ์ข้อมูลระหว่างกันก็จะยิ่งยากขึ้นเท่านั้น
ดังนั้นเมื่อใช้บริการกับฐานข้อมูล บัญชีจะถูกจัดเก็บไว้ในจุดเดียว และการเปลี่ยนแปลงจะมีผลทันทีในคอมพิวเตอร์ทุกเครื่อง
มันทำงานอย่างไร? พนักงานแต่ละคนมาที่สำนักงาน เปิดใช้ระบบและเข้าสู่ระบบบัญชีของตน คำขอเข้าสู่ระบบจะถูกส่งไปยังเซิร์ฟเวอร์โดยอัตโนมัติและการรับรองความถูกต้องจะเกิดขึ้นผ่านคำขอดังกล่าว
สำหรับลำดับการเก็บบันทึก คุณสามารถแบ่งผู้ใช้ออกเป็นกลุ่มได้เสมอ - "แผนกทรัพยากรบุคคล" หรือ "การบัญชี"
ในกรณีนี้ การให้สิทธิ์เข้าถึงข้อมูลจะง่ายยิ่งขึ้นไปอีก - หากคุณต้องการเปิดโฟลเดอร์สำหรับพนักงานจากแผนกใดแผนกหนึ่ง คุณจะต้องดำเนินการผ่านฐานข้อมูล พวกเขาช่วยกันเข้าถึงโฟลเดอร์ที่ต้องการพร้อมข้อมูล ในขณะที่เอกสารอื่นๆ ยังคงปิดอยู่
- ควบคุมผู้เข้าร่วมฐานข้อมูลแต่ละราย
หากในกลุ่มท้องถิ่นสมาชิกแต่ละคนมีความเป็นอิสระและควบคุมได้ยากจากคอมพิวเตอร์เครื่องอื่น ดังนั้นในโดเมนคุณสามารถตั้งกฎบางอย่างที่สอดคล้องกับนโยบายของบริษัทได้
ในฐานะผู้ดูแลระบบ คุณสามารถตั้งค่าการเข้าถึงและการตั้งค่าความปลอดภัย จากนั้นนำไปใช้กับกลุ่มผู้ใช้แต่ละกลุ่มได้ โดยปกติแล้ว ขึ้นอยู่กับลำดับชั้น บางกลุ่มสามารถได้รับการตั้งค่าที่เข้มงวดมากขึ้น ในขณะที่กลุ่มอื่นๆ สามารถเข้าถึงไฟล์และการดำเนินการอื่นๆ ในระบบได้
นอกจากนี้ เมื่อมีคนใหม่มาร่วมงานกับบริษัท คอมพิวเตอร์ของเขาจะได้รับชุดการตั้งค่าที่จำเป็นทันที ซึ่งรวมถึงส่วนประกอบในการทำงานด้วย
- ความคล่องตัวในการติดตั้งซอฟต์แวร์
เมื่อพูดถึงส่วนประกอบต่างๆ เมื่อใช้ Active Directory คุณสามารถกำหนดเครื่องพิมพ์ ติดตั้งโปรแกรมที่จำเป็นสำหรับพนักงานทุกคนได้ในคราวเดียว และตั้งค่าความเป็นส่วนตัว โดยทั่วไป การสร้างฐานข้อมูลจะช่วยเพิ่มประสิทธิภาพการทำงาน ติดตามความปลอดภัย และรวมผู้ใช้เข้าด้วยกันเพื่อประสิทธิภาพการทำงานสูงสุด
และหากบริษัทดำเนินการยูทิลิตี้แยกต่างหากหรือบริการพิเศษ ก็สามารถซิงโครไนซ์กับโดเมนและเข้าถึงได้ง่ายขึ้น ยังไง? หากคุณรวมผลิตภัณฑ์ทั้งหมดที่ใช้ในบริษัท พนักงานจะไม่จำเป็นต้องป้อนข้อมูลเข้าสู่ระบบและรหัสผ่านที่แตกต่างกันเพื่อเข้าสู่แต่ละโปรแกรม - ข้อมูลนี้จะเป็นเรื่องธรรมดา
เมื่อประโยชน์และความหมายของการใช้ Active Directory มีความชัดเจนแล้ว มาดูขั้นตอนการติดตั้งบริการเหล่านี้กัน
เราใช้ฐานข้อมูลบน Windows Server 2012
การติดตั้งและกำหนดค่า Active Directory ไม่ใช่เรื่องยาก และยังง่ายกว่าที่คิดเมื่อมองแวบแรกอีกด้วย
หากต้องการโหลดบริการ คุณต้องดำเนินการดังต่อไปนี้ก่อน:
- เปลี่ยนชื่อคอมพิวเตอร์: คลิกที่ "เริ่ม" เปิดแผงควบคุมเลือก "ระบบ" เลือก "เปลี่ยนการตั้งค่า" และในคุณสมบัติตรงข้ามกับบรรทัด "ชื่อคอมพิวเตอร์" คลิก "เปลี่ยน" ป้อนค่าใหม่สำหรับพีซีหลัก
- รีบูทพีซีของคุณตามต้องการ
- ตั้งค่าการตั้งค่าเครือข่ายดังนี้:
- ผ่านแผงควบคุมให้เปิดเมนูพร้อมเครือข่ายและการแชร์
- ปรับการตั้งค่าอะแดปเตอร์ คลิกขวาที่ "คุณสมบัติ" และเปิดแท็บ "เครือข่าย"
- ในหน้าต่างจากรายการคลิกที่อินเทอร์เน็ตโปรโตคอลหมายเลข 4 คลิกอีกครั้งที่ "คุณสมบัติ"
- ป้อนการตั้งค่าที่จำเป็นเช่น: ที่อยู่ IP - 192.168.10.252, ซับเน็ตมาสก์ - 255.255.255.0, เกตเวย์หลัก - 192.168.10.1
- ในบรรทัด "เซิร์ฟเวอร์ DNS ที่ต้องการ" ให้ระบุที่อยู่ของเซิร์ฟเวอร์ภายในเครื่องใน "ทางเลือก ... " - ที่อยู่เซิร์ฟเวอร์ DNS อื่น ๆ
- บันทึกการเปลี่ยนแปลงของคุณและปิดหน้าต่าง
ตั้งค่าบทบาท Active Directory ดังนี้:
- ผ่าน Start ให้เปิดตัวจัดการเซิร์ฟเวอร์
- จากเมนู ให้เลือกเพิ่มบทบาทและคุณลักษณะ
- วิซาร์ดจะเปิดขึ้น แต่คุณสามารถข้ามหน้าต่างแรกพร้อมคำอธิบายได้
- ตรวจสอบบรรทัด "การติดตั้งบทบาทและส่วนประกอบ" ดำเนินการต่อ
- เลือกคอมพิวเตอร์ของคุณเพื่อติดตั้ง Active Directory
- จากรายการ ให้เลือกบทบาทที่ต้องโหลด - ในกรณีของคุณคือ “บริการโดเมน Active Directory”
- หน้าต่างเล็ก ๆ จะปรากฏขึ้นเพื่อขอให้คุณดาวน์โหลดส่วนประกอบที่จำเป็นสำหรับบริการ - ยอมรับมัน
- จากนั้นคุณจะได้รับแจ้งให้ติดตั้งส่วนประกอบอื่นๆ - หากคุณไม่ต้องการ เพียงข้ามขั้นตอนนี้โดยคลิก "ถัดไป"
- วิซาร์ดการตั้งค่าจะแสดงหน้าต่างพร้อมคำอธิบายบริการที่คุณกำลังติดตั้ง - อ่านและดำเนินการต่อ
- รายการส่วนประกอบที่เรากำลังจะติดตั้งจะปรากฏขึ้น - ตรวจสอบว่าทุกอย่างถูกต้องหรือไม่ และหากเป็นเช่นนั้น ให้กดปุ่มที่เหมาะสม
- เมื่อกระบวนการเสร็จสิ้น ให้ปิดหน้าต่าง
- เพียงเท่านี้ - บริการจะถูกดาวน์โหลดลงในคอมพิวเตอร์ของคุณ
การตั้งค่า Active Directory
ในการกำหนดค่าบริการโดเมน คุณต้องทำดังต่อไปนี้:
- เปิดตัวช่วยสร้างการตั้งค่าที่มีชื่อเดียวกัน
- คลิกที่ตัวชี้สีเหลืองที่ด้านบนของหน้าต่างและเลือก "เลื่อนระดับเซิร์ฟเวอร์ไปยังตัวควบคุมโดเมน"
- คลิกเพิ่มฟอเรสต์ใหม่และสร้างชื่อสำหรับโดเมนราก จากนั้นคลิกถัดไป
- ระบุโหมดการทำงานของ "ฟอเรสต์" และโดเมน - ส่วนใหญ่มักจะเกิดขึ้นพร้อมกัน
- สร้างรหัสผ่าน แต่อย่าลืมจำไว้ ดำเนินการต่อไป.
- หลังจากนี้ คุณอาจเห็นคำเตือนว่าโดเมนไม่ได้รับการมอบหมายและข้อความแจ้งให้ตรวจสอบชื่อโดเมน คุณสามารถข้ามขั้นตอนเหล่านี้ได้
- ในหน้าต่างถัดไปคุณสามารถเปลี่ยนเส้นทางไปยังไดเร็กทอรีฐานข้อมูลได้ - ทำเช่นนี้หากไม่เหมาะกับคุณ
- ตอนนี้คุณจะเห็นตัวเลือกทั้งหมดที่คุณกำลังจะตั้งค่า - ตรวจสอบว่าคุณได้เลือกอย่างถูกต้องหรือไม่แล้วดำเนินการต่อ
- แอปพลิเคชันจะตรวจสอบว่าเป็นไปตามข้อกำหนดเบื้องต้นหรือไม่ และหากไม่มีความคิดเห็น หรือไม่สำคัญ ให้คลิก "ติดตั้ง"
- หลังจากการติดตั้งเสร็จสิ้น พีซีจะรีบูตเอง
คุณอาจสงสัยว่าจะเพิ่มผู้ใช้ลงในฐานข้อมูลได้อย่างไร ในการดำเนินการนี้ให้ใช้เมนู "ผู้ใช้ Active Directory หรือคอมพิวเตอร์" ซึ่งคุณจะพบในส่วน "การดูแลระบบ" ในแผงควบคุม หรือใช้เมนูการตั้งค่าฐานข้อมูล
หากต้องการเพิ่มผู้ใช้ใหม่ ให้คลิกขวาที่ชื่อโดเมน เลือก "สร้าง" จากนั้นเลือก "ส่วน" หน้าต่างจะปรากฏขึ้นตรงหน้าคุณโดยที่คุณต้องป้อนชื่อของแผนกใหม่ - โดยทำหน้าที่เป็นโฟลเดอร์ที่คุณสามารถรวบรวมผู้ใช้จากแผนกต่างๆ ในทำนองเดียวกัน คุณจะสร้างแผนกเพิ่มเติมอีกหลายแผนกในภายหลังและจัดวางพนักงานทั้งหมดให้ถูกต้อง
ต่อไป เมื่อคุณสร้างชื่อแผนกแล้ว ให้คลิกขวาที่ชื่อแผนกแล้วเลือก "สร้าง" จากนั้นเลือก "ผู้ใช้" ตอนนี้สิ่งที่เหลืออยู่คือการป้อนข้อมูลที่จำเป็นและตั้งค่าการเข้าถึงสำหรับผู้ใช้
เมื่อสร้างโปรไฟล์ใหม่แล้ว ให้คลิกโดยเลือกเมนูบริบทและเปิด "คุณสมบัติ" ในแท็บ "บัญชี" ให้ลบช่องทำเครื่องหมายถัดจาก "บล็อก..." นั่นคือทั้งหมดที่
ข้อสรุปทั่วไปคือ Active Directory เป็นเครื่องมือการจัดการระบบที่ทรงพลังและมีประโยชน์ซึ่งจะช่วยรวมคอมพิวเตอร์ของพนักงานทั้งหมดให้เป็นทีมเดียว เมื่อใช้บริการ คุณสามารถสร้างฐานข้อมูลที่ปลอดภัยและเพิ่มประสิทธิภาพการทำงานและการซิงโครไนซ์ข้อมูลระหว่างผู้ใช้ทั้งหมดได้อย่างมาก หากบริษัทของคุณหรือสถานที่ธุรกิจอื่นเชื่อมต่อกับคอมพิวเตอร์และเครือข่าย คุณจะต้องรวมบัญชีและตรวจสอบงานและความเป็นส่วนตัว การติดตั้งฐานข้อมูลที่ใช้ Active Directory จะเป็นโซลูชันที่ยอดเยี่ยม
Active Directory (AD) เป็นโปรแกรมอรรถประโยชน์ที่ออกแบบมาสำหรับระบบปฏิบัติการ Microsoft Server เดิมทีถูกสร้างขึ้นเป็นอัลกอริธึมน้ำหนักเบาสำหรับการเข้าถึงไดเร็กทอรีผู้ใช้ ตั้งแต่เวอร์ชันของ Windows Server 2008 ก็มีการรวมเข้ากับบริการอนุญาต
ทำให้สามารถปฏิบัติตามนโยบายกลุ่มที่ใช้การตั้งค่าและซอฟต์แวร์ประเภทเดียวกันบนพีซีที่ได้รับการควบคุมทั้งหมดโดยใช้ System Center Configuration Manager
พูดง่ายๆ สำหรับผู้เริ่มต้น นี่คือบทบาทของเซิร์ฟเวอร์ที่ช่วยให้คุณจัดการการเข้าถึงและการอนุญาตทั้งหมดบนเครือข่ายท้องถิ่นได้จากที่เดียว
หน้าที่และวัตถุประสงค์
Microsoft Active Directory – (ที่เรียกว่าไดเร็กทอรี) ชุดเครื่องมือที่ช่วยให้คุณสามารถจัดการผู้ใช้และข้อมูลเครือข่าย เป้าหมายหลักการสร้าง – อำนวยความสะดวกในการทำงานของผู้ดูแลระบบในเครือข่ายขนาดใหญ่
ไดเร็กทอรีประกอบด้วยข้อมูลต่างๆ ที่เกี่ยวข้องกับผู้ใช้ กลุ่ม อุปกรณ์เครือข่าย ทรัพยากรไฟล์ - ในคำเดียว วัตถุ ตัวอย่างเช่น คุณลักษณะผู้ใช้ที่จัดเก็บไว้ในไดเร็กทอรีควรเป็นดังนี้ ที่อยู่ การเข้าสู่ระบบ รหัสผ่าน หมายเลขโทรศัพท์มือถือ ฯลฯ ไดเร็กทอรีถูกใช้เป็น จุดรับรองความถูกต้องซึ่งคุณสามารถค้นหาข้อมูลที่จำเป็นเกี่ยวกับผู้ใช้ได้
แนวคิดพื้นฐานที่พบในระหว่างการทำงาน
มีแนวคิดพิเศษหลายประการที่ใช้เมื่อทำงานกับ AD:
- เซิร์ฟเวอร์คือคอมพิวเตอร์ที่มีข้อมูลทั้งหมด
- ตัวควบคุมคือเซิร์ฟเวอร์ที่มีบทบาท AD ที่ประมวลผลคำขอจากผู้ใช้โดเมน
- โดเมน AD คือชุดอุปกรณ์ที่รวมกันภายใต้ชื่อที่ไม่ซ้ำกันเพียงชื่อเดียว พร้อมกันโดยใช้ฐานข้อมูลไดเร็กทอรีทั่วไป
- ที่เก็บข้อมูลเป็นส่วนหนึ่งของไดเร็กทอรีที่รับผิดชอบในการจัดเก็บและดึงข้อมูลจากตัวควบคุมโดเมนใดๆ
ไดเร็กทอรีที่ใช้งานอยู่ทำงานอย่างไร
หลักการทำงานหลักคือ:
- การอนุญาตซึ่งคุณสามารถใช้พีซีของคุณบนเครือข่ายได้ง่ายๆ เพียงป้อนรหัสผ่านส่วนตัวของคุณ ในกรณีนี้ ข้อมูลทั้งหมดจากบัญชีจะถูกโอน
- ความปลอดภัย- Active Directory มีฟังก์ชันการจดจำผู้ใช้ สำหรับออบเจ็กต์เครือข่ายใด ๆ คุณสามารถตั้งค่าสิทธิ์ที่จำเป็นได้จากอุปกรณ์เครื่องเดียวซึ่งจะขึ้นอยู่กับหมวดหมู่และผู้ใช้เฉพาะ
- การบริหารเครือข่ายจากจุดหนึ่ง เมื่อทำงานกับ Active Directory ผู้ดูแลระบบไม่จำเป็นต้องกำหนดค่าพีซีทั้งหมดใหม่หากจำเป็นต้องเปลี่ยนสิทธิ์การเข้าถึง เช่น เครื่องพิมพ์ การเปลี่ยนแปลงจะดำเนินการจากระยะไกลและทั่วโลก
- เต็ม การรวม DNS- ด้วยความช่วยเหลือนี้ ทำให้ไม่มีความสับสนใน AD อุปกรณ์ทั้งหมดถูกกำหนดให้เหมือนกับบนเวิลด์ไวด์เว็บทุกประการ
- ขนาดใหญ่- ชุดเซิร์ฟเวอร์สามารถควบคุมได้โดย Active Directory เดียว
- ค้นหาดำเนินการตามพารามิเตอร์ต่างๆ เช่น ชื่อคอมพิวเตอร์ การเข้าสู่ระบบ
วัตถุและคุณลักษณะ
ออบเจ็กต์คือชุดของคุณลักษณะที่รวมกันภายใต้ชื่อของตัวเองซึ่งเป็นตัวแทนของทรัพยากรเครือข่าย
คุณลักษณะ - ลักษณะของวัตถุในแค็ตตาล็อก ตัวอย่างเช่น รวมถึงชื่อเต็มและการเข้าสู่ระบบของผู้ใช้ แต่คุณสมบัติของบัญชีพีซีอาจเป็นชื่อของคอมพิวเตอร์เครื่องนี้และคำอธิบาย
“พนักงาน” เป็นวัตถุที่มีคุณสมบัติ “ชื่อ”, “ตำแหน่ง” และ “TabN”
คอนเทนเนอร์ LDAP และชื่อ
คอนเทนเนอร์เป็นวัตถุประเภทหนึ่งที่สามารถ ประกอบด้วยวัตถุอื่นๆ- ตัวอย่างเช่น โดเมนอาจรวมถึงออบเจ็กต์บัญชีด้วย
จุดประสงค์หลักของพวกเขาคือ การจัดระเบียบวัตถุตามประเภทของสัญญาณ ส่วนใหญ่มักจะใช้คอนเทนเนอร์เพื่อจัดกลุ่มออบเจ็กต์ที่มีคุณลักษณะเดียวกัน
คอนเทนเนอร์เกือบทั้งหมดแมปคอลเลกชันของออบเจ็กต์ และทรัพยากรจะถูกแมปกับออบเจ็กต์ Active Directory ที่ไม่ซ้ำกัน คอนเทนเนอร์ AD ประเภทหลักประเภทหนึ่งคือโมดูลองค์กรหรือ OU (หน่วยองค์กร) ออบเจ็กต์ที่วางอยู่ในคอนเทนเนอร์นี้เป็นของโดเมนที่ถูกสร้างขึ้นเท่านั้น
Lightweight Directory Access Protocol (LDAP) เป็นอัลกอริทึมพื้นฐานสำหรับการเชื่อมต่อ TCP/IP ได้รับการออกแบบมาเพื่อลดจำนวนความแตกต่างเล็กน้อยเมื่อเข้าถึงบริการไดเร็กทอรี LDAP ยังกำหนดการดำเนินการที่ใช้ในการสืบค้นและแก้ไขข้อมูลไดเรกทอรีอีกด้วย
ต้นไม้และไซต์
แผนผังโดเมนคือโครงสร้าง ซึ่งเป็นกลุ่มของโดเมนที่มีสคีมาและการกำหนดค่าทั่วไป ซึ่งสร้างเนมสเปซทั่วไปและเชื่อมโยงกันด้วยความสัมพันธ์ที่น่าเชื่อถือ
โดเมนฟอเรสต์คือกลุ่มของต้นไม้ที่เชื่อมต่อถึงกัน
ไซต์คือชุดของอุปกรณ์ในเครือข่ายย่อย IP ซึ่งแสดงถึงแบบจำลองทางกายภาพของเครือข่าย ซึ่งมีการวางแผนดำเนินการโดยไม่คำนึงถึงการแสดงเชิงตรรกะของการก่อสร้าง Active Directory มีความสามารถในการสร้างไซต์ได้จำนวน n จำนวนหรือรวมโดเมนจำนวน n จำนวนไว้ภายใต้ไซต์เดียว
การติดตั้งและกำหนดค่า Active Directory
ตอนนี้เรามาดูการตั้งค่า Active Directory โดยตรงโดยใช้ Windows Server 2008 เป็นตัวอย่าง (ขั้นตอนเหมือนกันในเวอร์ชันอื่น):
คลิกที่ปุ่ม "ตกลง" เป็นที่น่าสังเกตว่าไม่จำเป็นต้องใช้ค่าดังกล่าว คุณสามารถใช้ที่อยู่ IP และ DNS จากเครือข่ายของคุณได้ 
- จากนั้นคุณต้องไปที่เมนู "Start" เลือก "Administration" และ ""
- ไปที่รายการ "บทบาท" เลือก " เพิ่มบทบาท”.
- เลือก “บริการโดเมน Active Directory” คลิก “ถัดไป” สองครั้ง จากนั้นคลิก “ติดตั้ง”
- รอให้การติดตั้งเสร็จสิ้น
- เปิดเมนู "เริ่ม"-" ดำเนินการ- ป้อน dcpromo.exe ในช่อง
- คลิก "ถัดไป"
- เลือก " สร้างโดเมนใหม่ในฟอเรสต์ใหม่” และคลิก “ถัดไป” อีกครั้ง
- ในหน้าต่างถัดไป ป้อนชื่อแล้วคลิก "ถัดไป"
- เลือก โหมดความเข้ากันได้(วินโดวส์เซิร์ฟเวอร์ 2008)
- ในหน้าต่างถัดไป ปล่อยให้ทุกอย่างเป็นค่าเริ่มต้น
- จะเริ่มแล้ว หน้าต่างการกำหนดค่าDNS- เนื่องจากไม่เคยมีการใช้งานบนเซิร์ฟเวอร์มาก่อน จึงไม่มีการสร้างการมอบสิทธิ์
- เลือกไดเร็กทอรีการติดตั้ง
- หลังจากขั้นตอนนี้คุณจะต้องตั้งค่า รหัสผ่านการบริหาร.
เพื่อความปลอดภัย รหัสผ่านจะต้องเป็นไปตามข้อกำหนดต่อไปนี้:
หลังจากที่ AD เสร็จสิ้นกระบวนการกำหนดค่าคอมโพเนนต์แล้ว คุณต้องรีบูตเซิร์ฟเวอร์
การตั้งค่าเสร็จสมบูรณ์ มีการติดตั้งสแน็ปอินและบทบาทบนระบบแล้ว คุณสามารถติดตั้ง AD ได้เฉพาะในตระกูล Windows Server เท่านั้น เช่น 7 หรือ 10 อาจอนุญาตให้คุณติดตั้งคอนโซลการจัดการเท่านั้น
การดูแลระบบใน Active Directory
ตามค่าเริ่มต้น ใน Windows Server คอนโซลผู้ใช้ Active Directory และคอมพิวเตอร์จะทำงานกับโดเมนที่คอมพิวเตอร์นั้นอยู่ คุณสามารถเข้าถึงวัตถุคอมพิวเตอร์และผู้ใช้ในโดเมนนี้ผ่านโครงสร้างคอนโซลหรือเชื่อมต่อกับตัวควบคุมอื่น
เครื่องมือในคอนโซลเดียวกันช่วยให้คุณดูได้ ตัวเลือกเพิ่มเติมวัตถุและค้นหา คุณสามารถสร้างผู้ใช้ กลุ่ม และเปลี่ยนแปลงการอนุญาตใหม่ได้
ยังไงก็ตามก็มี กลุ่ม 2 ประเภทใน Asset Directory - ความปลอดภัยและการจัดจำหน่าย กลุ่มความปลอดภัยมีหน้าที่รับผิดชอบในการจำกัดสิทธิ์การเข้าถึงออบเจ็กต์ ซึ่งสามารถใช้เป็นกลุ่มการแจกจ่ายได้
กลุ่มการแจกจ่ายไม่สามารถแยกแยะสิทธิ์ได้ และใช้เพื่อกระจายข้อความบนเครือข่ายเป็นหลัก
การมอบหมาย AD คืออะไร
คณะผู้แทนนั่นเอง การโอนสิทธิ์และการควบคุมบางส่วนจากผู้ปกครองไปยังอีกฝ่ายที่รับผิดชอบ
เป็นที่รู้กันว่าทุกองค์กรมีผู้ดูแลระบบหลายคนอยู่ที่สำนักงานใหญ่ ควรมอบหมายงานที่แตกต่างกันให้กับไหล่ที่แตกต่างกัน หากต้องการใช้การเปลี่ยนแปลง คุณต้องมีสิทธิ์และการอนุญาตซึ่งแบ่งออกเป็นมาตรฐานและพิเศษ สิทธิ์เฉพาะนำไปใช้กับออบเจ็กต์เฉพาะ ในขณะที่สิทธิ์มาตรฐานคือชุดสิทธิ์ที่มีอยู่ซึ่งทำให้คุณสมบัติเฉพาะพร้อมใช้งานหรือไม่พร้อมใช้งาน
การสร้างความไว้วางใจ
ความสัมพันธ์ของความไว้วางใจใน AD มีสองประเภท: "ทิศทางเดียว" และ "แบบสองทิศทาง" ในกรณีแรก โดเมนหนึ่งเชื่อถืออีกโดเมนหนึ่ง แต่ในทางกลับกัน โดเมนแรกจะมีสิทธิ์เข้าถึงทรัพยากรของโดเมนที่สอง และโดเมนที่สองไม่สามารถเข้าถึงได้ แบบที่ 2 ความไว้วางใจคือ "กันและกัน" นอกจากนี้ยังมีความสัมพันธ์ "ขาออก" และ "ขาเข้า" อีกด้วย ในขาออก โดเมนแรกเชื่อถือโดเมนที่สอง จึงอนุญาตให้ผู้ใช้โดเมนที่สองใช้ทรัพยากรของโดเมนแรกได้
ระหว่างการติดตั้งควรปฏิบัติตามขั้นตอนต่อไปนี้:
- ตรวจสอบการเชื่อมต่อเครือข่ายระหว่างตัวควบคุม
- ตรวจสอบการตั้งค่า
- ปรับแต่งการจำแนกชื่อสำหรับโดเมนภายนอก
- สร้างการเชื่อมต่อจากโดเมนที่เชื่อถือได้
- สร้างการเชื่อมต่อที่ด้านข้างของคอนโทรลเลอร์ซึ่งมีการระบุถึงความน่าเชื่อถือ
- ตรวจสอบความสัมพันธ์ทางเดียวที่สร้างขึ้น
- ถ้า ความต้องการเกิดขึ้นในการสถาปนาความสัมพันธ์ทวิภาคี - จัดทำการติดตั้ง
แคตตาล็อกทั่วโลก
นี่คือตัวควบคุมโดเมนที่เก็บสำเนาของวัตถุทั้งหมดในฟอเรสต์ ช่วยให้ผู้ใช้และโปรแกรมสามารถค้นหาวัตถุในโดเมนใดๆ ของฟอเรสต์ปัจจุบันได้โดยใช้ เครื่องมือค้นหาคุณสมบัติรวมอยู่ในแคตตาล็อกทั่วโลก
แค็ตตาล็อกส่วนกลาง (GC) มีชุดแอตทริบิวต์ที่จำกัดสำหรับแต่ละวัตถุฟอเรสต์ในแต่ละโดเมน ได้รับข้อมูลจากพาร์ติชันไดเรกทอรีโดเมนทั้งหมดในฟอเรสต์ และจะถูกคัดลอกโดยใช้กระบวนการจำลองแบบ Active Directory มาตรฐาน
สคีมากำหนดว่าแอตทริบิวต์จะถูกคัดลอกหรือไม่ มีความเป็นไปได้ กำหนดค่าคุณสมบัติเพิ่มเติมซึ่งจะถูกสร้างขึ้นใหม่ในแค็ตตาล็อกส่วนกลางโดยใช้ "Active Directory Schema" หากต้องการเพิ่มแอตทริบิวต์ลงในแค็ตตาล็อกส่วนกลาง คุณต้องเลือกแอตทริบิวต์การจำลองและใช้ตัวเลือก "คัดลอก" ซึ่งจะสร้างการจำลองแบบของแอตทริบิวต์ไปยังแค็ตตาล็อกส่วนกลาง ค่าพารามิเตอร์แอตทริบิวต์ isMemberOfPartialAttributeSetจะกลายเป็นจริง
เพื่อ ค้นหาสถานที่แค็ตตาล็อกสากล คุณต้องป้อนบรรทัดคำสั่ง:
เซิร์ฟเวอร์ Dsquery –isgc
การจำลองข้อมูลใน Active Directory
การจำลองแบบเป็นขั้นตอนการคัดลอกที่ดำเนินการเมื่อจำเป็นต้องจัดเก็บข้อมูลล่าสุดเท่าๆ กันที่มีอยู่ในตัวควบคุมใดๆ
มันถูกผลิตขึ้น โดยไม่ต้องมีส่วนร่วมของผู้ปฏิบัติงาน- มีเนื้อหาจำลองประเภทต่อไปนี้:
- แบบจำลองข้อมูลถูกสร้างขึ้นจากโดเมนที่มีอยู่ทั้งหมด
- การจำลองแบบแผนข้อมูล เนื่องจากสคีมาข้อมูลเหมือนกันสำหรับออบเจ็กต์ทั้งหมดในฟอเรสต์ Active Directory แบบจำลองของข้อมูลจึงถูกเก็บรักษาไว้ในทุกโดเมน
- ข้อมูลการกำหนดค่า แสดงการสร้างสำเนาระหว่างตัวควบคุม ข้อมูลจะถูกแจกจ่ายไปยังโดเมนทั้งหมดในฟอเรสต์
ประเภทหลักของเรพลิกาคือภายในโหนดและระหว่างโหนด
ในกรณีแรก หลังจากการเปลี่ยนแปลง ระบบจะรอ จากนั้นแจ้งให้คู่ค้าสร้างแบบจำลองเพื่อทำการเปลี่ยนแปลงให้เสร็จสิ้น แม้ว่าจะไม่มีการเปลี่ยนแปลง กระบวนการจำลองแบบจะเกิดขึ้นโดยอัตโนมัติหลังจากช่วงระยะเวลาหนึ่ง หลังจากใช้การเปลี่ยนแปลงที่เสียหายกับไดเร็กทอรีแล้ว การจำลองแบบจะเกิดขึ้นทันที
ขั้นตอนการจำลองแบบระหว่างโหนด เกิดขึ้นในระหว่างนั้นโหลดบนเครือข่ายน้อยที่สุด เพื่อหลีกเลี่ยงการสูญเสียข้อมูล
กล่าวโดยสรุป AD ช่วยให้คุณมีจุดบริหารจัดการสำหรับทรัพยากรที่เผยแพร่ทั้งหมดของคุณที่จุดเดียว AD ขึ้นอยู่กับมาตรฐานการตั้งชื่อ X.500 ใช้ระบบชื่อโดเมน (DNS) เพื่อระบุตำแหน่ง และใช้ Lightweight Directory Access Protocol (LDAP) เป็นโปรโตคอลหลัก
AD รวมโครงสร้างเชิงตรรกะและทางกายภาพของเครือข่าย โครงสร้างเชิงตรรกะ AD ประกอบด้วยองค์ประกอบต่อไปนี้:
- หน่วยองค์กร – กลุ่มย่อยของคอมพิวเตอร์ซึ่งมักจะสะท้อนถึงโครงสร้างของบริษัท
- โดเมน – กลุ่มคอมพิวเตอร์ที่ใช้ฐานข้อมูลไดเรกทอรีร่วมร่วมกัน
- ต้นไม้โดเมน – โดเมนตั้งแต่หนึ่งโดเมนขึ้นไปที่ใช้เนมสเปซที่ต่อเนื่องกัน
- โดเมนฟอเรสต์ – ต้นไม้หนึ่งต้นขึ้นไปที่แบ่งปันข้อมูลไดเร็กทอรี
โครงสร้างทางกายภาพประกอบด้วยองค์ประกอบต่อไปนี้:
- ซับเน็ต – กลุ่มเครือข่ายที่มีพื้นที่ที่อยู่ IP ที่ระบุและเน็ตเวิร์กมาสก์
- เว็บไซต์ – หนึ่งหรือหลายซับเน็ต ไซต์นี้ใช้เพื่อกำหนดค่าการเข้าถึงไดเร็กทอรีและสำหรับการจำลองแบบ
ไดเร็กทอรีจัดเก็บข้อมูลสามประเภท: ข้อมูลโดเมน ข้อมูลสคีมา และข้อมูลการกำหนดค่า AD ใช้ตัวควบคุมโดเมนเท่านั้น ข้อมูลโดเมนถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมด ตัวควบคุมโดเมนทั้งหมดมีสิทธิ์เท่าเทียมกัน เช่น การเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นจากตัวควบคุมโดเมนจะถูกจำลองแบบไปยังตัวควบคุมโดเมนอื่นๆ ทั้งหมด ข้อมูลสคีมาและการกำหนดค่าจะถูกจำลองแบบทั่วทั้งโดเมนของแผนผังหรือฟอเรสต์ นอกจากนี้ วัตถุโดเมนแต่ละรายการทั้งหมดและคุณสมบัติของวัตถุฟอเรสต์บางส่วนจะถูกจำลองแบบไปยังแค็ตตาล็อกส่วนกลาง (GC) ซึ่งหมายความว่าตัวควบคุมโดเมนจะจัดเก็บและจำลองแบบแผนสำหรับแผนภูมิหรือฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในแผนภูมิหรือฟอเรสต์ และวัตถุไดเรกทอรีและคุณสมบัติทั้งหมดสำหรับโดเมนของตนเอง
ตัวควบคุมโดเมนที่ GC ถูกจัดเก็บประกอบด้วยและจำลองข้อมูลสคีมาสำหรับฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในฟอเรสต์ และชุดคุณสมบัติที่จำกัดสำหรับวัตถุไดเรกทอรีทั้งหมดในฟอเรสต์ (ซึ่งถูกจำลองแบบระหว่างเซิร์ฟเวอร์ GC เท่านั้น) และวัตถุไดเรกทอรีและคุณสมบัติทั้งหมดสำหรับโดเมนของคุณ
ตัวควบคุมโดเมนสามารถมีบทบาทหลักของการดำเนินงานที่แตกต่างกันได้ ต้นแบบการดำเนินงานจัดการงานที่ไม่สะดวกในการดำเนินการในแบบจำลองการจำลองแบบหลายต้นแบบ
มีบทบาทหลักในการดำเนินงานห้าบทบาทที่สามารถกำหนดให้กับตัวควบคุมโดเมนตั้งแต่หนึ่งตัวขึ้นไป บทบาทบางอย่างต้องไม่ซ้ำกันในระดับฟอเรสต์ และบทบาทอื่นๆ ในระดับโดเมน
บทบาทต่อไปนี้มีอยู่ในแต่ละฟอเรสต์ AD:
- ต้นแบบสคีมา – จัดการการอัปเดตและการเปลี่ยนแปลงไดเร็กทอรีสคีมา หากต้องการอัปเดตสคีมาไดเรกทอรี คุณต้องมีสิทธิ์เข้าถึงสคีมาต้นแบบ หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นเจ้าของสคีมาในโดเมนในปัจจุบัน คุณต้องพิมพ์คำสั่งในหน้าต่างบรรทัดคำสั่ง เซิร์ฟเวอร์ dsquery - สคีมา hasfsmo
- ต้นแบบการตั้งชื่อโดเมน – จัดการการเพิ่มและการลบโดเมนในฟอเรสต์ หากต้องการเพิ่มหรือลบโดเมน คุณต้องเข้าถึงต้นแบบการตั้งชื่อโดเมน หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นต้นแบบการตั้งชื่อโดเมนในปัจจุบัน ให้ป้อนเซิร์ฟเวอร์ dsquery -hasismo name ในหน้าต่างพร้อมรับคำสั่ง
บทบาทเหล่านี้เป็นเรื่องปกติของป่าโดยรวมและมีลักษณะเฉพาะตัว
โดเมน AD แต่ละโดเมนจะต้องมีบทบาทดังต่อไปนี้:
- ต้นแบบรหัสญาติ – จัดสรรตัวระบุสัมพัทธ์ให้กับตัวควบคุมโดเมน แต่ละครั้งที่มีการสร้างผู้ใช้ กลุ่ม หรือวัตถุคอมพิวเตอร์ ตัวควบคุมจะกำหนดวัตถุให้กับตัวระบุความปลอดภัยเฉพาะ ซึ่งประกอบด้วยตัวระบุความปลอดภัยของโดเมนและตัวระบุเฉพาะที่ได้รับการจัดสรรโดยต้นแบบตัวระบุแบบสัมพันธ์ หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นต้นแบบของ ID โดเมนแบบสัมพันธ์ในปัจจุบัน ให้ป้อน dsquery server -hasfsmo removal ที่พรอมต์คำสั่ง
- โปรแกรมจำลอง PDC – ในโหมดโดเมนผสมหรือระดับกลาง ทำหน้าที่เป็นตัวควบคุมโดเมนหลักของ Windows NT ตรวจสอบการเข้าสู่ระบบ Windows จัดการการเปลี่ยนแปลงรหัสผ่าน และจำลองการอัปเดตไปยัง BDC หากมี หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นโปรแกรมจำลอง PDC ของโดเมนในปัจจุบัน ให้ป้อน dsquery server -hasfsmo pdc ที่พร้อมท์คำสั่ง
- ต้นแบบโครงสร้างพื้นฐาน – อัปเดตลิงก์วัตถุโดยการเปรียบเทียบข้อมูลแค็ตตาล็อกกับข้อมูล GC หากข้อมูลล้าสมัย ระบบจะร้องขอการอัปเดตจาก GC และจำลองแบบไปยังตัวควบคุมโดเมนที่เหลือ หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นเซิร์ฟเวอร์หลักของโครงสร้างพื้นฐานโดเมนในปัจจุบัน ให้ป้อน dsquery server -hasfsmo infr ที่พรอมต์คำสั่ง
บทบาทเหล่านี้เป็นเรื่องปกติสำหรับทั้งโดเมนและต้องไม่ซ้ำกันภายในโดเมน
บทบาทหลักของการดำเนินงานจะได้รับการกำหนดให้กับตัวควบคุมตัวแรกในโดเมนโดยอัตโนมัติ แต่คุณสามารถกำหนดใหม่ได้ในภายหลัง หากมีตัวควบคุมเพียงตัวเดียวในโดเมน โดเมนนั้นจะทำหน้าที่หลักในการดำเนินการทั้งหมดในคราวเดียว
ไม่แนะนำให้แยกบทบาทของสคีมาต้นแบบและต้นแบบการตั้งชื่อโดเมน ถ้าเป็นไปได้ ให้กำหนดให้กับตัวควบคุมโดเมนเดียวกัน เพื่อประสิทธิภาพสูงสุด เป็นที่พึงประสงค์ว่า ID ต้นแบบสัมพัทธ์และโปรแกรมจำลอง PDC จะอยู่บนตัวควบคุมเดียวกัน แม้ว่าบทบาทเหล่านี้สามารถแยกออกจากกันได้หากจำเป็น ในเครือข่ายขนาดใหญ่ซึ่งมีภาระงานหนักลดประสิทธิภาพลง ควรวาง ID หลักแบบสัมพันธ์และโปรแกรมจำลอง PDC บนตัวควบคุมที่แตกต่างกัน นอกจากนี้ ก็ไม่แนะนำให้โฮสต์โครงสร้างพื้นฐานหลักบนตัวควบคุมโดเมนที่เก็บแค็ตตาล็อกส่วนกลาง
การติดตั้งตัวควบคุมโดเมน (DC) ที่ใช้ Windows Server 2003 โดยใช้ตัวช่วยสร้างการตั้งค่า Active Directory
มีการติดตั้งตัวควบคุมโดเมนโดยใช้ตัวช่วยสร้างการติดตั้ง Active Directory หากต้องการเลื่อนระดับเซิร์ฟเวอร์เป็นตัวควบคุมโดเมน คุณต้องตรวจสอบให้แน่ใจว่าเป็นไปตามข้อกำหนดที่จำเป็นทั้งหมด:
- เซิร์ฟเวอร์ต้องมีพาร์ติชัน NTFS อย่างน้อยหนึ่งพาร์ติชันเพื่อรองรับไดรฟ์ข้อมูลระบบ SYSVOL
- เซิร์ฟเวอร์จะต้องมีสิทธิ์เข้าถึงเซิร์ฟเวอร์ DNS ขอแนะนำให้ติดตั้งบริการ DNS บนเซิร์ฟเวอร์เดียวกัน หากใช้เซิร์ฟเวอร์แยกต่างหาก คุณต้องตรวจสอบให้แน่ใจว่ารองรับบันทึกทรัพยากรตำแหน่งบริการ (RFC 2052) และโปรโตคอล Dynamic Updates (RFC 2136)
- คุณต้องมีบัญชีที่มีสิทธิ์ของผู้ดูแลระบบภายในบนเซิร์ฟเวอร์
มาดูการส่งเสริมบทบาทของเซิร์ฟเวอร์กับตัวควบคุมโดเมน Active Directory ทีละขั้นตอนกันดีกว่า:
พื้นฐานการจัดการโดเมน Active Directory
เครื่องมือจำนวนหนึ่งในสแน็ปอิน Microsoft Management Console (MMC) ช่วยให้การทำงานกับ Active Directory ง่ายขึ้น
สแน็ปอินผู้ใช้ Active Directory และคอมพิวเตอร์คือ MMC ที่คุณสามารถใช้เพื่อจัดการและเผยแพร่ข้อมูลไดเรกทอรี เป็นเครื่องมือการดูแลระบบหลักสำหรับ Active Directory และใช้เพื่อทำงานทั้งหมดที่เกี่ยวข้องกับผู้ใช้ กลุ่ม และคอมพิวเตอร์ ตลอดจนจัดการหน่วยขององค์กร
หากต้องการเปิดใช้งานสแน็ปอิน (ผู้ใช้ Active Directory และคอมพิวเตอร์) ให้เลือกคำสั่งที่มีชื่อเดียวกันในเมนูเครื่องมือการดูแลระบบ
ตามค่าเริ่มต้น คอนโซลผู้ใช้ Active Directory และคอมพิวเตอร์จะทำงานกับโดเมนที่คอมพิวเตอร์ของคุณเป็นเจ้าของ คุณสามารถเข้าถึงวัตถุคอมพิวเตอร์และผู้ใช้ในโดเมนนี้ผ่านทรีคอนโซลหรือเชื่อมต่อกับโดเมนอื่น เครื่องมือในคอนโซลเดียวกันช่วยให้คุณดูพารามิเตอร์ออบเจ็กต์เพิ่มเติมและค้นหาได้
เมื่อได้รับสิทธิ์เข้าถึงโดเมนแล้ว คุณจะเห็นชุดโฟลเดอร์มาตรฐาน:
- แบบสอบถามที่บันทึกไว้ (คำค้นหาที่บันทึกไว้) – เกณฑ์การค้นหาที่บันทึกไว้ซึ่งช่วยให้คุณสามารถทำซ้ำการค้นหาที่ดำเนินการก่อนหน้านี้ใน Active Directory ได้อย่างรวดเร็ว
- บิวท์อิน – รายการบัญชีผู้ใช้ในตัว
- คอมพิวเตอร์ – คอนเทนเนอร์เริ่มต้นสำหรับบัญชีคอมพิวเตอร์
- ตัวควบคุมโดเมน – คอนเทนเนอร์เริ่มต้นสำหรับตัวควบคุมโดเมน
- อาจารย์ใหญ่ฝ่ายความมั่นคงต่างประเทศ – มีข้อมูลเกี่ยวกับออบเจ็กต์จากโดเมนภายนอกที่เชื่อถือได้ โดยทั่วไป วัตถุเหล่านี้จะถูกสร้างขึ้นเมื่อมีการเพิ่มวัตถุจากโดเมนภายนอกไปยังกลุ่มโดเมนปัจจุบัน
- ผู้ใช้ – คอนเทนเนอร์เริ่มต้นสำหรับผู้ใช้
โฟลเดอร์คอนโซลบางโฟลเดอร์จะไม่แสดงตามค่าเริ่มต้น หากต้องการแสดง ให้เลือกคุณสมบัติขั้นสูงจากเมนูมุมมอง นี่คือโฟลเดอร์เพิ่มเติม:
- LostAndFound – เจ้าของสูญหาย, วัตถุในแค็ตตาล็อก;
- โควต้า NTDS – ข้อมูลเกี่ยวกับโควต้าบริการไดเรกทอรี
- ข้อมูลโปรแกรม – ข้อมูลที่จัดเก็บไว้ในบริการไดเรกทอรีสำหรับแอปพลิเคชันของ Microsoft
- ระบบ – พารามิเตอร์ระบบในตัว
คุณสามารถเพิ่มโฟลเดอร์สำหรับหน่วยองค์กรลงในแผนผัง AD ได้อย่างอิสระ
ลองดูตัวอย่างการสร้างบัญชีผู้ใช้โดเมน หากต้องการสร้างบัญชีผู้ใช้ ให้คลิกขวาที่คอนเทนเนอร์ที่คุณต้องการวางบัญชีผู้ใช้ เลือก ใหม่ จากเมนูบริบท จากนั้นเลือก ผู้ใช้ หน้าต่าง New Object – User Wizard จะเปิดขึ้น:
- ป้อนชื่อ ชื่อย่อ และนามสกุลของผู้ใช้ในช่องที่เหมาะสม คุณจะต้องใช้ข้อมูลนี้เพื่อสร้างชื่อที่แสดงของผู้ใช้ของคุณ
- แก้ไขชื่อเต็มของคุณ จะต้องไม่ซ้ำกันภายในโดเมนและมีความยาวไม่เกิน 64 อักขระ
- ป้อนชื่อเข้าสู่ระบบของคุณ ใช้รายการแบบเลื่อนลงเพื่อเลือกโดเมนที่บัญชีจะเชื่อมโยงด้วย
- หากจำเป็น ให้เปลี่ยนชื่อผู้ใช้เข้าสู่ระบบของคุณบนระบบที่ใช้ Windows NT 4.0 หรือรุ่นก่อนหน้า ตามค่าเริ่มต้น อักขระ 20 ตัวแรกของชื่อเต็มของผู้ใช้จะถูกใช้เป็นชื่อเข้าสู่ระบบสำหรับระบบที่ใช้ Windows เวอร์ชันก่อนหน้า ชื่อนี้จะต้องไม่ซ้ำกันภายในโดเมน
- คลิก ต่อไป. ระบุรหัสผ่านสำหรับผู้ใช้ การตั้งค่าควรตรงกับนโยบายรหัสผ่านของคุณ
ยืนยันรหัสผ่าน – ฟิลด์ที่ใช้เพื่อยืนยันว่ารหัสผ่านที่ป้อนนั้นถูกต้อง
ผู้ใช้จะต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป(ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป) – หากทำเครื่องหมายในช่องนี้ ผู้ใช้จะต้องเปลี่ยนรหัสผ่านในการเข้าสู่ระบบครั้งถัดไป
ผู้ใช้ไม่สามารถเปลี่ยนรหัสผ่าน - หากทำเครื่องหมายในช่องนี้ ผู้ใช้จะไม่สามารถเปลี่ยนรหัสผ่านได้
รหัสผ่านไม่มีวันหมดอายุ – หากเลือกช่องทำเครื่องหมายนี้ รหัสผ่านสำหรับบัญชีนี้จะไม่มีวันหมดอายุ (การตั้งค่านี้จะแทนที่นโยบายบัญชีโดเมน)
บัญชีถูกปิดใช้งาน - หากทำเครื่องหมายที่ช่องนี้ บัญชีจะถูกปิดใช้งาน (มีประโยชน์สำหรับการปิดการใช้งานบัญชีชั่วคราวของบุคคลอื่น)
บัญชีช่วยให้คุณสามารถจัดเก็บข้อมูลติดต่อของผู้ใช้ ตลอดจนข้อมูลเกี่ยวกับการเข้าร่วมในกลุ่มโดเมนต่างๆ เส้นทางโปรไฟล์ สคริปต์การเข้าสู่ระบบ เส้นทางโฟลเดอร์หลัก รายชื่อคอมพิวเตอร์ที่ผู้ใช้ได้รับอนุญาตให้เข้าสู่ระบบโดเมน ฯลฯ
สคริปต์การเข้าสู่ระบบจะกำหนดคำสั่งที่ดำเนินการทุกครั้งที่คุณล็อกออนเข้าสู่ระบบ ช่วยให้คุณสามารถกำหนดค่าเวลาของระบบ เครื่องพิมพ์เครือข่าย เส้นทางไปยังไดรฟ์เครือข่าย ฯลฯ สคริปต์ใช้เพื่อรันคำสั่งเพียงครั้งเดียว และการตั้งค่าสภาพแวดล้อมที่กำหนดโดยสคริปต์จะไม่ถูกบันทึกเพื่อใช้ในภายหลัง สคริปต์เข้าสู่ระบบอาจเป็นไฟล์เซิร์ฟเวอร์สคริปต์ Windows ที่มีนามสกุล .VBS, .JS และอื่นๆ, ไฟล์แบตช์ที่มีนามสกุล .BAT, ไฟล์แบตช์ที่มีนามสกุล .CMD, โปรแกรมที่มีนามสกุล .EXE
คุณสามารถกำหนดโฮมโฟลเดอร์ให้กับแต่ละบัญชีเพื่อจัดเก็บและกู้คืนไฟล์ผู้ใช้ได้ แอปพลิเคชันส่วนใหญ่จะเปิดโฟลเดอร์หลักตามค่าเริ่มต้นสำหรับการเปิดไฟล์และการบันทึก ทำให้ผู้ใช้สามารถค้นหาข้อมูลของตนได้ง่ายขึ้น บนบรรทัดคำสั่ง โฮมโฟลเดอร์คือไดเร็กทอรีปัจจุบันเริ่มต้น โฟลเดอร์หลักสามารถอยู่ในฮาร์ดไดรฟ์ภายในเครื่องของผู้ใช้หรือบนไดรฟ์เครือข่ายที่ใช้ร่วมกัน
นโยบายกลุ่มสามารถนำไปใช้กับคอมพิวเตอร์โดเมนและบัญชีผู้ใช้ นโยบายกลุ่มทำให้การดูแลระบบง่ายขึ้นโดยให้ผู้ดูแลระบบสามารถควบคุมสิทธิ์ สิทธิ์ และความสามารถของผู้ใช้และคอมพิวเตอร์ได้จากส่วนกลาง นโยบายกลุ่มช่วยให้คุณ:
- สร้างโฟลเดอร์พิเศษที่มีการจัดการจากส่วนกลาง เช่น My Documents
- ควบคุมการเข้าถึงส่วนประกอบ Windows, ทรัพยากรระบบและเครือข่าย, เครื่องมือแผงควบคุม, เดสก์ท็อป และเมนู Start
- กำหนดค่าสคริปต์ผู้ใช้และคอมพิวเตอร์เพื่อทำงานให้เสร็จตามเวลาที่กำหนด
- กำหนดค่านโยบายสำหรับรหัสผ่านและการล็อคบัญชี การตรวจสอบ การกำหนดสิทธิ์ผู้ใช้ และการรักษาความปลอดภัย
นอกเหนือจากงานจัดการบัญชีผู้ใช้และกลุ่มแล้ว ยังมีงานการจัดการโดเมนอื่นๆ อีกมากมาย เครื่องมือและแอปพลิเคชันอื่นๆ ตอบสนองวัตถุประสงค์นี้
อุปกรณ์ โดเมน Active Directory และความเชื่อถือ(Active Directory - โดเมนและความน่าเชื่อถือ) ใช้เพื่อทำงานกับโดเมน แผนผังโดเมน และฟอเรสต์โดเมน
อุปกรณ์ ไซต์และบริการ Active Directory(Active Directory - ไซต์และบริการ) ช่วยให้คุณสามารถจัดการไซต์และซับเน็ตตลอดจนการจำลองแบบระหว่างไซต์
ในการจัดการออบเจ็กต์ AD มีเครื่องมือบรรทัดคำสั่งที่ช่วยให้คุณทำงานด้านการดูแลระบบได้หลากหลาย:
- ซ่าด – เพิ่มคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร และผู้ใช้ใน Active Directory หากต้องการข้อมูลวิธีใช้ ให้พิมพ์ dsadd /? เช่น dsadd คอมพิวเตอร์/?
- ดีสโมด – เปลี่ยนแปลงคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory หากต้องการข้อมูลวิธีใช้ ให้พิมพ์ dsmod /? เช่น เซิร์ฟเวอร์ dsmod /?
- ดีสมูฟ – ย้ายวัตถุเดี่ยวไปยังตำแหน่งใหม่ภายในโดเมน หรือเปลี่ยนชื่อวัตถุโดยไม่ต้องย้าย
- ดีสเกต – แสดงคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ ไซต์ ซับเน็ต และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory หากต้องการข้อมูลความช่วยเหลือ ให้พิมพ์ dsget /? เช่น dsget subnet /?
- ดีเคอรี่ – ค้นหาคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ ไซต์ ซับเน็ต และเซิร์ฟเวอร์ใน Active Directory ตามเกณฑ์ที่กำหนด
- ดีเอสอาร์เอ็ม – ลบวัตถุออกจาก Active Directory
- Ntdsutil – ช่วยให้คุณสามารถดูข้อมูลเกี่ยวกับไซต์ โดเมน หรือเซิร์ฟเวอร์ จัดการหลักการดำเนินงาน และดูแลรักษาฐานข้อมูล Active Directory
นอกจากนี้ยังมีเครื่องมือสนับสนุน Active Directory:
- แอลดีพี – ดำเนินการโดยใช้โปรโตคอล LDAP ใน Active Directory Administration
- ตอบกลับ – จัดการการจำลองและแสดงผลลัพธ์ในส่วนต่อประสานกราฟิก
- ดีซาคส์ – จัดการ ACL (รายการควบคุมการเข้าถึง) สำหรับวัตถุ Active Directory
- ดีฟซูติล – จัดการ Distributed File System (DFS) และแสดงข้อมูลเกี่ยวกับการดำเนินงาน
- Dnscmd – จัดการคุณสมบัติของเซิร์ฟเวอร์ โซน และบันทึกทรัพยากร DNS
- มูทรี – ย้ายวัตถุจากโดเมนหนึ่งไปยังอีกโดเมนหนึ่ง
- รีแพดมิน – จัดการการจำลองและแสดงผลลัพธ์ในหน้าต่างบรรทัดคำสั่ง
- เอสดีเบค – วิเคราะห์การกระจาย การจำลอง และการสืบทอดรายการควบคุมการเข้าถึง
- ซิดวอล์คเกอร์ – ตั้งค่า ACL สำหรับออบเจ็กต์ที่ก่อนหน้านี้เป็นเจ้าของโดยบัญชีที่ถูกย้าย ลบ หรือถูกละเลย
- เน็ตดอม – ช่วยให้คุณจัดการโดเมนและความสัมพันธ์ที่เชื่อถือได้จากบรรทัดคำสั่ง
ดังที่เห็นได้จากบทความนี้ การรวมกลุ่มคอมพิวเตอร์เข้ากับโดเมนโดยใช้ Active Directory สามารถลดต้นทุนของงานการดูแลระบบได้อย่างมาก โดยการรวมศูนย์การจัดการคอมพิวเตอร์ในโดเมนและบัญชีผู้ใช้ และยังช่วยให้คุณจัดการสิทธิ์ผู้ใช้ ความปลอดภัย และ โฮสต์ของพารามิเตอร์อื่นๆ คุณสามารถดูเนื้อหาโดยละเอียดเพิ่มเติมเกี่ยวกับการจัดระเบียบโดเมนได้ในเอกสารที่เกี่ยวข้อง
