องค์ประกอบหลักที่มีประสิทธิภาพ เครือข่ายองค์กรคือผู้ควบคุม โดเมนใช้งานอยู่ไดเร็กทอรีซึ่งจัดการบริการมากมายและให้สิทธิประโยชน์มากมาย
มีสองวิธีในการสร้างโครงสร้างพื้นฐานด้านไอที - มาตรฐานและแบบสุ่ม เมื่อมีความพยายามเพียงเล็กน้อยเพียงพอในการแก้ปัญหาที่เกิดขึ้น โดยไม่ต้องสร้างโครงสร้างพื้นฐานที่ชัดเจนและเชื่อถือได้ ตัวอย่างเช่น การสร้างเครือข่ายแบบ peer-to-peer ทั่วทั้งองค์กรและการเปิดกว้าง การเข้าถึงสาธารณะทั้งหมด ไฟล์ที่จำเป็นและโฟลเดอร์โดยไม่มีความสามารถในการควบคุมการกระทำของผู้ใช้
เห็นได้ชัดว่าเส้นทางนี้ไม่พึงปรารถนาเนื่องจากในที่สุดคุณจะต้องแยกชิ้นส่วนและจัดระเบียบระบบที่สับสนวุ่นวายอย่างเหมาะสมมิฉะนั้นจะไม่สามารถทำงานได้ - และธุรกิจของคุณไปด้วย ดังนั้น ยิ่งคุณตัดสินใจได้ถูกต้องเร็วเพียงใดในการสร้างเครือข่ายองค์กรด้วยตัวควบคุมโดเมน ก็ยิ่งดีต่อธุรกิจของคุณในระยะยาว และนั่นคือเหตุผล
“โดเมนคือหน่วยพื้นฐานของโครงสร้างพื้นฐานด้านไอทีที่ใช้ Windows OS ซึ่งเป็นการรวมเซิร์ฟเวอร์ คอมพิวเตอร์ อุปกรณ์ และบัญชีผู้ใช้ทั้งแบบโลจิคัลและฟิสิคัล”
ตัวควบคุมโดเมน (DC) - เซิร์ฟเวอร์แยกต่างหากโดยที่ระบบปฏิบัติการ Windows Server ทำงานอยู่ บริการที่ใช้งานอยู่ไดเรกทอรีกำลังทำ งานที่เป็นไปได้ซอฟต์แวร์จำนวนมากที่ต้องใช้ซีดีในการดูแลระบบ ตัวอย่างของซอฟต์แวร์ดังกล่าว ได้แก่ เซิร์ฟเวอร์อีเมล Exchange, แพ็คเกจระบบคลาวด์ Office 365 และอื่นๆ สภาพแวดล้อมซอฟต์แวร์ระดับองค์กรตั้งแต่ ไมโครซอฟต์.
นอกจากการให้ การดำเนินการที่ถูกต้องของแพลตฟอร์มเหล่านี้ CD ช่วยให้ธุรกิจและองค์กรมีข้อได้เปรียบดังต่อไปนี้:
- การปรับใช้เซิร์ฟเวอร์เทอร์มินัล- ช่วยให้คุณประหยัดทรัพยากรและความพยายามได้อย่างมากโดยการเปลี่ยน อัปเดตอย่างต่อเนื่องพีซีสำนักงานพร้อมการลงทุนเพียงครั้งเดียวในการจัดวาง” ไคลเอ็นต์แบบบาง” เพื่อเชื่อมต่อกับเซิร์ฟเวอร์คลาวด์ที่ทรงพลัง
- ความปลอดภัยที่เพิ่มขึ้น- ซีดีช่วยให้คุณสามารถกำหนดนโยบายการสร้างรหัสผ่านและบังคับให้ผู้ใช้ใช้มากขึ้น รหัสผ่านที่ซับซ้อนกว่าวันเกิดของคุณ qwerty หรือ 12345
- การควบคุมสิทธิ์การเข้าถึงแบบรวมศูนย์- แทน อัปเดตด้วยตนเองรหัสผ่านบนคอมพิวเตอร์แต่ละเครื่องแยกกัน ผู้ดูแลระบบซีดีสามารถเปลี่ยนรหัสผ่านทั้งหมดจากส่วนกลางได้ในการดำเนินการเดียวจากคอมพิวเตอร์เครื่องเดียว
- การจัดการนโยบายกลุ่มแบบรวมศูนย์- เครื่องมือ Active Directory ช่วยให้คุณสร้างได้ นโยบายกลุ่มและกำหนดสิทธิ์การเข้าถึงไฟล์ โฟลเดอร์ และอื่นๆ ทรัพยากรเครือข่ายสำหรับกลุ่มผู้ใช้บางกลุ่ม สิ่งนี้ช่วยลดความยุ่งยากในการตั้งค่าบัญชีผู้ใช้ใหม่หรือเปลี่ยนแปลงการตั้งค่าโปรไฟล์ที่มีอยู่ได้อย่างมาก
- ทางเข้าออก- Active Directory รองรับการเข้าสู่ระบบแบบพาสทรู เมื่อป้อนชื่อผู้ใช้และรหัสผ่านสำหรับโดเมน ผู้ใช้จะเชื่อมต่อกับบริการอื่นๆ ทั้งหมด เช่น เมลและ Office 365 โดยอัตโนมัติ
- การสร้างเทมเพลตการตั้งค่าคอมพิวเตอร์- การตั้งค่าแต่ละ คอมพิวเตอร์แยกต่างหากเมื่อเพิ่มเข้ากับเครือข่ายองค์กรแล้ว ก็สามารถดำเนินการได้โดยอัตโนมัติโดยใช้เทมเพลต ตัวอย่างเช่น การใช้กฎพิเศษ ไดรฟ์ซีดีหรือพอร์ต USB สามารถปิดใช้งานจากส่วนกลางได้ พอร์ตเครือข่ายและอื่น ๆ ดังนั้นแทนที่จะ การตั้งค่าด้วยตนเองใหม่ เวิร์กสเตชันผู้ดูแลระบบเพียงรวมไว้ในกลุ่มเฉพาะ และกฎทั้งหมดสำหรับกลุ่มนั้นจะถูกนำไปใช้โดยอัตโนมัติ
อย่างที่คุณเห็น การตั้งค่าตัวควบคุมโดเมน Active Directory นำมาซึ่งความสะดวกและประโยชน์มากมายให้กับธุรกิจและองค์กรทุกขนาด
เมื่อใดจึงจะใช้ตัวควบคุมโดเมน Active Directory ในเครือข่ายองค์กร
เราขอแนะนำให้คุณพิจารณาตั้งค่าตัวควบคุมโดเมนสำหรับบริษัทของคุณเมื่อคุณมีคอมพิวเตอร์มากกว่า 10 เครื่องเชื่อมต่อกับเครือข่าย เนื่องจากการตั้งค่านโยบายที่จำเป็นสำหรับเครื่อง 10 เครื่องได้ง่ายกว่าการตั้งค่า 50 เครื่อง นอกจากนี้ เนื่องจากเซิร์ฟเวอร์นี้ไม่ได้ ทำงานที่ใช้ทรัพยากรมากเป็นพิเศษ คอมพิวเตอร์เดสก์ท็อปที่ทรงพลังอาจเหมาะสมกับบทบาทนี้
อย่างไรก็ตาม สิ่งสำคัญคือต้องจำไว้ว่าเซิร์ฟเวอร์นี้จะจัดเก็บรหัสผ่านการเข้าถึงทรัพยากรเครือข่ายและฐานข้อมูลของผู้ใช้โดเมน โครงร่างสิทธิ์ผู้ใช้ และนโยบายกลุ่ม จำเป็นต้องขยาย เซิร์ฟเวอร์สำรองด้วยการคัดลอกข้อมูลอย่างต่อเนื่องเพื่อให้การทำงานของตัวควบคุมโดเมนมีความต่อเนื่องและสามารถทำได้เร็วขึ้น ง่ายขึ้น และเชื่อถือได้มากขึ้นโดยใช้ การจำลองเสมือนของเซิร์ฟเวอร์มีให้เมื่อโฮสต์เครือข่ายองค์กรในระบบคลาวด์ เพื่อหลีกเลี่ยงปัญหาต่อไปนี้:
- การตั้งค่าเซิร์ฟเวอร์ DNS ไม่ถูกต้องซึ่งนำไปสู่ข้อผิดพลาดในตำแหน่งทรัพยากรบนเครือข่ายองค์กรและบนอินเทอร์เน็ต
- กลุ่มความปลอดภัยที่กำหนดค่าไม่ถูกต้องนำไปสู่ข้อผิดพลาดในสิทธิ์การเข้าถึงทรัพยากรเครือข่ายของผู้ใช้
- เวอร์ชันระบบปฏิบัติการไม่ถูกต้อง- แต่ละ เวอร์ชันที่ใช้งานอยู่รองรับไดเร็กทอรี บางเวอร์ชันระบบปฏิบัติการ Windows บนเดสก์ท็อปสำหรับไคลเอ็นต์แบบธิน
- ขาดหรือ การตั้งค่าไม่ถูกต้อง การคัดลอกข้อมูลอัตโนมัติไปยังตัวควบคุมโดเมนสำรอง
ตัวควบคุมโดเมนคือเซิร์ฟเวอร์ที่รองรับ Active Directory ตัวควบคุมโดเมนแต่ละตัวมีสำเนาฐานข้อมูล Active Directory แบบเขียนได้ของตัวเอง ตัวควบคุมโดเมนทำหน้าที่เป็นองค์ประกอบความปลอดภัยส่วนกลางในโดเมน
การดำเนินการรักษาความปลอดภัยและการตรวจสอบบัญชีทั้งหมดดำเนินการบนตัวควบคุมโดเมน ทุกโดเมนต้องมีตัวควบคุมโดเมนอย่างน้อยหนึ่งตัว เพื่อให้แน่ใจว่าการยอมรับข้อผิดพลาด ขอแนะนำให้คุณติดตั้งตัวควบคุมโดเมนอย่างน้อยสองตัวสำหรับแต่ละโดเมน
ในระบบปฏิบัติการ Windows NT ตัวควบคุมโดเมนเพียงตัวเดียวที่รองรับการเขียนฐานข้อมูล ซึ่งหมายความว่าจำเป็นต้องมีการเชื่อมต่อกับตัวควบคุมโดเมนเพื่อสร้างและเปลี่ยนแปลงการตั้งค่าบัญชีผู้ใช้
ตัวควบคุมนี้ถูกเรียกว่า ตัวควบคุมโดเมนหลัก (PDC)- เริ่มตั้งแต่ระบบปฏิบัติการ Windows 2000 สถาปัตยกรรมของตัวควบคุมโดเมนได้รับการออกแบบใหม่เพื่อให้สามารถอัปเดตฐานข้อมูล Active Directory บนตัวควบคุมโดเมนใดๆ ได้ หลังจากอัปเดตฐานข้อมูลบนตัวควบคุมโดเมนหนึ่ง การเปลี่ยนแปลงถูกจำลองแบบไปยังตัวควบคุมอื่นทั้งหมด
แม้ว่าตัวควบคุมโดเมนทั้งหมดสนับสนุนการเขียนฐานข้อมูล พวกเขาจะไม่เหมือนกัน โดเมนและฟอเรสต์ Active Directory มีงานที่ดำเนินการโดยตัวควบคุมโดเมนเฉพาะ ตัวควบคุมโดเมนที่มีความรับผิดชอบเพิ่มเติมเรียกว่า ผู้เชี่ยวชาญด้านการดำเนินงาน- ในเอกสารบางอย่างของ Microsoft ระบบดังกล่าวเรียกว่า การดำเนินงานหลักเดียวที่ยืดหยุ่น (FSMO)- หลายคนเชื่อว่าคำว่า FSMO ถูกใช้มานานแล้วเพียงเพราะคำย่อฟังดูตลกมากเมื่อออกเสียง
มีบทบาทหลักในการดำเนินงานห้าบทบาท ตามค่าเริ่มต้น บทบาททั้งห้าจะออกให้กับตัวควบคุมโดเมนตัวแรกใน ป่าใช้งานอยู่ไดเรกทอรี บทบาทหลักของการดำเนินงานทั้งสามถูกใช้ในระดับโดเมนและถูกกำหนดให้กับตัวควบคุมโดเมนแรกในโดเมนที่สร้างขึ้น โปรแกรมอรรถประโยชน์ Active Directory ที่จะกล่าวถึงต่อไป ช่วยให้คุณสามารถถ่ายโอนบทบาทหลักของการดำเนินงานจากตัวควบคุมโดเมนหนึ่งไปยังตัวควบคุมโดเมนอื่นได้ นอกจากนี้ คุณสามารถบังคับให้ตัวควบคุมโดเมนรับบทบาทเฉพาะเป็นหลักของการดำเนินการได้
มีบทบาทหลักของการดำเนินงานสองบทบาทที่ทำงานในระดับฟอเรสต์
- ต้นแบบการตั้งชื่อโดเมน- จะต้องติดต่อต้นแบบการดำเนินการเหล่านี้ทุกครั้งที่มีการเปลี่ยนชื่อภายในลำดับชั้นโดเมนฟอเรสต์ หน้าที่ของผู้เชี่ยวชาญด้านการตั้งชื่อโดเมนคือเพื่อให้แน่ใจว่าชื่อโดเมนไม่ซ้ำกันภายในฟอเรสต์ บทบาทหลักของการดำเนินงานนี้จะต้องพร้อมใช้งานเมื่อสร้างโดเมนใหม่ การลบโดเมน หรือเปลี่ยนชื่อโดเมน
- ต้นแบบสคีมา- บทบาทของสคีมาหลักเป็นของตัวควบคุมโดเมนเพียงตัวเดียวภายในฟอเรสต์ซึ่งสามารถเปลี่ยนแปลงสคีมาได้ เมื่อทำการเปลี่ยนแปลงแล้ว จะถูกจำลองแบบไปยังตัวควบคุมโดเมนอื่นๆ ทั้งหมดภายในฟอเรสต์ เพื่อเป็นตัวอย่างของความจำเป็นในการเปลี่ยนแปลงวงจร ให้พิจารณาติดตั้งผลิตภัณฑ์ซอฟต์แวร์ ไมโครซอฟต์เอ็กซ์เชนจ์เซิร์ฟเวอร์ สิ่งนี้จะเปลี่ยนสคีมาเพื่อให้ผู้ดูแลระบบสามารถจัดการบัญชีผู้ใช้และกล่องจดหมายได้พร้อมกัน
แต่ละบทบาทระดับฟอเรสต์สามารถเป็นเจ้าของได้โดยตัวควบคุมโดเมนเดียวภายในฟอเรสต์เท่านั้น นั่นคือ คุณสามารถใช้ตัวควบคุมตัวหนึ่งเป็นต้นแบบการตั้งชื่อโดเมน และตัวควบคุมตัวที่สองเป็นต้นแบบสคีมา นอกจากนี้ ทั้งสองบทบาทสามารถกำหนดให้กับตัวควบคุมโดเมนเดียวกันได้ นี่คือการกระจายบทบาทเริ่มต้น
แต่ละโดเมนภายในฟอเรสต์มีตัวควบคุมโดเมนที่ทำหน้าที่แต่ละบทบาทระดับโดเมน
- ต้นแบบตัวระบุสัมพัทธ์ (ต้นแบบ RID)- หลักของตัวระบุแบบสัมพันธ์มีหน้าที่รับผิดชอบในการกำหนดตัวระบุแบบสัมพันธ์ ตัวระบุแบบสัมพันธ์เป็นส่วนเฉพาะของรหัสความปลอดภัย (SID) ที่ใช้ในการระบุออบเจ็กต์ความปลอดภัย (ผู้ใช้ คอมพิวเตอร์ กลุ่ม ฯลฯ) ภายในโดเมน งานหลักอย่างหนึ่งของต้นแบบตัวระบุแบบสัมพันธ์คือการลบออบเจ็กต์ออกจากโดเมนหนึ่งและเพิ่มออบเจ็กต์ไปยังโดเมนอื่นเมื่อย้ายออบเจ็กต์ระหว่างโดเมน
- ต้นแบบโครงสร้างพื้นฐาน- หน้าที่ของเจ้าของโครงสร้างพื้นฐานคือการประสานความเป็นสมาชิกกลุ่ม เมื่อมีการเปลี่ยนแปลงองค์ประกอบของกลุ่ม เจ้าของโครงสร้างพื้นฐานจะแจ้งให้ตัวควบคุมโดเมนอื่นๆ ทั้งหมดทราบเกี่ยวกับการเปลี่ยนแปลง
- ตัวจำลองตัวควบคุมโดเมนหลัก (ตัวจำลอง PDC)- บทบาทนี้ใช้เพื่อจำลองตัวควบคุมหลัก โดเมนวินโดวส์รองรับ NT4 ตัวควบคุมการสำรองข้อมูลโดเมน Windows NT 4 งานอื่นของโปรแกรมจำลองตัวควบคุมโดเมนหลักคือการจัดเตรียม จุดศูนย์กลางการจัดการการเปลี่ยนแปลงรหัสผ่านผู้ใช้ตลอดจนนโยบายการบล็อกผู้ใช้
คำว่า "นโยบาย" ถูกใช้ค่อนข้างบ่อยในส่วนนี้เพื่ออ้างถึงวัตถุนโยบายกลุ่ม (GPO) วัตถุนโยบายกลุ่มเป็นหนึ่งในวัตถุหลัก คุณสมบัติที่มีประโยชน์ Active Directory และมีการกล่าวถึงในบทความที่เกี่ยวข้องซึ่งมีลิงก์ที่ให้ไว้ด้านล่าง
เนื่องจากคุ้นเคยกับธุรกิจขนาดเล็กจากภายในเป็นอย่างดี ฉันจึงสนใจคำถามต่อไปนี้มาโดยตลอด อธิบายว่าทำไมพนักงานจึงควรใช้เบราว์เซอร์ที่ผู้ดูแลระบบชอบบนคอมพิวเตอร์ที่ทำงานของเขา หรือจะเอาอย่างอื่น ซอฟต์แวร์ตัวอย่างเช่น ผู้จัดเก็บเดียวกัน ไคลเอนต์เมล ไคลเอนต์ ข้อความเร่งด่วน... ฉันขอบอกเป็นนัยถึงการสร้างมาตรฐาน ไม่ใช่จากความเห็นอกเห็นใจส่วนตัวของผู้ดูแลระบบ แต่ขึ้นอยู่กับความเพียงพอของฟังก์ชันการทำงาน ค่าใช้จ่ายในการบำรุงรักษา และการสนับสนุนผลิตภัณฑ์ซอฟต์แวร์เหล่านี้ มาเริ่มพิจารณาไอทีว่าเป็นศาสตร์ที่แน่นอน ไม่ใช่เป็นงานฝีมือ เมื่อทุกคนทำตามที่ใจต้องการ อีกครั้งที่ธุรกิจขนาดเล็กมีปัญหามากมายเช่นกัน ลองนึกภาพว่าบริษัทแห่งหนึ่งในช่วงเวลาวิกฤติที่ยากลำบากได้เปลี่ยนแปลงผู้ดูแลระบบหลายคน ผู้ใช้ที่ไม่ดีควรทำอย่างไรในสถานการณ์เช่นนี้ ฝึกใหม่อย่างต่อเนื่อง?
ลองดูจากอีกด้านหนึ่ง ผู้จัดการคนใดก็ตามควรเข้าใจว่ากำลังเกิดอะไรขึ้นในบริษัทของเขา (รวมถึงในด้านไอที) นี่เป็นสิ่งจำเป็นในการติดตามสถานการณ์ปัจจุบันและตอบสนองต่อปัญหาประเภทต่าง ๆ ที่เกิดขึ้นโดยทันที แต่ความเข้าใจนี้มีความสำคัญมากกว่าสำหรับการวางแผนเชิงกลยุทธ์ ท้ายที่สุดแล้ว ด้วยรากฐานที่แข็งแกร่งและเชื่อถือได้ เราสามารถสร้างบ้าน 3 หรือ 5 ชั้น สร้างหลังคารูปทรงต่างๆ สร้างระเบียงหรือสวนฤดูหนาวได้ ในทำนองเดียวกันในด้านไอที เรามีรากฐานที่เชื่อถือได้ - เราสามารถใช้ผลิตภัณฑ์และเทคโนโลยีที่ซับซ้อนมากขึ้นเพื่อแก้ไขปัญหาทางธุรกิจในภายหลังได้
บทความแรกจะพูดถึงรากฐานดังกล่าว - บริการ Active Directory ได้รับการออกแบบมาเพื่อเป็นรากฐานที่แข็งแกร่งสำหรับโครงสร้างพื้นฐานด้านไอทีของบริษัททุกขนาดและทุกกิจกรรม มันคืออะไร? เอาล่ะมาพูดถึงเรื่องนี้กัน...
มาเริ่มบทสนทนากันที่ แนวคิดง่ายๆ– โดเมนและบริการ Active Directory
โดเมนเป็นหน่วยงานบริหารหลักใน โครงสร้างพื้นฐานเครือข่ายองค์กรซึ่งรวมถึงออบเจ็กต์เครือข่ายทั้งหมด เช่น ผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ ทรัพยากรที่ใช้ร่วมกันและอีกมากมาย การรวบรวมโดเมนดังกล่าวเรียกว่าฟอเรสต์
บริการ Active Directory (บริการ Active Directory) เป็นฐานข้อมูลแบบกระจายที่มีออบเจ็กต์โดเมนทั้งหมด สภาพแวดล้อมโดเมน Active Directory ให้การรับรองความถูกต้องและการอนุญาตจุดเดียวสำหรับผู้ใช้และแอปพลิเคชันทั่วทั้งองค์กร การสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กรเริ่มต้นขึ้นด้วยการจัดโดเมนและการใช้บริการ Active Directory
ฐานข้อมูล Active Directory ถูกจัดเก็บไว้ในเซิร์ฟเวอร์เฉพาะ – ตัวควบคุมโดเมน Active Directory Services คือบทบาทของระบบปฏิบัติการเซิร์ฟเวอร์ ระบบไมโครซอฟต์วินโดวส์เซิร์ฟเวอร์ บริการ Active Directory มี โอกาสที่เพียงพอการปรับขนาด สามารถสร้างอ็อบเจ็กต์ได้มากกว่า 2 พันล้านอ็อบเจ็กต์ในฟอเรสต์ Active Directory ซึ่งช่วยให้สามารถใช้งานบริการไดเร็กทอรีในบริษัทที่มีคอมพิวเตอร์และผู้ใช้หลายแสนเครื่อง โครงสร้างลำดับชั้นโดเมนช่วยให้คุณปรับขนาดโครงสร้างพื้นฐานด้านไอทีได้อย่างยืดหยุ่นไปยังทุกสาขาและแผนกระดับภูมิภาคของบริษัท สำหรับแต่ละสาขาหรือแผนกของบริษัท คุณสามารถสร้างโดเมนแยกต่างหากพร้อมนโยบายของตนเอง ผู้ใช้และกลุ่มของตนเองได้ สำหรับแต่ละโดเมนลูก อำนาจการบริหารสามารถมอบหมายให้กับท้องถิ่นได้ ผู้ดูแลระบบ- ในขณะเดียวกัน โดเมนย่อยยังคงอยู่ภายใต้การปกครองของผู้ปกครอง
นอกจากนี้ Active Directory Services ยังช่วยให้คุณสามารถกำหนดค่าได้ ความสัมพันธ์ที่ไว้วางใจระหว่างโดเมนฟอเรสต์ แต่ละบริษัทมีฟอเรสต์โดเมนของตัวเอง โดยแต่ละบริษัทมีทรัพยากรของตัวเอง แต่บางครั้งคุณจำเป็นต้องให้สิทธิ์การเข้าถึงของคุณ ทรัพยากรขององค์กรพนักงานของบริษัทอื่น - ทำงานด้วย เอกสารทั่วไปและการใช้งานภายใน โครงการร่วมกัน- เมื่อต้องการทำเช่นนี้ คุณสามารถตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ขององค์กร ซึ่งจะช่วยให้พนักงานขององค์กรหนึ่งสามารถเข้าสู่ระบบโดเมนของอีกองค์กรหนึ่งได้
เพื่อให้แน่ใจว่าการยอมรับข้อบกพร่องสำหรับบริการ Active Directory คุณต้องปรับใช้ตัวควบคุมโดเมนตั้งแต่สองตัวขึ้นไปในแต่ละโดเมน การเปลี่ยนแปลงทั้งหมดจะถูกจำลองแบบโดยอัตโนมัติระหว่างตัวควบคุมโดเมน ถ้าตัวควบคุมโดเมนตัวใดตัวหนึ่งล้มเหลว การทำงานของเครือข่ายจะไม่ได้รับผลกระทบ เนื่องจากตัวควบคุมโดเมนที่เหลือยังคงทำงานต่อไป ระดับความยืดหยุ่นเพิ่มเติมมีให้โดยการวางเซิร์ฟเวอร์ DNS บนตัวควบคุมโดเมนใน Active Directory ซึ่งอนุญาตให้แต่ละโดเมนมีเซิร์ฟเวอร์ DNS หลายเซิร์ฟเวอร์ที่ให้บริการโซนหลักของโดเมน และหากเซิร์ฟเวอร์ DNS ตัวใดตัวหนึ่งล้มเหลว เซิร์ฟเวอร์อื่น ๆ จะยังคงทำงานต่อไป เราจะพูดถึงบทบาทและความสำคัญของเซิร์ฟเวอร์ DNS ในโครงสร้างพื้นฐานด้านไอทีในบทความหนึ่งในชุดนี้
แต่นั่นคือทั้งหมด ด้านเทคนิคการใช้งานและการบำรุงรักษาบริการ Active Directory เรามาพูดถึงประโยชน์ที่บริษัทจะได้รับจากการย้ายออกจากเครือข่ายแบบเพียร์ทูเพียร์และการใช้กลุ่มงานกัน
1. การรับรองความถูกต้องจุดเดียว
ใน กลุ่มทำงานคุณจะต้องเพิ่มด้วยตนเองในคอมพิวเตอร์หรือเซิร์ฟเวอร์แต่ละเครื่อง รายการทั้งหมดผู้ใช้ที่ต้องการการเข้าถึงเครือข่าย หากจู่ๆ พนักงานคนใดคนหนึ่งต้องการเปลี่ยนรหัสผ่าน ก็จะต้องเปลี่ยนรหัสผ่านในคอมพิวเตอร์และเซิร์ฟเวอร์ทุกเครื่อง เป็นการดีถ้าเครือข่ายประกอบด้วยคอมพิวเตอร์ 10 เครื่อง แต่จะมีมากกว่านั้นล่ะ? เมื่อใช้โดเมน Active Directory บัญชีผู้ใช้ทั้งหมดจะถูกจัดเก็บไว้ในฐานข้อมูลเดียว และคอมพิวเตอร์ทุกเครื่องจะมองหาการอนุญาต ผู้ใช้โดเมนทั้งหมดจะรวมอยู่ในกลุ่มที่เหมาะสม เช่น “การบัญชี” “แผนกการเงิน” การตั้งค่าการอนุญาตสำหรับบางกลุ่มเพียงครั้งเดียวก็เพียงพอแล้ว และผู้ใช้ทุกคนจะสามารถเข้าถึงเอกสารและแอปพลิเคชันได้อย่างเหมาะสม หากพนักงานใหม่เข้าร่วมบริษัท บัญชีจะถูกสร้างขึ้นสำหรับเขา ซึ่งจะรวมอยู่ในกลุ่มที่เหมาะสม - พนักงานจะสามารถเข้าถึงทรัพยากรเครือข่ายทั้งหมดที่เขาควรได้รับอนุญาตให้เข้าถึง หากพนักงานลาออก เพียงบล็อกเขาและเขาจะสูญเสียการเข้าถึงทรัพยากรทั้งหมดทันที (คอมพิวเตอร์ เอกสาร แอปพลิเคชัน)
2. การจัดการนโยบายจุดเดียว
ในเวิร์กกรุ๊ป คอมพิวเตอร์ทุกเครื่องมีสิทธิเท่าเทียมกัน ไม่มีคอมพิวเตอร์เครื่องใดสามารถควบคุมอีกเครื่องได้ เป็นไปไม่ได้ที่จะตรวจสอบการปฏิบัติตามนโยบายที่เหมือนกันและกฎความปลอดภัย เมื่อใช้ Active Directory เดียว ผู้ใช้และคอมพิวเตอร์ทั้งหมดจะมีการกระจายตามลำดับชั้น หน่วยขององค์กรซึ่งนโยบายกลุ่มแบบเดียวกันแต่ละนโยบายจะถูกนำไปใช้ นโยบายอนุญาตให้คุณตั้งค่าการตั้งค่าแบบเดียวกันและการตั้งค่าความปลอดภัยสำหรับกลุ่มคอมพิวเตอร์และผู้ใช้ เมื่อมีการเพิ่มคอมพิวเตอร์หรือผู้ใช้ใหม่ในโดเมน ระบบจะได้รับการตั้งค่าที่สอดคล้องกับมาตรฐานองค์กรที่ยอมรับโดยอัตโนมัติ เมื่อใช้นโยบาย คุณสามารถมอบหมายให้กับผู้ใช้จากส่วนกลางได้ เครื่องพิมพ์เครือข่าย, ติดตั้ง แอปพลิเคชันที่จำเป็น, ตั้งค่าความปลอดภัยเบราว์เซอร์, กำหนดค่า แอพพลิเคชั่นของไมโครซอฟต์สำนักงาน.
3. ระดับที่เพิ่มขึ้นความปลอดภัยของข้อมูล
การใช้บริการ Active Directory ช่วยเพิ่มระดับความปลอดภัยของเครือข่ายได้อย่างมาก ประการแรก มันเป็นที่เก็บข้อมูลบัญชีเดียวและปลอดภัย ในสภาพแวดล้อมของโดเมน รหัสผ่านผู้ใช้โดเมนทั้งหมดจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ตัวควบคุมโดเมนเฉพาะ ซึ่งโดยปกติจะมีการป้องกัน การเข้าถึงภายนอก- ประการที่สอง เมื่อใช้สภาพแวดล้อมโดเมน โปรโตคอล Kerberos จะใช้สำหรับการตรวจสอบสิทธิ์ซึ่งมีความปลอดภัยมากกว่า NTLM ซึ่งใช้ในกลุ่มงานมาก
4. บูรณาการกับ แอปพลิเคชันระดับองค์กรและอุปกรณ์
ข้อได้เปรียบที่สำคัญของบริการ Active Directory คือการปฏิบัติตามมาตรฐาน LDAP ซึ่งได้รับการสนับสนุนโดยระบบอื่นๆ เช่น เมลเซิร์ฟเวอร์(Exchange Server), พร็อกซีเซิร์ฟเวอร์ (ISA Server, TMG) ยิ่งไปกว่านั้น สิ่งนี้ไม่เพียงแต่จำเป็นเท่านั้น ผลิตภัณฑ์ของไมโครซอฟต์- ข้อดีของการรวมระบบดังกล่าวคือผู้ใช้ไม่จำเป็นต้องจำข้อมูลเข้าสู่ระบบและรหัสผ่านจำนวนมากเพื่อเข้าถึงแอปพลิเคชันเฉพาะ ในทุกแอปพลิเคชัน ผู้ใช้มีข้อมูลรับรองเดียวกัน - การตรวจสอบสิทธิ์ของเขาเกิดขึ้นใน Active Directory เดียว Windows Server มีโปรโตคอล RADIUS สำหรับการทำงานร่วมกับ Active Directory ซึ่งได้รับการสนับสนุน จำนวนมากอุปกรณ์เครือข่าย ด้วยวิธีนี้ จึงสามารถให้การรับรองความถูกต้องได้ เป็นต้น ผู้ใช้โดเมนเมื่อเชื่อมต่อผ่าน VPN จากภายนอก โดยใช้ Wi-Fiจุดเชื่อมต่อในบริษัท
5. ที่เก็บข้อมูลการกำหนดค่าแอปพลิเคชันแบบรวม
แอปพลิเคชันบางตัวจัดเก็บการกำหนดค่าไว้ใน Active Directory เช่น Exchange Server การปรับใช้บริการไดเรกทอรี Active Directory ถือเป็นข้อกำหนดเบื้องต้นสำหรับแอปพลิเคชันเหล่านี้ในการทำงาน การจัดเก็บการกำหนดค่าแอปพลิเคชันในบริการไดเร็กทอรีให้ประโยชน์ด้านความยืดหยุ่นและความน่าเชื่อถือ เช่น ในกรณี การปฏิเสธโดยสมบูรณ์ เซิร์ฟเวอร์แลกเปลี่ยนการกำหนดค่าทั้งหมดจะยังคงเหมือนเดิม เพื่อเรียกคืนฟังก์ชันการทำงาน จดหมายองค์กรเพียงติดตั้ง Exchange Server ใหม่ในโหมดการกู้คืนก็เพียงพอแล้ว
โดยสรุป ฉันต้องการเน้นย้ำอีกครั้งว่าบริการ Active Directory เป็นหัวใจสำคัญของโครงสร้างพื้นฐานด้านไอทีขององค์กร ในกรณีที่เกิดความล้มเหลว เครือข่ายทั้งหมด เซิร์ฟเวอร์ทั้งหมด และการทำงานของผู้ใช้ทั้งหมดจะเป็นอัมพาต จะไม่มีใครสามารถเข้าสู่ระบบคอมพิวเตอร์หรือเข้าถึงเอกสารและแอปพลิเคชันของตนได้ ดังนั้นบริการไดเร็กทอรีจะต้องได้รับการออกแบบและปรับใช้อย่างระมัดระวังโดยคำนึงถึงทั้งหมด ความแตกต่างที่เป็นไปได้, ตัวอย่างเช่น, แบนด์วิธช่องทางระหว่างสาขาหรือสำนักงานของบริษัท (ความเร็วของผู้ใช้เข้าสู่ระบบตลอดจนการแลกเปลี่ยนข้อมูลระหว่างตัวควบคุมโดเมนขึ้นอยู่กับสิ่งนี้โดยตรง)
Windows Server 2003 จากนั้น เมื่อคุณแน่ใจว่าเซิร์ฟเวอร์เหล่านี้บูตอย่างถูกต้องและไม่มีปัญหา คุณสามารถเริ่มงานสร้างตัวควบคุมโดเมน (DC) และอื่นๆ เซิร์ฟเวอร์ระบบ- ยิ่งไปกว่านั้น หากคุณกำลังอัพเกรดฮาร์ดแวร์ของคุณพร้อมกับการอัพเกรดระบบปฏิบัติการ คุณสามารถให้ผู้จำหน่ายฮาร์ดแวร์ตามปกติของคุณติดตั้ง Windows Server 2003 ไว้ล่วงหน้า โดยไม่ต้องตั้งชื่อและกำหนดค่าตัวควบคุมโดเมนการติดตั้งตัวควบคุมโดเมนแรก (DC) ในโดเมนใหม่
หากต้องการติดตั้ง Active Directory (AD) ให้เปิดจัดการเซิร์ฟเวอร์ของคุณจาก เมนูเริ่มต้น(Start) และคลิก Add or Remove a Role เพื่อเปิดตัว Configure Your Server Wizard ในหน้าต่างบทบาทเซิร์ฟเวอร์ เลือกตัวควบคุมโดเมน (Active Directory) เพื่อเปิดตัวช่วยสร้างการติดตั้ง Active Directory คลิกปุ่มถัดไปเพื่อดำเนินการต่อผ่านวิซาร์ด โดยใช้คำแนะนำต่อไปนี้เพื่อติดตั้ง DC แรกของคุณ
- ในหน้าต่างประเภทตัวควบคุมโดเมน ให้เลือกตัวควบคุมโดเมนสำหรับโดเมนใหม่
- ในหน้าต่างสร้างโดเมนใหม่ คลิกโดเมนในฟอเรสต์ใหม่
- ในหน้าชื่อโดเมนใหม่ ให้กรอกคุณสมบัติครบถ้วน ชื่อโดเมน(FQDN) สำหรับโดเมนใหม่นี้ (คือใส่ companyname.com แต่ไม่ต้องใส่ ชื่อ บริษัท.)
- ในหน้าต่าง NetBIOS Domain Name ให้ตรวจสอบชื่อ NetBIOS (แต่ไม่ใช่ FQDN)
- ในหน้าต่างฐานข้อมูลและโฟลเดอร์บันทึก ให้ยอมรับตำแหน่งสำหรับฐานข้อมูลและโฟลเดอร์บันทึก หรือคลิกปุ่มเรียกดูเพื่อเลือกตำแหน่งอื่น หากคุณมีเหตุผลที่จะใช้โฟลเดอร์อื่น
- ในหน้าต่างที่ใช้ร่วมกัน ระดับเสียงของระบบ(แชร์ ระดับเสียงของระบบ) ยอมรับตำแหน่งของโฟลเดอร์ Sysvol หรือคลิกปุ่มเรียกดูเพื่อเลือกตำแหน่งอื่น
- ในหน้าต่างการวินิจฉัยการลงทะเบียน DNS การลงทะเบียน DNS) ตรวจสอบว่าจะมีหรือไม่ เซิร์ฟเวอร์ที่มีอยู่ DNS ที่เหมาะสมสำหรับฟอเรสต์นี้ หรือหากไม่มีเซิร์ฟเวอร์ DNS ให้เลือกตัวเลือกเพื่อติดตั้งและกำหนดค่า DNS บนเซิร์ฟเวอร์นั้น
- ในหน้าต่างสิทธิ์ ให้เลือกรายการใดรายการหนึ่ง ตัวเลือกต่อไปนี้การอนุญาต (ขึ้นอยู่กับเวอร์ชันของ Windows ที่เปิดอยู่ คอมพิวเตอร์ไคลเอนต์ที่จะเข้าถึง DC นี้)
- สิทธิ์ที่เข้ากันได้กับระบบปฏิบัติการก่อน Windows 2000
- สิทธิ์ที่เข้ากันได้กับการปฏิบัติงานเท่านั้น ระบบวินโดวส์ 2000 หรือ Windows Server 2003
- ตรวจสอบข้อมูลหน้าต่างสรุป และหากคุณต้องการเปลี่ยนแปลงสิ่งใด ให้คลิกปุ่มย้อนกลับเพื่อเปลี่ยนตัวเลือกของคุณ หากทุกอย่างเรียบร้อยดี ให้คลิกปุ่มถัดไปเพื่อเริ่มการติดตั้ง
หลังจากคัดลอกไฟล์ทั้งหมดไปยังของคุณแล้ว ฮาร์ดดิสรีสตาร์ทคอมพิวเตอร์ของคุณ
การติดตั้งตัวควบคุมโดเมนอื่น (DCs) ในโดเมนใหม่
คุณสามารถเพิ่ม DC อื่นๆ ในโดเมนของคุณจำนวนเท่าใดก็ได้ หากคุณกำลังแปลงเซิร์ฟเวอร์สมาชิกที่มีอยู่เป็น DC โปรดทราบว่าตัวเลือกการกำหนดค่าจำนวนมากจะหายไป ตัวอย่างเช่น ในกรณีนี้ บัญชีผู้ใช้ภายในจะถูกลบและ คีย์เข้ารหัส- หากเซิร์ฟเวอร์สมาชิกนี้จัดเก็บไฟล์โดยใช้ EFS คุณต้องปิดใช้งานการเข้ารหัส ที่จริงแล้ว หลังจากที่คุณลบการเข้ารหัสแล้ว คุณควรย้ายไฟล์เหล่านี้ไปยังคอมพิวเตอร์เครื่องอื่น
หากต้องการสร้างและกำหนดค่า DC อื่นๆ ในโดเมนใหม่ของคุณ ให้เรียกใช้ตัวช่วยสร้างการติดตั้ง Active Directory ตามที่อธิบายไว้ในส่วนก่อนหน้า จากนั้นทำตามขั้นตอนของตัวช่วยสร้างนี้โดยใช้คำแนะนำต่อไปนี้
- ในหน้าต่างประเภทตัวควบคุมโดเมน ให้เลือกตัวควบคุมโดเมนเพิ่มเติมสำหรับโดเมนที่มีอยู่ โดเมนที่มีอยู่).
- ในหน้าต่าง Network Credentials ให้ป้อนชื่อผู้ใช้ รหัสผ่าน และโดเมนที่ระบุบัญชีผู้ใช้ที่คุณต้องการใช้สำหรับงานนี้
- ในหน้าต่างตัวควบคุมโดเมนเพิ่มเติม ให้ป้อนชื่อ DNS แบบเต็มของโดเมนที่มีอยู่ โดยที่ เซิร์ฟเวอร์นี้จะกลายเป็นตัวควบคุมโดเมน
- ในหน้าต่างฐานข้อมูลและโฟลเดอร์บันทึก ให้ยอมรับตำแหน่งสำหรับฐานข้อมูลและโฟลเดอร์บันทึก หรือคลิกปุ่มเรียกดูเพื่อเลือกตำแหน่งอื่นที่ไม่ใช่การตั้งค่าเริ่มต้น
- ในหน้าต่าง Shared System Volume ให้ยอมรับตำแหน่งของโฟลเดอร์ Sysvol หรือคลิกปุ่มเรียกดูเพื่อเลือกตำแหน่งอื่น
- ในหน้าต่างรหัสผ่านผู้ดูแลระบบโหมดการกู้คืนบริการไดเรกทอรี ให้ป้อนและยืนยันรหัสผ่านที่คุณต้องการกำหนดให้กับบัญชีผู้ดูแลระบบสำหรับเซิร์ฟเวอร์นี้ (บัญชีนี้จะใช้หากคอมพิวเตอร์เริ่มระบบในโหมดการคืนค่าบริการไดเรกทอรี)
- ตรวจสอบข้อมูลหน้าต่างสรุป และหากทุกอย่างเรียบร้อยดี ให้คลิกปุ่มถัดไปเพื่อเริ่มการติดตั้ง คลิกปุ่มย้อนกลับหากคุณต้องการเปลี่ยนการตั้งค่าใดๆ
การกำหนดค่าระบบได้รับการปรับให้เข้ากับข้อกำหนดสำหรับตัวควบคุมโดเมน และการจำลองแบบครั้งแรกจะเริ่มต้นขึ้น หลังจากคัดลอกข้อมูลแล้ว (อาจต้องใช้เวลา เวลาที่แน่นอนและหากคอมพิวเตอร์ของคุณอยู่ในที่ปลอดภัย คุณก็สามารถหยุดพักได้ด้วยตัวเอง) คลิกปุ่มเสร็จสิ้นในหน้าต่างสุดท้ายของตัวช่วยสร้างแล้วรีสตาร์ทคอมพิวเตอร์ หลังจากรีบูต หน้าต่าง Configure Your Server Wizard จะปรากฏขึ้น เพื่อประกาศว่าคอมพิวเตอร์ของคุณเป็นตัวควบคุมโดเมนแล้ว คลิกปุ่มเสร็จสิ้นเพื่อดำเนินการวิซาร์ดให้เสร็จสิ้น หรือคลิกลิงก์ใดลิงก์หนึ่งในหน้าต่างนี้เพื่อรับ ข้อมูลเพิ่มเติมเกี่ยวกับการสนับสนุนตัวควบคุมโดเมน
การสร้างตัวควบคุมโดเมนเพิ่มเติม (DCs) โดยการคืนค่าจากการสำรองข้อมูล
คุณสามารถสร้าง Windows Server 2003 DCs เพิ่มเติมในโดเมนเดียวกันกับ DC ที่มีอยู่ได้อย่างรวดเร็ว โดยการคืนค่า Windows Server 2003 DC ที่ใช้งานอยู่จากการสำรองข้อมูล ซึ่งต้องใช้เพียงสามขั้นตอน (ซึ่งมีรายละเอียดในส่วนต่อไปนี้)
- สำรองข้อมูลสถานะระบบของ Windows Server 2003 DC ที่มีอยู่ (เรียกว่า ServerOne) ในโดเมนเดียวกัน
- การเรียกคืนสถานะของระบบไปยังตำแหน่งอื่นเช่น บน คอมพิวเตอร์วินโดวส์ Server 2003 ซึ่งคุณต้องการสร้างตัวควบคุมโดเมน (เรียกว่า ServerTwo)
- การเพิ่มสถานะของเซิร์ฟเวอร์เป้าหมาย (ใน ในกรณีนี้ ServerTwo) เป็นระดับ DC โดยใช้คำสั่ง DCPROMO /adv ที่ป้อนจากบรรทัดคำสั่ง
ลำดับนี้สามารถใช้ได้ในทุกสถานการณ์: การติดตั้งโดเมน Windows Server 2003 ใหม่ การอัพเกรดโดเมน Windows 2000 และการอัพเกรดโดเมน Windows NT หลังจาก การติดตั้งวินโดวส์ Server 2003 บนคอมพิวเตอร์เครื่องใดก็ได้ คุณสามารถทำให้คอมพิวเตอร์เครื่องนี้เป็นตัวควบคุมโดเมน (DC) ได้โดยใช้วิธีนี้
สิ่งนี้มีประโยชน์อย่างยิ่งหากโดเมนของคุณมีหลายไซต์และ DC ของคุณถูกจำลองแบบผ่านเครือข่ายบริเวณกว้าง (WAN) ซึ่งช้ากว่าการถ่ายโอนข้อมูลผ่านมาก สายอีเธอร์เน็ต- เมื่อมีการติดตั้ง DC ใหม่ที่ไซต์ระยะไกล การจำลองแบบครั้งแรกใช้เวลานานมาก ที่ วิธีนี้การจำลองแบบครั้งแรกนี้ไม่จำเป็นอีกต่อไป และการจำลองแบบในภายหลังจะคัดลอกเฉพาะการเปลี่ยนแปลงเท่านั้น (ซึ่งใช้เวลาน้อยกว่ามาก)
ส่วนต่อไปนี้ให้คำแนะนำสำหรับการสร้าง DC โดยใช้วิธีนี้
เรียกใช้ Ntbackup.exe (จากเมนูเครื่องมือการดูแลระบบหรือกล่องโต้ตอบเรียกใช้) และเลือกตัวเลือกต่อไปนี้ในหน้าต่างตัวช่วยสร้าง
- เลือกสำรองไฟล์และการตั้งค่า
- เลือกให้ฉันเลือกสิ่งที่จะสำรองข้อมูล
- เลือกกล่องกาเครื่องหมายสถานะระบบ
- เลือกตำแหน่งและชื่อสำหรับไฟล์สำรอง ฉันใช้จุดแชร์เครือข่ายและตั้งชื่อไฟล์ DCmodel.bkf (ไฟล์สำรองมีนามสกุลเป็น .bkf)
- คลิกปุ่มเสร็จสิ้น
Ntbackup จะสำรองสถานะระบบไปยังตำแหน่งที่คุณระบุ คุณจะต้องเข้าถึงข้อมูลสำรองนี้จากคอมพิวเตอร์เป้าหมาย ดังนั้นวิธีที่ง่ายที่สุดคือใช้การแชร์เครือข่ายหรือเขียนไฟล์สำรองไปที่ แผ่นดิสก์ซีดี-อาร์.
การคืนค่าสถานะระบบบนคอมพิวเตอร์เป้าหมาย
หากต้องการคืนค่าสถานะระบบบนคอมพิวเตอร์ Windows Server 2003 ที่คุณต้องการสร้างตัวควบคุมโดเมน ให้ไปที่คอมพิวเตอร์เครื่องนั้น (จะต้องมีสิทธิ์เข้าถึงไฟล์สำรองที่คุณสร้างไว้ คอมพิวเตอร์ต้นทาง- เรียกใช้ Ntbackup.exe บนคอมพิวเตอร์เครื่องนี้ และเลือกตัวเลือกต่อไปนี้ในหน้าต่างตัวช่วยสร้าง
- เลือกกู้คืนไฟล์และการตั้งค่า
- ระบุตำแหน่งของไฟล์สำรอง
- เลือกกล่องกาเครื่องหมายสถานะระบบ
- คลิกปุ่มขั้นสูง
- เลือกตำแหน่งสำรองจากรายการแบบเลื่อนลงและป้อนตำแหน่งบนฮาร์ดไดรฟ์ในเครื่องของคุณ (เช่น คุณสามารถสร้างโฟลเดอร์ชื่อ ADRestore บนไดรฟ์ C)
- เลือกตัวเลือกแทนที่ไฟล์ที่มีอยู่
- เลือกกล่องกาเครื่องหมายคืนค่าการตั้งค่าความปลอดภัยและรักษาจุดเมานต์โวลุ่มที่มีอยู่ จุดที่มีอยู่การติดตั้งระดับเสียง)
- คลิกปุ่มเสร็จสิ้น
Ntbackup คืนค่าสถานะของระบบในห้าโฟลเดอร์ย่อยในตำแหน่งที่คุณระบุในตัวช่วยสร้าง ชื่อของโฟลเดอร์เหล่านี้สอดคล้องกับชื่อคอมโพเนนต์สถานะของระบบต่อไปนี้:
- Active Directory (ฐานข้อมูลและไฟล์บันทึก)
- Sysvol (นโยบายและสคริปต์)
- ไฟล์บูต
- ทะเบียน
- ฐานข้อมูลการลงทะเบียนคลาส COM+
หากคุณเรียกใช้โปรแกรม DCPROMO ด้วยสวิตช์ /adv ใหม่ โปรแกรมจะค้นหาโฟลเดอร์ย่อยเหล่านี้
ในกล่องโต้ตอบเรียกใช้ ให้ป้อนdcpromo /advเพื่อเปิดตัวช่วยสร้างการติดตั้ง Active Directory ใช้คำแนะนำต่อไปนี้เพื่อทำการเลือกของคุณในแต่ละหน้าต่างของวิซาร์ดนี้
- เลือกตัวเลือกตัวควบคุมโดเมนเพิ่มเติมสำหรับการออกจากโดเมน
- เลือกตัวเลือกจากไฟล์สำรองข้อมูลที่กู้คืนเหล่านี้และระบุตำแหน่งที่เปิด ดิสก์ภายในเครื่องที่คุณต้องการกู้คืนข้อมูลสำรอง นี่ควรเป็นตำแหน่งที่มีโฟลเดอร์ย่อยห้าโฟลเดอร์ด้านบน
- หาก DC ต้นทางมี แคตตาล็อกทั่วโลกหน้าต่างตัวช่วยสร้างจะปรากฏขึ้นเพื่อถามว่าคุณต้องการวางแค็ตตาล็อกส่วนกลางใน DC นี้หรือไม่ เลือกใช่หรือไม่ใช่ขึ้นอยู่กับแผนการกำหนดค่าของคุณ กระบวนการสร้าง DC จะเร็วขึ้นเล็กน้อยถ้าคุณเลือกใช่ แต่คุณอาจตัดสินใจว่าคุณต้องการเก็บแค็ตตาล็อกส่วนกลางไว้ใน DC เดียวเท่านั้น
- ป้อนข้อมูลรับรองที่อนุญาตให้คุณทำงานนี้ (ชื่อผู้ดูแลระบบและรหัสผ่าน)
- ป้อนชื่อโดเมนที่ DC นี้จะดำเนินการ นี่ต้องเป็นโดเมนที่ DC ต้นทางเป็นสมาชิก
- ป้อนตำแหน่งที่ตั้งสำหรับฐานข้อมูล Active Directory และบันทึก (ตำแหน่งเริ่มต้นจะดีที่สุด)
- ป้อนตำแหน่งที่ตั้งสำหรับ SYSVOL (และวิธีที่ดีที่สุดคือใช้ตำแหน่งที่ตั้งเริ่มต้นที่นี่)
- ป้อนรหัสผ่านผู้ดูแลระบบเพื่อใช้ในกรณีที่คุณต้องบูตคอมพิวเตอร์เครื่องนี้เข้าสู่โหมดการกู้คืนบริการไดเรกทอรี
- คลิกปุ่มเสร็จสิ้น
Dcpromo จะเลื่อนระดับเซิร์ฟเวอร์นี้ไปยังตัวควบคุมโดเมนโดยใช้ข้อมูลที่มีอยู่ในไฟล์ที่กู้คืน ซึ่งหมายความว่าคุณจะไม่ต้องรอให้วัตถุ Active Directory ทุกรายการถูกจำลองแบบจาก DC ที่มีอยู่ไปยัง DC ใหม่นี้ หากมีการเปลี่ยนแปลง เพิ่ม หรือลบออบเจ็กต์ใดๆ หลังจากที่คุณเริ่มกระบวนการนี้ ในครั้งถัดไปที่คุณจำลองแบบดังกล่าวจะเป็นเรื่องของวินาทีสำหรับ DC ใหม่
เมื่อกระบวนการนี้เสร็จสมบูรณ์ ให้รีสตาร์ทคอมพิวเตอร์ของคุณ จากนั้นคุณสามารถลบโฟลเดอร์ที่มีข้อมูลสำรองที่กู้คืนได้
ตระกูลวินโดวส์
เมื่อจัดระเบียบเครือข่ายในระบบปฏิบัติการ Windows แนวคิดของตัวควบคุมโดเมนจะรวมถึงสิ่งที่เรียกว่าเซิร์ฟเวอร์นั่นคือคอมพิวเตอร์หลักหรือส่วนกลางในเครือข่ายที่ควบคุมงาน บริการต่างๆไดเร็กทอรี และยังโฮสต์ฐานข้อมูลของไดเร็กทอรีเดียวกันอีกด้วย เหนือสิ่งอื่นใด เซิร์ฟเวอร์ (ตัวควบคุมโดเมน) จะจัดเก็บการตั้งค่าที่เกี่ยวข้องกับบัญชีของผู้ใช้ทั้งหมด รวมถึงการตั้งค่าความปลอดภัย ในกรณีหลัง เรากำลังพูดถึงเฉพาะเกี่ยวกับ Naturally the head ร้านคอมพิวเตอร์ ข้อมูลที่จำเป็นเกี่ยวกับนโยบายกลุ่มและท้องถิ่น
หากมีการติดตั้งเซิร์ฟเวอร์แรกในองค์กรใด ๆ เว็บไซต์จะถูกสร้างขึ้นทันทีเช่นเดียวกับฟอเรสต์แรกและจำเป็นต้องติดตั้ง Active Directory ตัวควบคุมโดเมนที่ได้รับการกำหนดค่าให้ทำงานภายใต้ ระบบปฏิบัติการจัดเก็บข้อมูลและควบคุมการโต้ตอบระหว่างโดเมนและผู้ใช้ ในกรณีนี้ การตั้งค่าโดเมนบนเครือข่ายท้องถิ่นจะดำเนินการโดยตรง โดยใช้แอคทีฟไดเร็กทอรีเป็นตัวช่วยสร้างการติดตั้ง
ตัวควบคุมโดเมนสำหรับระบบปฏิบัติการ Unix
ในกรณีนี้ องค์กรเซิร์ฟเวอร์สำหรับ Linux/Unix OS เข้ากันได้อย่างสมบูรณ์กับมาตรฐานที่กำหนด มีฟังก์ชันการทำงานที่จำเป็นและที่เกี่ยวข้องทั้งหมดให้มา แพคเกจซอฟต์แวร์ Samba (คุณสามารถค้นหาได้บนเว็บไซต์ที่ www.samba.org รวมถึง OpenLDAP (ตามลำดับ www.openldap.org) อย่างที่ทุกคนรู้ดีข้อดีพื้นฐานของ Windows ที่มีชื่อเสียงคือการแจกจ่ายฟรี และด้วยเหตุนี้ องค์กรจึงไม่จำเป็นต้องใช้เงินจำนวนมากในการติดตั้งตัวควบคุมโดเมน ตัวอย่างเช่น ภายใต้ เซิร์ฟเวอร์ windowsพ.ศ. 2546 กฎหมายกำหนดให้ต้องมีใบอนุญาตสำหรับผลิตภัณฑ์ซอฟต์แวร์นี้ ในกรณีนี้คือการตั้งค่าโดเมนบนเครือข่ายท้องถิ่น ปัญหาพิเศษไม่แต่งหน้า
การเปลี่ยนโดเมนสำหรับเว็บไซต์ขององค์กรของคุณ
นอกจากการที่องค์กรส่วนใหญ่ได้จัดงานแล้ว เครือข่ายท้องถิ่นแต่สิ่งสำคัญอีกประการหนึ่งของโซลูชันคือความสามารถในการเข้าถึงอินเทอร์เน็ตจากคอมพิวเตอร์เครื่องใดก็ได้ รวมถึงการเยี่ยมชมเว็บไซต์ของบริษัท ซึ่งถือเป็นหน้าตาขององค์กรในทางใดทางหนึ่ง แต่บางครั้งอาจมีความจำเป็นในการดำเนินการบางอย่าง เช่น การย้ายไซต์ไปยังโดเมนอื่น ตามที่แสดงในทางปฏิบัติ มีเหตุผลหลักสองประการในการตัดสินใจดังกล่าว ประการแรกคือการได้มาซึ่งชื่อโดเมนที่ดึงดูดลูกค้าและผู้เยี่ยมชมมากขึ้น อย่างที่สองคืออันเก่าถูกขึ้นบัญชีดำจากเครื่องมือค้นหาต่างๆ
เพื่อแก้ปัญหาโดยให้มีการสูญเสียน้อยที่สุด โดยเฉพาะอย่างยิ่งกับผู้เยี่ยมชม ขอแนะนำให้ใช้การดำเนินการดังกล่าวเป็นการรวมโดเมน เป็นที่น่าสังเกตว่าควรใช้การติดกาวเฉพาะในกรณีพิเศษเท่านั้น เนื่องจากการดำเนินการนี้ค่อนข้างยาวและที่สำคัญที่สุดคือค่อนข้างลำบากใจ แม้ว่าจะคุ้มค่าที่จะสังเกต แต่ก็ไม่ใช่เรื่องยากจากมุมมองทางเทคนิค
ตามความเห็นของผู้เชี่ยวชาญส่วนใหญ่อย่างล้นหลามมากที่สุด วิธีที่มีประสิทธิภาพในการดำเนินการเช่นการถ่ายโอนเว็บไซต์ไปยังโดเมนอื่น จะใช้สิ่งที่เรียกว่าการจอดรถโดเมนในรูปแบบของมิเรอร์ ด้านบวกที่สำคัญในสถานการณ์นี้คือผู้ใช้แทบไม่สังเกตเห็นการติดกาว สิ่งเดียวที่อาจจำเป็นคือฝากข่าวเรื่องการเปลี่ยนแปลงที่อยู่ให้ ลูกค้าประจำเพื่อให้พวกเขาสามารถเปลี่ยนแปลงบุ๊กมาร์กของเบราว์เซอร์ได้ สิ่งเดียวที่ควรจำในสถานการณ์นี้คือความจำเป็นในการใช้งาน ลิงค์ที่เกี่ยวข้องเพื่อไม่ให้ย้ายจากโดเมนหนึ่งไปอีกโดเมนหนึ่ง