การใช้ OU เพื่อจัดการนโยบายกลุ่ม การวางแผนนโยบายกลุ่ม

มีสี่วิธีในการติดตั้ง Active Directory

  • การติดตั้งโดยวิธีการ ตัวช่วยสร้างการติดตั้ง Active Directory(ตัวช่วยสร้างการติดตั้ง Active Directory); เหมาะสมในกรณีส่วนใหญ่
  • การติดตั้งโดยใช้ไฟล์ตอบกลับ วิธีการติดตั้งแบบอัตโนมัติ (ช่วยให้คุณสามารถติดตั้ง AD จากระยะไกล)
  • การติดตั้งโดยใช้เครือข่ายหรือแหล่งเก็บถาวร (ใช้เมื่อติดตั้ง Active Directory บน ตัวควบคุมเพิ่มเติมโดเมน).
  • การติดตั้งโดยใช้ วิซาร์ดการตั้งค่าเซิร์ฟเวอร์(กำหนดค่าตัวช่วยสร้างเซิร์ฟเวอร์ของคุณ) (วิธีนี้ใช้ได้เฉพาะเมื่อติดตั้ง Active Directory บนตัวควบคุมโดเมนตัวแรกบนเครือข่าย)

ทั้งสี่เส้นทางช่วยให้คุณสามารถกำหนดคอมพิวเตอร์ให้กับบทบาทของตัวควบคุมโดเมน ติดตั้ง Active Directory และติดตั้งและกำหนดค่าเซิร์ฟเวอร์ DNS ได้ หากต้องการ

อย่างไรก็ตาม วิธีแรกเป็นแบบสากล และเราจะพิจารณารายละเอียดเพิ่มเติมโดยใช้ตัวอย่างการติดตั้ง Active Directory บนตัวควบคุมโดเมนตัวแรกบนเครือข่าย...

การติดตั้ง Active Directory โดยใช้ตัวช่วยสร้างการติดตั้ง Active Directory

  1. หากต้องการเปิดตัวช่วยสร้างการติดตั้ง Active Directory ให้ป้อนในกล่องโต้ตอบ วิ่งทีม ดีซีโปรโม.
  2. หลังจากหน้าตัวช่วยสร้างปรากฏขึ้นใต้ชื่อ ตัวช่วยสร้างการติดตั้ง Active Directoryคลิกปุ่ม ต่อไป.
  3. บนหน้า การตรวจสอบความเข้ากันได้ของระบบจะคลิกปุ่มด้วย ต่อไป.
  4. บนหน้า ประเภทตัวควบคุมโดเมนเลือก ตัวควบคุมโดเมนในโดเมนใหม่- หลังจากนั้นคลิกปุ่มถัดไป
  5. ครั้งหนึ่งบนเพจ สร้างโดเมนใหม่ให้เลือกรายการ โดเมนใหม่ในฟอเรสต์ใหม่แล้วคลิกปุ่มถัดไป
  6. ในสนาม ชื่อ DNS แบบเต็มของโดเมนใหม่บนหน้า ชื่อโดเมนใหม่ป้อนชื่อโดเมนแล้วคลิกปุ่ม ต่อไป.
  7. หลังจากนั้นสักพักเพจก็จะปรากฏขึ้น ชื่อโดเมน NetBIOS- ไม่แนะนำให้เปลี่ยนชื่อ NetBIOS เริ่มต้น คลิก ต่อไป.
  8. หลังจากเปิดเพจแล้ว ฐานข้อมูลและโฟลเดอร์บันทึกระบุตำแหน่งของฐานข้อมูล Active Directory และเข้าสู่ระบบ หน้าต่างข้อความ โฟลเดอร์ตำแหน่งฐานข้อมูลและ โฟลเดอร์บันทึกตำแหน่งตามลำดับ โปรดจำไว้ว่าขอแนะนำให้วางฐานข้อมูลและไฟล์บันทึกแยกกัน ฮาร์ดไดรฟ์ด้วยระบบไฟล์ NTFS คลิกปุ่ม ต่อไป.
  9. ในสนาม การจัดวางโฟลเดอร์หน้า การแชร์วอลุ่มของระบบคุณต้องระบุตำแหน่งของโฟลเดอร์ ซิสวอล- ตามที่คุณเข้าใจ จะต้องวางไดรฟ์ข้อมูลระบบไว้ในพาร์ติชันหรือไดรฟ์ข้อมูลที่มีไฟล์ ระบบเอ็นทีเอฟเอส- หลังจากตั้งค่าเสร็จแล้วให้คลิกปุ่ม ต่อไป.
  10. เมื่อหน้าดังกล่าวปรากฏขึ้นบนหน้าจอ การวินิจฉัยการลงทะเบียน DNS,มาทำความรู้จักกับ คำแนะนำโดยละเอียดการทดสอบวินิจฉัย ตั้งสวิตช์ไปที่ตำแหน่งใดตำแหน่งหนึ่งจากสามตำแหน่ง (ใน กรณีของ DNSยังไม่ได้กำหนดค่าบนเครือข่าย ดังนั้นเราจึงเลือกตัวเลือกที่สอง) คลิก ต่อไป.
  11. วางบนหน้า สิทธิ์เลือกสิทธิ์มาตรฐานที่จำเป็นสำหรับออบเจ็กต์ผู้ใช้และกลุ่ม จากนั้นคลิก ต่อไป.
  12. ในช่องข้อความ รหัสผ่านโหมดการกู้คืนหน้า รหัสผ่านโหมดการคืนค่าบริการไดเรกทอรีป้อนรหัสผ่านบัญชีผู้ดูแลระบบสำหรับสถานการณ์เมื่อคอมพิวเตอร์เริ่มทำงานในโหมด Directory Service Restore ยืนยันแล้วรหัสผ่านคลิก ต่อไป.
  13. บนหน้า สรุปการตั้งค่าทั้งหมดที่ดำเนินการจนถึงขณะนี้จะแสดงอยู่ในรายการ หลังจากตรวจสอบรายชื่อแล้ว คลิก ต่อไป- (ขั้นตอนการตั้งค่าส่วนประกอบ Active Directory ด้วยตัวช่วยสร้างจะใช้เวลาสักระยะ หากไม่ได้ตั้งค่าที่อยู่ IP แบบคงที่บนคอมพิวเตอร์ในการตั้งค่า คุณจะถูกขอให้ทำเช่นนั้น
  14. หลังจากที่วิซาร์ดเสร็จสิ้น เพจจะปรากฏขึ้น ดำเนินการตัวช่วยสร้างการตั้งค่า Active Directory ให้เสร็จสิ้น- คลิกปุ่ม พร้อมและหลังจากนั้นทันที- รีบูตทันที.

สถานการณ์เริ่มต้น - มีโดเมน testcompany.local- เพื่อให้ง่ายขึ้นจะมีตัวควบคุมโดเมนหนึ่งตัวอยู่ข้างใต้ วินโดวส์เซิร์ฟเวอร์ 2546 โดยใช้ชื่อว่า ดีซี01- เซิร์ฟเวอร์ DNS ก็เปิดอยู่เช่นกัน โซนหลักถูกรวมเข้ากับ Active Directory

การตั้งค่าเครือข่ายคอนโทรลเลอร์:

ที่อยู่ IP - 192.168.1.11
หน้ากาก - 255.255.255.0
เกตเวย์ - 192.168.1.1
เซิร์ฟเวอร์ DNS - 192.168.1.11

งาน- ติดตั้งตัวควบคุมโดเมนบนเซิร์ฟเวอร์อื่นที่ทำงานภายใต้ Windows Server 2008 R2 ลดระดับตัวควบคุมเก่าไปยังเซิร์ฟเวอร์สมาชิก (และจากนั้นอาจลบออกทั้งหมด) และถ่ายโอนฟังก์ชันทั้งหมดของตัวควบคุมเก่าไปยังตัวควบคุมใหม่

งานเตรียมการ

ในฐานะงานเตรียมการคุณควรรันคำสั่ง เน็ตเดียก(คำสั่งนี้มีอยู่ในเซิร์ฟเวอร์ 2003 เครื่องมือสนับสนุนเท่านั้น) และ ดีซีเดียกตรวจสอบให้แน่ใจว่าไม่มีข้อผิดพลาด และหากมี ให้แก้ไขข้อผิดพลาดเหล่านี้

ก่อนอื่น เรากำหนดผู้ถือบทบาท FSMO ในโดเมนด้วยคำสั่ง:

คุณประโยชน์ netdom.exeวี องค์ประกอบของหน้าต่าง Server 2003 ไม่ได้รวมอยู่ตามค่าเริ่มต้น ดังนั้นคุณต้องติดตั้ง เครื่องมือสนับสนุน(http://support.microsoft.com/kb/926027) ในกรณีที่อยู่ระหว่างการพิจารณา มันไม่สมเหตุสมผลเลย เนื่องจากมีตัวควบคุมโดเมนเพียงตัวเดียวและบทบาท FSMO ยังคงอยู่ทั้งหมด สำหรับผู้ที่มีตัวควบคุมโดเมนมากกว่าหนึ่งตัว สิ่งนี้จะมีประโยชน์ในการทราบว่าต้องถ่ายโอนบทบาทใดและจากที่ใด ผลลัพธ์ของคำสั่งจะเป็นดังนี้:

ที่อยู่ IP - 192.168.1.12
หน้ากาก - 255.255.255.0
เกตเวย์ - 192.168.1.1
เซิร์ฟเวอร์ DNS - 192.168.1.11

และใส่มันเข้าไป โดเมนที่มีอยู่, testcompany.localในกรณีของเรา

การอัปเดตฟอเรสต์และสกีมาโดเมน

ขั้นตอนต่อไปคือการอัปเดตฟอเรสต์และสคีมาโดเมนเป็น Windows Server 2008 R2 ซึ่งเราจะดำเนินการโดยใช้ยูทิลิตี้นี้ เตรียม- ใส่ดิสก์การติดตั้งด้วย Windows Server 2008 R2 ลงในเซิร์ฟเวอร์ ดีซี01- บนดิสก์เราสนใจโฟลเดอร์ X:\support\adprep (X: คือตัวอักษร แผ่นดีวีดีรอม- หาก Windows Server 2003 ของคุณเป็น 32 บิต คุณควรเรียกใช้ adprep32.exe ในกรณีของ 64 บิต - adprep.exe

ไม่มีข้อกำหนดโหมดการทำงานของฟอเรสต์เพื่อดำเนินการคำสั่ง เพื่อดำเนินการคำสั่ง adprep /domainprepโดเมนจำเป็นต้องใช้ระดับการทำงานของโดเมนอย่างน้อย Windows 2000 ดั้งเดิม

ป้อนคำสั่ง:

X:\support\adprep>adprep32.exe /forestprep

หลังจากได้รับคำเตือนว่าตัวควบคุมโดเมน Windows 2000 ทั้งหมดต้องมีอย่างน้อย SP4 ให้ป้อน กับและกด Enter:

คำสั่งใช้เวลานานหลายนาที และควรลงท้ายด้วยวลีต่อไปนี้:

Adprep อัปเดตข้อมูลทั่วทั้งฟอเรสต์สำเร็จแล้ว

หลังจากนั้นให้ป้อนคำสั่ง:

X:\support\adprep>adprep32.exe /domainprep /gpprep

ซึ่งจะทำงานเร็วขึ้นมาก:


มันก็คุ้มค่าที่จะรันคำสั่งเช่นกัน adprep /rodcprep- แม้ว่าคุณไม่ต้องการใช้ตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODC) บนเครือข่ายของคุณ อย่างน้อยคำสั่งนี้ก็จะลบออก ข้อความที่ไม่จำเป็นเกี่ยวกับข้อผิดพลาดในบันทึกเหตุการณ์

หลังจากคำสั่งการอัปเดตสคีมาเสร็จสมบูรณ์ คุณสามารถเริ่มการเลื่อนระดับเซิร์ฟเวอร์ใหม่ไปยังตัวควบคุมโดเมนได้
บนเซิร์ฟเวอร์ ดีซี02ไปกันเถอะ ผู้จัดการเซิร์ฟเวอร์, เพิ่มบทบาท บริการโดเมน Active Directory- หลังจากติดตั้งบทบาท โดยไปที่ Server Manager > Roles > Active Directory Domain Services เราจะเห็นข้อความสีเหลือง “Run the Active Directory Domain Services Installation Wizard (dcpromo.exe)” มาเปิดตัวกันเลย หรือจะพิมพ์คำสั่งก็ได้ ดีซีโปรโมซึ่งจะเทียบเท่ากับการกระทำข้างต้น

เนื่องจากความครอบคลุมของกระบวนการติดตั้งตัวควบคุมโดเมนไม่รวมอยู่ในบทความนี้ ฉันจะเน้นเฉพาะประเด็นสำคัญบางประเด็นเท่านั้น ในการย้าย ตัวเลือกตัวควบคุมโดเมนเพิ่มเติมทำเครื่องหมายทั้งสองช่อง เซิร์ฟเวอร์ DNS และ แคตตาล็อกทั่วโลก.


ถ้ารุ่งสาง แคตตาล็อกทั่วโลกและ เซิร์ฟเวอร์ DNSหากคุณไม่ติดตั้ง คุณจะต้องย้ายมันแยกกัน และเมื่อย้ายจากปี 2546 ถึง 2546 จะต้องดำเนินการดังกล่าวไม่ว่าในกรณีใดเนื่องจาก Windows 2003 ไม่มีตัวเลือกดังกล่าว การถ่ายโอนแคตตาล็อกส่วนกลางและเซิร์ฟเวอร์ DNS จะกล่าวถึงด้านล่างเล็กน้อย

เราติดตั้งตัวควบคุมโดเมนเสร็จแล้วและรีบูตเซิร์ฟเวอร์ ตอนนี้เรามีตัวควบคุมโดเมนสองตัวที่ทำงานพร้อมกัน

การถ่ายโอนบทบาท FSMO

การโอนบทบาท FSMOสามารถทำได้ทั้งผ่านอินเทอร์เฟซแบบกราฟิกและการใช้ยูทิลิตี้ ntdsutil.exe- บทความนี้จะอธิบายวิธีการใช้ กุยเพื่อให้เห็นภาพมากขึ้น หากใครสนใจวิธีอื่น ให้ไปที่ลิงก์นี้: http://support.microsoft.com/kb/255504 การโอนบทบาท FSMO จะประกอบด้วยขั้นตอนต่อไปนี้:

เข้าสู่ระบบเซิร์ฟเวอร์ ดีซี02ไปยังตำแหน่งที่เราจะถ่ายโอนบทบาทไป เพื่อเข้าถึงอุปกรณ์ สคีมาไดเรกทอรีที่ใช้งานอยู่ก่อนอื่นคุณต้องลงทะเบียนห้องสมุดก่อน schmmgmt.dll- ทำได้โดยใช้คำสั่ง:

regsvr32 schmmgmt.dll

ในแผนผังสแน็ปอิน คุณต้องคลิกขวาที่องค์ประกอบ สคีมาไดเรกทอรีที่ใช้งานอยู่และเลือกรายการ เปลี่ยนตัวควบคุมโดเมน- ที่นั่นเราเปลี่ยนคอนโทรลเลอร์เป็น ดีซี02.
จากนั้นคลิกขวาที่องค์ประกอบอีกครั้ง สคีมาไดเรกทอรีที่ใช้งานอยู่และเลือกรายการ ปริญญาโทปฏิบัติการ- หน้าต่างต่อไปนี้จะปรากฏขึ้น:


คลิก เปลี่ยน > ใช่ > ตกลงและปิดหน้าต่างเหล่านี้ทั้งหมด

เปิดสแน็ปอิน คลิกขวาที่องค์ประกอบ โดเมน Active Directory และความเชื่อถือและเลือกทีม เปลี่ยนตัวควบคุมโดเมน Active Directory- การดำเนินการนี้จำเป็นถ้างานไม่ได้ดำเนินการจากตัวควบคุมโดเมนที่กำลังถ่ายโอนบทบาทไป ข้ามสิ่งนี้หากมีการเชื่อมต่อกับตัวควบคุมโดเมนที่มีบทบาทถูกถ่ายโอนแล้ว ในหน้าต่างที่เปิดขึ้น ให้เลือกตัวควบคุมโดเมนที่ได้รับมอบหมายบทบาท ( ดีซี02ในกรณีของเรา) ในรายการแล้วกดปุ่ม ตกลง.
ในสแน็ปอิน ให้คลิกขวาที่องค์ประกอบ โดเมน Active Directory และความเชื่อถือและเลือกรายการ ปริญญาโทปฏิบัติการ- ในหน้าต่างที่ปรากฏขึ้น ให้คลิกปุ่ม เปลี่ยน.


เพื่อยืนยันการโอนบทบาทให้คลิกปุ่ม ตกลงและจากนั้น - ปิด.

เปิดอุปกรณ์. คลิกขวาที่องค์ประกอบ ผู้ใช้ Active Directory และคอมพิวเตอร์และเลือกทีม เปลี่ยนตัวควบคุมโดเมน- ข้ามสิ่งนี้หากมีการเชื่อมต่อกับตัวควบคุมโดเมนที่มีบทบาทถูกถ่ายโอนแล้ว ในหน้าต่างที่เปิดขึ้น ให้เลือกตัวควบคุมโดเมนที่ได้รับมอบหมายบทบาท ( ดีซี02ในกรณีของเรา) ในรายการแล้วคลิกตกลง

ในสแน็ปอิน ให้คลิกขวาที่องค์ประกอบ ผู้ใช้ Active Directory และคอมพิวเตอร์ให้เลือกรายการ งานทั้งหมดแล้ว ปริญญาโทปฏิบัติการ.


เลือกแท็บที่สอดคล้องกับบทบาทที่กำลังถ่ายโอน ( กำจัด, พีดีซีหรือ ปริญญาโทโครงสร้างพื้นฐาน) และกดปุ่ม เปลี่ยน.
เพื่อยืนยันการโอนบทบาท ให้คลิกปุ่ม ตกลงและจากนั้น - ปิด.

การโยกย้ายแคตตาล็อกทั่วโลก

หากเรากำลังย้ายไม่ใช่ปี 2008 แต่เป็นปี 2003 ซึ่งเมื่อเพิ่มตัวควบคุมโดเมนเพิ่มเติม แค็ตตาล็อกส่วนกลางจะไม่ได้รับการติดตั้ง หรือคุณไม่ได้ทำเครื่องหมายในช่อง แคตตาล็อกทั่วโลกในขั้นตอนที่ 2 คุณจะต้องกำหนดบทบาทแคตตาล็อกส่วนกลางให้กับตัวควบคุมโดเมนใหม่ด้วยตนเอง โดยไปที่อุปกรณ์ ไซต์และบริการ Active Directoryเปิด Sites > Default-First-Site-Name site > Servers > DC02 > คลิกขวาที่การตั้งค่า NTDS > Properties ในหน้าต่างที่เปิดขึ้น ให้ทำเครื่องหมายที่ช่อง Global Catalog > OK


หลังจากนี้ ข้อความจะปรากฏในบันทึกการบริการไดเรกทอรีว่าการส่งเสริมตัวควบคุมไปยังแค็ตตาล็อกส่วนกลางจะล่าช้าเป็นเวลา 5 นาที

ประเภทเหตุการณ์: ข้อมูล
แหล่งที่มาของเหตุการณ์: NTDS ทั่วไป
ประเภทเหตุการณ์: (18)
รหัสเหตุการณ์: 1110
วันที่: 07/12/2554
เวลา: 22:49:31 น
ผู้ใช้: TESTCOMPANY\Administrator

คำอธิบาย:
เลื่อนระดับตัวควบคุมโดเมนนี้ไปยังแค็ตตาล็อกส่วนกลางจะถูกเลื่อนออกไปในช่วงเวลาต่อไปนี้

ช่วงเวลา (นาที):
5

การหน่วงเวลานี้จำเป็นเพื่อให้สามารถเตรียมพาร์ติชันไดเร็กทอรีที่จำเป็นได้ ก่อนมีการโฆษณาแคตตาล็อกทั่วโลก ในทะเบียน คุณสามารถระบุจำนวนวินาทีที่ตัวแทนระบบไดเร็กทอรีจะรอก่อนที่จะเลื่อนระดับตัวควบคุมโดเมนภายในเครื่องไปยังแค็ตตาล็อกส่วนกลาง สำหรับข้อมูลเพิ่มเติมเกี่ยวกับค่ารีจิสทรีการโฆษณาความล่าช้าของแค็ตตาล็อกส่วนกลาง โปรดดูคู่มือระบบการแจกจ่ายชุดทรัพยากร

http://go.microsoft.com/fwlink/events.asp

เรารอห้านาทีและรอเหตุการณ์ 1119 ที่ตัวควบคุมนี้ได้กลายเป็นแค็ตตาล็อกส่วนกลาง

ประเภทเหตุการณ์: ข้อมูล
แหล่งที่มาของเหตุการณ์: NTDS ทั่วไป
ประเภทเหตุการณ์: (18)
รหัสเหตุการณ์: 1119
วันที่: 07/12/2554
เวลา: 22:54:31 น
ผู้ใช้: NT AUTHORITY\ANONYMOUS LOGON
คอมพิวเตอร์: dc02.testcompany.local
คำอธิบาย:
ตัวควบคุมโดเมนนี้อยู่ในขณะนี้เป็นแค็ตตาล็อกส่วนกลาง

สำหรับข้อมูลเพิ่มเติม โปรดดูที่ศูนย์ช่วยเหลือและสนับสนุนที่ http://go.microsoft.com/fwlink/events.asp

การกำหนดค่าอินเทอร์เฟซ DNS และงานหลังการติดตั้งอื่น ๆ ใหม่

ถัดไป เนื่องจากเซิร์ฟเวอร์ DNS เปิดอยู่ ดีซี02เราติดตั้งมันแล้ว ตอนนี้เราต้องการมันในคุณสมบัติ อินเตอร์เฟซเครือข่ายระบุตัวเองว่าเป็นเซิร์ฟเวอร์ DNS หลัก เช่น ที่อยู่ 192.168.1.12. และต่อไป ดีซี01เปลี่ยนตาม 192.168.1.12

ในคุณสมบัติของเซิร์ฟเวอร์ DNS บน ดีซี02ตรวจสอบแท็บ ผู้ส่งต่อสำหรับปี 2003 ต่างจากปี 2008 ตรงที่ไม่มีการทำซ้ำ หลังจากนี้คุณสามารถลดระดับตัวควบคุมโดเมนได้ ดีซี01ไปยังเซิร์ฟเวอร์สมาชิก

หากคุณต้องการทิ้งชื่อและที่อยู่ IP เก่าไว้กับคอนโทรลเลอร์ใหม่ ก็สามารถทำได้โดยไม่มีปัญหา เปลี่ยนชื่อเหมือนกับคอมพิวเตอร์ทั่วไปหรือด้วยคำสั่งที่คล้ายกัน netdom เปลี่ยนชื่อคอมพิวเตอร์.

หลังจากเปลี่ยนที่อยู่ IP ให้รันคำสั่ง ipconfig /registerdnsและ dcdiag/แก้ไข.

ทำความเข้าใจกับโดเมน Active Directory

กล่าวโดยสรุป AD ช่วยให้คุณมีจุดบริหารจัดการสำหรับทรัพยากรที่เผยแพร่ทั้งหมดของคุณที่จุดเดียว AD ขึ้นอยู่กับมาตรฐานการตั้งชื่อ X.500 ใช้ระบบชื่อโดเมน (DNS) เพื่อระบุตำแหน่ง และใช้ Lightweight Directory Access Protocol (LDAP) เป็นโปรโตคอลหลัก

AD รวมโครงสร้างเชิงตรรกะและทางกายภาพของเครือข่าย โครงสร้างเชิงตรรกะ AD ประกอบด้วยองค์ประกอบต่อไปนี้:

  • หน่วยองค์กร – กลุ่มย่อยของคอมพิวเตอร์ซึ่งมักจะสะท้อนถึงโครงสร้างของบริษัท
  • โดเมน – กลุ่มการใช้คอมพิวเตอร์ร่วมกัน ฐานทั่วไปข้อมูลแค็ตตาล็อก
  • ต้นไม้โดเมน – โดเมนตั้งแต่หนึ่งโดเมนขึ้นไปที่ใช้เนมสเปซที่ต่อเนื่องกัน
  • โดเมนฟอเรสต์ – ต้นไม้หนึ่งต้นขึ้นไปที่แบ่งปันข้อมูลไดเร็กทอรี

โครงสร้างทางกายภาพประกอบด้วยองค์ประกอบต่อไปนี้:

  • ซับเน็ต – กลุ่มเครือข่ายที่มีพื้นที่ที่อยู่ IP ที่ระบุและเน็ตเวิร์กมาสก์
  • เว็บไซต์ – หนึ่งหรือหลายซับเน็ต ไซต์นี้ใช้เพื่อกำหนดค่าการเข้าถึงไดเร็กทอรีและสำหรับการจำลองแบบ

ไดเร็กทอรีจัดเก็บข้อมูลสามประเภท: ข้อมูลโดเมน ข้อมูลสคีมา และข้อมูลการกำหนดค่า AD ใช้ตัวควบคุมโดเมนเท่านั้น ข้อมูลโดเมนถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมด ตัวควบคุมโดเมนทั้งหมดมีสิทธิ์เท่าเทียมกัน เช่น การเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นจากตัวควบคุมโดเมนจะถูกจำลองแบบไปยังตัวควบคุมโดเมนอื่นๆ ทั้งหมด ข้อมูลสคีมาและการกำหนดค่าจะถูกจำลองแบบทั่วทั้งโดเมนของแผนผังหรือฟอเรสต์ นอกจากนี้ วัตถุโดเมนแต่ละรายการทั้งหมดและคุณสมบัติของวัตถุฟอเรสต์บางส่วนจะถูกจำลองแบบไปยังแค็ตตาล็อกส่วนกลาง (GC) ซึ่งหมายความว่าตัวควบคุมโดเมนจะจัดเก็บและจำลองแบบแผนสำหรับแผนภูมิหรือฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในแผนภูมิหรือฟอเรสต์ และวัตถุไดเรกทอรีและคุณสมบัติทั้งหมดสำหรับโดเมนของตนเอง

ตัวควบคุมโดเมนที่ GC ถูกจัดเก็บประกอบด้วยและจำลองข้อมูลสคีมาสำหรับฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในฟอเรสต์ และชุดคุณสมบัติที่จำกัดสำหรับวัตถุไดเรกทอรีทั้งหมดในฟอเรสต์ (ซึ่งถูกจำลองแบบระหว่างเซิร์ฟเวอร์ GC เท่านั้น) และวัตถุไดเรกทอรีและคุณสมบัติทั้งหมดสำหรับโดเมนของคุณ

ตัวควบคุมโดเมนสามารถมีได้ บทบาทที่แตกต่างกันผู้เชี่ยวชาญด้านการดำเนินงาน ต้นแบบการดำเนินงานจัดการงานที่ไม่สะดวกในการดำเนินการในแบบจำลองการจำลองแบบหลายต้นแบบ

มีบทบาทหลักในการดำเนินงานห้าบทบาทที่สามารถกำหนดให้กับตัวควบคุมโดเมนตั้งแต่หนึ่งตัวขึ้นไป บทบาทบางอย่างต้องไม่ซ้ำกันในระดับฟอเรสต์ และบทบาทอื่นๆ ในระดับโดเมน

บทบาทต่อไปนี้มีอยู่ในแต่ละฟอเรสต์ AD:

  • ต้นแบบสคีมา – จัดการการอัปเดตและการเปลี่ยนแปลงไดเร็กทอรีสคีมา หากต้องการอัปเดตสคีมาไดเรกทอรี คุณต้องมีสิทธิ์เข้าถึงสคีมาต้นแบบ เพื่อตรวจสอบว่าเซิร์ฟเวอร์ใดอยู่ใน เวลาที่กำหนดเป็นเจ้าของโครงร่างในโดเมน คุณต้องพิมพ์คำสั่งในหน้าต่างบรรทัดคำสั่ง เซิร์ฟเวอร์ dsquery - สคีมา hasfsmo
  • ต้นแบบการตั้งชื่อโดเมน – จัดการการเพิ่มและการลบโดเมนในฟอเรสต์ หากต้องการเพิ่มหรือลบโดเมน คุณต้องเข้าถึงต้นแบบการตั้งชื่อโดเมน หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นต้นแบบการตั้งชื่อโดเมนในปัจจุบัน ให้ป้อนเซิร์ฟเวอร์ dsquery -hasismo name ในหน้าต่างพร้อมรับคำสั่ง

บทบาทเหล่านี้เป็นเรื่องปกติของป่าโดยรวมและมีลักษณะเฉพาะตัว

โดเมน AD แต่ละโดเมนจะต้องมีบทบาทดังต่อไปนี้:

  • ต้นแบบรหัสญาติ – จัดสรรตัวระบุสัมพัทธ์ให้กับตัวควบคุมโดเมน แต่ละครั้งที่มีการสร้างผู้ใช้ กลุ่ม หรือวัตถุคอมพิวเตอร์ ตัวควบคุมจะกำหนดวัตถุให้กับตัวระบุความปลอดภัยเฉพาะ ซึ่งประกอบด้วยตัวระบุความปลอดภัยของโดเมนและตัวระบุเฉพาะที่ได้รับการจัดสรรโดยต้นแบบตัวระบุแบบสัมพันธ์ หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นต้นแบบของ ID โดเมนแบบสัมพันธ์ในปัจจุบัน ให้ป้อน dsquery server -hasfsmo removal ที่พรอมต์คำสั่ง
  • โปรแกรมจำลอง PDC – ในโหมดโดเมนผสมหรือระดับกลาง ทำหน้าที่เป็นตัวควบคุมโดเมนหลักของ Windows NT ตรวจสอบการเข้าสู่ระบบ Windows จัดการการเปลี่ยนแปลงรหัสผ่าน และจำลองการอัปเดตไปยัง BDC หากมี หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นโปรแกรมจำลอง PDC ของโดเมนในปัจจุบัน ให้ป้อน dsquery server -hasfsmo pdc ที่พร้อมท์คำสั่ง
  • ต้นแบบโครงสร้างพื้นฐาน – อัปเดตลิงก์วัตถุโดยการเปรียบเทียบข้อมูลแค็ตตาล็อกกับข้อมูล GC หากข้อมูลล้าสมัย ระบบจะร้องขอการอัปเดตจาก GC และจำลองแบบไปยังตัวควบคุมโดเมนที่เหลือ หากต้องการทราบว่าเซิร์ฟเวอร์ใดเป็นเซิร์ฟเวอร์หลักของโครงสร้างพื้นฐานโดเมนในปัจจุบัน ให้ป้อน dsquery server -hasfsmo infr ที่พรอมต์คำสั่ง

บทบาทเหล่านี้เป็นเรื่องปกติสำหรับทั้งโดเมนและต้องไม่ซ้ำกันภายในโดเมน

บทบาทหลักของการดำเนินงานจะได้รับการกำหนดให้กับตัวควบคุมตัวแรกในโดเมนโดยอัตโนมัติ แต่คุณสามารถกำหนดใหม่ได้ในภายหลัง หากมีตัวควบคุมเพียงตัวเดียวในโดเมน โดเมนนั้นจะทำหน้าที่หลักในการดำเนินการทั้งหมดในคราวเดียว

ไม่แนะนำให้แยกบทบาทของสคีมาต้นแบบและต้นแบบการตั้งชื่อโดเมน ถ้าเป็นไปได้ ให้กำหนดให้กับตัวควบคุมโดเมนเดียวกัน เพื่อประสิทธิภาพสูงสุด เป็นที่พึงประสงค์ว่า ID ต้นแบบสัมพัทธ์และโปรแกรมจำลอง PDC จะอยู่บนตัวควบคุมเดียวกัน แม้ว่าบทบาทเหล่านี้สามารถแยกออกจากกันได้หากจำเป็น ในเครือข่ายขนาดใหญ่ที่ไหน ภาระหนักลดประสิทธิภาพลง ต้องวางต้นแบบตัวระบุสัมพันธ์และตัวจำลอง PDC บนตัวควบคุมที่แตกต่างกัน นอกจากนี้ ก็ไม่แนะนำให้โฮสต์โครงสร้างพื้นฐานหลักบนตัวควบคุมโดเมนที่เก็บแค็ตตาล็อกส่วนกลาง

การติดตั้งตัวควบคุมโดเมน (DC) ที่ใช้ Windows Server 2003 โดยใช้ตัวช่วยสร้างการตั้งค่า Active Directory

การติดตั้งตัวควบคุมโดเมนเสร็จสิ้นโดยใช้ ผู้เชี่ยวชาญที่ใช้งานอยู่ตัวช่วยสร้างการติดตั้งไดเรกทอรี หากต้องการเลื่อนระดับเซิร์ฟเวอร์เป็นตัวควบคุมโดเมน คุณต้องตรวจสอบให้แน่ใจว่าเป็นไปตามข้อกำหนดที่จำเป็นทั้งหมด:

  1. เซิร์ฟเวอร์ต้องมีอย่างน้อยหนึ่งรายการ พาร์ติชัน NTFSเพื่อโฮสต์วอลุ่มระบบ SYSVOL
  2. เซิร์ฟเวอร์จะต้องมีสิทธิ์เข้าถึง เซิร์ฟเวอร์ DNS- ขอแนะนำให้ติดตั้งบริการ DNS บนเซิร์ฟเวอร์เดียวกัน ถ้าใช้ เซิร์ฟเวอร์แยกต่างหากจากนั้นคุณต้องแน่ใจว่ารองรับ บันทึกทรัพยากรตำแหน่งบริการ (RFC 2052) และ Dynamic Updates Protocol (RFC 2136)
  3. คุณต้องมีบัญชีที่มีสิทธิ์ของผู้ดูแลระบบภายในบนเซิร์ฟเวอร์

มาดูการส่งเสริมบทบาทของเซิร์ฟเวอร์กับตัวควบคุมโดเมน Active Directory ทีละขั้นตอนกันดีกว่า:

  1. หากต้องการเรียกใช้ Server Promotion Wizard ให้เลือก Run... จากเมนู Start ป้อน dcpromo แล้วคลิก OK
  2. เมื่อตัวช่วยการตั้งค่า Active Directory เริ่มต้นขึ้น ให้คลิก ถัดไป
  3. บนหน้าประเภทตัวควบคุมโดเมน ให้เลือกตัวเลือก ตัวควบคุมโดเมนสำหรับโดเมนใหม่(ตัวควบคุมโดเมนในโดเมนใหม่) คลิกถัดไป


  4. บนหน้าสร้างโดเมนใหม่ เลือกตัวเลือกโดเมนในฟอเรสต์ใหม่ คลิกถัดไป
  5. ในหน้าชื่อโดเมนใหม่ ให้ป้อนชื่อ DNS แบบเต็ม (FQDN) สำหรับโดเมนใหม่ที่คุณกำลังสร้าง ป่าใช้งานอยู่ไดเรกทอรี (เช่น mydomain.local) ไม่แนะนำให้ใช้ชื่อโดเมนที่มีป้ายกำกับเดียว (เช่น mydomain) คลิกถัดไป
  6. ตรวจสอบชื่อ NetBIOS บนหน้าชื่อโดเมน NetBIOS แม้ว่าโดเมน Active Directory จะถูกตั้งชื่อตามมาตรฐานการตั้งชื่อ DNS คุณยังต้องระบุชื่อ NetBIOS ด้วย ถ้าเป็นไปได้ ชื่อ NetBIOS ควรตรงกับป้ายกำกับแรกของชื่อ DNS ของโดเมน หากป้ายชื่อแรกของชื่อ DNS ของโดเมน Active Directory แตกต่างจากชื่อ NetBIOS ชื่อ DNS จะถูกใช้เป็นชื่อโดเมนแบบเต็มแทนที่จะเป็นชื่อ NetBIOS คลิกถัดไป
  7. บนเพจฐานข้อมูลและโฟลเดอร์บันทึก ให้ป้อนเส้นทางที่คุณต้องการให้ฐานข้อมูลและโฟลเดอร์บันทึกอยู่ หรือคลิกปุ่มเรียกดูเพื่อระบุตำแหน่งอื่น ตรวจสอบให้แน่ใจว่าคุณมีพื้นที่ดิสก์เพียงพอเพื่อรองรับฐานข้อมูลไดเร็กทอรีและไฟล์บันทึก เพื่อหลีกเลี่ยงปัญหาในการติดตั้งหรือถอนการติดตั้ง Active Directory ตัวช่วยสร้างการติดตั้ง Active Directory ต้องการ 250 MB พื้นที่ดิสก์สำหรับการติดตั้งฐานข้อมูล Active Directory และ 50 MB สำหรับไฟล์บันทึก คลิกถัดไป
  8. ในหน้าแชร์ ระดับเสียงของระบบ(System Volume Sharing) ระบุตำแหน่งที่คุณต้องการติดตั้งโฟลเดอร์ SYSVOL หรือคลิกปุ่มเรียกดูเพื่อเลือกตำแหน่ง โฟลเดอร์ SYSVOL ต้องอยู่บนไดรฟ์ข้อมูล NTFS เนื่องจากมีไฟล์ที่ถูกจำลองแบบระหว่างตัวควบคุมโดเมนในโดเมนหรือฟอเรสต์ ไฟล์เหล่านี้ประกอบด้วยสคริปต์ นโยบายระบบสำหรับ Windows NT 4.0 และรุ่นก่อนหน้า โฟลเดอร์ที่ใช้ร่วมกัน NETLOGON และ SYSVOL และพารามิเตอร์ นโยบายกลุ่ม- คลิกถัดไป
  9. บนหน้าการวินิจฉัยการลงทะเบียน DNS ตรวจสอบว่าการตั้งค่าได้รับการกำหนดค่าอย่างถูกต้อง หากหน้าต่างผลการวินิจฉัยแสดงข้อความแสดงข้อผิดพลาดในการวินิจฉัย ให้คลิกปุ่มวิธีใช้เพื่อรับ คำแนะนำเพิ่มเติมเพื่อกำจัดข้อผิดพลาด คลิกถัดไป
  10. ในหน้าสิทธิ์ ให้เลือกระดับความเข้ากันได้ของแอปพลิเคชันที่ต้องการ ระบบปฏิบัติการก่อน Windows 2000, Windows 2000 หรือ Windows Server 2003 คลิกถัดไป
  11. บนหน้า รหัสผ่านผู้ดูแลระบบโหมดการคืนค่าบริการไดเรกทอรี(รหัสผ่านผู้ดูแลระบบโหมดการกู้คืน) ป้อนและยืนยันรหัสผ่านสำหรับบัญชีผู้ดูแลระบบโหมด การกู้คืนใช้งานอยู่ไดเรกทอรีสำหรับ ของเซิร์ฟเวอร์นี้- รหัสผ่านนี้จำเป็นสำหรับการกู้คืน สำเนาสำรองสถานะของระบบ ของคอนโทรลเลอร์นี้โดเมนในโหมดการกู้คืน Active Directory คลิกถัดไป
  12. ตรวจสอบข้อมูลในหน้าสรุปแล้วคลิกถัดไป
  13. เมื่อการติดตั้งเสร็จสมบูรณ์ คลิก Finish หากต้องการรีสตาร์ทคอมพิวเตอร์ ให้คลิกปุ่มรีสตาร์ททันทีเพื่อให้การเปลี่ยนแปลงมีผล

พื้นฐานการจัดการโดเมน Active Directory

เครื่องมือจำนวนหนึ่งในสแน็ปอิน Microsoft Management Console (MMC) ช่วยให้การทำงานกับ Active Directory ง่ายขึ้น

สแน็ปอินผู้ใช้ Active Directory และคอมพิวเตอร์คือ MMC ที่คุณสามารถใช้เพื่อจัดการและเผยแพร่ข้อมูลไดเรกทอรี นี่คือวิธีการรักษาหลัก การบริหารงานใช้งานอยู่ไดเร็กทอรีซึ่งใช้เพื่อดำเนินการทั้งหมดที่เกี่ยวข้องกับผู้ใช้ กลุ่ม และคอมพิวเตอร์ รวมถึงการจัดการหน่วยขององค์กร

หากต้องการเปิดใช้งานสแน็ปอินผู้ใช้ Active Directory และคอมพิวเตอร์ให้เลือกคำสั่งที่มีชื่อเดียวกันจากเมนูเครื่องมือการดูแลระบบ



ตามค่าเริ่มต้น คอนโซลผู้ใช้ Active Directory และคอมพิวเตอร์จะทำงานกับโดเมนที่คอมพิวเตอร์ของคุณเป็นเจ้าของ คุณสามารถเข้าถึงวัตถุคอมพิวเตอร์และผู้ใช้ในโดเมนนี้ผ่านทรีคอนโซลหรือเชื่อมต่อกับโดเมนอื่น เครื่องมือในคอนโซลเดียวกันช่วยให้คุณดูพารามิเตอร์ออบเจ็กต์เพิ่มเติมและค้นหาได้

เมื่อคุณเข้าถึงโดเมนแล้วคุณจะเห็น ชุดมาตรฐานโฟลเดอร์:

  • แบบสอบถามที่บันทึกไว้ (คำค้นหาที่บันทึกไว้) – เกณฑ์การค้นหาที่บันทึกไว้ซึ่งช่วยให้คุณสามารถทำซ้ำการค้นหาที่ดำเนินการก่อนหน้านี้ใน Active Directory ได้อย่างรวดเร็ว
  • บิวท์อิน – รายการบัญชีผู้ใช้ในตัว
  • คอมพิวเตอร์ – คอนเทนเนอร์เริ่มต้นสำหรับบัญชีคอมพิวเตอร์
  • ตัวควบคุมโดเมน – คอนเทนเนอร์เริ่มต้นสำหรับตัวควบคุมโดเมน
  • อาจารย์ใหญ่ฝ่ายความมั่นคงต่างประเทศ – มีข้อมูลเกี่ยวกับออบเจ็กต์จากโดเมนภายนอกที่เชื่อถือได้ โดยทั่วไป วัตถุเหล่านี้จะถูกสร้างขึ้นเมื่อมีการเพิ่มวัตถุจากโดเมนภายนอกไปยังกลุ่มโดเมนปัจจุบัน
  • ผู้ใช้ – คอนเทนเนอร์เริ่มต้นสำหรับผู้ใช้

โฟลเดอร์คอนโซลบางโฟลเดอร์จะไม่แสดงตามค่าเริ่มต้น หากต้องการแสดงบนหน้าจอ ให้เลือกคุณสมบัติขั้นสูงจากเมนูมุมมอง ( คุณสมบัติเพิ่มเติม- นี่คือโฟลเดอร์เพิ่มเติม:

  • LostAndFound – เจ้าของสูญหาย, วัตถุในแค็ตตาล็อก;
  • โควต้า NTDS – ข้อมูลเกี่ยวกับโควต้าบริการไดเรกทอรี
  • ข้อมูลโปรแกรม – ข้อมูลที่จัดเก็บไว้ในบริการไดเรกทอรีสำหรับแอปพลิเคชันของ Microsoft
  • ระบบ – พารามิเตอร์ระบบในตัว

คุณสามารถเพิ่มโฟลเดอร์สำหรับหน่วยองค์กรลงในแผนผัง AD ได้อย่างอิสระ


อู๋


ลองดูตัวอย่างการสร้างบัญชีผู้ใช้โดเมน หากต้องการสร้างบัญชีผู้ใช้ ให้คลิกขวาที่คอนเทนเนอร์ที่คุณต้องการวางบัญชีผู้ใช้ จากนั้นเลือกใน เมนูบริบทใหม่แล้วเป็นผู้ใช้ หน้าต่าง New Object – User Wizard จะเปิดขึ้น:

  1. ป้อนชื่อ ชื่อย่อ และนามสกุลของผู้ใช้ในช่องที่เหมาะสม คุณจะต้องใช้ข้อมูลนี้เพื่อสร้างชื่อที่แสดงของผู้ใช้ของคุณ
  2. แก้ไข ชื่อเต็ม- จะต้องไม่ซ้ำกันภายในโดเมนและมีความยาวไม่เกิน 64 อักขระ
  3. ป้อนชื่อเข้าสู่ระบบของคุณ ใช้รายการแบบเลื่อนลงเพื่อเลือกโดเมนที่บัญชีจะเชื่อมโยงด้วย
  4. หากจำเป็น ให้เปลี่ยนชื่อผู้ใช้เข้าสู่ระบบบนระบบที่ใช้ Windows NT 4.0 หรือใหม่กว่า รุ่นก่อนหน้า- ค่าเริ่มต้นเป็นชื่อเข้าสู่ระบบสำหรับระบบที่มีก่อนหน้า เวอร์ชันของ Windowsมีการใช้อักขระ 20 ตัวแรกของชื่อเต็มของผู้ใช้ ชื่อนี้จะต้องไม่ซ้ำกันภายในโดเมน
  5. คลิก ต่อไป. ระบุรหัสผ่านสำหรับผู้ใช้ การตั้งค่าควรตรงกับนโยบายรหัสผ่านของคุณ
    ยืนยันรหัสผ่าน – ฟิลด์ที่ใช้เพื่อยืนยันว่ารหัสผ่านที่ป้อนนั้นถูกต้อง
    ผู้ใช้จะต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป(ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป) – หากทำเครื่องหมายในช่องนี้ ผู้ใช้จะต้องเปลี่ยนรหัสผ่านในการเข้าสู่ระบบครั้งถัดไป
    ผู้ใช้ไม่สามารถเปลี่ยนรหัสผ่าน - หากทำเครื่องหมายในช่องนี้ ผู้ใช้จะไม่สามารถเปลี่ยนรหัสผ่านได้
    รหัสผ่านไม่มีวันหมดอายุ – หากเลือกช่องทำเครื่องหมายนี้ รหัสผ่านสำหรับบัญชีนี้จะไม่มีวันหมดอายุ (การตั้งค่านี้จะแทนที่ นโยบายโดเมนบัญชี);
    บัญชีถูกปิดใช้งาน - หากทำเครื่องหมายที่ช่องนี้ บัญชีจะถูกปิดใช้งาน (มีประโยชน์สำหรับการปิดการใช้งานบัญชีชั่วคราวของบุคคลอื่น)

บัญชีช่วยให้คุณสามารถจัดเก็บข้อมูลติดต่อของผู้ใช้ ตลอดจนข้อมูลเกี่ยวกับการเข้าร่วมในกลุ่มโดเมนต่างๆ เส้นทางโปรไฟล์ สคริปต์การเข้าสู่ระบบ เส้นทางโฟลเดอร์หลัก รายชื่อคอมพิวเตอร์ที่ผู้ใช้ได้รับอนุญาตให้เข้าสู่ระบบโดเมน ฯลฯ

สคริปต์การเข้าสู่ระบบจะกำหนดคำสั่งที่ดำเนินการทุกครั้งที่คุณล็อกออนเข้าสู่ระบบ พวกเขาอนุญาตให้คุณปรับแต่งได้ เวลาของระบบ, เครื่องพิมพ์เครือข่าย, เส้นทางสู่ ไดรฟ์เครือข่ายฯลฯ สคริปต์ใช้เพื่อรันคำสั่งเพียงครั้งเดียว และการตั้งค่าสภาพแวดล้อมที่กำหนดโดยสคริปต์จะไม่ถูกบันทึกเพื่อใช้ในภายหลัง สคริปต์การเข้าสู่ระบบอาจเป็นไฟล์เซิร์ฟเวอร์ สคริปต์ Windowsพร้อมนามสกุล .VBS, .JS และอื่นๆ ไฟล์แบตช์มีนามสกุล .BAT, ไฟล์คำสั่งที่มีนามสกุล .CMD, โปรแกรมที่มีนามสกุล .EXE

คุณสามารถกำหนดโฮมโฟลเดอร์ให้กับแต่ละบัญชีเพื่อจัดเก็บและกู้คืนไฟล์ผู้ใช้ได้ แอปพลิเคชันส่วนใหญ่จะเปิดโฟลเดอร์หลักตามค่าเริ่มต้นสำหรับการเปิดไฟล์และการบันทึก ทำให้ผู้ใช้สามารถค้นหาข้อมูลของตนได้ง่ายขึ้น บนบรรทัดคำสั่ง โฮมโฟลเดอร์คือโฟลเดอร์เริ่มต้น ไดเรกทอรีปัจจุบัน. โฮมโฟลเดอร์สามารถอยู่ในฮาร์ดไดรฟ์ภายในเครื่องของผู้ใช้หรือบนไดรฟ์เครือข่ายที่ใช้ร่วมกัน

นโยบายกลุ่มสามารถนำไปใช้กับคอมพิวเตอร์โดเมนและบัญชีผู้ใช้ นโยบายกลุ่มทำให้การดูแลระบบง่ายขึ้นโดยให้ผู้ดูแลระบบสามารถควบคุมสิทธิ์ สิทธิ์ และความสามารถของผู้ใช้และคอมพิวเตอร์ได้จากส่วนกลาง นโยบายกลุ่มช่วยให้คุณ:

  • สร้างโฟลเดอร์พิเศษที่มีการจัดการจากส่วนกลาง เช่น My Documents
  • จัดการการเข้าถึง ส่วนประกอบของวินโดวส์, ทรัพยากรระบบและเครือข่าย, เครื่องมือแผงควบคุม, เดสก์ท็อปและเมนู Start;
  • กำหนดค่าสคริปต์ผู้ใช้และคอมพิวเตอร์เพื่อทำงานให้เสร็จตามเวลาที่กำหนด
  • กำหนดค่านโยบายสำหรับรหัสผ่านและการล็อคบัญชี การตรวจสอบ การกำหนดสิทธิ์ผู้ใช้ และการรักษาความปลอดภัย

นอกเหนือจากงานจัดการบัญชีผู้ใช้และกลุ่มแล้ว ยังมีงานการจัดการโดเมนอื่นๆ อีกมากมาย เครื่องมือและแอปพลิเคชันอื่นๆ ตอบสนองวัตถุประสงค์นี้

อุปกรณ์ โดเมน Active Directory และความเชื่อถือ(Active Directory - โดเมนและความน่าเชื่อถือ) ใช้เพื่อทำงานกับโดเมน แผนผังโดเมน และฟอเรสต์โดเมน

อุปกรณ์ ไซต์และบริการ Active Directory(Active Directory - ไซต์และบริการ) ช่วยให้คุณสามารถจัดการไซต์และซับเน็ตตลอดจนการจำลองแบบระหว่างไซต์

ในการจัดการออบเจ็กต์ AD มีเครื่องมือบรรทัดคำสั่งที่ช่วยให้คุณทำงานด้านการดูแลระบบได้หลากหลาย:

  • ซ่าด – เพิ่มคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร และผู้ใช้ใน Active Directory เพื่อรับ ข้อมูลอ้างอิงพิมพ์ dsadd /? เช่น dsadd คอมพิวเตอร์/?
  • ดีสโมด – เปลี่ยนแปลงคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory หากต้องการข้อมูลวิธีใช้ ให้พิมพ์ dsmod /? เช่น เซิร์ฟเวอร์ dsmod /?
  • ดีสมูฟ – ย้ายวัตถุเดี่ยวไปยังตำแหน่งใหม่ภายในโดเมน หรือเปลี่ยนชื่อวัตถุโดยไม่ต้องย้าย
  • ดีสเกต – แสดงคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ ไซต์ ซับเน็ต และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory หากต้องการข้อมูลความช่วยเหลือ ให้พิมพ์ dsget /? ตัวอย่างเช่น dsget subnet /?
  • ดีเคอรี่ – ค้นหาคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ ไซต์ ซับเน็ต และเซิร์ฟเวอร์ใน Active Directory ตามเกณฑ์ที่กำหนด
  • ดีเอสอาร์เอ็ม – ลบวัตถุออกจาก Active Directory
  • Ntdsutil – ช่วยให้คุณสามารถดูข้อมูลเกี่ยวกับไซต์ โดเมน หรือเซิร์ฟเวอร์ จัดการหลักการดำเนินงาน และดูแลรักษาฐานข้อมูล Active Directory
นอกจากนี้ยังมีเครื่องมือสนับสนุน Active Directory:
  • แอลดีพี – ดำเนินการโดยใช้โปรโตคอล LDAP ใน Active Directory Administration
  • ตอบกลับ – จัดการการจำลองและแสดงผลลัพธ์ในส่วนต่อประสานกราฟิก
  • ดีซาคส์ – จัดการ ACL (รายการควบคุมการเข้าถึง) สำหรับวัตถุ Active Directory
  • ดีฟซูติล – จัดการระบบไฟล์แบบกระจาย (Distributed ระบบไฟล์, DFS) และแสดงข้อมูลเกี่ยวกับการดำเนินงาน
  • Dnscmd – จัดการคุณสมบัติของเซิร์ฟเวอร์ โซน และบันทึกทรัพยากร DNS
  • มูทรี – ย้ายวัตถุจากโดเมนหนึ่งไปยังอีกโดเมนหนึ่ง
  • รีแพดมิน – จัดการการจำลองและแสดงผลลัพธ์ในหน้าต่างบรรทัดคำสั่ง
  • เอสดีเบค – วิเคราะห์การกระจาย การจำลอง และการสืบทอดรายการควบคุมการเข้าถึง
  • ซิดวอล์คเกอร์ – ตั้งค่า ACL สำหรับออบเจ็กต์ที่ก่อนหน้านี้เป็นเจ้าของโดยบัญชีที่ถูกย้าย ลบ หรือถูกละเลย
  • เน็ตดอม – ช่วยให้คุณจัดการโดเมนและความสัมพันธ์ที่เชื่อถือได้จากบรรทัดคำสั่ง
ดังที่เห็นได้จากบทความนี้ การรวมกลุ่มคอมพิวเตอร์เข้ากับโดเมนโดยใช้ Active Directory สามารถลดต้นทุนของงานการดูแลระบบได้อย่างมาก โดยการรวมศูนย์การจัดการคอมพิวเตอร์ในโดเมนและบัญชีผู้ใช้ และยังช่วยให้คุณจัดการสิทธิ์ผู้ใช้ ความปลอดภัย และ โฮสต์ของพารามิเตอร์อื่นๆ คุณสามารถดูเนื้อหาโดยละเอียดเพิ่มเติมเกี่ยวกับการจัดระเบียบโดเมนได้ในเอกสารที่เกี่ยวข้อง

งานห้องปฏิบัติการ

วิทยาการคอมพิวเตอร์ ไซเบอร์เนติกส์ และการเขียนโปรแกรม

งานห้องปฏิบัติการหมายเลข 6 การสร้างโดเมน Windows Server 2003 วัตถุประสงค์: เรียนรู้ที่จะสร้าง โดเมนวินโดวส์เซิร์ฟเวอร์ 2003; เรียนรู้วิธีการติดตั้งบริการ ไดเรกทอรีที่ใช้งานอยู่ไดเรกทอรี; สำรวจโครงสร้างของบริการไดเรกทอรี Active Directory ภารกิจที่ 1. ติดตั้งบริการไดเร็กทอรีบนเซิร์ฟเวอร์...

งานห้องปฏิบัติการหมายเลข 6.

"การสร้างโดเมน Windows Server 2003"

เป้าหมายการทำงาน:

  1. เรียนรู้วิธีสร้างโดเมน Windows Server 2003
  2. เรียนรู้วิธีติดตั้งบริการไดเรกทอรี Active Directory
  3. สำรวจโครงสร้างของบริการไดเรกทอรี Active Directory

ภารกิจที่ 1 ติดตั้งบริการไดเรกทอรี Active Directory บนเซิร์ฟเวอร์ สร้างโดเมน mydomain รุ

ภารกิจที่ 2 ดูโดเมนที่สร้างขึ้นด้วยวิธีใดวิธีหนึ่งต่อไปนี้

ภารกิจที่ 3 ตรวจสอบการทำงานของบริการ DNS ด้วย การใช้อุปกรณ์ DNS.

งานที่ 4: ลบบริการ Active Directory


รวมไปถึงผลงานอื่นๆที่คุณอาจสนใจ
71939. การหลอกลวงและความสำคัญในประวัติศาสตร์รัสเซีย 365 กิโลไบต์
ขบวนการ Decembrist เป็นเหตุการณ์ที่ดึงดูดความสนใจของนักประวัติศาสตร์มาเป็นเวลานาน เนื่องจากเหตุการณ์เมื่อกว่า 170 ปีที่แล้วมีผลกระทบสำคัญต่อการพัฒนาของรัสเซียในเวลาต่อมา พวกหลอกลวงเป็นนักปฏิวัติชาวรัสเซียกลุ่มแรกที่จัดการลุกฮือต่อต้านซาร์อย่างเปิดเผย
71940. การดำเนินการทางกฎหมายและกฎหมายควบคุมอื่น ๆ ที่กำหนดขั้นตอนการสอบสวนและการบันทึกอุบัติเหตุในการผลิต 91 กิโลไบต์
รูปแบบของเอกสารที่จำเป็นสำหรับการสอบสวนและบันทึกอุบัติเหตุทางอุตสาหกรรมที่ได้รับอนุมัติจากกระทรวงแรงงานรัสเซียมีดังนี้: การแจ้งอุบัติเหตุกลุ่ม, อุบัติเหตุร้ายแรง, อุบัติเหตุร้ายแรง; รายงานอุบัติเหตุ...
71941. ฝุ่น. อุปกรณ์ป้องกันส่วนบุคคลจากฝุ่น 179.5 กิโลไบต์
เพื่อจุดประสงค์นี้ ฝุ่นจึงถูกจัดประเภทตามการกระจายตัวและวิธีการก่อตัว ธรรมชาติของผลกระทบของฝุ่นต่อร่างกายขึ้นอยู่กับคุณสมบัติทางเคมีฟิสิกส์ของอนุภาคฝุ่น ฝุ่นพิษของตะกั่ว ปรอท สารหนู ฯลฯ ที่ละลายในตัวกลางทางชีวภาพ ทำหน้าที่เสมือนนำเข้าสู่ร่างกาย...
71942. เงินบำนาญของผู้รอดชีวิต 24.33 KB
เงินบำนาญของผู้รอดชีวิตคือค่าเลี้ยงดูรายเดือนจากกองทุน การคุ้มครองทางสังคมประชากรหรือ งบประมาณของรัฐมอบหมายให้สมาชิกในครอบครัวผู้พิการของคนหาเลี้ยงครอบครัวที่เสียชีวิตซึ่งต้องพึ่งพาเขาในปริมาณที่เหมาะสมกับรายได้ของคนหาเลี้ยงครอบครัว
71943. อัลเบิร์ตมหาราช 41.55 KB
หลังจากการล่มสลายของจักรวรรดิโรมัน เกษตรกรรมในดินแดนทางตะวันตกซึ่งถูกครอบครองโดยคนป่าเถื่อนก็ตกต่ำลง ความรู้และเทคโนโลยีของจักรวรรดิสูญหายไปและพื้นที่เพาะปลูกก็ลดลงอย่างมาก
71944. อเล็กซานเดอร์ วาซิลิเยวิช โซเวตอฟ 149.42 KB
Alexander Vasilyevich Sovetov มุ่งหน้าไปยัง Volnoe สังคมเศรษฐกิจ(VEO) ซึ่งแผนกแรกได้รวมเอานักปฐพีวิทยา นักเศรษฐศาสตร์ และนักวิทยาศาสตร์ธรรมชาติ เช่น D.I. Mendeleev, K.A. Timiryazev และตั้งแต่ปี พ.ศ. 2418 - Dokuchaev
71945. นโยบายด้านประชากร 111.5 กิโลไบต์
ได้รับการออกแบบมาเพื่อมีอิทธิพลต่อการก่อตัวของระบอบการปกครองของการสืบพันธุ์ของประชากรที่เป็นที่พึงปรารถนาสำหรับสังคม การรักษาหรือการเปลี่ยนแปลงแนวโน้มในพลวัตของจำนวนและโครงสร้างของประชากร ก้าวของการเปลี่ยนแปลง พลวัตของการเจริญพันธุ์ การเสียชีวิต องค์ประกอบครอบครัว ,การตั้งถิ่นฐานใหม่ภายใน...
71947. แนวคิดของเครือข่าย BSC และหลักการพื้นฐาน 180.57 KB
ผู้ใช้สามารถเข้าถึงบริการที่พวกเขาไม่เคยคิดมาก่อนเมื่อประมาณ 10-15 ปีที่แล้ว อีเมล์, อินเตอร์เน็ต, โทรศัพท์มือถือกลายเป็นคุณลักษณะทั่วไป ชีวิตประจำวัน- ในช่วงเวลาสั้น ๆ เราเริ่มคุ้นเคยกับการปรากฏตัวของผลิตภัณฑ์ใหม่ทุกประเภทเกือบทุกวันจนเราเองเริ่มเรียกร้องความต้องการในการให้บริการและแอปพลิเคชันใหม่

Active Directory - บริการไดเรกทอรีของ Microsoft สำหรับระบบปฏิบัติการ ครอบครัววินโดวส์เอ็น.ที.

บริการนี้อนุญาตให้ผู้ดูแลระบบใช้นโยบายกลุ่มเพื่อให้แน่ใจว่าการตั้งค่าสำหรับสภาพแวดล้อมการทำงานของผู้ใช้ การติดตั้งซอฟต์แวร์ การอัพเดต ฯลฯ มีความสม่ำเสมอ

สาระสำคัญของ Active Directory คืออะไร และช่วยแก้ปัญหาอะไรได้บ้าง อ่านต่อ

หลักการจัดเครือข่ายเพียร์ทูเพียร์และเครือข่ายหลายเพียร์

แต่มีปัญหาอื่นเกิดขึ้น จะเกิดอะไรขึ้นถ้าผู้ใช้ 2 บน PC2 ตัดสินใจเปลี่ยนรหัสผ่าน จากนั้นหากผู้ใช้ 1 เปลี่ยนรหัสผ่านบัญชี ผู้ใช้ 2 บน PC1 จะไม่สามารถเข้าถึงทรัพยากรได้

อีกตัวอย่างหนึ่ง: เรามีเวิร์กสเตชัน 20 เครื่องพร้อมบัญชี 20 บัญชีซึ่งเราต้องการให้เข้าถึงบางบัญชีได้ สำหรับสิ่งนี้ เราจะต้องสร้างบัญชี 20 บัญชีใน ไฟล์เซิร์ฟเวอร์และให้การเข้าถึงทรัพยากรที่จำเป็น

จะเกิดอะไรขึ้นถ้าไม่ใช่ 20 แต่ 200?

ดังที่คุณเข้าใจ การบริหารเครือข่ายด้วยวิธีนี้กลายเป็นนรกอย่างแท้จริง

ดังนั้นแนวทางแบบเวิร์กกรุ๊ปจึงเหมาะสำหรับกลุ่มเล็กๆ เครือข่ายสำนักงานโดยมีจำนวนเครื่องคอมพิวเตอร์ไม่เกิน 10 เครื่อง

หากมีเวิร์กสเตชันมากกว่า 10 เครื่องในเครือข่าย แนวทางที่โหนดเครือข่ายหนึ่งได้รับมอบสิทธิ์ในการดำเนินการตรวจสอบสิทธิ์และการอนุญาตจะมีความสมเหตุสมผล

โหนดนี้เป็นตัวควบคุมโดเมน - Active Directory

ตัวควบคุมโดเมน

ตัวควบคุมจัดเก็บฐานข้อมูลบัญชีเช่น มันเก็บบัญชีสำหรับทั้ง PC1 และ PC2

ตอนนี้ก็แค่นั้น บัญชีได้รับการลงทะเบียนเพียงครั้งเดียวบนคอนโทรลเลอร์ และความต้องการบัญชีในเครื่องก็ไร้ความหมาย

ขณะนี้ เมื่อผู้ใช้เข้าสู่ระบบพีซี โดยป้อนชื่อผู้ใช้และรหัสผ่าน ข้อมูลนี้จะถูกส่งไปยังตัวควบคุมโดเมนในรูปแบบส่วนตัว ซึ่งดำเนินการตามขั้นตอนการรับรองความถูกต้องและการอนุญาต

หลังจากนั้นผู้ควบคุมจะออกผู้ใช้ที่เข้าสู่ระบบบางอย่างเช่นหนังสือเดินทางซึ่งต่อมาเขาทำงานบนเครือข่ายและนำเสนอตามคำขอของคอมพิวเตอร์เครือข่ายอื่น ๆ เซิร์ฟเวอร์ที่เขาต้องการเชื่อมต่อทรัพยากร

สำคัญ! ตัวควบคุมโดเมนคือคอมพิวเตอร์ที่มี บริการที่ใช้งานอยู่ไดเร็กทอรีซึ่งควบคุมการเข้าถึงทรัพยากรเครือข่ายของผู้ใช้ มันจัดเก็บทรัพยากร (เช่น เครื่องพิมพ์ โฟลเดอร์ที่ใช้ร่วมกัน) บริการ (เช่น อีเมล) ผู้คน (บัญชีผู้ใช้และกลุ่มผู้ใช้) คอมพิวเตอร์ (บัญชีคอมพิวเตอร์)

จำนวนทรัพยากรที่จัดเก็บไว้ดังกล่าวสามารถเข้าถึงอ็อบเจ็กต์นับล้านรายการ

สามารถทำหน้าที่เป็นตัวควบคุมโดเมนได้ รุ่นถัดไป MS Windows: Windows Server 2000/2003/2008/2012 ยกเว้น Web-Edition

ตัวควบคุมโดเมนนอกเหนือจากการเป็นศูนย์การตรวจสอบสิทธิ์สำหรับเครือข่ายแล้ว ยังเป็นศูนย์ควบคุมสำหรับคอมพิวเตอร์ทุกเครื่องอีกด้วย

ทันทีหลังจากเปิดเครื่อง คอมพิวเตอร์จะเริ่มติดต่อกับตัวควบคุมโดเมน ก่อนที่หน้าต่างการรับรองความถูกต้องจะปรากฏขึ้นเป็นเวลานาน

ดังนั้นไม่เพียงแต่ผู้ใช้ที่เข้าสู่ระบบและรหัสผ่านจะได้รับการตรวจสอบสิทธิ์เท่านั้น แต่ยังตรวจสอบคอมพิวเตอร์ไคลเอนต์ด้วย

การติดตั้ง Active Directory

ลองดูตัวอย่างการติดตั้ง Active Directory บน Windows Server 2008 R2 ดังนั้นหากต้องการติดตั้งบทบาท Active Directory ให้ไปที่ "ตัวจัดการเซิร์ฟเวอร์":

เพิ่มบทบาท “เพิ่มบทบาท”:

เลือกบทบาทบริการโดเมน Active Directory:

และมาเริ่มการติดตั้งกันดีกว่า:

หลังจากนั้นเราจะได้รับหน้าต่างแจ้งเตือนเกี่ยวกับบทบาทที่ติดตั้ง:

หลังจากติดตั้งบทบาทตัวควบคุมโดเมนแล้ว เรามาดำเนินการติดตั้งตัวควบคุมกันดีกว่า

คลิก "Start" ในช่องค้นหาโปรแกรม ป้อนชื่อของตัวช่วยสร้าง DCPromo เปิดใช้งานและทำเครื่องหมายในช่องสำหรับการตั้งค่าการติดตั้งขั้นสูง:

คลิก "ถัดไป" และเลือกเพื่อสร้างโดเมนและฟอเรสต์ใหม่จากตัวเลือกที่มีให้

ป้อนชื่อโดเมน เช่น example.net

เราเขียนชื่อโดเมน NetBIOS โดยไม่มีโซน:

เลือกระดับการทำงานของโดเมนของเรา:

เนื่องจากลักษณะเฉพาะของการทำงานของตัวควบคุมโดเมน เราจึงติดตั้งเซิร์ฟเวอร์ DNS ด้วย



บทความที่เกี่ยวข้อง