ตัวควบคุมโดเมนและบทบาทของพวกเขา ตัวควบคุมโดเมน: การกำหนดและการกำหนดค่า

องค์ประกอบหลักที่มีประสิทธิภาพ เครือข่ายองค์กรคือผู้ควบคุม โดเมนใช้งานอยู่ไดเร็กทอรีซึ่งจัดการบริการมากมายและให้สิทธิประโยชน์มากมาย

มีสองวิธีในการสร้างโครงสร้างพื้นฐานด้านไอที - มาตรฐานและแบบสุ่ม เมื่อมีความพยายามเพียงเล็กน้อยเพียงพอในการแก้ปัญหาที่เกิดขึ้น โดยไม่ต้องสร้างโครงสร้างพื้นฐานที่ชัดเจนและเชื่อถือได้ ตัวอย่างเช่น การสร้างเครือข่ายแบบ peer-to-peer ทั่วทั้งองค์กรและการเปิดกว้าง การเข้าถึงสาธารณะทั้งหมด ไฟล์ที่จำเป็นและโฟลเดอร์โดยไม่มีความสามารถในการควบคุมการกระทำของผู้ใช้

เห็นได้ชัดว่าเส้นทางนี้ไม่พึงปรารถนาเนื่องจากในที่สุดคุณจะต้องแยกชิ้นส่วนและจัดระเบียบระบบที่สับสนวุ่นวายอย่างเหมาะสมมิฉะนั้นจะไม่สามารถทำงานได้ - และธุรกิจของคุณไปด้วย ดังนั้น ยิ่งคุณตัดสินใจได้ถูกต้องเร็วเพียงใดในการสร้างเครือข่ายองค์กรด้วยตัวควบคุมโดเมน ก็ยิ่งดีต่อธุรกิจของคุณในระยะยาว และนั่นคือเหตุผล

“โดเมนคือหน่วยพื้นฐานของโครงสร้างพื้นฐานด้านไอทีที่ใช้ Windows OS ซึ่งเป็นการรวมเซิร์ฟเวอร์ คอมพิวเตอร์ อุปกรณ์ และบัญชีผู้ใช้ทั้งแบบโลจิคัลและฟิสิคัล”

ตัวควบคุมโดเมน (DC) - เซิร์ฟเวอร์แยกต่างหากโดยที่ระบบปฏิบัติการ Windows Server ทำงานอยู่ บริการที่ใช้งานอยู่ไดเรกทอรีกำลังทำ งานที่เป็นไปได้ซอฟต์แวร์จำนวนมากที่ต้องใช้ซีดีในการดูแลระบบ ตัวอย่างของซอฟต์แวร์ดังกล่าว ได้แก่ เซิร์ฟเวอร์อีเมล Exchange, แพ็คเกจระบบคลาวด์ Office 365 และอื่นๆ สภาพแวดล้อมซอฟต์แวร์ระดับองค์กรตั้งแต่ ไมโครซอฟต์.

นอกจากการให้ การดำเนินการที่ถูกต้องของแพลตฟอร์มเหล่านี้ CD ช่วยให้ธุรกิจและองค์กรมีข้อได้เปรียบดังต่อไปนี้:

  • การปรับใช้เซิร์ฟเวอร์เทอร์มินัล- ช่วยให้คุณประหยัดทรัพยากรและความพยายามได้อย่างมากโดยการเปลี่ยน อัปเดตอย่างต่อเนื่องพีซีสำนักงานพร้อมการลงทุนเพียงครั้งเดียวในการจัดวาง” ไคลเอ็นต์แบบบาง” เพื่อเชื่อมต่อกับเซิร์ฟเวอร์คลาวด์ที่ทรงพลัง
  • ความปลอดภัยที่เพิ่มขึ้น- ซีดีช่วยให้คุณสามารถกำหนดนโยบายการสร้างรหัสผ่านและบังคับให้ผู้ใช้ใช้มากขึ้น รหัสผ่านที่ซับซ้อนกว่าวันเกิดของคุณ qwerty หรือ 12345
  • การควบคุมสิทธิ์การเข้าถึงแบบรวมศูนย์- แทน อัปเดตด้วยตนเองรหัสผ่านบนคอมพิวเตอร์แต่ละเครื่องแยกกัน ผู้ดูแลระบบซีดีสามารถเปลี่ยนรหัสผ่านทั้งหมดจากส่วนกลางได้ในการดำเนินการเดียวจากคอมพิวเตอร์เครื่องเดียว
  • การจัดการนโยบายกลุ่มแบบรวมศูนย์- เครื่องมือ Active Directory ช่วยให้คุณสร้างได้ นโยบายกลุ่มและกำหนดสิทธิ์การเข้าถึงไฟล์ โฟลเดอร์ และอื่นๆ ทรัพยากรเครือข่ายสำหรับกลุ่มผู้ใช้บางกลุ่ม สิ่งนี้ช่วยลดความยุ่งยากในการตั้งค่าบัญชีผู้ใช้ใหม่หรือเปลี่ยนแปลงการตั้งค่าโปรไฟล์ที่มีอยู่ได้อย่างมาก
  • ทางเข้าออก- Active Directory รองรับการเข้าสู่ระบบแบบพาสทรู เมื่อป้อนชื่อผู้ใช้และรหัสผ่านสำหรับโดเมน ผู้ใช้จะเชื่อมต่อกับบริการอื่นๆ ทั้งหมด เช่น เมลและ Office 365 โดยอัตโนมัติ
  • การสร้างเทมเพลตการตั้งค่าคอมพิวเตอร์- การตั้งค่าแต่ละ คอมพิวเตอร์แยกต่างหากเมื่อเพิ่มเข้ากับเครือข่ายองค์กรแล้ว ก็สามารถดำเนินการได้โดยอัตโนมัติโดยใช้เทมเพลต ตัวอย่างเช่น การใช้กฎพิเศษ ไดรฟ์ซีดีหรือพอร์ต USB สามารถปิดใช้งานจากส่วนกลางได้ พอร์ตเครือข่ายและอื่น ๆ ดังนั้นแทนที่จะ การตั้งค่าด้วยตนเองใหม่ เวิร์กสเตชันผู้ดูแลระบบเพียงรวมไว้ในกลุ่มเฉพาะ และกฎทั้งหมดสำหรับกลุ่มนั้นจะถูกนำไปใช้โดยอัตโนมัติ

อย่างที่คุณเห็น การตั้งค่าตัวควบคุมโดเมน Active Directory นำมาซึ่งความสะดวกและประโยชน์มากมายให้กับธุรกิจและองค์กรทุกขนาด

เมื่อใดจึงจะใช้ตัวควบคุมโดเมน Active Directory ในเครือข่ายองค์กร

เราขอแนะนำให้คุณพิจารณาตั้งค่าตัวควบคุมโดเมนสำหรับบริษัทของคุณเมื่อคุณมีคอมพิวเตอร์มากกว่า 10 เครื่องเชื่อมต่อกับเครือข่าย เนื่องจากการตั้งค่านโยบายที่จำเป็นสำหรับเครื่อง 10 เครื่องได้ง่ายกว่าการตั้งค่า 50 เครื่อง นอกจากนี้ เนื่องจากเซิร์ฟเวอร์นี้ไม่ได้ ทำงานที่ใช้ทรัพยากรมากเป็นพิเศษ คอมพิวเตอร์เดสก์ท็อปที่ทรงพลังอาจเหมาะสมกับบทบาทนี้

อย่างไรก็ตาม สิ่งสำคัญคือต้องจำไว้ว่าเซิร์ฟเวอร์นี้จะจัดเก็บรหัสผ่านการเข้าถึงทรัพยากรเครือข่ายและฐานข้อมูลของผู้ใช้โดเมน โครงร่างสิทธิ์ผู้ใช้ และนโยบายกลุ่ม จำเป็นต้องขยาย เซิร์ฟเวอร์สำรองด้วยการคัดลอกข้อมูลอย่างต่อเนื่องเพื่อให้การทำงานของตัวควบคุมโดเมนมีความต่อเนื่องและสามารถทำได้เร็วขึ้น ง่ายขึ้น และเชื่อถือได้มากขึ้นโดยใช้ การจำลองเสมือนของเซิร์ฟเวอร์มีให้เมื่อโฮสต์เครือข่ายองค์กรในระบบคลาวด์ เพื่อหลีกเลี่ยงปัญหาต่อไปนี้:

  • การตั้งค่าเซิร์ฟเวอร์ DNS ไม่ถูกต้องซึ่งนำไปสู่ข้อผิดพลาดในตำแหน่งทรัพยากรบนเครือข่ายองค์กรและบนอินเทอร์เน็ต
  • กลุ่มความปลอดภัยที่กำหนดค่าไม่ถูกต้องนำไปสู่ข้อผิดพลาดในสิทธิ์การเข้าถึงทรัพยากรเครือข่ายของผู้ใช้
  • เวอร์ชันระบบปฏิบัติการไม่ถูกต้อง- แต่ละ เวอร์ชันที่ใช้งานอยู่รองรับไดเร็กทอรี บางเวอร์ชันระบบปฏิบัติการ Windows บนเดสก์ท็อปสำหรับไคลเอ็นต์แบบธิน
  • ขาดหรือ การตั้งค่าไม่ถูกต้อง การคัดลอกข้อมูลอัตโนมัติไปยังตัวควบคุมโดเมนสำรอง

ตัวควบคุมโดเมนคือเซิร์ฟเวอร์ที่รองรับ Active Directory ตัวควบคุมโดเมนแต่ละตัวมีสำเนาฐานข้อมูล Active Directory แบบเขียนได้ของตัวเอง ตัวควบคุมโดเมนทำหน้าที่เป็นองค์ประกอบความปลอดภัยส่วนกลางในโดเมน

การดำเนินการรักษาความปลอดภัยและการตรวจสอบบัญชีทั้งหมดดำเนินการบนตัวควบคุมโดเมน ทุกโดเมนต้องมีตัวควบคุมโดเมนอย่างน้อยหนึ่งตัว เพื่อให้แน่ใจว่าการยอมรับข้อผิดพลาด ขอแนะนำให้คุณติดตั้งตัวควบคุมโดเมนอย่างน้อยสองตัวสำหรับแต่ละโดเมน

ในระบบปฏิบัติการ Windows NT ตัวควบคุมโดเมนเพียงตัวเดียวที่รองรับการเขียนฐานข้อมูล ซึ่งหมายความว่าจำเป็นต้องมีการเชื่อมต่อกับตัวควบคุมโดเมนเพื่อสร้างและเปลี่ยนแปลงการตั้งค่าบัญชีผู้ใช้

ตัวควบคุมนี้ถูกเรียกว่า ตัวควบคุมโดเมนหลัก (PDC)- เริ่มตั้งแต่ระบบปฏิบัติการ Windows 2000 สถาปัตยกรรมของตัวควบคุมโดเมนได้รับการออกแบบใหม่เพื่อให้สามารถอัปเดตฐานข้อมูล Active Directory บนตัวควบคุมโดเมนใดๆ ได้ หลังจากอัปเดตฐานข้อมูลบนตัวควบคุมโดเมนหนึ่ง การเปลี่ยนแปลงถูกจำลองแบบไปยังตัวควบคุมอื่นทั้งหมด

แม้ว่าตัวควบคุมโดเมนทั้งหมดสนับสนุนการเขียนฐานข้อมูล พวกเขาจะไม่เหมือนกัน โดเมนและฟอเรสต์ Active Directory มีงานที่ดำเนินการโดยตัวควบคุมโดเมนเฉพาะ ตัวควบคุมโดเมนที่มีความรับผิดชอบเพิ่มเติมเรียกว่า ผู้เชี่ยวชาญด้านการดำเนินงาน- ในเอกสารบางอย่างของ Microsoft ระบบดังกล่าวเรียกว่า การดำเนินงานหลักเดียวที่ยืดหยุ่น (FSMO)- หลายคนเชื่อว่าคำว่า FSMO ถูกใช้มานานแล้วเพียงเพราะคำย่อฟังดูตลกมากเมื่อออกเสียง

มีบทบาทหลักในการดำเนินงานห้าบทบาท ตามค่าเริ่มต้น บทบาททั้งห้าจะออกให้กับตัวควบคุมโดเมนตัวแรกใน ป่าใช้งานอยู่ไดเรกทอรี บทบาทหลักของการดำเนินงานทั้งสามถูกใช้ในระดับโดเมนและถูกกำหนดให้กับตัวควบคุมโดเมนแรกในโดเมนที่สร้างขึ้น โปรแกรมอรรถประโยชน์ Active Directory ที่จะกล่าวถึงต่อไป ช่วยให้คุณสามารถถ่ายโอนบทบาทหลักของการดำเนินงานจากตัวควบคุมโดเมนหนึ่งไปยังตัวควบคุมโดเมนอื่นได้ นอกจากนี้ คุณสามารถบังคับให้ตัวควบคุมโดเมนรับบทบาทเฉพาะเป็นหลักของการดำเนินการได้

มีบทบาทหลักของการดำเนินงานสองบทบาทที่ทำงานในระดับฟอเรสต์

  • ต้นแบบการตั้งชื่อโดเมน- จะต้องติดต่อต้นแบบการดำเนินการเหล่านี้ทุกครั้งที่มีการเปลี่ยนชื่อภายในลำดับชั้นโดเมนฟอเรสต์ หน้าที่ของผู้เชี่ยวชาญด้านการตั้งชื่อโดเมนคือเพื่อให้แน่ใจว่าชื่อโดเมนไม่ซ้ำกันภายในฟอเรสต์ บทบาทหลักของการดำเนินงานนี้จะต้องพร้อมใช้งานเมื่อสร้างโดเมนใหม่ การลบโดเมน หรือเปลี่ยนชื่อโดเมน
  • ต้นแบบสคีมา- บทบาทของสคีมาหลักเป็นของตัวควบคุมโดเมนเพียงตัวเดียวภายในฟอเรสต์ซึ่งสามารถเปลี่ยนแปลงสคีมาได้ เมื่อทำการเปลี่ยนแปลงแล้ว จะถูกจำลองแบบไปยังตัวควบคุมโดเมนอื่นๆ ทั้งหมดภายในฟอเรสต์ เพื่อเป็นตัวอย่างของความจำเป็นในการเปลี่ยนแปลงวงจร ให้พิจารณาติดตั้งผลิตภัณฑ์ซอฟต์แวร์ ไมโครซอฟต์เอ็กซ์เชนจ์เซิร์ฟเวอร์ สิ่งนี้จะเปลี่ยนสคีมาเพื่อให้ผู้ดูแลระบบสามารถจัดการบัญชีผู้ใช้และกล่องจดหมายได้พร้อมกัน

แต่ละบทบาทระดับฟอเรสต์สามารถเป็นเจ้าของได้โดยตัวควบคุมโดเมนเดียวภายในฟอเรสต์เท่านั้น นั่นคือ คุณสามารถใช้ตัวควบคุมตัวหนึ่งเป็นต้นแบบการตั้งชื่อโดเมน และตัวควบคุมตัวที่สองเป็นต้นแบบสคีมา นอกจากนี้ ทั้งสองบทบาทสามารถกำหนดให้กับตัวควบคุมโดเมนเดียวกันได้ นี่คือการกระจายบทบาทเริ่มต้น

แต่ละโดเมนภายในฟอเรสต์มีตัวควบคุมโดเมนที่ทำหน้าที่แต่ละบทบาทระดับโดเมน

  • ต้นแบบตัวระบุสัมพัทธ์ (ต้นแบบ RID)- หลักของตัวระบุแบบสัมพันธ์มีหน้าที่รับผิดชอบในการกำหนดตัวระบุแบบสัมพันธ์ ตัวระบุแบบสัมพันธ์เป็นส่วนเฉพาะของรหัสความปลอดภัย (SID) ที่ใช้ในการระบุออบเจ็กต์ความปลอดภัย (ผู้ใช้ คอมพิวเตอร์ กลุ่ม ฯลฯ) ภายในโดเมน งานหลักอย่างหนึ่งของต้นแบบตัวระบุแบบสัมพันธ์คือการลบออบเจ็กต์ออกจากโดเมนหนึ่งและเพิ่มออบเจ็กต์ไปยังโดเมนอื่นเมื่อย้ายออบเจ็กต์ระหว่างโดเมน
  • ต้นแบบโครงสร้างพื้นฐาน- หน้าที่ของเจ้าของโครงสร้างพื้นฐานคือการประสานความเป็นสมาชิกกลุ่ม เมื่อมีการเปลี่ยนแปลงองค์ประกอบของกลุ่ม เจ้าของโครงสร้างพื้นฐานจะแจ้งให้ตัวควบคุมโดเมนอื่นๆ ทั้งหมดทราบเกี่ยวกับการเปลี่ยนแปลง
  • ตัวจำลองตัวควบคุมโดเมนหลัก (ตัวจำลอง PDC)- บทบาทนี้ใช้เพื่อจำลองตัวควบคุมหลัก โดเมนวินโดวส์รองรับ NT4 ตัวควบคุมการสำรองข้อมูลโดเมน Windows NT 4 งานอื่นของโปรแกรมจำลองตัวควบคุมโดเมนหลักคือการจัดเตรียม จุดศูนย์กลางการจัดการการเปลี่ยนแปลงรหัสผ่านผู้ใช้ตลอดจนนโยบายการบล็อกผู้ใช้

คำว่า "นโยบาย" ถูกใช้ค่อนข้างบ่อยในส่วนนี้เพื่ออ้างถึงวัตถุนโยบายกลุ่ม (GPO) วัตถุนโยบายกลุ่มเป็นหนึ่งในวัตถุหลัก คุณสมบัติที่มีประโยชน์ Active Directory และมีการกล่าวถึงในบทความที่เกี่ยวข้องซึ่งมีลิงก์ที่ให้ไว้ด้านล่าง

เนื่องจากคุ้นเคยกับธุรกิจขนาดเล็กจากภายในเป็นอย่างดี ฉันจึงสนใจคำถามต่อไปนี้มาโดยตลอด อธิบายว่าทำไมพนักงานจึงควรใช้เบราว์เซอร์ที่ผู้ดูแลระบบชอบบนคอมพิวเตอร์ที่ทำงานของเขา หรือจะเอาอย่างอื่น ซอฟต์แวร์ตัวอย่างเช่น ผู้จัดเก็บเดียวกัน ไคลเอนต์เมล ไคลเอนต์ ข้อความเร่งด่วน... ฉันขอบอกเป็นนัยถึงการสร้างมาตรฐาน ไม่ใช่จากความเห็นอกเห็นใจส่วนตัวของผู้ดูแลระบบ แต่ขึ้นอยู่กับความเพียงพอของฟังก์ชันการทำงาน ค่าใช้จ่ายในการบำรุงรักษา และการสนับสนุนผลิตภัณฑ์ซอฟต์แวร์เหล่านี้ มาเริ่มพิจารณาไอทีว่าเป็นศาสตร์ที่แน่นอน ไม่ใช่เป็นงานฝีมือ เมื่อทุกคนทำตามที่ใจต้องการ อีกครั้งที่ธุรกิจขนาดเล็กมีปัญหามากมายเช่นกัน ลองนึกภาพว่าบริษัทแห่งหนึ่งในช่วงเวลาวิกฤติที่ยากลำบากได้เปลี่ยนแปลงผู้ดูแลระบบหลายคน ผู้ใช้ที่ไม่ดีควรทำอย่างไรในสถานการณ์เช่นนี้ ฝึกใหม่อย่างต่อเนื่อง?

ลองดูจากอีกด้านหนึ่ง ผู้จัดการคนใดก็ตามควรเข้าใจว่ากำลังเกิดอะไรขึ้นในบริษัทของเขา (รวมถึงในด้านไอที) นี่เป็นสิ่งจำเป็นในการติดตามสถานการณ์ปัจจุบันและตอบสนองต่อปัญหาประเภทต่าง ๆ ที่เกิดขึ้นโดยทันที แต่ความเข้าใจนี้มีความสำคัญมากกว่าสำหรับการวางแผนเชิงกลยุทธ์ ท้ายที่สุดแล้ว ด้วยรากฐานที่แข็งแกร่งและเชื่อถือได้ เราสามารถสร้างบ้าน 3 หรือ 5 ชั้น สร้างหลังคารูปทรงต่างๆ สร้างระเบียงหรือสวนฤดูหนาวได้ ในทำนองเดียวกันในด้านไอที เรามีรากฐานที่เชื่อถือได้ - เราสามารถใช้ผลิตภัณฑ์และเทคโนโลยีที่ซับซ้อนมากขึ้นเพื่อแก้ไขปัญหาทางธุรกิจในภายหลังได้

บทความแรกจะพูดถึงรากฐานดังกล่าว - บริการ Active Directory ได้รับการออกแบบมาเพื่อเป็นรากฐานที่แข็งแกร่งสำหรับโครงสร้างพื้นฐานด้านไอทีของบริษัททุกขนาดและทุกกิจกรรม มันคืออะไร? เอาล่ะมาพูดถึงเรื่องนี้กัน...

มาเริ่มบทสนทนากันที่ แนวคิดง่ายๆ– โดเมนและบริการ Active Directory

โดเมนเป็นหน่วยงานบริหารหลักใน โครงสร้างพื้นฐานเครือข่ายองค์กรซึ่งรวมถึงออบเจ็กต์เครือข่ายทั้งหมด เช่น ผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ ทรัพยากรที่ใช้ร่วมกันและอีกมากมาย การรวบรวมโดเมนดังกล่าวเรียกว่าฟอเรสต์

บริการ Active Directory (บริการ Active Directory) เป็นฐานข้อมูลแบบกระจายที่มีออบเจ็กต์โดเมนทั้งหมด สภาพแวดล้อมโดเมน Active Directory ให้การรับรองความถูกต้องและการอนุญาตจุดเดียวสำหรับผู้ใช้และแอปพลิเคชันทั่วทั้งองค์กร การสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กรเริ่มต้นขึ้นด้วยการจัดโดเมนและการใช้บริการ Active Directory

ฐานข้อมูล Active Directory ถูกจัดเก็บไว้ในเซิร์ฟเวอร์เฉพาะ – ตัวควบคุมโดเมน Active Directory Services คือบทบาทของระบบปฏิบัติการเซิร์ฟเวอร์ ระบบไมโครซอฟต์วินโดวส์เซิร์ฟเวอร์ บริการ Active Directory มี โอกาสที่เพียงพอการปรับขนาด สามารถสร้างอ็อบเจ็กต์ได้มากกว่า 2 พันล้านอ็อบเจ็กต์ในฟอเรสต์ Active Directory ซึ่งช่วยให้สามารถใช้งานบริการไดเร็กทอรีในบริษัทที่มีคอมพิวเตอร์และผู้ใช้หลายแสนเครื่อง โครงสร้างลำดับชั้นโดเมนช่วยให้คุณปรับขนาดโครงสร้างพื้นฐานด้านไอทีได้อย่างยืดหยุ่นไปยังทุกสาขาและแผนกระดับภูมิภาคของบริษัท สำหรับแต่ละสาขาหรือแผนกของบริษัท คุณสามารถสร้างโดเมนแยกต่างหากพร้อมนโยบายของตนเอง ผู้ใช้และกลุ่มของตนเองได้ สำหรับแต่ละโดเมนลูก อำนาจการบริหารสามารถมอบหมายให้กับท้องถิ่นได้ ผู้ดูแลระบบ- ในขณะเดียวกัน โดเมนย่อยยังคงอยู่ภายใต้การปกครองของผู้ปกครอง

นอกจากนี้ Active Directory Services ยังช่วยให้คุณสามารถกำหนดค่าได้ ความสัมพันธ์ที่ไว้วางใจระหว่างโดเมนฟอเรสต์ แต่ละบริษัทมีฟอเรสต์โดเมนของตัวเอง โดยแต่ละบริษัทมีทรัพยากรของตัวเอง แต่บางครั้งคุณจำเป็นต้องให้สิทธิ์การเข้าถึงของคุณ ทรัพยากรขององค์กรพนักงานของบริษัทอื่น - ทำงานด้วย เอกสารทั่วไปและการใช้งานภายใน โครงการร่วมกัน- เมื่อต้องการทำเช่นนี้ คุณสามารถตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ขององค์กร ซึ่งจะช่วยให้พนักงานขององค์กรหนึ่งสามารถเข้าสู่ระบบโดเมนของอีกองค์กรหนึ่งได้

เพื่อให้แน่ใจว่าการยอมรับข้อบกพร่องสำหรับบริการ Active Directory คุณต้องปรับใช้ตัวควบคุมโดเมนตั้งแต่สองตัวขึ้นไปในแต่ละโดเมน การเปลี่ยนแปลงทั้งหมดจะถูกจำลองแบบโดยอัตโนมัติระหว่างตัวควบคุมโดเมน ถ้าตัวควบคุมโดเมนตัวใดตัวหนึ่งล้มเหลว การทำงานของเครือข่ายจะไม่ได้รับผลกระทบ เนื่องจากตัวควบคุมโดเมนที่เหลือยังคงทำงานต่อไป ระดับความยืดหยุ่นเพิ่มเติมมีให้โดยการวางเซิร์ฟเวอร์ DNS บนตัวควบคุมโดเมนใน Active Directory ซึ่งอนุญาตให้แต่ละโดเมนมีเซิร์ฟเวอร์ DNS หลายเซิร์ฟเวอร์ที่ให้บริการโซนหลักของโดเมน และหากเซิร์ฟเวอร์ DNS ตัวใดตัวหนึ่งล้มเหลว เซิร์ฟเวอร์อื่น ๆ จะยังคงทำงานต่อไป เราจะพูดถึงบทบาทและความสำคัญของเซิร์ฟเวอร์ DNS ในโครงสร้างพื้นฐานด้านไอทีในบทความหนึ่งในชุดนี้

แต่นั่นคือทั้งหมด ด้านเทคนิคการใช้งานและการบำรุงรักษาบริการ Active Directory เรามาพูดถึงประโยชน์ที่บริษัทจะได้รับจากการย้ายออกจากเครือข่ายแบบเพียร์ทูเพียร์และการใช้กลุ่มงานกัน

1. การรับรองความถูกต้องจุดเดียว

ใน กลุ่มทำงานคุณจะต้องเพิ่มด้วยตนเองในคอมพิวเตอร์หรือเซิร์ฟเวอร์แต่ละเครื่อง รายการทั้งหมดผู้ใช้ที่ต้องการการเข้าถึงเครือข่าย หากจู่ๆ พนักงานคนใดคนหนึ่งต้องการเปลี่ยนรหัสผ่าน ก็จะต้องเปลี่ยนรหัสผ่านในคอมพิวเตอร์และเซิร์ฟเวอร์ทุกเครื่อง เป็นการดีถ้าเครือข่ายประกอบด้วยคอมพิวเตอร์ 10 เครื่อง แต่จะมีมากกว่านั้นล่ะ? เมื่อใช้โดเมน Active Directory บัญชีผู้ใช้ทั้งหมดจะถูกจัดเก็บไว้ในฐานข้อมูลเดียว และคอมพิวเตอร์ทุกเครื่องจะมองหาการอนุญาต ผู้ใช้โดเมนทั้งหมดจะรวมอยู่ในกลุ่มที่เหมาะสม เช่น “การบัญชี” “แผนกการเงิน” การตั้งค่าการอนุญาตสำหรับบางกลุ่มเพียงครั้งเดียวก็เพียงพอแล้ว และผู้ใช้ทุกคนจะสามารถเข้าถึงเอกสารและแอปพลิเคชันได้อย่างเหมาะสม หากพนักงานใหม่เข้าร่วมบริษัท บัญชีจะถูกสร้างขึ้นสำหรับเขา ซึ่งจะรวมอยู่ในกลุ่มที่เหมาะสม - พนักงานจะสามารถเข้าถึงทรัพยากรเครือข่ายทั้งหมดที่เขาควรได้รับอนุญาตให้เข้าถึง หากพนักงานลาออก เพียงบล็อกเขาและเขาจะสูญเสียการเข้าถึงทรัพยากรทั้งหมดทันที (คอมพิวเตอร์ เอกสาร แอปพลิเคชัน)

2. การจัดการนโยบายจุดเดียว

ในเวิร์กกรุ๊ป คอมพิวเตอร์ทุกเครื่องมีสิทธิเท่าเทียมกัน ไม่มีคอมพิวเตอร์เครื่องใดสามารถควบคุมอีกเครื่องได้ เป็นไปไม่ได้ที่จะตรวจสอบการปฏิบัติตามนโยบายที่เหมือนกันและกฎความปลอดภัย เมื่อใช้ Active Directory เดียว ผู้ใช้และคอมพิวเตอร์ทั้งหมดจะมีการกระจายตามลำดับชั้น หน่วยขององค์กรซึ่งนโยบายกลุ่มแบบเดียวกันแต่ละนโยบายจะถูกนำไปใช้ นโยบายอนุญาตให้คุณตั้งค่าการตั้งค่าแบบเดียวกันและการตั้งค่าความปลอดภัยสำหรับกลุ่มคอมพิวเตอร์และผู้ใช้ เมื่อมีการเพิ่มคอมพิวเตอร์หรือผู้ใช้ใหม่ในโดเมน ระบบจะได้รับการตั้งค่าที่สอดคล้องกับมาตรฐานองค์กรที่ยอมรับโดยอัตโนมัติ เมื่อใช้นโยบาย คุณสามารถมอบหมายให้กับผู้ใช้จากส่วนกลางได้ เครื่องพิมพ์เครือข่าย, ติดตั้ง แอปพลิเคชันที่จำเป็น, ตั้งค่าความปลอดภัยเบราว์เซอร์, กำหนดค่า แอพพลิเคชั่นของไมโครซอฟต์สำนักงาน.

3. ระดับที่เพิ่มขึ้นความปลอดภัยของข้อมูล

การใช้บริการ Active Directory ช่วยเพิ่มระดับความปลอดภัยของเครือข่ายได้อย่างมาก ประการแรก มันเป็นที่เก็บข้อมูลบัญชีเดียวและปลอดภัย ในสภาพแวดล้อมของโดเมน รหัสผ่านผู้ใช้โดเมนทั้งหมดจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ตัวควบคุมโดเมนเฉพาะ ซึ่งโดยปกติจะมีการป้องกัน การเข้าถึงภายนอก- ประการที่สอง เมื่อใช้สภาพแวดล้อมโดเมน โปรโตคอล Kerberos จะใช้สำหรับการตรวจสอบสิทธิ์ซึ่งมีความปลอดภัยมากกว่า NTLM ซึ่งใช้ในกลุ่มงานมาก

4. บูรณาการกับ แอปพลิเคชันระดับองค์กรและอุปกรณ์

ข้อได้เปรียบที่สำคัญของบริการ Active Directory คือการปฏิบัติตามมาตรฐาน LDAP ซึ่งได้รับการสนับสนุนโดยระบบอื่นๆ เช่น เมลเซิร์ฟเวอร์(Exchange Server), พร็อกซีเซิร์ฟเวอร์ (ISA Server, TMG) ยิ่งไปกว่านั้น สิ่งนี้ไม่เพียงแต่จำเป็นเท่านั้น ผลิตภัณฑ์ของไมโครซอฟต์- ข้อดีของการรวมระบบดังกล่าวคือผู้ใช้ไม่จำเป็นต้องจำข้อมูลเข้าสู่ระบบและรหัสผ่านจำนวนมากเพื่อเข้าถึงแอปพลิเคชันเฉพาะ ในทุกแอปพลิเคชัน ผู้ใช้มีข้อมูลรับรองเดียวกัน - การตรวจสอบสิทธิ์ของเขาเกิดขึ้นใน Active Directory เดียว Windows Server มีโปรโตคอล RADIUS สำหรับการทำงานร่วมกับ Active Directory ซึ่งได้รับการสนับสนุน จำนวนมากอุปกรณ์เครือข่าย ด้วยวิธีนี้ จึงสามารถให้การรับรองความถูกต้องได้ เป็นต้น ผู้ใช้โดเมนเมื่อเชื่อมต่อผ่าน VPN จากภายนอก โดยใช้ Wi-Fiจุดเชื่อมต่อในบริษัท

5. ที่เก็บข้อมูลการกำหนดค่าแอปพลิเคชันแบบรวม

แอปพลิเคชันบางตัวจัดเก็บการกำหนดค่าไว้ใน Active Directory เช่น Exchange Server การปรับใช้บริการไดเรกทอรี Active Directory ถือเป็นข้อกำหนดเบื้องต้นสำหรับแอปพลิเคชันเหล่านี้ในการทำงาน การจัดเก็บการกำหนดค่าแอปพลิเคชันในบริการไดเร็กทอรีให้ประโยชน์ด้านความยืดหยุ่นและความน่าเชื่อถือ เช่น ในกรณี การปฏิเสธโดยสมบูรณ์ เซิร์ฟเวอร์แลกเปลี่ยนการกำหนดค่าทั้งหมดจะยังคงเหมือนเดิม เพื่อเรียกคืนฟังก์ชันการทำงาน จดหมายองค์กรเพียงติดตั้ง Exchange Server ใหม่ในโหมดการกู้คืนก็เพียงพอแล้ว

โดยสรุป ฉันต้องการเน้นย้ำอีกครั้งว่าบริการ Active Directory เป็นหัวใจสำคัญของโครงสร้างพื้นฐานด้านไอทีขององค์กร ในกรณีที่เกิดความล้มเหลว เครือข่ายทั้งหมด เซิร์ฟเวอร์ทั้งหมด และการทำงานของผู้ใช้ทั้งหมดจะเป็นอัมพาต จะไม่มีใครสามารถเข้าสู่ระบบคอมพิวเตอร์หรือเข้าถึงเอกสารและแอปพลิเคชันของตนได้ ดังนั้นบริการไดเร็กทอรีจะต้องได้รับการออกแบบและปรับใช้อย่างระมัดระวังโดยคำนึงถึงทั้งหมด ความแตกต่างที่เป็นไปได้, ตัวอย่างเช่น, แบนด์วิธช่องทางระหว่างสาขาหรือสำนักงานของบริษัท (ความเร็วของผู้ใช้เข้าสู่ระบบตลอดจนการแลกเปลี่ยนข้อมูลระหว่างตัวควบคุมโดเมนขึ้นอยู่กับสิ่งนี้โดยตรง)

Windows Server 2003 จากนั้น เมื่อคุณแน่ใจว่าเซิร์ฟเวอร์เหล่านี้บูตอย่างถูกต้องและไม่มีปัญหา คุณสามารถเริ่มงานสร้างตัวควบคุมโดเมน (DC) และอื่นๆ เซิร์ฟเวอร์ระบบ- ยิ่งไปกว่านั้น หากคุณกำลังอัพเกรดฮาร์ดแวร์ของคุณพร้อมกับการอัพเกรดระบบปฏิบัติการ คุณสามารถให้ผู้จำหน่ายฮาร์ดแวร์ตามปกติของคุณติดตั้ง Windows Server 2003 ไว้ล่วงหน้า โดยไม่ต้องตั้งชื่อและกำหนดค่าตัวควบคุมโดเมน

การติดตั้งตัวควบคุมโดเมนแรก (DC) ในโดเมนใหม่

หากต้องการติดตั้ง Active Directory (AD) ให้เปิดจัดการเซิร์ฟเวอร์ของคุณจาก เมนูเริ่มต้น(Start) และคลิก Add or Remove a Role เพื่อเปิดตัว Configure Your Server Wizard ในหน้าต่างบทบาทเซิร์ฟเวอร์ เลือกตัวควบคุมโดเมน (Active Directory) เพื่อเปิดตัวช่วยสร้างการติดตั้ง Active Directory คลิกปุ่มถัดไปเพื่อดำเนินการต่อผ่านวิซาร์ด โดยใช้คำแนะนำต่อไปนี้เพื่อติดตั้ง DC แรกของคุณ

  1. ในหน้าต่างประเภทตัวควบคุมโดเมน ให้เลือกตัวควบคุมโดเมนสำหรับโดเมนใหม่
  2. ในหน้าต่างสร้างโดเมนใหม่ คลิกโดเมนในฟอเรสต์ใหม่
  3. ในหน้าชื่อโดเมนใหม่ ให้กรอกคุณสมบัติครบถ้วน ชื่อโดเมน(FQDN) สำหรับโดเมนใหม่นี้ (คือใส่ companyname.com แต่ไม่ต้องใส่ ชื่อ บริษัท.)
  4. ในหน้าต่าง NetBIOS Domain Name ให้ตรวจสอบชื่อ NetBIOS (แต่ไม่ใช่ FQDN)
  5. ในหน้าต่างฐานข้อมูลและโฟลเดอร์บันทึก ให้ยอมรับตำแหน่งสำหรับฐานข้อมูลและโฟลเดอร์บันทึก หรือคลิกปุ่มเรียกดูเพื่อเลือกตำแหน่งอื่น หากคุณมีเหตุผลที่จะใช้โฟลเดอร์อื่น
  6. ในหน้าต่างที่ใช้ร่วมกัน ระดับเสียงของระบบ(แชร์ ระดับเสียงของระบบ) ยอมรับตำแหน่งของโฟลเดอร์ Sysvol หรือคลิกปุ่มเรียกดูเพื่อเลือกตำแหน่งอื่น
  7. ในหน้าต่างการวินิจฉัยการลงทะเบียน DNS การลงทะเบียน DNS) ตรวจสอบว่าจะมีหรือไม่ เซิร์ฟเวอร์ที่มีอยู่ DNS ที่เหมาะสมสำหรับฟอเรสต์นี้ หรือหากไม่มีเซิร์ฟเวอร์ DNS ให้เลือกตัวเลือกเพื่อติดตั้งและกำหนดค่า DNS บนเซิร์ฟเวอร์นั้น
  8. ในหน้าต่างสิทธิ์ ให้เลือกรายการใดรายการหนึ่ง ตัวเลือกต่อไปนี้การอนุญาต (ขึ้นอยู่กับเวอร์ชันของ Windows ที่เปิดอยู่ คอมพิวเตอร์ไคลเอนต์ที่จะเข้าถึง DC นี้)
    • สิทธิ์ที่เข้ากันได้กับระบบปฏิบัติการก่อน Windows 2000
    • สิทธิ์ที่เข้ากันได้กับการปฏิบัติงานเท่านั้น ระบบวินโดวส์ 2000 หรือ Windows Server 2003
  9. ตรวจสอบข้อมูลหน้าต่างสรุป และหากคุณต้องการเปลี่ยนแปลงสิ่งใด ให้คลิกปุ่มย้อนกลับเพื่อเปลี่ยนตัวเลือกของคุณ หากทุกอย่างเรียบร้อยดี ให้คลิกปุ่มถัดไปเพื่อเริ่มการติดตั้ง

หลังจากคัดลอกไฟล์ทั้งหมดไปยังของคุณแล้ว ฮาร์ดดิสรีสตาร์ทคอมพิวเตอร์ของคุณ

การติดตั้งตัวควบคุมโดเมนอื่น (DCs) ในโดเมนใหม่

คุณสามารถเพิ่ม DC อื่นๆ ในโดเมนของคุณจำนวนเท่าใดก็ได้ หากคุณกำลังแปลงเซิร์ฟเวอร์สมาชิกที่มีอยู่เป็น DC โปรดทราบว่าตัวเลือกการกำหนดค่าจำนวนมากจะหายไป ตัวอย่างเช่น ในกรณีนี้ บัญชีผู้ใช้ภายในจะถูกลบและ คีย์เข้ารหัส- หากเซิร์ฟเวอร์สมาชิกนี้จัดเก็บไฟล์โดยใช้ EFS คุณต้องปิดใช้งานการเข้ารหัส ที่จริงแล้ว หลังจากที่คุณลบการเข้ารหัสแล้ว คุณควรย้ายไฟล์เหล่านี้ไปยังคอมพิวเตอร์เครื่องอื่น

หากต้องการสร้างและกำหนดค่า DC อื่นๆ ในโดเมนใหม่ของคุณ ให้เรียกใช้ตัวช่วยสร้างการติดตั้ง Active Directory ตามที่อธิบายไว้ในส่วนก่อนหน้า จากนั้นทำตามขั้นตอนของตัวช่วยสร้างนี้โดยใช้คำแนะนำต่อไปนี้

  1. ในหน้าต่างประเภทตัวควบคุมโดเมน ให้เลือกตัวควบคุมโดเมนเพิ่มเติมสำหรับโดเมนที่มีอยู่ โดเมนที่มีอยู่).
  2. ในหน้าต่าง Network Credentials ให้ป้อนชื่อผู้ใช้ รหัสผ่าน และโดเมนที่ระบุบัญชีผู้ใช้ที่คุณต้องการใช้สำหรับงานนี้
  3. ในหน้าต่างตัวควบคุมโดเมนเพิ่มเติม ให้ป้อนชื่อ DNS แบบเต็มของโดเมนที่มีอยู่ โดยที่ เซิร์ฟเวอร์นี้จะกลายเป็นตัวควบคุมโดเมน
  4. ในหน้าต่างฐานข้อมูลและโฟลเดอร์บันทึก ให้ยอมรับตำแหน่งสำหรับฐานข้อมูลและโฟลเดอร์บันทึก หรือคลิกปุ่มเรียกดูเพื่อเลือกตำแหน่งอื่นที่ไม่ใช่การตั้งค่าเริ่มต้น
  5. ในหน้าต่าง Shared System Volume ให้ยอมรับตำแหน่งของโฟลเดอร์ Sysvol หรือคลิกปุ่มเรียกดูเพื่อเลือกตำแหน่งอื่น
  6. ในหน้าต่างรหัสผ่านผู้ดูแลระบบโหมดการกู้คืนบริการไดเรกทอรี ให้ป้อนและยืนยันรหัสผ่านที่คุณต้องการกำหนดให้กับบัญชีผู้ดูแลระบบสำหรับเซิร์ฟเวอร์นี้ (บัญชีนี้จะใช้หากคอมพิวเตอร์เริ่มระบบในโหมดการคืนค่าบริการไดเรกทอรี)
  7. ตรวจสอบข้อมูลหน้าต่างสรุป และหากทุกอย่างเรียบร้อยดี ให้คลิกปุ่มถัดไปเพื่อเริ่มการติดตั้ง คลิกปุ่มย้อนกลับหากคุณต้องการเปลี่ยนการตั้งค่าใดๆ

การกำหนดค่าระบบได้รับการปรับให้เข้ากับข้อกำหนดสำหรับตัวควบคุมโดเมน และการจำลองแบบครั้งแรกจะเริ่มต้นขึ้น หลังจากคัดลอกข้อมูลแล้ว (อาจต้องใช้เวลา เวลาที่แน่นอนและหากคอมพิวเตอร์ของคุณอยู่ในที่ปลอดภัย คุณก็สามารถหยุดพักได้ด้วยตัวเอง) คลิกปุ่มเสร็จสิ้นในหน้าต่างสุดท้ายของตัวช่วยสร้างแล้วรีสตาร์ทคอมพิวเตอร์ หลังจากรีบูต หน้าต่าง Configure Your Server Wizard จะปรากฏขึ้น เพื่อประกาศว่าคอมพิวเตอร์ของคุณเป็นตัวควบคุมโดเมนแล้ว คลิกปุ่มเสร็จสิ้นเพื่อดำเนินการวิซาร์ดให้เสร็จสิ้น หรือคลิกลิงก์ใดลิงก์หนึ่งในหน้าต่างนี้เพื่อรับ ข้อมูลเพิ่มเติมเกี่ยวกับการสนับสนุนตัวควบคุมโดเมน

การสร้างตัวควบคุมโดเมนเพิ่มเติม (DCs) โดยการคืนค่าจากการสำรองข้อมูล

คุณสามารถสร้าง Windows Server 2003 DCs เพิ่มเติมในโดเมนเดียวกันกับ DC ที่มีอยู่ได้อย่างรวดเร็ว โดยการคืนค่า Windows Server 2003 DC ที่ใช้งานอยู่จากการสำรองข้อมูล ซึ่งต้องใช้เพียงสามขั้นตอน (ซึ่งมีรายละเอียดในส่วนต่อไปนี้)

  1. สำรองข้อมูลสถานะระบบของ Windows Server 2003 DC ที่มีอยู่ (เรียกว่า ServerOne) ในโดเมนเดียวกัน
  2. การเรียกคืนสถานะของระบบไปยังตำแหน่งอื่นเช่น บน คอมพิวเตอร์วินโดวส์ Server 2003 ซึ่งคุณต้องการสร้างตัวควบคุมโดเมน (เรียกว่า ServerTwo)
  3. การเพิ่มสถานะของเซิร์ฟเวอร์เป้าหมาย (ใน ในกรณีนี้ ServerTwo) เป็นระดับ DC โดยใช้คำสั่ง DCPROMO /adv ที่ป้อนจากบรรทัดคำสั่ง

ลำดับนี้สามารถใช้ได้ในทุกสถานการณ์: การติดตั้งโดเมน Windows Server 2003 ใหม่ การอัพเกรดโดเมน Windows 2000 และการอัพเกรดโดเมน Windows NT หลังจาก การติดตั้งวินโดวส์ Server 2003 บนคอมพิวเตอร์เครื่องใดก็ได้ คุณสามารถทำให้คอมพิวเตอร์เครื่องนี้เป็นตัวควบคุมโดเมน (DC) ได้โดยใช้วิธีนี้

สิ่งนี้มีประโยชน์อย่างยิ่งหากโดเมนของคุณมีหลายไซต์และ DC ของคุณถูกจำลองแบบผ่านเครือข่ายบริเวณกว้าง (WAN) ซึ่งช้ากว่าการถ่ายโอนข้อมูลผ่านมาก สายอีเธอร์เน็ต- เมื่อมีการติดตั้ง DC ใหม่ที่ไซต์ระยะไกล การจำลองแบบครั้งแรกใช้เวลานานมาก ที่ วิธีนี้การจำลองแบบครั้งแรกนี้ไม่จำเป็นอีกต่อไป และการจำลองแบบในภายหลังจะคัดลอกเฉพาะการเปลี่ยนแปลงเท่านั้น (ซึ่งใช้เวลาน้อยกว่ามาก)

ส่วนต่อไปนี้ให้คำแนะนำสำหรับการสร้าง DC โดยใช้วิธีนี้

เรียกใช้ Ntbackup.exe (จากเมนูเครื่องมือการดูแลระบบหรือกล่องโต้ตอบเรียกใช้) และเลือกตัวเลือกต่อไปนี้ในหน้าต่างตัวช่วยสร้าง

  1. เลือกสำรองไฟล์และการตั้งค่า
  2. เลือกให้ฉันเลือกสิ่งที่จะสำรองข้อมูล
  3. เลือกกล่องกาเครื่องหมายสถานะระบบ
  4. เลือกตำแหน่งและชื่อสำหรับไฟล์สำรอง ฉันใช้จุดแชร์เครือข่ายและตั้งชื่อไฟล์ DCmodel.bkf (ไฟล์สำรองมีนามสกุลเป็น .bkf)
  5. คลิกปุ่มเสร็จสิ้น

Ntbackup จะสำรองสถานะระบบไปยังตำแหน่งที่คุณระบุ คุณจะต้องเข้าถึงข้อมูลสำรองนี้จากคอมพิวเตอร์เป้าหมาย ดังนั้นวิธีที่ง่ายที่สุดคือใช้การแชร์เครือข่ายหรือเขียนไฟล์สำรองไปที่ แผ่นดิสก์ซีดี-อาร์.

การคืนค่าสถานะระบบบนคอมพิวเตอร์เป้าหมาย

หากต้องการคืนค่าสถานะระบบบนคอมพิวเตอร์ Windows Server 2003 ที่คุณต้องการสร้างตัวควบคุมโดเมน ให้ไปที่คอมพิวเตอร์เครื่องนั้น (จะต้องมีสิทธิ์เข้าถึงไฟล์สำรองที่คุณสร้างไว้ คอมพิวเตอร์ต้นทาง- เรียกใช้ Ntbackup.exe บนคอมพิวเตอร์เครื่องนี้ และเลือกตัวเลือกต่อไปนี้ในหน้าต่างตัวช่วยสร้าง

  1. เลือกกู้คืนไฟล์และการตั้งค่า
  2. ระบุตำแหน่งของไฟล์สำรอง
  3. เลือกกล่องกาเครื่องหมายสถานะระบบ
  4. คลิกปุ่มขั้นสูง
  5. เลือกตำแหน่งสำรองจากรายการแบบเลื่อนลงและป้อนตำแหน่งบนฮาร์ดไดรฟ์ในเครื่องของคุณ (เช่น คุณสามารถสร้างโฟลเดอร์ชื่อ ADRestore บนไดรฟ์ C)
  6. เลือกตัวเลือกแทนที่ไฟล์ที่มีอยู่
  7. เลือกกล่องกาเครื่องหมายคืนค่าการตั้งค่าความปลอดภัยและรักษาจุดเมานต์โวลุ่มที่มีอยู่ จุดที่มีอยู่การติดตั้งระดับเสียง)
  8. คลิกปุ่มเสร็จสิ้น

Ntbackup คืนค่าสถานะของระบบในห้าโฟลเดอร์ย่อยในตำแหน่งที่คุณระบุในตัวช่วยสร้าง ชื่อของโฟลเดอร์เหล่านี้สอดคล้องกับชื่อคอมโพเนนต์สถานะของระบบต่อไปนี้:

  • Active Directory (ฐานข้อมูลและไฟล์บันทึก)
  • Sysvol (นโยบายและสคริปต์)
  • ไฟล์บูต
  • ทะเบียน
  • ฐานข้อมูลการลงทะเบียนคลาส COM+

หากคุณเรียกใช้โปรแกรม DCPROMO ด้วยสวิตช์ /adv ใหม่ โปรแกรมจะค้นหาโฟลเดอร์ย่อยเหล่านี้

ในกล่องโต้ตอบเรียกใช้ ให้ป้อนdcpromo /advเพื่อเปิดตัวช่วยสร้างการติดตั้ง Active Directory ใช้คำแนะนำต่อไปนี้เพื่อทำการเลือกของคุณในแต่ละหน้าต่างของวิซาร์ดนี้

  1. เลือกตัวเลือกตัวควบคุมโดเมนเพิ่มเติมสำหรับการออกจากโดเมน
  2. เลือกตัวเลือกจากไฟล์สำรองข้อมูลที่กู้คืนเหล่านี้และระบุตำแหน่งที่เปิด ดิสก์ภายในเครื่องที่คุณต้องการกู้คืนข้อมูลสำรอง นี่ควรเป็นตำแหน่งที่มีโฟลเดอร์ย่อยห้าโฟลเดอร์ด้านบน
  3. หาก DC ต้นทางมี แคตตาล็อกทั่วโลกหน้าต่างตัวช่วยสร้างจะปรากฏขึ้นเพื่อถามว่าคุณต้องการวางแค็ตตาล็อกส่วนกลางใน DC นี้หรือไม่ เลือกใช่หรือไม่ใช่ขึ้นอยู่กับแผนการกำหนดค่าของคุณ กระบวนการสร้าง DC จะเร็วขึ้นเล็กน้อยถ้าคุณเลือกใช่ แต่คุณอาจตัดสินใจว่าคุณต้องการเก็บแค็ตตาล็อกส่วนกลางไว้ใน DC เดียวเท่านั้น
  4. ป้อนข้อมูลรับรองที่อนุญาตให้คุณทำงานนี้ (ชื่อผู้ดูแลระบบและรหัสผ่าน)
  5. ป้อนชื่อโดเมนที่ DC นี้จะดำเนินการ นี่ต้องเป็นโดเมนที่ DC ต้นทางเป็นสมาชิก
  6. ป้อนตำแหน่งที่ตั้งสำหรับฐานข้อมูล Active Directory และบันทึก (ตำแหน่งเริ่มต้นจะดีที่สุด)
  7. ป้อนตำแหน่งที่ตั้งสำหรับ SYSVOL (และวิธีที่ดีที่สุดคือใช้ตำแหน่งที่ตั้งเริ่มต้นที่นี่)
  8. ป้อนรหัสผ่านผู้ดูแลระบบเพื่อใช้ในกรณีที่คุณต้องบูตคอมพิวเตอร์เครื่องนี้เข้าสู่โหมดการกู้คืนบริการไดเรกทอรี
  9. คลิกปุ่มเสร็จสิ้น

Dcpromo จะเลื่อนระดับเซิร์ฟเวอร์นี้ไปยังตัวควบคุมโดเมนโดยใช้ข้อมูลที่มีอยู่ในไฟล์ที่กู้คืน ซึ่งหมายความว่าคุณจะไม่ต้องรอให้วัตถุ Active Directory ทุกรายการถูกจำลองแบบจาก DC ที่มีอยู่ไปยัง DC ใหม่นี้ หากมีการเปลี่ยนแปลง เพิ่ม หรือลบออบเจ็กต์ใดๆ หลังจากที่คุณเริ่มกระบวนการนี้ ในครั้งถัดไปที่คุณจำลองแบบดังกล่าวจะเป็นเรื่องของวินาทีสำหรับ DC ใหม่

เมื่อกระบวนการนี้เสร็จสมบูรณ์ ให้รีสตาร์ทคอมพิวเตอร์ของคุณ จากนั้นคุณสามารถลบโฟลเดอร์ที่มีข้อมูลสำรองที่กู้คืนได้

ตระกูลวินโดวส์

เมื่อจัดระเบียบเครือข่ายในระบบปฏิบัติการ Windows แนวคิดของตัวควบคุมโดเมนจะรวมถึงสิ่งที่เรียกว่าเซิร์ฟเวอร์นั่นคือคอมพิวเตอร์หลักหรือส่วนกลางในเครือข่ายที่ควบคุมงาน บริการต่างๆไดเร็กทอรี และยังโฮสต์ฐานข้อมูลของไดเร็กทอรีเดียวกันอีกด้วย เหนือสิ่งอื่นใด เซิร์ฟเวอร์ (ตัวควบคุมโดเมน) จะจัดเก็บการตั้งค่าที่เกี่ยวข้องกับบัญชีของผู้ใช้ทั้งหมด รวมถึงการตั้งค่าความปลอดภัย ในกรณีหลัง เรากำลังพูดถึงเฉพาะเกี่ยวกับ Naturally the head ร้านคอมพิวเตอร์ ข้อมูลที่จำเป็นเกี่ยวกับนโยบายกลุ่มและท้องถิ่น

หากมีการติดตั้งเซิร์ฟเวอร์แรกในองค์กรใด ๆ เว็บไซต์จะถูกสร้างขึ้นทันทีเช่นเดียวกับฟอเรสต์แรกและจำเป็นต้องติดตั้ง Active Directory ตัวควบคุมโดเมนที่ได้รับการกำหนดค่าให้ทำงานภายใต้ ระบบปฏิบัติการจัดเก็บข้อมูลและควบคุมการโต้ตอบระหว่างโดเมนและผู้ใช้ ในกรณีนี้ การตั้งค่าโดเมนบนเครือข่ายท้องถิ่นจะดำเนินการโดยตรง โดยใช้แอคทีฟไดเร็กทอรีเป็นตัวช่วยสร้างการติดตั้ง

ตัวควบคุมโดเมนสำหรับระบบปฏิบัติการ Unix

ในกรณีนี้ องค์กรเซิร์ฟเวอร์สำหรับ Linux/Unix OS เข้ากันได้อย่างสมบูรณ์กับมาตรฐานที่กำหนด มีฟังก์ชันการทำงานที่จำเป็นและที่เกี่ยวข้องทั้งหมดให้มา แพคเกจซอฟต์แวร์ Samba (คุณสามารถค้นหาได้บนเว็บไซต์ที่ www.samba.org รวมถึง OpenLDAP (ตามลำดับ www.openldap.org) อย่างที่ทุกคนรู้ดีข้อดีพื้นฐานของ Windows ที่มีชื่อเสียงคือการแจกจ่ายฟรี และด้วยเหตุนี้ องค์กรจึงไม่จำเป็นต้องใช้เงินจำนวนมากในการติดตั้งตัวควบคุมโดเมน ตัวอย่างเช่น ภายใต้ เซิร์ฟเวอร์ windowsพ.ศ. 2546 กฎหมายกำหนดให้ต้องมีใบอนุญาตสำหรับผลิตภัณฑ์ซอฟต์แวร์นี้ ในกรณีนี้คือการตั้งค่าโดเมนบนเครือข่ายท้องถิ่น ปัญหาพิเศษไม่แต่งหน้า

การเปลี่ยนโดเมนสำหรับเว็บไซต์ขององค์กรของคุณ

นอกจากการที่องค์กรส่วนใหญ่ได้จัดงานแล้ว เครือข่ายท้องถิ่นแต่สิ่งสำคัญอีกประการหนึ่งของโซลูชันคือความสามารถในการเข้าถึงอินเทอร์เน็ตจากคอมพิวเตอร์เครื่องใดก็ได้ รวมถึงการเยี่ยมชมเว็บไซต์ของบริษัท ซึ่งถือเป็นหน้าตาขององค์กรในทางใดทางหนึ่ง แต่บางครั้งอาจมีความจำเป็นในการดำเนินการบางอย่าง เช่น การย้ายไซต์ไปยังโดเมนอื่น ตามที่แสดงในทางปฏิบัติ มีเหตุผลหลักสองประการในการตัดสินใจดังกล่าว ประการแรกคือการได้มาซึ่งชื่อโดเมนที่ดึงดูดลูกค้าและผู้เยี่ยมชมมากขึ้น อย่างที่สองคืออันเก่าถูกขึ้นบัญชีดำจากเครื่องมือค้นหาต่างๆ

เพื่อแก้ปัญหาโดยให้มีการสูญเสียน้อยที่สุด โดยเฉพาะอย่างยิ่งกับผู้เยี่ยมชม ขอแนะนำให้ใช้การดำเนินการดังกล่าวเป็นการรวมโดเมน เป็นที่น่าสังเกตว่าควรใช้การติดกาวเฉพาะในกรณีพิเศษเท่านั้น เนื่องจากการดำเนินการนี้ค่อนข้างยาวและที่สำคัญที่สุดคือค่อนข้างลำบากใจ แม้ว่าจะคุ้มค่าที่จะสังเกต แต่ก็ไม่ใช่เรื่องยากจากมุมมองทางเทคนิค

ตามความเห็นของผู้เชี่ยวชาญส่วนใหญ่อย่างล้นหลามมากที่สุด วิธีที่มีประสิทธิภาพในการดำเนินการเช่นการถ่ายโอนเว็บไซต์ไปยังโดเมนอื่น จะใช้สิ่งที่เรียกว่าการจอดรถโดเมนในรูปแบบของมิเรอร์ ด้านบวกที่สำคัญในสถานการณ์นี้คือผู้ใช้แทบไม่สังเกตเห็นการติดกาว สิ่งเดียวที่อาจจำเป็นคือฝากข่าวเรื่องการเปลี่ยนแปลงที่อยู่ให้ ลูกค้าประจำเพื่อให้พวกเขาสามารถเปลี่ยนแปลงบุ๊กมาร์กของเบราว์เซอร์ได้ สิ่งเดียวที่ควรจำในสถานการณ์นี้คือความจำเป็นในการใช้งาน ลิงค์ที่เกี่ยวข้องเพื่อไม่ให้ย้ายจากโดเมนหนึ่งไปอีกโดเมนหนึ่ง



บทความที่เกี่ยวข้อง