เนื่องจากคุ้นเคยกับธุรกิจขนาดเล็กจากภายในเป็นอย่างดี ฉันจึงสนใจคำถามต่อไปนี้มาโดยตลอด อธิบายว่าทำไมพนักงานจึงควรใช้เบราว์เซอร์ที่ผู้ดูแลระบบชอบบนคอมพิวเตอร์ที่ทำงานของเขา หรือใช้ซอฟต์แวร์อื่น ๆ เช่นผู้จัดเก็บเดียวกันไคลเอนต์อีเมลไคลเอนต์การส่งข้อความโต้ตอบแบบทันที... ฉันบอกเป็นนัยถึงมาตรฐานอย่างอ่อนโยนและไม่ได้ขึ้นอยู่กับความเห็นอกเห็นใจส่วนตัวของผู้ดูแลระบบ แต่อยู่บนพื้นฐานของความเพียงพอของฟังก์ชันการทำงาน ค่าใช้จ่ายในการบำรุงรักษาและการสนับสนุนผลิตภัณฑ์ซอฟต์แวร์เหล่านี้ มาเริ่มพิจารณาไอทีว่าเป็นวิทยาศาสตร์ที่แน่นอน ไม่ใช่เป็นงานฝีมือ เมื่อทุกคนทำสิ่งที่พวกเขาทำได้ดีที่สุด อีกครั้งที่ธุรกิจขนาดเล็กมีปัญหามากมายเช่นกัน ลองนึกภาพว่าบริษัทแห่งหนึ่งในช่วงเวลาวิกฤติที่ยากลำบากได้เปลี่ยนแปลงผู้ดูแลระบบหลายคน ผู้ใช้ที่ไม่ดีควรทำอย่างไรในสถานการณ์เช่นนี้ ฝึกใหม่อย่างต่อเนื่อง?

ลองดูจากอีกด้านหนึ่ง ผู้จัดการคนใดก็ตามควรเข้าใจว่ากำลังเกิดอะไรขึ้นในบริษัทของเขา (รวมถึงในด้านไอที) นี่เป็นสิ่งจำเป็นในการติดตามสถานการณ์ปัจจุบันและเพื่อตอบสนองต่อปัญหาประเภทต่าง ๆ ที่เกิดขึ้นโดยทันที แต่ความเข้าใจนี้มีความสำคัญมากกว่าสำหรับการวางแผนเชิงกลยุทธ์ ท้ายที่สุดแล้ว การมีรากฐานที่แข็งแกร่งและเชื่อถือได้ เราสามารถสร้างบ้าน 3 หรือ 5 ชั้น สร้างหลังคารูปทรงต่างๆ สร้างระเบียงหรือสวนฤดูหนาวได้ ในทำนองเดียวกัน ในด้านไอที เรามีรากฐานที่เชื่อถือได้ - เราสามารถใช้ผลิตภัณฑ์และเทคโนโลยีที่ซับซ้อนมากขึ้นเพื่อแก้ไขปัญหาทางธุรกิจได้

บทความแรกจะพูดถึงรากฐานดังกล่าว - บริการ Active Directory ได้รับการออกแบบมาเพื่อเป็นรากฐานที่แข็งแกร่งสำหรับโครงสร้างพื้นฐานด้านไอทีของบริษัททุกขนาดและทุกกิจกรรม มันคืออะไร? เอาล่ะมาพูดถึงเรื่องนี้กัน...

มาเริ่มการสนทนาด้วยแนวคิดง่ายๆ - โดเมนและบริการ Active Directory

โดเมนเป็นหน่วยการดูแลขั้นพื้นฐานในโครงสร้างพื้นฐานเครือข่ายขององค์กร ซึ่งรวมถึงออบเจ็กต์เครือข่ายทั้งหมด เช่น ผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ การแชร์ และอื่นๆ การรวบรวมโดเมนดังกล่าวเรียกว่าฟอเรสต์

บริการ Active Directory (บริการ Active Directory) เป็นฐานข้อมูลแบบกระจายที่มีออบเจ็กต์โดเมนทั้งหมด สภาพแวดล้อมโดเมน Active Directory ให้การรับรองความถูกต้องและการอนุญาตจุดเดียวสำหรับผู้ใช้และแอปพลิเคชันทั่วทั้งองค์กร การสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กรเริ่มต้นขึ้นด้วยการจัดโดเมนและการใช้บริการ Active Directory

ฐานข้อมูล Active Directory ถูกจัดเก็บไว้ในเซิร์ฟเวอร์เฉพาะ – ตัวควบคุมโดเมน Active Directory Services คือบทบาทของระบบปฏิบัติการเซิร์ฟเวอร์ Microsoft Windows Server Active Directory Services สามารถปรับขนาดได้สูง สามารถสร้างอ็อบเจ็กต์ได้มากกว่า 2 พันล้านอ็อบเจ็กต์ในฟอเรสต์ Active Directory ทำให้สามารถใช้งานบริการไดเร็กทอรีในบริษัทที่มีคอมพิวเตอร์และผู้ใช้หลายแสนเครื่อง โครงสร้างลำดับชั้นของโดเมนช่วยให้คุณปรับขนาดโครงสร้างพื้นฐานด้านไอทีได้อย่างยืดหยุ่นไปยังทุกสาขาและแผนกระดับภูมิภาคของบริษัท สำหรับแต่ละสาขาหรือแผนกของบริษัท คุณสามารถสร้างโดเมนแยกต่างหากพร้อมนโยบายของตนเอง ผู้ใช้และกลุ่มของตนเองได้ สำหรับแต่ละโดเมนลูก อำนาจการดูแลระบบสามารถมอบหมายให้กับผู้ดูแลระบบภายในเครื่องได้ ในขณะเดียวกัน โดเมนย่อยยังคงอยู่ภายใต้การปกครองของผู้ปกครอง

นอกจากนี้ บริการ Active Directory ยังช่วยให้คุณสามารถกำหนดค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์โดเมนได้ แต่ละบริษัทมีฟอเรสต์โดเมนของตัวเอง โดยแต่ละบริษัทมีทรัพยากรของตัวเอง แต่บางครั้งคุณจำเป็นต้องให้สิทธิ์ในการเข้าถึงทรัพยากรขององค์กรแก่พนักงานของบริษัทอื่น โดยทำงานกับเอกสารและแอปพลิเคชันทั่วไปโดยเป็นส่วนหนึ่งของโครงการร่วม ในการทำเช่นนี้ คุณสามารถตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ขององค์กร ซึ่งจะช่วยให้พนักงานขององค์กรหนึ่งสามารถเข้าสู่ระบบโดเมนของอีกองค์กรหนึ่งได้

เพื่อให้แน่ใจว่าการยอมรับข้อบกพร่องสำหรับบริการ Active Directory คุณต้องปรับใช้ตัวควบคุมโดเมนตั้งแต่สองตัวขึ้นไปในแต่ละโดเมน การเปลี่ยนแปลงทั้งหมดจะถูกจำลองแบบโดยอัตโนมัติระหว่างตัวควบคุมโดเมน ถ้าตัวควบคุมโดเมนตัวใดตัวหนึ่งล้มเหลว ฟังก์ชันการทำงานของเครือข่ายจะไม่ได้รับผลกระทบ เนื่องจากตัวควบคุมโดเมนที่เหลือยังคงทำงานต่อไป ระดับการยอมรับข้อผิดพลาดเพิ่มเติมมีให้โดยการวางเซิร์ฟเวอร์ DNS บนตัวควบคุมโดเมนใน Active Directory ซึ่งอนุญาตให้แต่ละโดเมนมีเซิร์ฟเวอร์ DNS หลายเซิร์ฟเวอร์ที่ให้บริการโซนโดเมนหลัก และหากหนึ่งในเซิร์ฟเวอร์ DNS ล้มเหลว เซิร์ฟเวอร์อื่น ๆ จะยังคงทำงานต่อไป เราจะพูดถึงบทบาทและความสำคัญของเซิร์ฟเวอร์ DNS ในโครงสร้างพื้นฐานด้านไอทีในบทความหนึ่งในชุดนี้

แต่สิ่งเหล่านี้ล้วนเป็นด้านเทคนิคในการใช้งานและบำรุงรักษาบริการ Active Directory เรามาพูดถึงประโยชน์ที่บริษัทจะได้รับจากการย้ายออกจากเครือข่ายแบบเพียร์ทูเพียร์และการใช้กลุ่มงานกัน

1. การรับรองความถูกต้องจุดเดียว

ในเวิร์กกรุ๊ป บนคอมพิวเตอร์หรือเซิร์ฟเวอร์แต่ละเครื่อง คุณจะต้องเพิ่มรายชื่อผู้ใช้ทั้งหมดที่ต้องการการเข้าถึงเครือข่ายด้วยตนเอง หากจู่ๆ พนักงานคนใดคนหนึ่งต้องการเปลี่ยนรหัสผ่าน ก็จะต้องเปลี่ยนรหัสผ่านในคอมพิวเตอร์และเซิร์ฟเวอร์ทุกเครื่อง เป็นการดีถ้าเครือข่ายประกอบด้วยคอมพิวเตอร์ 10 เครื่อง แต่จะมีมากกว่านั้นล่ะ? เมื่อใช้โดเมน Active Directory บัญชีผู้ใช้ทั้งหมดจะถูกจัดเก็บไว้ในฐานข้อมูลเดียว และคอมพิวเตอร์ทุกเครื่องจะค้นหาเพื่อขออนุญาต ผู้ใช้โดเมนทั้งหมดจะรวมอยู่ในกลุ่มที่เหมาะสม เช่น “การบัญชี” “แผนกการเงิน” การตั้งค่าการอนุญาตสำหรับบางกลุ่มเพียงครั้งเดียวก็เพียงพอแล้ว และผู้ใช้ทุกคนจะสามารถเข้าถึงเอกสารและแอปพลิเคชันได้อย่างเหมาะสม หากพนักงานใหม่เข้าร่วมบริษัท บัญชีจะถูกสร้างขึ้นสำหรับเขา ซึ่งจะรวมอยู่ในกลุ่มที่เหมาะสม - พนักงานจะสามารถเข้าถึงทรัพยากรเครือข่ายทั้งหมดที่เขาควรได้รับอนุญาตให้เข้าถึง หากพนักงานลาออก เพียงบล็อกเขาและเขาจะสูญเสียการเข้าถึงทรัพยากรทั้งหมดทันที (คอมพิวเตอร์ เอกสาร แอปพลิเคชัน)

2. การจัดการนโยบายจุดเดียว

ในเวิร์กกรุ๊ป คอมพิวเตอร์ทุกเครื่องมีสิทธิเท่าเทียมกัน ไม่มีคอมพิวเตอร์เครื่องใดสามารถควบคุมอีกเครื่องได้ เป็นไปไม่ได้ที่จะตรวจสอบการปฏิบัติตามนโยบายที่เหมือนกันและกฎความปลอดภัย เมื่อใช้ Active Directory เดียว ผู้ใช้และคอมพิวเตอร์ทั้งหมดจะมีการกระจายตามลำดับชั้นไปยังหน่วยขององค์กร ซึ่งแต่ละแห่งอยู่ภายใต้นโยบายกลุ่มเดียวกัน นโยบายอนุญาตให้คุณตั้งค่าการตั้งค่าแบบเดียวกันและการตั้งค่าความปลอดภัยสำหรับกลุ่มคอมพิวเตอร์และผู้ใช้ เมื่อมีการเพิ่มคอมพิวเตอร์หรือผู้ใช้ใหม่ในโดเมน ระบบจะได้รับการตั้งค่าที่สอดคล้องกับมาตรฐานองค์กรที่ยอมรับโดยอัตโนมัติ เมื่อใช้นโยบาย คุณสามารถกำหนดเครื่องพิมพ์เครือข่ายให้กับผู้ใช้จากส่วนกลาง ติดตั้งแอปพลิเคชันที่จำเป็น ตั้งค่าความปลอดภัยของเบราว์เซอร์ และกำหนดค่าแอปพลิเคชัน Microsoft Office

3. เพิ่มระดับความปลอดภัยของข้อมูล

การใช้บริการ Active Directory ช่วยเพิ่มระดับความปลอดภัยของเครือข่ายได้อย่างมาก ประการแรก มันเป็นที่เก็บข้อมูลบัญชีเดียวและปลอดภัย ในสภาพแวดล้อมของโดเมน รหัสผ่านผู้ใช้โดเมนทั้งหมดจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ตัวควบคุมโดเมนเฉพาะ ซึ่งโดยปกติจะได้รับการปกป้องจากการเข้าถึงจากภายนอก ประการที่สอง เมื่อใช้สภาพแวดล้อมโดเมน โปรโตคอล Kerberos จะใช้สำหรับการตรวจสอบสิทธิ์ซึ่งมีความปลอดภัยมากกว่า NTLM ซึ่งใช้ในกลุ่มงานมาก

4. บูรณาการกับแอปพลิเคชันและอุปกรณ์ขององค์กร

ข้อได้เปรียบที่สำคัญของบริการ Active Directory คือการปฏิบัติตามมาตรฐาน LDAP ซึ่งได้รับการสนับสนุนโดยระบบอื่น เช่น เมลเซิร์ฟเวอร์ (Exchange Server) พร็อกซีเซิร์ฟเวอร์ (ISA Server, TMG) และสิ่งเหล่านี้ไม่ได้เป็นเพียงผลิตภัณฑ์ของ Microsoft เท่านั้น ข้อดีของการรวมระบบดังกล่าวคือผู้ใช้ไม่จำเป็นต้องจำข้อมูลเข้าสู่ระบบและรหัสผ่านจำนวนมากเพื่อเข้าถึงแอปพลิเคชันเฉพาะ ในทุกแอปพลิเคชัน ผู้ใช้มีข้อมูลรับรองเดียวกัน - การตรวจสอบสิทธิ์ของเขาเกิดขึ้นใน Active Directory เดียว Windows Server จัดเตรียมโปรโตคอล RADIUS สำหรับการทำงานร่วมกับ Active Directory ซึ่งได้รับการสนับสนุนโดยอุปกรณ์เครือข่ายจำนวนมาก ดังนั้นจึงเป็นไปได้ เช่น เพื่อให้แน่ใจว่ามีการตรวจสอบสิทธิ์ผู้ใช้โดเมนเมื่อเชื่อมต่อผ่าน VPN จากภายนอก หรือใช้จุดเชื่อมต่อ Wi-Fi ในบริษัท

5. ที่เก็บข้อมูลการกำหนดค่าแอปพลิเคชันแบบรวม

แอปพลิเคชันบางตัวจัดเก็บการกำหนดค่าไว้ใน Active Directory เช่น Exchange Server การปรับใช้บริการไดเรกทอรี Active Directory ถือเป็นข้อกำหนดเบื้องต้นสำหรับแอปพลิเคชันเหล่านี้ในการทำงาน การจัดเก็บการกำหนดค่าแอปพลิเคชันในบริการไดเร็กทอรีให้ประโยชน์ด้านความยืดหยุ่นและความน่าเชื่อถือ ตัวอย่างเช่น ในกรณีที่เซิร์ฟเวอร์ Exchange ล้มเหลวโดยสมบูรณ์ การกำหนดค่าทั้งหมดจะยังคงเหมือนเดิม หากต้องการคืนค่าฟังก์ชันการทำงานของเมลองค์กร การติดตั้ง Exchange Server ใหม่ในโหมดการกู้คืนก็เพียงพอแล้ว

โดยสรุป ฉันต้องการเน้นย้ำอีกครั้งว่าบริการ Active Directory เป็นหัวใจสำคัญของโครงสร้างพื้นฐานด้านไอทีขององค์กร ในกรณีที่เกิดความล้มเหลว เครือข่ายทั้งหมด เซิร์ฟเวอร์ทั้งหมด และการทำงานของผู้ใช้ทั้งหมดจะเป็นอัมพาต จะไม่มีใครสามารถเข้าสู่ระบบคอมพิวเตอร์หรือเข้าถึงเอกสารและแอปพลิเคชันของตนได้ ดังนั้นบริการไดเร็กทอรีจะต้องได้รับการออกแบบและใช้งานอย่างระมัดระวังโดยคำนึงถึงความแตกต่างที่เป็นไปได้ทั้งหมด ตัวอย่างเช่น แบนด์วิดท์ของช่องทางระหว่างสาขาหรือสำนักงานของบริษัท (ความเร็วของผู้ใช้เข้าสู่ระบบตลอดจนการแลกเปลี่ยนข้อมูลระหว่างโดเมน ตัวควบคุมขึ้นอยู่กับสิ่งนี้โดยตรง)

หนึ่งในตัวเลือกสำหรับการสร้างเครือข่ายท้องถิ่นคือการใช้เครือข่าย เซิร์ฟเวอร์- เครือข่ายประเภทนี้จะใช้เมื่อจำนวนคอมพิวเตอร์เกิน 15-20 เครื่อง ในสถานการณ์เช่นนี้ การใช้สิ่งที่เรียกว่าไม่เหมาะสมอีกต่อไป คณะทำงานเนื่องจากเครือข่ายแบบเพียร์ทูเพียร์ที่มีโหนดจำนวนมากไม่สามารถให้ระดับการจัดการและการควบคุมที่จำเป็นได้ ในกรณีนี้จะเป็นการดีกว่าถ้ากำหนดฟังก์ชันควบคุมให้กับเซิร์ฟเวอร์การจัดการ -

ในการจัดการเซิร์ฟเวอร์ จะใช้ระบบปฏิบัติการเวอร์ชันพิเศษพร้อมฟังก์ชันการดูแลระบบขั้นสูง ตัวอย่างของระบบปฏิบัติการดังกล่าวได้แก่ วินโดวส์เซิร์ฟเวอร์ 2008หรือ วินโดวส์เซิร์ฟเวอร์ 2012.

หลังจากติดตั้งระบบปฏิบัติการเซิร์ฟเวอร์บนคอมพิวเตอร์เครื่องอื่น ต้องทำการตั้งค่าบางอย่างก่อนที่จะสามารถจัดระเบียบการทำงานของเครือข่ายท้องถิ่นได้ ระบบปฏิบัติการเซิร์ฟเวอร์เป็นกลไกสากลที่มีความสามารถกว้างมากหรือที่มักเรียกกันว่าบทบาท หนึ่งในบทบาทเหล่านี้และอาจเป็นสิ่งที่ยากและมีความรับผิดชอบมากที่สุดก็คือ หากคุณวางแผนที่จะมีกลไกที่มีประสิทธิภาพในการจัดการผู้ใช้เครือข่าย คุณจะต้องกำหนดค่ากลไกดังกล่าวต่อไป

การสร้างตัวควบคุมโดเมนเกี่ยวข้องกับการติดตั้งกลไกของระบบเช่น ไดเรกทอรีที่ใช้งานอยู่– เครื่องมือหลักสำหรับการสร้าง การกำหนดค่า และการจัดการบัญชีผู้ใช้และคอมพิวเตอร์บนเครือข่ายท้องถิ่น นอกจากนี้ตามกฎแล้ว บทบาท และจะถูกเพิ่มลงในตัวควบคุมโดเมนทันที ซึ่งทำให้เซิร์ฟเวอร์เป็นผลิตภัณฑ์ที่สมบูรณ์และพร้อมใช้งาน

ข้อดีประการหนึ่งที่ไม่อาจปฏิเสธได้ของระบบโดเมนคือความสามารถในการกำหนดค่านโยบายกลุ่มได้อย่างยืดหยุ่น ซึ่งคุณสามารถจำกัดการเข้าถึงได้ไม่เฉพาะกับซอฟต์แวร์เท่านั้น แต่ยังรวมไปถึงฮาร์ดแวร์ของคอมพิวเตอร์ด้วย ตัวอย่างเช่น คุณสามารถห้ามการใช้ไดรฟ์ดีวีดี แฟลชไดรฟ์ ฯลฯ ได้อย่างง่ายดาย นโยบายกลุ่มเริ่มต้นทันทีที่ผู้ใช้เข้าสู่ระบบเครือข่าย ดังนั้นจึงไม่มีทางที่ผู้ใช้จะข้ามข้อจำกัดเหล่านี้ได้

ตัวควบคุมโดเมนเป็นจุดที่สำคัญและมีความเสี่ยงที่สุดของเครือข่ายท้องถิ่น ดังนั้นจึงแนะนำให้สร้างตัวควบคุมสำรอง ในกรณีนี้ ตัวควบคุมโดเมนเพิ่มเติมจะเรียกว่าตัวควบคุมโดเมนรอง และตัวควบคุมโดเมนหลักจะกลายเป็นตัวควบคุมโดเมนหลัก การซิงโครไนซ์ข้อมูลบัญชีและสิทธิ์การเข้าถึงจะเกิดขึ้นเป็นระยะ ดังนั้นหากตัวควบคุมหลักล้มเหลว ตัวควบคุมรองจะเชื่อมต่อทันที และการทำงานบนเครือข่ายจะไม่ถูกรบกวนแม้แต่วินาทีเดียว นอกจากนี้ จำเป็นต้องจัดให้มีการป้องกันโดเมนแบบพาสซีฟโดยการติดตั้งเครื่องสำรองไฟบนเซิร์ฟเวอร์

ตัวควบคุมโดเมนคือเซิร์ฟเวอร์ที่รองรับ Active Directory โดยไม่ต้องใช้ศัพท์เฉพาะทางเทคนิคมากนัก พวกเขาจัดเก็บข้อมูลเกี่ยวกับบัญชีผู้ใช้และคอมพิวเตอร์ที่เป็นสมาชิกของโดเมน สคีมา และสำเนาฐานข้อมูล Active Directory ที่รับรู้บันทึกของตนเอง นอกจากนี้ ตัวควบคุมโดเมนยังทำหน้าที่เป็นองค์ประกอบความปลอดภัยส่วนกลางในโดเมนอีกด้วย องค์กรดังกล่าวช่วยให้คุณสามารถกำหนดค่านโยบายความปลอดภัยภายในเครือข่ายองค์กรได้อย่างยืดหยุ่นรวมทั้งอนุญาตหรือปฏิเสธผู้ใช้บางกลุ่มในการเข้าถึงทรัพยากรบางอย่าง

ฟังก์ชั่นพื้นฐานของตัวควบคุมโดเมน:

• การจัดเก็บสำเนาข้อมูล Active Directory ที่เกี่ยวข้องกับโดเมนเฉพาะ การจัดการและการจำลองข้อมูลนี้ไปยังตัวควบคุมอื่น ๆ ที่รวมอยู่ในโดเมนนี้
• การจำลองข้อมูลไดเร็กทอรีที่เกี่ยวข้องกับออบเจ็กต์ทั้งหมดในโดเมน Active Directory
• ความละเอียดของความขัดแย้งในการจำลองแบบเมื่อมีการเปลี่ยนแอตทริบิวต์เดียวกันบนตัวควบคุมที่แตกต่างกันก่อนที่จะเตรียมใช้งานการจำลองแบบ

ผลประโยชน์ทางธุรกิจ

ข้อดีของระบบรวมศูนย์ที่ใช้ตัวควบคุมโดเมน:

1. ฐานข้อมูลเดียวสำหรับการรับรองความถูกต้องตัวควบคุมโดเมนจะจัดเก็บบัญชีทั้งหมดในฐานข้อมูลเดียว และผู้ใช้ทุกคนที่เป็นส่วนหนึ่งของโดเมนของคอมพิวเตอร์จะติดต่อกับตัวควบคุมโดเมนเพื่อเข้าสู่ระบบ การแบ่งผู้ใช้ออกเป็นกลุ่มที่เหมาะสมทำให้ง่ายต่อการจัดระเบียบการเข้าถึงเอกสารและแอปพลิเคชันแบบกระจาย ดังนั้นเมื่อพนักงานใหม่ปรากฏตัว ก็เพียงพอที่จะสร้างบัญชีให้เขาในกลุ่มที่เหมาะสม และพนักงานจะสามารถเข้าถึงทรัพยากรเครือข่ายและอุปกรณ์ที่จำเป็นทั้งหมดได้โดยอัตโนมัติ เมื่อพนักงานลาออก การบล็อกบัญชีของเขาเพื่อเพิกถอนการเข้าถึงทั้งหมดก็เพียงพอแล้ว
2. การจัดการนโยบายจุดเดียวตัวควบคุมโดเมนช่วยให้คุณสามารถกระจายคอมพิวเตอร์และบัญชีผู้ใช้ระหว่างหน่วยขององค์กรและใช้นโยบายกลุ่มต่างๆ กับหน่วยเหล่านั้น กำหนดการตั้งค่าและการตั้งค่าความปลอดภัยสำหรับกลุ่มคอมพิวเตอร์และผู้ใช้ (เช่น การเข้าถึงเครื่องพิมพ์เครือข่าย ชุดแอปพลิเคชันที่จำเป็น เบราว์เซอร์ การตั้งค่า ฯลฯ) ดังนั้นเมื่อมีการเพิ่มคอมพิวเตอร์หรือผู้ใช้ใหม่ในโดเมน ระบบจะได้รับการตั้งค่าและการเข้าถึงทั้งหมดที่กำหนดไว้สำหรับแผนกใดแผนกหนึ่งโดยอัตโนมัติ
3. ความปลอดภัย.การกำหนดค่าที่ยืดหยุ่นของขั้นตอนการพิสูจน์ตัวตนและการอนุญาต รวมกับการจัดการแบบรวมศูนย์ สามารถเพิ่มความปลอดภัยของโครงสร้างพื้นฐานด้านไอทีภายในองค์กรได้อย่างมาก นอกจากนี้ ตัวควบคุมโดเมนยังได้รับการติดตั้งทางกายภาพในตำแหน่งพิเศษ ซึ่งได้รับการป้องกันจากการเข้าถึงจากภายนอก
4. บูรณาการกับบริการอื่น ๆ ได้ง่ายขึ้นการใช้ตัวควบคุมโดเมนเป็นจุดตรวจสอบความถูกต้องจุดเดียวทำให้ผู้ใช้สามารถใช้บัญชีเดียวกันเมื่อทำงานกับเครื่องมือและบริการเพิ่มเติม (เช่น บริการอีเมล โปรแกรมสำนักงาน พร็อกซี โปรแกรมส่งข้อความด่วน ฯลฯ)

การตั้งค่า

ตัวควบคุมโดเมนที่ใช้ Active Directory Domain Service เป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานด้านไอที ซึ่งให้การควบคุมการเข้าถึงและการปกป้องข้อมูลภายในองค์กร การทำงานของไม่เพียงแต่ตัวควบคุมโดเมนเท่านั้น แต่ยังรวมถึง Active Directory โดยรวมด้วย (เช่น การกระจายนโยบายความปลอดภัยและกฎการเข้าถึง) ซึ่งจะส่งผลต่อการทำงานของบริการที่เกี่ยวข้องทั้งหมดและยังกำหนดระดับความปลอดภัยด้วย ขึ้นอยู่กับ เกี่ยวกับการกำหนดค่าที่ถูกต้องของตัวควบคุมโดเมน เลือกนักพัฒนาที่ดีที่สุดในส่วนนี้

ตัวควบคุมโดเมนคือเซิร์ฟเวอร์ที่รองรับ Active Directory ตัวควบคุมโดเมนแต่ละตัวมีสำเนาฐานข้อมูล Active Directory แบบเขียนได้ของตัวเอง ตัวควบคุมโดเมนทำหน้าที่เป็นองค์ประกอบความปลอดภัยส่วนกลางในโดเมน

การดำเนินการรักษาความปลอดภัยและการตรวจสอบบัญชีทั้งหมดดำเนินการบนตัวควบคุมโดเมน ทุกโดเมนต้องมีตัวควบคุมโดเมนอย่างน้อยหนึ่งตัว เพื่อให้แน่ใจว่าการยอมรับข้อผิดพลาด ขอแนะนำให้คุณติดตั้งตัวควบคุมโดเมนอย่างน้อยสองตัวสำหรับแต่ละโดเมน

ในระบบปฏิบัติการ Windows NT ตัวควบคุมโดเมนเพียงตัวเดียวที่รองรับการเขียนฐานข้อมูล ซึ่งหมายความว่าจำเป็นต้องมีการเชื่อมต่อกับตัวควบคุมโดเมนเพื่อสร้างและเปลี่ยนแปลงการตั้งค่าบัญชีผู้ใช้

ตัวควบคุมนี้ถูกเรียกว่า ตัวควบคุมโดเมนหลัก (PDC)- เริ่มตั้งแต่ระบบปฏิบัติการ Windows 2000 สถาปัตยกรรมของตัวควบคุมโดเมนได้รับการออกแบบใหม่เพื่อให้สามารถอัปเดตฐานข้อมูล Active Directory บนตัวควบคุมโดเมนใดๆ ได้ หลังจากอัปเดตฐานข้อมูลบนตัวควบคุมโดเมนหนึ่ง การเปลี่ยนแปลงถูกจำลองแบบไปยังตัวควบคุมอื่นทั้งหมด

แม้ว่าตัวควบคุมโดเมนทั้งหมดสนับสนุนการเขียนฐานข้อมูล พวกเขาจะไม่เหมือนกัน โดเมนและฟอเรสต์ Active Directory มีงานที่ดำเนินการโดยตัวควบคุมโดเมนเฉพาะ ตัวควบคุมโดเมนที่มีความรับผิดชอบเพิ่มเติมเรียกว่า ผู้เชี่ยวชาญด้านการดำเนินงาน- ในเอกสารบางอย่างของ Microsoft ระบบดังกล่าวเรียกว่า การดำเนินงานหลักเดียวที่ยืดหยุ่น (FSMO)- หลายคนเชื่อว่าคำว่า FSMO ถูกใช้มานานแล้วเพียงเพราะคำย่อฟังดูตลกมากเมื่อออกเสียง

มีบทบาทหลักในการดำเนินงานห้าบทบาท โดยค่าเริ่มต้น บทบาททั้งห้าจะออกให้กับตัวควบคุมโดเมนแรกในฟอเรสต์ Active Directory บทบาทหลักของการดำเนินงานทั้งสามถูกใช้ในระดับโดเมนและถูกกำหนดให้กับตัวควบคุมโดเมนแรกในโดเมนที่สร้างขึ้น โปรแกรมอรรถประโยชน์ Active Directory ที่จะกล่าวถึงต่อไป ช่วยให้คุณสามารถถ่ายโอนบทบาทหลักของการดำเนินงานจากตัวควบคุมโดเมนหนึ่งไปยังตัวควบคุมโดเมนอื่นได้ นอกจากนี้ คุณสามารถบังคับให้ตัวควบคุมโดเมนรับบทบาทเฉพาะเป็นหลักของการดำเนินการได้

มีบทบาทหลักของการดำเนินงานสองบทบาทที่ทำงานในระดับฟอเรสต์

• ต้นแบบการตั้งชื่อโดเมน- จะต้องติดต่อต้นแบบการดำเนินการเหล่านี้ทุกครั้งที่มีการเปลี่ยนชื่อภายในลำดับชั้นโดเมนฟอเรสต์ หน้าที่ของผู้เชี่ยวชาญด้านการตั้งชื่อโดเมนคือเพื่อให้แน่ใจว่าชื่อโดเมนไม่ซ้ำกันภายในฟอเรสต์ บทบาทหลักของการดำเนินงานนี้จะต้องพร้อมใช้งานเมื่อสร้างโดเมนใหม่ การลบโดเมน หรือเปลี่ยนชื่อโดเมน
• สคีมาต้นแบบ- บทบาทของสคีมามาสเตอร์เป็นของตัวควบคุมโดเมนเพียงตัวเดียวภายในฟอเรสต์ซึ่งสามารถเปลี่ยนแปลงสคีมาได้ เมื่อทำการเปลี่ยนแปลงแล้ว จะถูกจำลองแบบไปยังตัวควบคุมโดเมนอื่นๆ ทั้งหมดภายในฟอเรสต์ เป็นตัวอย่างความจำเป็นในการเปลี่ยนแปลงสคีมา ให้พิจารณาติดตั้งผลิตภัณฑ์ซอฟต์แวร์ Microsoft Exchange Server สิ่งนี้จะเปลี่ยนสคีมาเพื่อให้ผู้ดูแลระบบสามารถจัดการบัญชีผู้ใช้และกล่องจดหมายได้พร้อมกัน

แต่ละบทบาทระดับฟอเรสต์สามารถเป็นเจ้าของได้โดยตัวควบคุมโดเมนเดียวภายในฟอเรสต์เท่านั้น นั่นคือ คุณสามารถใช้ตัวควบคุมตัวหนึ่งเป็นต้นแบบการตั้งชื่อโดเมน และตัวควบคุมตัวที่สองเป็นต้นแบบสคีมา นอกจากนี้ ทั้งสองบทบาทสามารถกำหนดให้กับตัวควบคุมโดเมนเดียวกันได้ นี่คือการกระจายบทบาทเริ่มต้น

แต่ละโดเมนภายในฟอเรสต์มีตัวควบคุมโดเมนที่ทำหน้าที่แต่ละบทบาทระดับโดเมน

• ต้นแบบตัวระบุสัมพัทธ์ (ต้นแบบ RID)- หลักของตัวระบุแบบสัมพันธ์มีหน้าที่รับผิดชอบในการกำหนดตัวระบุแบบสัมพันธ์ ตัวระบุแบบสัมพันธ์เป็นส่วนเฉพาะของรหัสความปลอดภัย (SID) ที่ใช้ในการระบุออบเจ็กต์ความปลอดภัย (ผู้ใช้ คอมพิวเตอร์ กลุ่ม ฯลฯ) ภายในโดเมน งานหลักอย่างหนึ่งของต้นแบบตัวระบุแบบสัมพันธ์คือการลบออบเจ็กต์ออกจากโดเมนหนึ่งและเพิ่มออบเจ็กต์ไปยังโดเมนอื่นเมื่อย้ายออบเจ็กต์ระหว่างโดเมน
• ต้นแบบโครงสร้างพื้นฐาน- หน้าที่ของเจ้าของโครงสร้างพื้นฐานคือการประสานความเป็นสมาชิกกลุ่ม เมื่อมีการเปลี่ยนแปลงองค์ประกอบของกลุ่ม เจ้าของโครงสร้างพื้นฐานจะแจ้งให้ตัวควบคุมโดเมนอื่นๆ ทั้งหมดทราบเกี่ยวกับการเปลี่ยนแปลง
• ตัวจำลองตัวควบคุมโดเมนหลัก (ตัวจำลอง PDC)- บทบาทนี้ใช้เพื่อจำลองตัวควบคุมโดเมนหลักของ Windows NT 4 เพื่อรองรับตัวควบคุมโดเมนสำรองของ Windows NT 4 วัตถุประสงค์อีกประการหนึ่งของโปรแกรมจำลองตัวควบคุมโดเมนหลักคือเพื่อให้เป็นจุดศูนย์กลางของการดูแลระบบสำหรับการเปลี่ยนแปลงรหัสผ่านของผู้ใช้ รวมถึงการล็อกเอาต์ของผู้ใช้ นโยบาย

คำว่า "นโยบาย" ถูกใช้ค่อนข้างบ่อยในส่วนนี้เพื่ออ้างถึงวัตถุนโยบายกลุ่ม (GPO) Group Policy Objects เป็นหนึ่งในคุณสมบัติที่มีประโยชน์หลักของ Active Directory และมีการกล่าวถึงในบทความที่เกี่ยวข้องตามลิงก์ด้านล่าง

มันเกิดขึ้นในองค์กรของเราที่ต้องดำเนินการโครงสร้างพื้นฐานอย่างรวดเร็ว และการซื้อใบอนุญาตก็ใช้เวลานาน ดังนั้นจึงตัดสินใจใช้อิมเมจการประเมิน Windows Server 2012R2 และอนุญาตสิทธิ์หลังจากช่วงทดสอบ ย้อนกลับไปในตอนนั้น ไม่มีใครรู้ว่าคุณไม่สามารถเขียนใบอนุญาตแบบมาตรฐานในรุ่น E Validation และรับใบอนุญาตมาตรฐานได้ ไม่เช่นนั้น ฉันคิดว่าคุณจะต้องซื้อใบอนุญาตก่อน แต่ไม่มีอะไรทำสิ่งที่เรามีคือสิ่งที่เราทำงานด้วย ดังนั้น.

งาน:หลังจากซื้อใบอนุญาต Microsoft สำหรับ Windows Server 2012R2 Standard แล้ว คุณจะต้องเปิดใช้งานใบอนุญาตเหล่านั้นบนเซิร์ฟเวอร์ของเรา มาเริ่มกันเลย

พบปัญหาขณะดำเนินการงาน เนื่องจากเราติดตั้ง Windows Server 2012R2 Standard Evalue ในตอนแรก เมื่อเราพยายามลงทะเบียนคีย์สำหรับ Standard เซิร์ฟเวอร์แจ้งว่าคีย์นี้ไม่เหมาะกับคีย์ดังกล่าว เราเริ่มค้นหาวิธีแก้ไขปัญหาในการถ่ายโอนเซิร์ฟเวอร์จากเวอร์ชันประเมินผลไปเป็นเวอร์ชันมาตรฐาน พบคำตอบได้จากเว็บไซต์ Microsoft ในบทความ TechNet

บทความนี้ช่วยแก้ปัญหาได้บางส่วน เราสามารถเปลี่ยนเวอร์ชันบนเซิร์ฟเวอร์จริงสามเซิร์ฟเวอร์และเปิดใช้งานด้วยใบอนุญาตของเรา แต่น่าเสียดายที่ไม่ใช่ทุกอย่างจะง่ายนักด้วยตัวควบคุมโดเมน บทความข้างต้นระบุอย่างชัดเจนว่าตัวควบคุมโดเมนไม่สามารถย้ายจากการประเมินเป็นมาตรฐานได้ เราจำเป็นต้องทำเช่นนี้โดยเร็วที่สุดเพราะ... PDC หมดตัวเลือก /rearm แล้ว และเหลือเวลาไม่ถึง 3 วันก่อนที่เวอร์ชันทดลองใช้งานจะสิ้นสุดลง

ฉันเห็นสองตัวเลือกในการแก้ไขปัญหา หรือสลับกันระหว่าง BDC และ PDC โอนสิทธิ์ของเจ้าของโครงการและบทบาทอื่น ๆ ลดระดับไปยังเซิร์ฟเวอร์สมาชิกแล้วยกกลับ แต่ฉันปฏิเสธแนวคิดเรื่องวอลเลย์บอลโดเมนนี้เนื่องจากฉันเพิ่งทำทั้งหมดนี้เป็นครั้งแรกและกลัวที่จะทำลายมัน

ดังนั้นจึงตัดสินใจยกเซิร์ฟเวอร์ใหม่เลื่อนระดับเป็นตัวควบคุมโดเมนและโอนเจ้าของวงจรไปที่นั้นจากนั้นปิด PDC เก่าและกำหนด IP ให้กับเซิร์ฟเวอร์ใหม่ตัวเลือกนี้ดูง่ายกว่าและปลอดภัยกว่า ฉันแล้ว ฉันทราบว่าหลังจากเหตุการณ์ที่อธิบายไว้ด้านล่าง ฉันยังคงถือว่านี่เป็นการตัดสินใจที่ดี อย่างน้อยทุกอย่างก็ดำเนินไปโดยไม่มีปัญหา ไม่เช่นนั้นบทความก็จะมีชื่อที่แตกต่างไปจากเดิมอย่างสิ้นเชิง หรือจะไม่มีเลย

สามารถทำซ้ำโครงการได้โดยไม่มีปัญหาในระหว่างวันทำงาน เหลือเวลาอีกวันครึ่งจึงไม่มีเวลาฝันว่าจะทำทั้งหมดนี้ได้อย่างไรฉันต้องเริ่มอย่างเร่งด่วน ขั้นตอนต่อไปทีละขั้นตอน

1. เราสร้างเครื่องเสมือนใหม่พร้อมพารามิเตอร์ที่สอดคล้องกับ PDC ปัจจุบัน ขอแนะนำให้สร้างมันบนเซิร์ฟเวอร์จริงซึ่งไม่มีตัวควบคุมโดเมนอื่น แต่ถ้าคุณมีไฮเปอร์ไวเซอร์หลายตัวในกรณีของฉันถ้าไม่ใช่ก็ไม่สำคัญคำถามเดียวคือความทนทานต่อข้อผิดพลาด ถ้าคุณไม่ได้ทำงานกับไฮเปอร์ไวเซอร์ แต่ใช้กับเซิร์ฟเวอร์จริง ความทนทานต่อข้อผิดพลาดของ PDC และ BDC ก็เป็นเรื่องของหลักสูตร

2. การติดตั้ง Windows Server 2012R2 เลือกรุ่น Standard พร้อมอินเทอร์เฟซแบบกราฟิก เรากำหนดค่า TCP/IP และเปลี่ยนชื่อเซิร์ฟเวอร์ตามชื่อมาตรฐานในโครงสร้างพื้นฐานด้านไอที

3. หลังการติดตั้ง ให้เปิดใช้งานบทบาทใหม่สำหรับเซิร์ฟเวอร์ในตัวจัดการเซิร์ฟเวอร์ เราสนใจ AD, DNS และบทบาทและส่วนประกอบอื่นๆ ที่ใช้กับตัวควบคุมโดเมนปัจจุบัน

4. เราเลื่อนระดับเซิร์ฟเวอร์เป็นตัวควบคุมโดเมน การจำลองแบบเกิดขึ้นระหว่างตัวควบคุมโดเมนหลักและตัวควบคุมโดเมนใหม่

5. เราถ่ายโอนบทบาทของเจ้าของวงจรจาก DC เก่าไปยังใหม่
ในการดำเนินการนี้ ให้ไปที่ตัวควบคุมโดเมนที่จะกำหนดบทบาท FSMO ให้เรียกใช้บรรทัดคำสั่ง และป้อนคำสั่งตามลำดับที่ระบุด้านล่าง:

ntdsutil
บทบาท
การเชื่อมต่อ
เชื่อมต่อกับเซิร์ฟเวอร์<имя сервера PDC>
ถาม

เมื่อเชื่อมต่อกับเซิร์ฟเวอร์สำเร็จแล้ว เราจะได้รับคำเชิญให้จัดการบทบาท (การบำรุงรักษา FSMO) และเราสามารถเริ่มถ่ายโอนบทบาทได้:

โอนการตั้งชื่อต้นแบบ- การโอนบทบาทเจ้าของชื่อโดเมน
โอนโครงสร้างพื้นฐานหลัก- การโอนบทบาทของเจ้าของโครงสร้างพื้นฐาน
โอนกำจัดต้นแบบ- การโอนบทบาทหลักของกรมชลประทาน
โอนสคีมาต้นแบบ- การโอนบทบาทของเจ้าของโครงการ
โอน pdc- การถ่ายโอนบทบาทโปรแกรมจำลอง PDC

หากต้องการปิด Ntdsutil ให้ป้อนคำสั่ง q

6. หลังจากโอนเจ้าของวงจรแล้ว ให้ดูที่บันทึกของระบบและ dcdiag เพื่อหาข้อผิดพลาด พวกเขาไม่ควรมีอยู่ หากมีเราจะแก้ไข (ฉันพบข้อผิดพลาด DNS ซึ่งเซิร์ฟเวอร์ร้องเรียนเกี่ยวกับเซิร์ฟเวอร์การส่งต่อที่ระบุไม่ถูกต้อง ในวันเดียวกันนั้น ฉันได้เรียนรู้ว่าเซิร์ฟเวอร์การส่งต่อ DNS ไม่ควรระบุเซิร์ฟเวอร์ที่ติดตั้ง DNS (โดยปกติจะเป็นเซิร์ฟเวอร์ DNS ของผู้ให้บริการและ Yandex (Google) จะถูกระบุ) ซึ่งโดยทั่วไปแล้วจะเป็นตรรกะ โดยพื้นฐานแล้วจะสร้างการวนซ้ำใน DNS

7. หากมีการแก้ไขข้อผิดพลาดหรือไม่ มาเริ่มเปลี่ยนที่อยู่ IP กันดีกว่า เรากำหนดที่อยู่ IP ฟรีบนเครือข่ายให้กับ PDC เก่า และกำหนดที่อยู่ของอันเก่าให้กับ PDC ใหม่

8. เราตรวจสอบข้อผิดพลาดอีกครั้ง เราทำการทดสอบ ปิด PDC และ BDC เก่า เราตรวจสอบความเป็นไปได้ของการอนุญาตในโดเมน จากนั้นเราจะปล่อยให้เปิดใช้งานเฉพาะ BDC และตรวจสอบว่าจะใช้บทบาทของตัวควบคุมโดเมนหรือไม่หาก PDC ไม่พร้อมใช้งาน

9. หากการทดสอบทั้งหมดผ่านสำเร็จ คุณสามารถทำลาย PDC เก่าและเริ่มเปลี่ยนเวอร์ชัน BDC ได้

10. ในกรณีของเรา PDC เก่ายังคงไม่สามารถโยนลงถังขยะได้เนื่องจากบทบาทเนมสเปซ DFS ทำงานอยู่ และเราไม่รู้วิธีจำลองแบบไปยังเซิร์ฟเวอร์ใหม่

11. ทุกอย่างกลายเป็นเรื่องง่ายมาก เราเข้าสู่สแน็ปอินกราฟิก "การจัดการ DFS" ใน “เนมสเปซ” เราเพิ่มเนมสเปซที่มีอยู่ จากนั้นเพิ่มเซิร์ฟเวอร์เนมสเปซให้กับแต่ละเนมสเปซ ซึ่งโดยพื้นฐานแล้วก็คือเนมสเปซ รูท dfs จะปรากฏบน c:\ โดยอัตโนมัติพร้อมกับลิงก์ไปยังทรัพยากรเครือข่าย และทุกอย่างก็ใช้งานได้ ในกรณีที่เราตรวจสอบการทำงานโดยการปิด PDC เก่า ในตอนแรก ทรัพยากรเครือข่ายจะไม่พร้อมใช้งาน (DFS ต้องใช้เวลา 300 วินาทีในการจำลอง) หลังจากผ่านไป 5 นาที ทรัพยากรเครือข่ายจะพร้อมใช้งานอีกครั้ง

12. เราปล่อยให้ PDC เก่าปิดอยู่ และหลังจากนั้นครู่หนึ่ง เราก็ลดระดับ PDC ดังกล่าวไปยังเซิร์ฟเวอร์สมาชิกแล้วจึงลบออก แน่นอนว่าเป็นไปได้ทันที แต่ฉันกลัวและจนกระทั่งเมื่อไม่นานมานี้ฉันไม่เชื่อว่าทุกอย่างจะผ่านไปได้โดยไม่มีปัญหา

ป.ล. :ขั้นตอนข้างต้นทั้งหมดได้ดำเนินการหลังจากศึกษาหนังสือ Windows Server 2012R2 - The Complete Guide อย่างรอบคอบ โดยเฉพาะอย่างยิ่งบทที่เกี่ยวข้องกับ AD, DNS และ DFS โดยเฉพาะ รวมถึงตัวควบคุมโดเมน เป็นการดีกว่าที่จะไม่เริ่มดำเนินการเหล่านี้โดยไม่เข้าใจและวางแผน เพราะ... คุณอาจสูญเสียโครงสร้างพื้นฐานในการทำงานของคุณ

ฉันหวังว่าบทความนี้จะมีประโยชน์และจำเป็นสำหรับใครบางคน ขอบคุณสำหรับความสนใจของคุณ!