Paglikha ng mga user account sa Active Directory. Bakit kailangan ng isang organisasyon ang Active Directory?

Anotasyon: Inilalarawan ng panayam na ito ang mga pangunahing konsepto ng mga serbisyo ng direktoryo ng Active Directory. Ang mga praktikal na halimbawa ng pamamahala ng isang sistema ng seguridad ng network ay ibinigay. Ang mekanismo ng mga patakaran ng grupo ay inilarawan. Nagbibigay ng insight sa mga gawain ng administrator ng network kapag namamahala sa imprastraktura ng serbisyo ng direktoryo

Ang mga modernong network ay kadalasang binubuo ng maraming iba't ibang software platform at malawak na iba't ibang hardware at software. Ang mga gumagamit ay madalas na napipilitang tandaan ang isang malaking bilang ng mga password upang ma-access ang iba't ibang mga mapagkukunan ng network. Maaaring magkaiba ang mga karapatan sa pag-access para sa parehong empleyado depende sa kung anong mga mapagkukunan ang ginagamit niya. Ang lahat ng maraming relasyong ito ay nangangailangan ng malaking oras mula sa administrator at user para sa pagsusuri, pagsasaulo at pag-aaral.

Ang isang solusyon sa problema ng pamamahala ng tulad ng isang heterogenous na network ay natagpuan sa pagbuo ng isang serbisyo ng direktoryo. Nagbibigay ang mga serbisyo ng direktoryo ng kakayahang pamahalaan ang anumang mga mapagkukunan at serbisyo mula sa kahit saan, anuman ang laki ng network, ang mga operating system na ginamit, o ang pagiging kumplikado ng hardware. Ang impormasyon ng user ay ipinasok nang isang beses sa serbisyo ng direktoryo, at pagkatapos nito ay magiging available ito sa buong network. Mga email address, mga membership ng grupo, mga kinakailangang karapatan sa pag-access at mga account para sa pagtatrabaho sa iba't ibang mga operating system - lahat ng ito ay nilikha at awtomatikong napapanahon. Ang anumang mga pagbabagong ginawa sa serbisyo ng direktoryo ng isang administrator ay agad na ina-update sa buong network. Hindi na kailangang mag-alala ng mga administrator tungkol sa mga winakasan na empleyado - sa pamamagitan lamang ng pagtanggal ng account ng user mula sa serbisyo ng direktoryo, matitiyak nila na awtomatikong maaalis ang lahat ng karapatan sa pag-access sa mga mapagkukunan ng network na dating ibinigay sa empleyadong iyon.

Sa kasalukuyan, karamihan sa mga serbisyo ng direktoryo mula sa iba't ibang kumpanya ay nakabatay sa pamantayan X.500. Ang protocol na karaniwang ginagamit upang ma-access ang impormasyong nakaimbak sa mga serbisyo ng direktoryo ay (LDAP). Sa mabilis na pag-unlad ng mga TCP/IP network, ang LDAP ay nagiging pamantayan para sa mga serbisyo ng direktoryo at mga application na pinagana ng direktoryo.

Serbisyong direktoryo Ang Active Directory ay ang batayan ng lohikal na istraktura ng mga corporate network batay sa Windows system. Ang katagang " Catalog"sa pinakamalawak na kahulugan" Direktoryo", A serbisyo ng direktoryo Ang corporate network ay isang sentralisadong direktoryo ng kumpanya. Ang isang corporate directory ay maaaring maglaman ng impormasyon tungkol sa mga bagay na may iba't ibang uri. Serbisyong direktoryo Ang Active Directory ay pangunahing naglalaman ng mga bagay kung saan nakabatay ang sistema ng seguridad ng network ng Windows - mga account ng user, grupo at computer. Ang mga account ay nakaayos sa mga lohikal na istruktura: domain, puno, kagubatan, mga yunit ng organisasyon.

Mula sa punto ng view ng pag-aaral ng materyal ng kursong "Networking" pangangasiwa"Ang sumusunod na opsyon para sa pagpasa ng materyal sa pagsasanay ay lubos na posible: pag-aralan muna ang unang bahagi ng seksyong ito (mula sa mga pangunahing konsepto hanggang sa pag-install ng mga domain controller), pagkatapos ay pumunta sa "File and Print Service", at pagkatapos pag-aralan ang "File and Print Service" bumalik sa "Direktoryo ng Serbisyo ng Active Directory" upang matuto ng higit pang advanced na mga konsepto ng serbisyo ng direktoryo.

6.1 Mga pangunahing termino at konsepto (kagubatan, puno, domain, unit ng organisasyon). Pagpaplano ng AD namespace. Pag-install ng Mga Kontroler ng Domain

Mga Modelo sa Pamamahala ng Seguridad: Modelo ng Workgroup at Modelo ng Sentralisadong Domain

Tulad ng nabanggit sa itaas, ang pangunahing layunin ng mga serbisyo ng direktoryo ay upang pamahalaan ang seguridad ng network. Ang batayan ng seguridad sa network ay isang database ng mga account ng mga gumagamit, mga grupo ng gumagamit at mga computer, sa tulong kung saan ang pag-access sa mga mapagkukunan ng network ay kinokontrol. Bago natin pag-usapan ang tungkol sa serbisyo ng direktoryo ng Active Directory, paghambingin natin ang dalawang modelo para sa pagbuo ng database ng mga serbisyo ng direktoryo at pamamahala ng access sa mga mapagkukunan.

Modelo ng working group

Ang modelong ito ng corporate network security management ay ang pinaka-primitive. Ito ay inilaan para sa paggamit sa maliit mga network ng peer-to-peer(3–10 na mga computer) at batay sa katotohanan na ang bawat computer sa network na may mga operating system ng Windows NT/2000/XP/2003 ay may sariling database ng lokal na account at sa tulong ng lokal na database ng access sa mga mapagkukunan nito. kinokontrol ang computer. Ang lokal na database ng mga account ay tinatawag na database SAM (Security Account Manager) at naka-imbak sa pagpapatala ng operating system. Ang mga database ng mga indibidwal na computer ay ganap na nakahiwalay sa isa't isa at sa anumang paraan ay hindi konektado sa isa't isa.

Ang isang halimbawa ng access control kapag ginagamit ang modelong ito ay ipinapakita sa Fig. 6.1.

kanin. 6.1.

Ang halimbawang ito ay nagpapakita ng dalawang server (SRV-1 at SRV-2) at dalawang workstation (WS-1 at WS-2). Ang kanilang mga database ng SAM ay itinalagang SAM-1, SAM-2, SAM-3 at SAM-4, ayon sa pagkakabanggit (ang mga database ng SAM ay ipinapakita bilang isang hugis-itlog sa figure). Ang bawat database ay may mga user account na User1 at User2. Ang buong pangalan ng User1 sa SRV-1 server ay magiging "SRV-1\User1", at ang buong pangalan ng User1 sa WS-1 workstation ay magiging "WS-1\User1". Isipin natin na ang isang folder ng Folder ay nilikha sa SRV-1 server, kung saan ang User1 ay may access sa network - basahin (R), User2 - basahin at isulat (RW). Ang pangunahing punto sa modelong ito ay ang SRV-1 na computer ay "walang alam" tungkol sa mga account ng SRV-2, WS-1, WS-2 na mga computer, pati na rin ang lahat ng iba pang mga computer sa network. Kung ang isang user na may pangalang User1 ay lokal na nag-log in sa system sa isang computer, halimbawa, WS-2 (o, gaya ng sinasabi nila, "nag-log in gamit ang lokal na pangalan na User1 sa computer na WS-2"), kung gayon kapag sinusubukang mag-access mula sa computer na ito sa network Folder folder sa SRV-1 server, ipo-prompt ng server ang user na magpasok ng pangalan at password (ang exception ay kung ang mga user na may parehong mga pangalan ay may parehong mga password).

Ang modelo ng Workgroup ay mas madaling matutunan at hindi na kailangang matuto ng mga kumplikadong konsepto ng Active Directory. Ngunit kapag ginamit sa isang network na may malaking bilang ng mga computer at mapagkukunan ng network, nagiging napakahirap na pamahalaan ang mga username at ang kanilang mga password - kailangan mong manu-manong lumikha ng parehong mga account na may parehong mga password sa bawat computer (na nagbabahagi ng mga mapagkukunan nito sa network ), na napakahirap ng trabaho, o paglikha ng isang account para sa lahat ng mga gumagamit na may isang password para sa lahat (o walang password sa lahat), na lubos na binabawasan ang antas ng seguridad ng impormasyon. Samakatuwid, ang modelo ng Workgroup ay inirerekomenda lamang para sa mga network na may bilang ng mga computer mula 3 hanggang 10 (o mas mabuti pa, hindi hihigit sa 5), sa kondisyon na sa lahat ng mga computer ay walang isang nagpapatakbo ng Windows Server.

Modelo ng domain

Sa modelo ng domain, mayroong isang database ng mga serbisyo ng direktoryo na naa-access sa lahat ng mga computer sa network. Para sa layuning ito, ang mga dalubhasang server ay naka-install sa network, na tinatawag mga controller ng domain, na nag-iimbak ng database na ito sa kanilang mga hard drive. Sa Fig. 6.2. nagpapakita ng diagram ng modelo ng domain. Ang mga server na DC-1 at DC-2 ay mga controllers ng domain; iniimbak nila ang database ng domain account (nag-iimbak ang bawat controller ng sarili nitong kopya ng database, ngunit ang lahat ng mga pagbabagong ginawa sa database sa isa sa mga server ay ginagaya sa iba pang mga controller).

kanin. 6.2.

Sa ganoong modelo, kung, halimbawa, sa SRV-1 server, na isang miyembro ng isang domain, ibinibigay ang nakabahaging access sa folder ng Folder, kung gayon ang mga karapatan sa pag-access sa mapagkukunang ito ay maaaring italaga hindi lamang sa mga account ng lokal na database ng SAM ng server na ito, ngunit, ang pinakamahalaga, sa mga talaan ng account na nakaimbak sa isang database ng domain. Sa figure, ang mga karapatan sa pag-access sa folder ng Folder ay ibinibigay sa isang lokal na account sa SRV-1 computer at ilang mga domain account (user at user group). Sa modelo ng pamamahala ng seguridad ng domain, ang isang user ay nagrerehistro sa isang computer ("nag-log on") kasama ang kanyang domain account at, anuman ang computer kung saan isinagawa ang pagpaparehistro, nakakakuha ng access sa mga kinakailangang mapagkukunan ng network. At hindi na kailangang lumikha ng isang malaking bilang ng mga lokal na account sa bawat computer, ang lahat ng mga talaan ay nilikha isang beses sa database ng domain. At sa tulong ng isang database ng domain ito ay isinasagawa sentralisadong kontrol sa pag-access sa mga mapagkukunan ng network anuman ang bilang ng mga computer sa network.

Layunin ng serbisyo ng direktoryo ng Active Directory

Ang isang direktoryo (direktoryo) ay maaaring mag-imbak ng iba't ibang impormasyon na may kaugnayan sa mga user, grupo, computer, network printer, file share, at iba pa - tawagan natin ang lahat ng mga bagay na ito. Ang direktoryo ay nag-iimbak din ng impormasyon tungkol sa mismong bagay, o mga katangian nito, na tinatawag na mga katangian. Halimbawa, ang mga katangiang nakaimbak sa direktoryo tungkol sa isang user ay maaaring ang pangalan ng kanyang manager, numero ng telepono, address, pangalan sa pag-log in, password, mga pangkat na kinabibilangan niya, at marami pang iba. Upang maging kapaki-pakinabang ang isang tindahan ng direktoryo sa mga user, dapat mayroong mga serbisyong nakikipag-ugnayan sa direktoryo. Halimbawa, maaari kang gumamit ng isang direktoryo bilang isang imbakan ng impormasyon na maaaring magamit upang patotohanan ang isang gumagamit, o bilang isang lugar kung saan maaari kang magpadala ng isang query upang makahanap ng impormasyon tungkol sa isang bagay.

Ang Active Directory ay may pananagutan hindi lamang para sa paglikha at pag-aayos ng maliliit na bagay na ito, ngunit para din sa malalaking bagay tulad ng mga domain, OU (mga unit ng organisasyon) at mga site.

Basahin sa ibaba ang tungkol sa mga pangunahing terminong ginamit sa konteksto ng serbisyo ng direktoryo ng Active Directory.

Serbisyong direktoryo Tinitiyak ng Active Directory (pinaikling AD) ang mahusay na operasyon ng mga kumplikadong kapaligiran ng korporasyon sa pamamagitan ng pagbibigay ng mga sumusunod na kakayahan:

Single sign-on sa network; Maaaring mag-log on ang mga user sa network gamit ang isang username at password at makakuha ng access sa lahat ng mapagkukunan at serbisyo ng network (mga serbisyo sa imprastraktura ng network, mga serbisyo ng file at pag-print, mga server ng application at database, atbp.);
Seguridad ng impormasyon. Ang authentication at resource access controls na binuo sa Active Directory ay nagbibigay ng sentralisadong network security;
Sentralisadong pamamahala. Ang mga administrator ay maaaring sentral na pamahalaan ang lahat ng mga mapagkukunan ng kumpanya;
Pamamahala gamit ang mga patakaran ng grupo. Kapag nag-boot ang isang computer o nag-log in ang isang user sa system, natutugunan ang mga kinakailangan sa patakaran ng grupo; ang kanilang mga setting ay naka-imbak sa mga bagay sa patakaran ng grupo( GPO ) at nalalapat sa lahat ng user at computer account na matatagpuan sa mga site, domain, o unit ng organisasyon;
Pagsasama ng DNS. Ang mga serbisyo ng direktoryo ay ganap na nakasalalay sa serbisyo ng DNS upang gumana. Ang mga DNS server, sa turn, ay maaaring mag-imbak ng impormasyon ng zone sa database ng Active Directory;
Pagpapalawig ng direktoryo. Ang mga administrator ay maaaring magdagdag ng mga bagong object class sa catalog schema o magdagdag ng mga bagong attribute sa mga kasalukuyang klase;
Scalability. Ang serbisyo ng Active Directory ay maaaring sumasaklaw sa alinman sa isang domain o maramihang mga domain na pinagsama sa isang domain tree, at isang kagubatan ay maaaring itayo mula sa ilang mga domain tree;
Pagtitiklop ng impormasyon. Gumagamit ang Active Directory ng replikasyon ng impormasyon ng serbisyo sa isang multi-master schema ( multi-master), na nagbibigay-daan sa iyong baguhin ang database ng Active Directory sa anumang domain controller. Ang pagkakaroon ng ilang controllers sa isang domain ay nagbibigay ng fault tolerance at ang kakayahang ipamahagi ang network load;
Kakayahang umangkop sa query ng catalog. Maaaring gamitin ang database ng Active Directory upang mabilis na maghanap ng anumang bagay sa AD gamit ang mga katangian nito (halimbawa, pangalan o email address ng user, uri o lokasyon ng printer, atbp.);
Mga karaniwang interface ng programming. Para sa mga developer ng software, ang serbisyo ng direktoryo ay nagbibigay ng access sa lahat ng mga kakayahan sa direktoryo at sumusuporta sa mga pamantayan sa industriya at mga interface ng programming (API).

Ang isang malawak na hanay ng iba't ibang mga bagay ay maaaring malikha sa Active Directory. Ang isang bagay ay isang natatanging entity sa loob ng isang Direktoryo at karaniwang mayroong maraming mga katangian na makakatulong sa paglalarawan at pagkilala nito. Ang isang user account ay isang halimbawa ng isang bagay. Ang uri ng bagay na ito ay maaaring magkaroon ng maraming katangian tulad ng pangalan, apelyido, password, numero ng telepono, address at marami pang iba. Sa parehong paraan, ang isang nakabahaging printer ay maaari ding maging object sa Active Directory at ang mga katangian nito ay ang pangalan, lokasyon, atbp. Ang mga katangian ng bagay ay hindi lamang tumutulong sa iyo na tukuyin ang isang bagay, ngunit nagbibigay-daan din sa iyo na maghanap ng mga bagay sa loob ng Direktoryo.

Terminolohiya

Serbisyong direktoryo Ang mga sistema ng Windows Server ay binuo sa karaniwang tinatanggap na mga pamantayan ng teknolohiya. Ang orihinal na pamantayan para sa mga serbisyo ng direktoryo ay X.500, na nilayon para sa pagbuo ng hierarchical tree-like scalable na mga direktoryo na may kakayahang palawakin ang parehong object class at set ng mga attribute (properties) ng bawat indibidwal na klase. Gayunpaman, ang praktikal na pagpapatupad ng pamantayang ito ay napatunayang hindi epektibo sa mga tuntunin ng pagganap. Pagkatapos, batay sa pamantayang X.500, binuo ang isang pinasimple (magaan) na bersyon ng pamantayan sa pagbuo ng direktoryo, na tinatawag na LDAP (Magaan na Directory Access Protocol). Pinapanatili ng LDAP protocol ang lahat ng pangunahing katangian ng X.500 (hierarchical directory building system, scalability, extensibility), ngunit sa parehong oras ay nagbibigay-daan para sa lubos na epektibong pagpapatupad ng pamantayang ito sa pagsasanay. Ang katagang " magaan ang timbang " (" magaan ang timbang") sa pangalang LDAP ay sumasalamin sa pangunahing layunin ng pag-unlad ng protocol: upang lumikha ng isang toolkit para sa pagbuo ng isang serbisyo ng direktoryo na may sapat na kakayahang magamit upang malutas ang mga pangunahing problema, ngunit hindi napuno ng mga kumplikadong teknolohiya na ginagawang hindi epektibo ang pagpapatupad ng mga serbisyo ng direktoryo. Sa kasalukuyan, ang LDAP ay ang karaniwang paraan para sa pag-access ng impormasyon sa mga online na direktoryo at gumaganap ng isang pangunahing papel sa maraming mga produkto tulad ng mga sistema ng pagpapatunay, mga email program at e-commerce na application. Mayroong higit sa 60 komersyal na LDAP server sa merkado ngayon, na may humigit-kumulang 90% sa mga ito ay mga stand-alone na LDAP directory server, at ang iba ay inaalok bilang mga bahagi ng iba pang mga application.

Ang LDAP protocol ay malinaw na tumutukoy sa hanay ng mga pagpapatakbo ng direktoryo na maaaring gawin ng isang client application. Ang mga operasyong ito ay nahahati sa limang pangkat:

pagtatatag ng isang koneksyon sa katalogo;
paghahanap ng impormasyon sa loob nito;
pagbabago ng mga nilalaman nito;
pagdaragdag ng isang bagay;
pagtanggal ng isang bagay.

Maliban sa LDAP protocol serbisyo ng direktoryo Gumagamit din ang Active Directory ng authentication protocol Kerberos at serbisyo ng DNS para sa paghahanap sa network para sa mga bahagi ng mga serbisyo ng direktoryo (mga controller ng domain, pandaigdigang mga server ng katalogo, serbisyo ng Kerberos, atbp.).

Domain

Ang pangunahing yunit ng seguridad ng Active Directory ay domain. Ang domain ay bumubuo sa lugar ng responsibilidad sa pangangasiwa. Ang database ng domain ay naglalaman ng mga account mga gumagamit, mga pangkat At mga kompyuter. Karamihan sa mga function sa pamamahala ng serbisyo ng direktoryo ay gumagana sa antas ng domain (pagpapatotoo ng user, kontrol sa pag-access sa mapagkukunan, pamamahala ng serbisyo, pamamahala ng pagtitiklop, mga patakaran sa seguridad).

Ang mga domain name ng Active Directory ay nabuo sa parehong paraan tulad ng mga pangalan sa DNS namespace. At hindi ito nagkataon. Ang serbisyo ng DNS ay isang paraan ng paghahanap ng mga bahagi ng domain - pangunahin ang mga controller ng domain.

Mga controller ng domain- mga espesyal na server na nag-iimbak ng bahagi ng database ng Active Directory na naaayon sa isang ibinigay na domain. Ang mga pangunahing pag-andar ng mga controllers ng domain:

Imbakan ng database ng Active Directory(organisasyon ng pag-access sa impormasyong nakapaloob sa katalogo, kabilang ang pamamahala ng impormasyong ito at ang pagbabago nito);
pag-synchronize ng mga pagbabago sa AD(Ang mga pagbabago sa database ng AD ay maaaring gawin sa alinman sa mga controllers ng domain, anumang mga pagbabago na ginawa sa isa sa mga controllers ay i-synchronize sa mga kopya na nakaimbak sa iba pang mga controllers);
pagpapatunay ng gumagamit(sinusuri ng alinman sa mga controllers ng domain ang awtoridad ng mga user na nagrerehistro sa mga client system).

Lubos na inirerekumenda na mag-install ng hindi bababa sa dalawang mga controller ng domain sa bawat domain - una, upang maprotektahan laban sa pagkawala ng database ng Active Directory sa kaganapan ng pagkabigo ng anumang controller, at pangalawa, upang ipamahagi ang load sa pagitan ng controllers.it.company.ru mayroong isang subdomain na dev.it.company.ru, na nilikha para sa departamento ng pagpapaunlad ng software ng serbisyong IT.

upang desentralisado ang pangangasiwa ng mga serbisyo sa direktoryo (halimbawa, sa kaso kapag ang isang kumpanya ay may mga sangay na heograpikal na malayo sa isa't isa, at ang sentralisadong pamamahala ay mahirap para sa mga teknikal na kadahilanan);
upang mapataas ang pagiging produktibo (para sa mga kumpanyang may malaking bilang ng mga user at server, ang isyu ng pagtaas ng pagganap ng mga controllers ng domain ay may kaugnayan);
para sa mas mahusay na pamamahala ng pagtitiklop (kung ang mga controllers ng domain ay malayo sa isa't isa, ang pagtitiklop sa isa ay maaaring tumagal ng mas maraming oras at lumikha ng mga problema gamit ang hindi naka-synchronize na data);

domain ng ugat ng kagubatan

Mga unit ng organisasyon (OU).

Mga dibisyon ng organisasyon (Mga Yunit ng Organisasyon, OU) - mga lalagyan sa loob ng AD na nilikha upang pagsamahin ang mga bagay para sa mga layunin delegasyon ng mga karapatang pang-administratibo At paglalapat ng mga patakaran ng grupo sa domain. May OP sa loob lamang ng mga domain at maaaring pagsamahin mga bagay lamang mula sa iyong domain. Maaaring ma-nest ang mga OP sa isa't isa, na nagbibigay-daan sa iyong bumuo ng isang kumplikadong tulad ng punong hierarchy ng mga container sa loob ng isang domain at magpatupad ng mas nababaluktot na administratibong kontrol. Bilang karagdagan, ang mga OP ay maaaring gawin upang ipakita ang administratibong hierarchy at istraktura ng organisasyon ng kumpanya.

Global catalog

Global catalog ay isang listahan lahat ng bagay, na umiiral sa kagubatan ng Active Directory. Bilang default, ang mga controller ng domain ay naglalaman lamang ng impormasyon tungkol sa mga bagay sa kanilang domain. Global Catalog Server ay isang domain controller na naglalaman ng impormasyon tungkol sa bawat bagay (bagaman hindi lahat ng mga katangian ng mga bagay na iyon) na matatagpuan sa isang partikular na kagubatan.

Ang Patakaran ng Grupo ay isang hierarchical na imprastraktura na nagpapahintulot sa administrator ng network na namamahala sa Microsoft Active Directory na magpatupad ng mga partikular na configuration para sa mga user at computer. Magagamit din ang Group Policy para tukuyin ang mga patakaran ng user, seguridad, at network sa antas ng machine.

Kahulugan

Tinutulungan ng mga pangkat ng Active Directory ang mga administrator na tukuyin ang mga setting para sa kung ano ang magagawa ng mga user sa network, kabilang ang mga file, folder, at application na maaari nilang ma-access. Ang mga koleksyon ng mga setting ng user at computer ay tinatawag na Group Policy Objects, na pinangangasiwaan mula sa isang gitnang interface na tinatawag na management console. Ang Patakaran ng Grupo ay maaari ding pamahalaan gamit ang mga tool sa command line tulad ng gpresult at gpupdate.

Ang Active Directory ay bago sa Windows 2000 Server at pinahusay sa 2003 na bersyon, na ginagawa itong mas mahalagang bahagi ng OS. Nagbibigay ang Windows Server 2003 AD ng isang solong sanggunian, na tinatawag na serbisyo ng direktoryo, para sa lahat ng mga bagay sa network, kabilang ang mga user, grupo, computer, printer, patakaran, at pahintulot.

Para sa isang user o administrator, ang Active Directory setup ay nagbibigay ng isang hierarchical view kung saan mamamahala sa lahat ng mapagkukunan ng network.

Bakit ipatupad ang Active Directory

Maraming dahilan para ipatupad ang sistemang ito. Una sa lahat, ang Microsoft Active Directory ay karaniwang itinuturing na isang makabuluhang pagpapabuti sa Windows NT Server 4.0 na mga domain o kahit na stand-alone na mga network ng server. Ang AD ay may sentralisadong mekanismo ng pangangasiwa sa buong network. Nagbibigay din ito ng redundancy at fault tolerance kapag ang dalawa o higit pang domain controller ay na-deploy sa isang domain.

Awtomatikong pinamamahalaan ng serbisyo ang mga komunikasyon sa pagitan ng mga controller ng domain upang matiyak na mananatiling mabubuhay ang network. Nagkakaroon ng access ang mga user sa lahat ng mapagkukunan sa network kung saan sila pinahintulutan gamit ang single sign-on. Ang lahat ng mga mapagkukunan sa network ay protektado ng isang matatag na mekanismo ng seguridad na nagpapatunay sa pagkakakilanlan ng gumagamit at awtoridad sa mapagkukunan para sa bawat pag-access.

Kahit na may advanced na seguridad at kontrol ng Active Directory, karamihan sa mga feature nito ay hindi nakikita ng mga end user. Kaugnay nito, ang paglilipat ng mga user sa isang AD network ay nangangailangan ng kaunting retraining. Nag-aalok ang serbisyo ng mga tool upang mabilis na i-promote at i-demote ang mga controller ng domain at mga server ng miyembro. Maaaring pamahalaan at protektahan ang system gamit ang mga patakaran ng pangkat ng Active Directory. Ito ay isang flexible hierarchical na modelo ng organisasyon na nagbibigay-daan para sa madaling pamamahala at granularity ng partikular na delegasyon ng mga responsibilidad na administratibo. Ang AD ay may kakayahang pamahalaan ang milyun-milyong bagay sa loob ng isang domain.

Mga pangunahing seksyon

Ang Active Directory Group Policy Books ay nakaayos gamit ang apat na uri ng mga partition, o mga istruktura ng container. Ang apat na dibisyong ito ay mga kagubatan, mga domain, mga yunit ng organisasyon, at mga site:

Ang kagubatan ay isang koleksyon ng bawat bagay, mga katangian at syntax nito.

Ang domain ay isang set ng mga computer na nagbabahagi ng isang karaniwang hanay ng mga patakaran, ang pangalan at database ng kanilang mga miyembro.

Ang mga unit ng organisasyon ay mga lalagyan kung saan maaaring pagsama-samahin ang mga domain. Gumagawa sila ng hierarchy para sa isang domain at gumagawa ng istraktura ng kumpanya sa isang heograpiko o pang-organisasyon na setting.

Ang mga site ay mga pisikal na pagpapangkat na independiyente sa lugar at istruktura ng mga unit ng organisasyon. Ang mga site ay nag-iiba sa pagitan ng mga lokasyon na konektado sa pamamagitan ng mababa at mataas na bilis na mga koneksyon at tinukoy ng isa o higit pang mga IP subnet.

Ang mga kagubatan ay hindi limitado ng heograpiya o topolohiya ng network. Ang isang kagubatan ay maaaring maglaman ng maraming domain, bawat isa ay may karaniwang schema. Ang mga miyembro ng domain ng parehong kagubatan ay hindi nangangailangan ng nakalaang LAN o WAN na koneksyon. Ang isang network ay maaari ding maging tahanan ng ilang independiyenteng kagubatan. Sa pangkalahatan, isang kagubatan ang dapat gamitin para sa bawat legal na entity. Gayunpaman, ang karagdagang scaffolding ay maaaring kanais-nais para sa mga layunin ng pagsubok at pananaliksik sa labas ng kagubatan ng produksyon.

Mga domain

Ang mga domain ng Active Directory ay nagsisilbing mga lalagyan para sa mga patakaran sa seguridad at mga administratibong pagtatalaga. Bilang default, ang lahat ng mga bagay sa mga ito ay napapailalim sa mga patakaran ng grupo. Gayundin, maaaring pamahalaan ng sinumang administrator ang lahat ng mga bagay sa loob ng isang domain. Bilang karagdagan, ang bawat domain ay may sariling natatanging database. Kaya, ang pagpapatunay ay batay sa domain. Kapag na-authenticate ang isang user account, magkakaroon ng access ang account na iyon sa mga mapagkukunan.

Ang pag-configure ng Mga Patakaran ng Grupo sa Active Directory ay nangangailangan ng isa o higit pang mga domain. Gaya ng nabanggit kanina, ang AD domain ay isang koleksyon ng mga computer na nagbabahagi ng isang karaniwang hanay ng mga patakaran, pangalan, at database ng kanilang mga miyembro. Ang isang domain ay dapat magkaroon ng isa o higit pang mga server na nagsisilbing mga domain controller (DC) at nag-iimbak ng database, nagpapanatili ng mga patakaran, at nagbibigay ng pagpapatunay sa pag-login.

Mga controller ng domain

Sa Windows NT, ang base domain controller (PDC) at ang backup domain controller (BDC) ay mga tungkulin na maaaring italaga sa isang server sa isang network ng mga computer na nagpapatakbo ng Windows operating system. Ginamit ng Windows ang ideya ng isang domain upang kontrolin ang pag-access sa isang hanay ng mga mapagkukunan ng network (mga application, printer, atbp.) para sa isang pangkat ng mga user. Kailangan lang ng isang user na mag-log in sa isang domain upang ma-access ang mga mapagkukunan na maaaring matatagpuan sa iba't ibang mga server sa network.

Isang server, na kilala bilang PDC, ang namamahala sa pangunahing database ng user para sa domain. Ang isa o higit pang mga server ay tinukoy bilang mga backup na controller ng domain. Ang pangunahing controller ay pana-panahong nagpapadala ng mga kopya ng database sa mga backup na controller ng domain. Maaaring pumasok ang backup na domain controller bilang pangunahing domain controller kung sakaling mabigo ang PDC server, at maaari ring makatulong na balansehin ang workload kung ang network ay abala nang husto.

Delegasyon at pagsasaayos ng Active Directory

Sa Windows 2000 Server, habang ang mga controllers ng domain ay pinanatili, ang mga tungkulin ng PDC at BDC server ay higit na pinalitan ng Active Directory. Hindi na kailangang lumikha ng hiwalay na mga domain upang paghiwalayin ang mga pribilehiyong pang-administratibo. Sa loob ng AD, maaari kang magtalaga ng mga pribilehiyong pang-administratibo batay sa mga unit ng organisasyon. Ang mga domain ay hindi na limitado sa 40,000 user. Maaaring pamahalaan ng mga AD domain ang milyun-milyong bagay. Dahil wala nang mga PDC at BDC, ang setting ng Active Directory Group Policy ay nagpapatupad ng multi-master replication at lahat ng domain controller ay mga peer.

Istruktura ng organisasyon

Ang mga unit ng organisasyon ay mas nababaluktot at mas madaling pamahalaan kaysa sa mga domain. Ang mga unit ng organisasyon ay nagbibigay sa iyo ng halos walang limitasyong flexibility dahil maaari mong ilipat ang mga ito, tanggalin ang mga ito, at gumawa ng mga bagong unit kung kinakailangan. Gayunpaman, ang mga domain ay mas mahigpit sa kanilang mga setting ng istraktura. Ang mga domain ay maaaring tanggalin at muling likhain, ngunit ang prosesong ito ay hindi nagpapatatag sa kapaligiran at dapat na iwasan hangga't maaari.

Ang mga site ay mga koleksyon ng mga IP subnet na may mabilis at maaasahang koneksyon sa pagitan ng lahat ng host. Ang isa pang paraan upang lumikha ng isang site ay ang kumonekta sa isang lokal na network, ngunit hindi isang koneksyon sa WAN, dahil ang mga koneksyon sa WAN ay mas mabagal at hindi gaanong maaasahan kaysa sa mga koneksyon sa LAN. Sa pamamagitan ng paggamit ng mga site, maaari mong kontrolin at bawasan ang dami ng trapiko na dumadaan sa iyong mabagal na mga link sa WAN. Maaari itong magresulta sa mas mahusay na daloy ng trapiko para sa mga gawain sa pagiging produktibo. Maaari din nitong bawasan ang mga gastos sa komunikasyon ng WAN para sa mga serbisyong pay-per-bit.

Infrastructure Wizard at Global Catalog

Kabilang sa iba pang mahahalagang bahagi ng Windows Server, ang Active Directory ay kinabibilangan ng Infrastructure Wizard (IM), na isang buong tampok na serbisyo ng FSMO (Flexible Single Operations Wizard) na responsable para sa isang automated na proseso na gumagawa ng mga stale reference, na kilala bilang phantoms, sa Active Directory database.

Ang mga phantom ay nilikha sa mga DC na nangangailangan ng isang cross-reference sa pagitan ng isang bagay sa loob ng sarili nitong database at isang bagay mula sa isa pang domain sa kagubatan. Nangyayari ito, halimbawa, kapag nagdagdag ka ng user mula sa isang domain sa isang grupo sa isa pang domain sa parehong kagubatan. Itinuturing na lipas na ang mga phantom kapag hindi na naglalaman ang mga ito ng na-update na data, na dahil sa mga pagbabagong ginawa sa dayuhang bagay na kinakatawan ng phantom. Halimbawa, kapag ang target ay pinalitan ng pangalan, inilipat, inilipat sa pagitan ng mga domain, o tinanggal. Ang Infrastructure Master ay tanging responsable para sa paghahanap at pag-aayos ng mga hindi napapanahong multo. Anumang mga pagbabagong ginawa bilang isang resulta ng proseso ng "pag-aayos" ay dapat na kopyahin sa iba pang mga controller ng domain.

Ang Infrastructure Master ay minsan nalilito sa Global Catalog (GC), na nagpapanatili ng isang bahagyang, read-only na kopya ng bawat domain sa kagubatan at, bukod sa iba pang mga bagay, ay ginagamit para sa unibersal na imbakan ng grupo at pagproseso ng logon. Dahil ang mga GC ay nag-iimbak ng isang bahagyang kopya ng lahat ng mga bagay, maaari silang lumikha ng mga cross-domain na link nang hindi nangangailangan ng mga phantom.

Active Directory at LDAP

Kasama sa Microsoft ang LDAP (Lightweight Directory Access Protocol) bilang bahagi ng Active Directory. Ang LDAP ay isang software protocol na nagbibigay-daan sa sinumang user na maghanap ng mga organisasyon, indibidwal, at iba pang mapagkukunan, gaya ng mga file at device, sa isang network, sa pampublikong Internet man o isang corporate intranet.

Sa mga TCP/IP network (kabilang ang Internet), ang Domain Name System (DNS) ay isang sistema ng direktoryo na ginagamit upang iugnay ang isang domain name sa isang partikular na address ng network (isang natatanging lokasyon sa network). Gayunpaman, maaaring hindi mo alam ang domain name. Binibigyang-daan ka ng LDAP na maghanap ng mga tao nang hindi alam kung nasaan sila (bagama't makakatulong ang karagdagang impormasyon sa paghahanap).

Ang direktoryo ng LDAP ay nakaayos sa isang simpleng hierarchical hierarchy na binubuo ng mga sumusunod na antas:

Ang root directory (ang orihinal na lokasyon o pinagmulan ng puno).

Mga organisasyon.
Mga yunit ng organisasyon (mga departamento).
Mga indibidwal (kabilang ang mga tao, file, at nakabahaging mapagkukunan tulad ng mga printer).

Ang isang direktoryo ng LDAP ay maaaring ipamahagi sa maraming mga server. Ang bawat server ay maaaring magkaroon ng replicated na bersyon ng shared directory na pana-panahong naka-synchronize.

Mahalagang maunawaan ng bawat administrator kung ano ang LDAP. Dahil ang paghahanap ng impormasyon sa Active Directory at ang kakayahang lumikha ng mga query sa LDAP ay lalong kapaki-pakinabang kapag naghahanap ng impormasyong nakaimbak sa AD database. Para sa kadahilanang ito, maraming mga administrator ang nagbibigay ng malaking diin sa pag-master ng filter sa paghahanap ng LDAP.

Pamamahala sa Patakaran ng Grupo at Aktibong Direktoryo

Mahirap pag-usapan ang AD nang hindi binabanggit ang Group Policy. Maaaring gamitin ng mga administrator ang Mga Patakaran ng Grupo sa Microsoft Active Directory upang tukuyin ang mga setting para sa mga user at computer sa isang network. Ang mga setting na ito ay na-configure at nakaimbak sa tinatawag na Group Policy Objects (GPOs), na pagkatapos ay naka-link sa Active Directory object, kabilang ang mga domain at site. Ito ang pangunahing mekanismo para sa paglalapat ng mga pagbabago sa mga computer ng mga user sa isang kapaligiran ng Windows.

Salamat sa pamamahala ng Patakaran ng Grupo, maaaring i-configure ng mga administrator ang mga setting ng desktop sa buong mundo sa mga computer ng user at paghigpitan/payagan ang pag-access sa ilang partikular na file at folder sa network.

Paglalapat ng mga patakaran ng grupo

Mahalagang maunawaan kung paano ginagamit at ipinapatupad ang Mga Bagay sa Patakaran ng Grupo. Ang naaangkop na pagkakasunud-sunod para sa kanila ay ilapat muna ang mga patakaran sa lokal na makina, pagkatapos ay mga patakaran sa site, pagkatapos ay mga patakaran sa domain, at pagkatapos ay mga patakarang inilapat sa mga indibidwal na unit ng organisasyon. Ang isang user o bagay sa computer ay maaari lamang mapabilang sa isang site at isang domain anumang oras, kaya makakatanggap lang sila ng mga GPO na nauugnay sa site o domain na iyon.

Istraktura ng bagay

Ang mga GPO ay nahahati sa dalawang magkakaibang bahagi: ang Group Policy Template (GPT) at ang Group Policy Container (GPC). Ang template ng Patakaran ng Grupo ay responsable para sa pagpapanatili ng ilang partikular na setting na ginawa sa isang GPO at mahalaga sa tagumpay nito. Iniimbak nito ang mga setting na ito sa isang malaking folder at istraktura ng file. Para matagumpay na mailapat ang mga setting sa lahat ng user at computer object, dapat na kopyahin ang GPT sa lahat ng controller sa domain.

Ang lalagyan ng Patakaran ng Grupo ay isang bahagi ng object ng Patakaran ng Grupo na naka-imbak sa Active Directory na nasa bawat controller ng domain sa isang domain. Ang GPC ay responsable para sa pagpapanatili ng mga sanggunian ng extension ng kliyente (CSE), landas ng GPT, mga landas ng pakete ng pag-install ng software, at iba pang aspetong naka-reference sa GPO. Ang GPC ay hindi naglalaman ng maraming impormasyon na partikular sa kaukulang GPO, ngunit ito ay kinakailangan para sa GPO functionality. Kapag na-configure ang mga patakaran sa pag-install ng software, tumutulong ang GPC na mapanatili ang mga link na nauugnay sa isang GPO at nag-iimbak ng iba pang mga relational na link at mga path na nakaimbak sa mga katangian ng object. Ang pag-alam sa istraktura ng GPC at kung paano i-access ang nakatagong impormasyon na nakaimbak sa mga katangian ay magbabayad kapag kailangan mong tumukoy ng problema sa Patakaran ng Grupo.

Sa Windows Server 2003, naglabas ang Microsoft ng solusyon sa Pamamahala ng Patakaran ng Grupo bilang tool sa pagsasama-sama ng data sa anyo ng snap-in na kilala bilang Group Policy Management Console (GPMC). Nagbibigay ang GPMC ng interface ng pamamahala na nakasentro sa GPO na lubos na nagpapasimple sa pangangasiwa, pamamahala, at lokasyon ng mga GPO. Sa pamamagitan ng GPMC, maaari kang lumikha ng mga bagong GPO, baguhin at i-edit ang mga GPO, i-cut/kopya/i-paste ang mga GPO, i-back up ang mga GPO, at isakatuparan ang resultang hanay ng mga patakaran.

Pag-optimize

Habang dumarami ang bilang ng mga GPO na pinamamahalaan, naaapektuhan ng performance ang mga makina sa network. Tip: Kung bumababa ang pagganap, limitahan ang mga setting ng network ng site. Ang oras ng pagproseso ay tumataas sa direktang proporsyon sa bilang ng mga indibidwal na setting. Ang mga medyo simpleng pagsasaayos, tulad ng mga setting ng desktop o mga patakaran ng Internet Explorer, ay maaaring hindi tumagal ng maraming oras, habang ang pag-redirect ng folder ng software ay maaaring seryosong magpahirap sa network, lalo na sa mga peak period.

Paghiwalayin ang mga GPO ng user at pagkatapos ay huwag paganahin ang hindi nagamit na bahagi. Ang isang pinakamahusay na kasanayan upang parehong mapabuti ang pagiging produktibo at mabawasan ang pagkalito sa pamamahala ay ang gumawa ng hiwalay na mga bagay para sa mga setting na nalalapat sa mga computer at hiwalay na mga bagay para sa mga user.

Sa aming mga nakaraang materyales, tinalakay namin ang mga pangkalahatang isyu tungkol sa mga serbisyo ng direktoryo at Active Directory. Ngayon ay oras na upang magpatuloy sa pagsasanay. Ngunit huwag magmadali sa server bago mag-deploy ng istraktura ng domain sa iyong network, kailangan mong planuhin ito at magkaroon ng malinaw na pag-unawa sa layunin ng mga indibidwal na server at ang mga proseso ng pakikipag-ugnayan sa pagitan nila.

Bago gawin ang iyong unang domain controller, kailangan mong magpasya sa operating mode nito. Tinutukoy ng operating mode ang mga available na kakayahan at depende sa bersyon ng operating system na ginamit. Hindi namin isasaalang-alang ang lahat ng posibleng mga mode, maliban sa mga nauugnay sa ngayon. Mayroong tatlong ganoong mga mode: Windows Server 2003, 2008 at 2008 R2.

Ang Windows Server 2003 mode ay dapat lamang piliin kapag ang mga server na nagpapatakbo ng OS na ito ay na-deploy na sa iyong imprastraktura at plano mong gamitin ang isa o higit pa sa mga server na ito bilang mga controller ng domain. Sa ibang mga kaso, kailangan mong piliin ang Windows Server 2008 o 2008 R2 mode depende sa mga biniling lisensya. Dapat alalahanin na ang operating mode ng isang domain ay maaaring palaging tumaas, ngunit hindi posible na babaan ito (maliban kung sa pamamagitan ng pagpapanumbalik mula sa isang backup), kaya't maingat na lapitan ang isyung ito, na isinasaalang-alang ang mga posibleng extension, mga lisensya sa mga sangay, atbp. atbp.

Ngayon ay hindi namin isasaalang-alang nang detalyado ang proseso ng paglikha ng isang domain controller babalik kami sa isyung ito sa ibang pagkakataon, ngunit ngayon ay nais naming iguhit ang iyong pansin sa katotohanan na sa isang ganap na istraktura ng Active Directory ng mga controllers ng domain ay dapat mayroong kahit dalawa lang. Kung hindi, inilalantad mo ang iyong sarili sa hindi kinakailangang panganib dahil kung nabigo ang iyong nag-iisang domain controller, ang iyong istraktura ng AD ay magiging ganap na nawasak. Mabuti kung mayroon kang up-to-date na backup at maaari kang makabawi mula dito, sa anumang kaso, ang iyong network ay ganap na paralisado sa lahat ng oras na ito.

Samakatuwid, kaagad pagkatapos gumawa ng unang domain controller, kailangan mong mag-deploy ng pangalawa, anuman ang laki at badyet ng network. Ang pangalawang controller ay dapat na ibigay sa yugto ng pagpaplano, at kung wala ito, ang pag-deploy ng AD ay hindi dapat gawin. Gayundin, hindi mo dapat pagsamahin ang papel ng isang domain controller sa anumang iba pang mga tungkulin ng server upang matiyak ang pagiging maaasahan ng mga operasyon sa database ng AD sa disk, ang write caching ay hindi pinagana, na humahantong sa isang matinding pagbaba sa pagganap ng disk subsystem (ipinapaliwanag din nito ang mahabang oras ng paglo-load ng mga controllers ng domain).

Bilang resulta, ang aming network ay dapat kumuha ng sumusunod na anyo:

Taliwas sa tanyag na paniniwala, lahat ng mga controller sa isang domain ay pantay-pantay, i.e. bawat controller ay naglalaman ng kumpletong impormasyon tungkol sa lahat ng mga object ng domain at maaaring maghatid ng kahilingan ng kliyente. Ngunit hindi ito nangangahulugan na ang mga controllers ay maaaring palitan; Bakit ito nangyayari? Oras na para alalahanin ang mga tungkulin ng FSMO.

Kapag nilikha namin ang unang controller, naglalaman ito ng lahat ng magagamit na mga tungkulin, at isa ring pandaigdigang direktoryo sa pagdating ng pangalawang controller, ang mga tungkulin ng master ng imprastraktura, RID master at PDC emulator ay inililipat dito. Ano ang mangyayari kung magpasya ang administrator na pansamantalang i-disable ang DC1 server, halimbawa, upang linisin ito mula sa alikabok? Sa unang tingin, walang mali dito, mabuti, lilipat ang domain sa read-only na mode, ngunit gagana ito. Ngunit nakalimutan namin ang tungkol sa pandaigdigang catalog, at kung ang iyong network ay may mga application na nangangailangan nito, tulad ng Exchange, na na-deploy, malalaman mo ang tungkol dito bago mo alisin ang takip mula sa server. Matututo ka mula sa mga hindi nasisiyahang user, at malamang na hindi natutuwa ang pamamahala.

Mula sa kung saan ang konklusyon ay sumusunod: dapat mayroong hindi bababa sa dalawang pandaigdigang direktoryo sa kagubatan, at mas mabuti ang isa sa bawat domain. Dahil mayroon kaming isang domain sa kagubatan, ang parehong mga server ay dapat na mga pandaigdigang katalogo; imposibleng lumikha ng mga bagong bagay.

Bilang isang administrator ng domain, dapat mong malinaw na malaman kung paano ipinamamahagi ang mga tungkulin ng FSMO sa pagitan ng iyong mga server at, kapag nagde-decommission ng isang server sa loob ng mahabang panahon, ilipat ang mga tungkuling ito sa ibang mga server. Ano ang mangyayari kung hindi maibabalik ang server na naglalaman ng mga tungkulin ng FSMO? Okay lang, tulad ng naisulat na namin, ang anumang domain controller ay naglalaman ng lahat ng kinakailangang impormasyon, at kung mangyari ang ganoong problema, kakailanganin mong sakupin ang mga kinakailangang tungkulin ng isa sa mga controllers, ito ay magpapahintulot sa iyo na ibalik ang buong operasyon ng ang serbisyo ng direktoryo.

Lumipas ang oras, lumalago ang iyong organisasyon at mayroon itong sangay sa kabilang panig ng lungsod at kailangang isama ang kanilang network sa pangkalahatang imprastraktura ng negosyo. Sa unang tingin, walang kumplikado; nag-set up ka ng isang channel ng komunikasyon sa pagitan ng mga opisina at naglalagay ng karagdagang controller dito. Magiging maayos ang lahat, ngunit may isang bagay. Hindi mo makokontrol ang server na ito, at samakatuwid ay posible ang hindi awtorisadong pag-access dito, at itinataas ng lokal na admin ang iyong mga pagdududa tungkol sa kanyang mga kwalipikasyon. Ano ang gagawin sa ganoong sitwasyon? Para sa mga layuning ito, mayroong isang espesyal na uri ng controller: read-only na domain controller (RODC), ang function na ito ay available sa mga domain operating mode simula sa Windows Server 2008 at mas mataas.

Ang isang read-only na domain controller ay naglalaman ng kumpletong kopya ng lahat ng mga bagay sa domain at maaaring maging isang pandaigdigang direktoryo, ngunit hindi pinapayagan ang paggawa ng anumang mga pagbabago sa istraktura ng AD, pinapayagan ka nitong magtalaga ng sinumang user bilang isang lokal na administrator, na magbibigay-daan sa kanya upang ganap na maserbisyuhan ang server na ito, ngunit muli nang walang access sa mga serbisyo ng AD. Sa aming kaso, ito ang iniutos ng doktor.

Nag-set up kami ng sangay ng RODC, gumagana ang lahat, kalmado ka, ngunit ang mga gumagamit ay nagsisimulang magreklamo tungkol sa mahabang pag-login at mga singil sa trapiko sa pagtatapos ng buwan ay nagpapakita ng labis. anong nangyayari? Oras na upang muling tandaan ang tungkol sa pagkakapareho ng mga controller sa isang domain ay maaaring magpadala ng kanyang kahilingan sa anumang domain controller, kahit na ang isa ay matatagpuan sa ibang branch. Isaalang-alang ang mabagal at, malamang, masikip na channel ng komunikasyon - ito ang dahilan ng mga pagkaantala sa pag-login.

Ang susunod na salik na lumalason sa ating buhay sa ganitong sitwasyon ay ang pagtitiklop. Tulad ng alam mo, ang lahat ng mga pagbabagong ginawa sa isa sa mga controllers ng domain ay awtomatikong ipinapalaganap sa iba at ang prosesong ito ay tinatawag na pagtitiklop; Ang serbisyo ng pagtitiklop ay hindi alam ang tungkol sa aming sangay at ang mabagal na channel ng komunikasyon, at samakatuwid ang lahat ng mga pagbabago sa opisina ay agad na ire-replicate sa sangay, paglo-load ng channel at pagtaas ng pagkonsumo ng trapiko.

Narito tayo ay malapit sa konsepto ng mga site ng AD, na hindi dapat malito sa mga site sa Internet. Mga Active Directory Site kumakatawan sa isang paraan ng pisikal na paghahati ng istraktura ng serbisyo ng direktoryo sa mga lugar na hiwalay sa ibang mga lugar sa pamamagitan ng mabagal at/o hindi matatag na mga link ng komunikasyon. Ang mga site ay nilikha batay sa mga subnet at ang lahat ng mga kahilingan ng kliyente ay ipinadala pangunahin sa mga controllers ng kanilang site. Sa aming kaso, kakailanganin naming lumikha ng dalawang site: AD Site 1 para sa central office at AD Site 2 para sa isang sangay, o sa halip, isa, dahil bilang default, ang istraktura ng AD ay naglalaman na ng isang site na kinabibilangan ng lahat ng naunang ginawang mga bagay. Ngayon tingnan natin kung paano nangyayari ang pagtitiklop sa isang network na may maraming mga site.

Ipagpalagay natin na ang aming organisasyon ay lumago nang kaunti at ang pangunahing opisina ay naglalaman ng hanggang apat na domain controllers ay tinatawag na pagtitiklop sa pagitan ng mga controllers ng isang site; intrasite at ito ay nangyayari kaagad. Ang replication topology ay binuo ayon sa isang ring scheme na may kundisyon na hindi hihigit sa tatlong hakbang ng pagtitiklop sa pagitan ng anumang mga controller ng domain. Ang scheme ng singsing ay pinananatili hanggang sa 7 controllers kasama, ang bawat controller ay nagtatatag ng isang koneksyon sa kanyang dalawang pinakamalapit na kapitbahay, na may isang mas malaking bilang ng mga controllers lilitaw karagdagang mga koneksyon at ang karaniwang singsing ay nagiging isang grupo ng mga singsing superimposed sa bawat isa.

Intersite Ang pagtitiklop ay nangyayari nang iba; sa bawat domain, ang isa sa mga server (bridgehead server) ay awtomatikong pinipili, na nagtatatag ng koneksyon sa isang katulad na server sa ibang site. Bilang default, nangyayari ang pagtitiklop nang isang beses bawat 3 oras (180 minuto), gayunpaman, maaari naming itakda ang aming sariling iskedyul ng pagtitiklop at upang makatipid ng trapiko, ang lahat ng data ay ipinapadala sa naka-compress na anyo. Kung mayroon lamang RODC sa isang site, nangyayari ang pagtitiklop nang unidirectionally.

Paano ito makakatulong Aktibong Direktoryo mga espesyalista?

Narito ang isang maliit na listahan ng mga "goodies" na makukuha mo sa pamamagitan ng pag-deploy ng Active Directory:

isang database ng pagpaparehistro ng solong user, na naka-imbak sa gitna sa isa o higit pang mga server; kaya, kapag lumitaw ang isang bagong empleyado sa opisina, kakailanganin mo lamang na lumikha ng isang account para sa kanya sa server at ipahiwatig kung aling mga workstation ang maaari niyang ma-access;
dahil na-index ang lahat ng mapagkukunan ng domain, ginagawa nitong posible para sa mga user na maghanap nang madali at mabilis; halimbawa, kung kailangan mong maghanap ng color printer sa isang departamento;
ang kumbinasyon ng paglalapat ng mga pahintulot sa NTFS, mga patakaran ng grupo at paglalaan ng kontrol ay magbibigay-daan sa iyo na ayusin at ipamahagi ang mga karapatan sa pagitan ng mga miyembro ng domain;
ginagawang posible ng roaming user profile na mag-imbak ng mahalagang impormasyon at mga setting ng configuration sa server; sa katunayan, kung ang isang user na may roaming na profile sa isang domain ay umupo para magtrabaho sa isa pang computer at ipinasok ang kanyang username at password, makikita niya ang kanyang desktop na may mga setting na pamilyar sa kanya;
gamit ang mga patakaran ng grupo, maaari mong baguhin ang mga setting ng mga operating system ng user, mula sa pagpayag sa user na magtakda ng wallpaper sa desktop hanggang sa mga setting ng seguridad, at ipamahagi din ang software sa network, halimbawa, Volume Shadow Copy client, atbp.;
Maraming mga programa (proxy server, database server, atbp.) na hindi lamang ginawa ng Microsoft ngayon ay natutong gumamit ng domain authentication, kaya hindi mo na kailangang gumawa ng isa pang user database, ngunit maaaring gumamit ng isang umiiral na;
Ang paggamit ng Remote Installation Services ay nagpapadali sa pag-install ng mga system sa mga workstation, ngunit, sa turn, ay gagana lamang kung ang serbisyo ng direktoryo ay ipinatupad.

At Ito ay hindi isang kumpletong listahan ng mga posibilidad, ngunit higit pa sa na mamaya. Ngayon ay susubukan kong sabihin sa iyo ang lohika ng konstruksiyon Aktibong Direktoryo, ngunit muli ay sulit na alamin kung saan ang ating mga anak na lalaki Aktibong Direktoryo- ito ay Mga Domain, Puno, Kagubatan, Mga Unit ng Organisasyon, Mga Grupo ng Mga User at Computer.

Mga Domain - Ito ang pangunahing lohikal na yunit ng konstruksiyon. Kumpara sa mga workgroup AD domain ay mga grupo ng seguridad na may iisang base ng pagpaparehistro, habang ang mga workgroup ay isang lohikal na samahan ng mga makina. Gumagamit ang AD ng DNS (Domain Name Server) para sa pagbibigay ng pangalan at mga serbisyo sa paghahanap, sa halip na WINS (Windows Internet Name Service), tulad ng nangyari sa mga naunang bersyon ng NT. Kaya, ang mga pangalan ng mga computer sa domain ay kamukha, halimbawa, buh.work.com, kung saan ang buh ay ang pangalan ng computer sa work.com domain (bagaman hindi ito palaging nangyayari).

Gumagamit ang mga workgroup ng mga pangalan ng NetBIOS. Upang mag-host ng istraktura ng domain AD Posibleng gumamit ng hindi Microsoft DNS server. Ngunit dapat itong tugma sa BIND 8.1.2 o mas mataas at sumusuporta sa mga talaan ng SRV() gayundin sa Dynamic Registration Protocol (RFC 2136). Ang bawat domain ay may hindi bababa sa isang domain controller na nagho-host sa gitnang database.

mga puno - Ito ay mga multi-domain na istruktura. Ang ugat ng istrukturang ito ay ang pangunahing domain kung saan ka gumagawa ng mga child domain. Sa katunayan, ang Active Directory ay gumagamit ng hierarchical structure na katulad ng domain structure sa DNS.

Kung mayroon kaming domain na work.com (first-level domain) at gumawa kami ng dalawang child domain para dito first.work.com at second.work.com (narito ang una at pangalawa ay mga second-level na domain, at hindi isang computer sa domain , tulad ng kaso , na inilarawan sa itaas), napupunta tayo sa isang domain tree.

Ang mga puno bilang isang lohikal na istraktura ay ginagamit kapag kailangan mong hatiin ang mga sangay ng kumpanya, halimbawa, ayon sa heograpiya, o para sa ilang iba pang mga kadahilanan ng organisasyon.

AD tumutulong na awtomatikong lumikha ng mga ugnayan ng tiwala sa pagitan ng bawat domain at mga child domain nito.

Kaya, ang paglikha ng first.work.com na domain ay humahantong sa awtomatikong pagtatatag ng isang two-way na ugnayan ng tiwala sa pagitan ng magulang na work.com at ang child first.work.com (katulad din para sa second.work.com). Samakatuwid, maaaring ilapat ang mga pahintulot mula sa parent domain sa bata, at vice versa. Hindi mahirap ipagpalagay na magkakaroon din ng mga relasyon sa pagtitiwala para sa mga domain ng bata.

Ang isa pang pag-aari ng mga relasyon sa tiwala ay transitivity. Nakuha namin na ang isang ugnayang pinagkakatiwalaan ay nilikha para sa net.first.work.com na domain na may domain na work.com.

kagubatan - Tulad ng mga puno, sila ay mga istrukturang multi-domain. Pero kagubatan ay isang unyon ng mga puno na may iba't ibang mga domain ng ugat.

Ipagpalagay na magpasya kang magkaroon ng maraming domain na pinangalanang work.com at home.net at lumikha ng mga child domain para sa kanila, ngunit dahil ang tld (top level na domain) ay wala sa ilalim ng iyong kontrol, sa kasong ito maaari kang mag-organisa ng kagubatan sa pamamagitan ng pagpili ng isa sa mga unang antas ng root domain. Ang kagandahan ng paglikha ng kagubatan sa kasong ito ay ang two-way na ugnayan ng tiwala sa pagitan ng dalawang domain na ito at ng kanilang mga child domain.

Gayunpaman, kapag nagtatrabaho sa mga kagubatan at puno, dapat mong tandaan ang mga sumusunod:

hindi ka maaaring magdagdag ng isang umiiral na domain sa puno
Hindi mo maaaring isama ang isang umiiral na puno sa kagubatan
Kapag nailagay na ang mga domain sa isang kagubatan, hindi na sila maaaring ilipat sa ibang kagubatan
hindi ka makakapagtanggal ng domain na may mga child domain

Mga yunit ng organisasyon - Sa prinsipyo, maaari silang tawaging mga subdomain. nagbibigay-daan sa iyong pagpangkatin ang mga user account, pangkat ng user, computer, nakabahaging mapagkukunan, printer at iba pang OU (Organizational Units) sa isang domain. Ang praktikal na benepisyo ng kanilang paggamit ay ang posibilidad ng pagtatalaga ng mga karapatang pangasiwaan ang mga yunit na ito.

Sa madaling salita, maaari kang magtalaga ng isang administrator sa isang domain na maaaring pamahalaan ang OU, ngunit walang mga karapatang pangasiwaan ang buong domain.

Ang isang mahalagang tampok ng mga OU, hindi katulad ng mga grupo, ay ang kakayahang maglapat ng mga patakaran ng grupo sa kanila. "Bakit hindi mo mahati ang orihinal na domain sa maraming domain sa halip na gumamit ng OU?" – tanong mo.

Maraming eksperto ang nagpapayo na magkaroon ng isang domain kung maaari. Ang dahilan nito ay ang desentralisasyon ng pangangasiwa kapag lumilikha ng karagdagang domain, dahil ang mga administrador ng bawat naturang domain ay tumatanggap ng walang limitasyong kontrol (paalalahanan ko kayo na kapag nagtalaga ng mga karapatan sa mga administrator ng OU, maaari mong limitahan ang kanilang paggana).

Bilang karagdagan dito, upang lumikha ng isang bagong domain (kahit isang bata) kakailanganin mo ng isa pang controller. Kung mayroon kang dalawang magkahiwalay na departamento na konektado ng isang mabagal na channel ng komunikasyon, maaaring magkaroon ng mga problema sa pagtitiklop. Sa kasong ito, mas angkop na magkaroon ng dalawang domain.

Mayroon ding isa pang nuance ng paggamit ng mga patakaran ng grupo: ang mga patakarang tumutukoy sa mga setting ng password at mga lockout ng account ay maaari lang ilapat sa mga domain. Para sa mga OU, binabalewala ang mga setting ng patakarang ito.

Mga website - Ito ay isang paraan upang pisikal na paghiwalayin ang isang serbisyo ng direktoryo. Sa pamamagitan ng kahulugan, ang isang site ay isang pangkat ng mga computer na konektado sa pamamagitan ng mabilis na mga channel sa paglilipat ng data.

Kung mayroon kang ilang mga sangay sa iba't ibang bahagi ng bansa, na konektado sa pamamagitan ng mababang bilis ng mga linya ng komunikasyon, pagkatapos ay para sa bawat sangay maaari kang lumikha ng iyong sariling website. Ginagawa ito upang madagdagan ang pagiging maaasahan ng pagtitiklop ng direktoryo.

Ang dibisyon ng AD na ito ay hindi nakakaapekto sa mga prinsipyo ng lohikal na konstruksyon, samakatuwid, kung paanong ang isang site ay maaaring maglaman ng ilang mga domain, at vice versa, ang isang domain ay maaaring maglaman ng ilang mga site. Ngunit mayroong isang catch sa topology ng serbisyo ng direktoryo na ito. Bilang isang patakaran, ang Internet ay ginagamit upang makipag-usap sa mga sangay - isang napaka-insecure na kapaligiran. Maraming mga kumpanya ang gumagamit ng mga hakbang sa seguridad tulad ng mga firewall. Gumagamit ang serbisyo ng direktoryo ng humigit-kumulang isang dosenang port at serbisyo sa trabaho nito, ang pagbubukas kung saan upang payagan ang trapiko ng AD na dumaan sa firewall ay talagang maglalantad dito "sa labas". Ang solusyon sa problema ay ang paggamit ng teknolohiya ng tunneling, gayundin ang pagkakaroon ng domain controller sa bawat site upang mapabilis ang pagproseso ng mga kahilingan ng AD client.

Ang lohika ng nesting ng mga bahagi ng serbisyo sa direktoryo ay ipinakita. Makikita na ang kagubatan ay naglalaman ng dalawang domain tree, kung saan ang root domain ng puno, sa turn, ay maaaring maglaman ng mga OU at grupo ng mga bagay, at mayroon ding mga child domain (sa kasong ito, isa para sa bawat isa). Ang mga child domain ay maaari ding maglaman ng mga object group at OU at may mga child domain (hindi ipinapakita sa figure). At iba pa. Hayaan mong ipaalala ko sa iyo na ang mga OU ay maaaring maglaman ng mga OU, mga bagay at grupo ng mga bagay, at ang mga grupo ay maaaring maglaman ng iba pang mga grupo.

Mga pangkat ng user at computer - ay ginagamit para sa mga layuning pang-administratibo at may parehong kahulugan tulad ng kapag ginamit sa mga lokal na makina sa network. Hindi tulad ng mga OU, hindi mailalapat ang mga patakaran ng grupo sa mga grupo, ngunit maaaring italaga ang kontrol para sa kanila. Sa loob ng scheme ng Active Directory, mayroong dalawang uri ng mga grupo: mga pangkat ng seguridad (ginagamit upang ibahin ang mga karapatan sa pag-access sa mga bagay sa network) at mga grupo ng pamamahagi (pangunahing ginagamit para sa pamamahagi ng mga mensaheng email, halimbawa, sa Microsoft Exchange Server).

Nahahati sila ayon sa saklaw:

unibersal na mga grupo maaaring magsama ng mga user sa loob ng kagubatan pati na rin ang iba pang unibersal na grupo o pandaigdigang grupo ng anumang domain sa kagubatan
pandaigdigang mga pangkat ng domain maaaring magsama ng mga user ng domain at iba pang pandaigdigang pangkat ng parehong domain
mga lokal na pangkat ng domain na ginagamit upang pag-iba-ibahin ang mga karapatan sa pag-access, maaaring magsama ng mga user ng domain, pati na rin ang mga unibersal na grupo at pandaigdigang grupo ng anumang domain sa kagubatan
mga lokal na pangkat ng computer– mga pangkat na naglalaman ng SAM (security account manager) ng lokal na makina. Ang kanilang saklaw ay limitado lamang sa isang partikular na makina, ngunit maaari nilang isama ang mga lokal na grupo ng domain kung saan matatagpuan ang computer, pati na rin ang mga pangkalahatan at pandaigdigang grupo ng kanilang sariling domain o iba pang pinagkakatiwalaan nila. Halimbawa, maaari mong isama ang isang user mula sa pangkat ng lokal na Mga User ng domain sa pangkat ng Mga Administrator ng lokal na makina, sa gayon ay binibigyan siya ng mga karapatan ng administrator, ngunit para lamang sa computer na ito

Alexander Emelyanov

Mga prinsipyo ng pagbuo ng mga domain ng Active Directory

Matagal nang isinama ang Active Directory sa kategorya ng mga konserbatibong prinsipyo para sa lohikal na pagtatayo ng imprastraktura ng network. Ngunit maraming mga administrator ang patuloy na gumagamit ng mga workgroup at domain ng Windows NT sa kanilang trabaho. Ang pagpapatupad ng isang serbisyo sa direktoryo ay magiging kawili-wili at kapaki-pakinabang para sa parehong mga baguhan at may karanasan na mga administrador upang isentro ang pamamahala sa network at matiyak ang wastong antas ng seguridad.

Ang Active Directory, isang teknolohiya na lumitaw sa linya ng mga system ng Win2K anim na taon na ang nakakaraan, ay maaaring ilarawan bilang rebolusyonaryo. Sa mga tuntunin ng flexibility at scalability, ito ay isang order ng magnitude superior sa NT 4 na mga domain, hindi banggitin ang mga network na binubuo ng mga workgroup.

Mula nang ilabas ang AD, isang malaking bilang ng mga libro at publikasyon ang nai-publish sa mga paksa ng pagpaplano, disenyo ng topology, suporta sa domain, seguridad, atbp.

Nangangako ang mga kurso sa sertipikasyon ng Microsoft na sa loob ng 40 oras ay matututunan mo kung paano i-deploy ang iyong domain at matagumpay na pangasiwaan ito.

Hindi ako naniniwala. Ang pangangasiwa ay isang proseso na kinabibilangan ng maraming taon ng karanasan sa "mga naka-pack na bumps", isang malaking halaga ng nabasang dokumentasyon (karamihan sa Ingles) at "matalik" na mga pag-uusap sa pamamahala at mga user.

May isa pang nuance - bago kumuha ng kurso sa pagpapatupad ng Active Directory, dapat ay matagumpay mong naipasa ang isang kurso sa pangangasiwa ng imprastraktura ng network batay sa Windows Server 2003, na nangangailangan din ng ilang pinansiyal na gastos sa bahagi ng mag-aaral. Muli kaming kumbinsido na hindi palalampasin ng Microsoft ang layunin nito. Ngunit hindi iyon ang tungkol dito...

Ang pag-aaral sa pagpapatupad ng AD ay hindi akma sa balangkas ng isang linggong kurso, lalo na ang isang publikasyon. Gayunpaman, armado ng karanasan ng mga nakaraang artikulo, susubukan naming malaman kung ano ang mahalagang serbisyo ng direktoryo, ano ang mga pangunahing subtleties ng pag-install nito at kung paano nito mapadali ang buhay ng isang administrator ng system.

Tingnan din natin kung ano ang bago sa Active Directory sa paglabas ng Windows Server 2003.

Kapansin-pansin na sa huling quarter ng nakaraang taon, inilabas ng Microsoft ang Windows Vista, at kasama nito ang isang na-update na serbisyo sa direktoryo. Gayunpaman, ang mga lumang teknolohiya ay hindi nawala ang kanilang kaugnayan hanggang sa araw na ito.

Sa artikulong ito, pupunta tayo mula sa pag-unawa sa kakanyahan ng AD hanggang sa paglikha ng sarili nating domain. Ang karagdagang pagsasaayos nito at pamamahala at mga diagnostic na tool ay sasaklawin sa mga sumusunod na isyu.

Paano Nakakatulong ang Active Directory

Narito ang isang bahagyang listahan ng lahat ng mga goodies na makukuha mo sa pamamagitan ng pag-deploy ng isang serbisyo sa direktoryo:

isang database ng pagpaparehistro ng solong user, na naka-imbak sa gitna sa isa o higit pang mga server; kaya, kapag lumitaw ang isang bagong empleyado sa opisina, kakailanganin mo lamang na lumikha ng isang account para sa kanya sa server at ipahiwatig kung aling mga workstation ang maaari niyang ma-access;
dahil na-index ang lahat ng mapagkukunan ng domain, ginagawa nitong posible para sa mga user na maghanap nang madali at mabilis; halimbawa, kung kailangan mong maghanap ng color printer sa departamento ng automation;
ang kumbinasyon ng paglalapat ng mga pahintulot sa NTFS, mga patakaran ng grupo at paglalaan ng kontrol ay magbibigay-daan sa iyo na ayusin at ipamahagi ang mga karapatan sa pagitan ng mga miyembro ng domain;
ginagawang posible ng roaming user profile na mag-imbak ng mahalagang impormasyon at mga setting ng configuration sa server; sa katunayan, kung ang isang user na may roaming na profile sa isang domain ay umupo para magtrabaho sa isa pang computer at ipinasok ang kanyang username at password, makikita niya ang kanyang desktop na may mga setting na pamilyar sa kanya;
gamit ang mga patakaran ng grupo, maaari mong baguhin ang mga setting ng mga operating system ng user, mula sa pagpayag sa user na magtakda ng wallpaper sa desktop hanggang sa mga setting ng seguridad, at ipamahagi din ang software sa network, halimbawa, Volume Shadow Copy client, atbp.;
Maraming mga programa (proxy server, database server, atbp.) na hindi lamang ginawa ng Microsoft ngayon ay natutong gumamit ng domain authentication, kaya hindi mo na kailangang gumawa ng isa pang user database, ngunit maaaring gumamit ng isang umiiral na;
Ang paggamit ng Remote Installation Services ay nagpapadali sa pag-install ng mga system sa mga workstation, ngunit, sa turn, ay gagana lamang kung ang serbisyo ng direktoryo ay ipinatupad.

Ang mga negatibong aspeto ng teknolohiyang ito ay lumilitaw sa proseso ng trabaho mula sa kamangmangan sa mga pangunahing kaalaman o mula sa isang hindi pagpayag na pumasok sa mga intricacies ng mga bahagi ng AD. Matutong lutasin nang tama ang mga umuusbong na problema, at mawawala ang lahat ng negatibiti.

Tutuon lamang ako sa katotohanan na ang lahat ng nasa itaas ay magiging wasto sa pagkakaroon ng isang homogenous na network batay sa pamilya ng Windows 2000 OS at mas mataas.

Logic ng konstruksiyon

Tingnan natin ang mga pangunahing bahagi ng isang serbisyo sa direktoryo.

Mga domain

Ito ang pangunahing lohikal na yunit ng konstruksiyon. Kung ikukumpara sa mga workgroup, ang mga AD domain ay mga pangkat ng seguridad na may isang base ng pagpaparehistro, habang ang mga workgroup ay isang lohikal na pagpapangkat ng mga makina. Gumagamit ang AD ng DNS (Domain Name Server) para sa pagbibigay ng pangalan at mga serbisyo sa paghahanap, sa halip na WINS (Windows Internet Name Service), tulad ng nangyari sa mga naunang bersyon ng NT. Kaya, ang mga pangalan ng mga computer sa domain ay kamukha, halimbawa, buh.work.com, kung saan ang buh ay ang pangalan ng computer sa work.com domain (bagama't hindi ito palaging nangyayari, basahin ang tungkol dito sa ibaba).

Gumagamit ang mga workgroup ng mga pangalan ng NetBIOS. Upang i-host ang istraktura ng AD domain, posibleng gumamit ng hindi Microsoft DNS server. Ngunit dapat itong tugma sa BIND 8.1.2 o mas mataas at sumusuporta sa mga SRV record (RFC 2052) pati na rin sa Dynamic Registration Protocol (RFC 2136). Ang bawat domain ay may hindi bababa sa isang domain controller na nagho-host sa gitnang database.

Mga puno

Ito ay mga multi-domain na istruktura. Ang ugat ng istrukturang ito ay ang pangunahing domain kung saan ka gumagawa ng mga child domain. Sa katunayan, ang Active Directory ay gumagamit ng hierarchical structure na katulad ng domain structure sa DNS.

Halimbawa, kung mayroon tayong domain na work.com (first-level domain) at gumawa tayo ng dalawang child domain para dito first.work.com at second.work.com (narito ang una at pangalawa ay mga second-level na domain, at hindi isang computer sa domain, tulad ng kaso na inilarawan sa itaas), mapupunta tayo sa isang domain tree (tingnan ang Fig. 1).

Tumutulong ang AD na awtomatikong lumikha ng mga ugnayan ng tiwala sa pagitan ng bawat domain at ng mga child domain nito.

Ang isa pang pag-aari ng mga relasyon sa tiwala ay transitivity. Nakuha namin na ang isang ugnayang pinagkakatiwalaan ay nilikha para sa net.first.work.com na domain na may domain na work.com.

Mga kagubatan

Tulad ng mga puno, sila ay mga istrukturang multi-domain. Ngunit ang kagubatan ay isang koleksyon ng mga puno na may iba't ibang mga domain ng ugat.

Ipagpalagay na nagpasya kang magkaroon ng ilang domain na pinangalanang work.com at home.net at lumikha ng mga child domain para sa kanila, ngunit dahil ang tld (top level domain) ay wala sa ilalim ng iyong kontrol, sa kasong ito maaari kang mag-organisa ng kagubatan (tingnan ang . Fig. 2), pagpili ng isa sa mga unang antas na domain bilang ugat. Ang kagandahan ng paglikha ng kagubatan sa kasong ito ay ang two-way na ugnayan ng tiwala sa pagitan ng dalawang domain na ito at ng kanilang mga child domain.

Gayunpaman, kapag nagtatrabaho sa mga kagubatan at puno, dapat mong tandaan ang mga sumusunod:

hindi ka maaaring magdagdag ng umiiral nang domain sa puno;
Ang isang umiiral na puno ay hindi maaaring isama sa kagubatan;
Kapag ang mga domain ay inilagay sa isang kagubatan, hindi na sila maaaring ilipat sa ibang kagubatan;
Hindi ka makakapagtanggal ng domain na may mga child domain.

Para sa higit pang malalim na impormasyon tungkol sa mga salimuot ng paggamit at pag-configure ng mga puno at kagubatan, maaari mong bisitahin ang Microsoft TechNet knowledge base at magpapatuloy kami.

Mga unit ng organisasyon (OU)

Maaari silang tawaging mga subdomain. Binibigyang-daan ka ng mga OU na magpangkat ng mga user account, pangkat ng user, computer, share, printer, at iba pang OU sa loob ng isang domain. Ang praktikal na benepisyo ng kanilang paggamit ay ang posibilidad ng pagtatalaga ng mga karapatang pangasiwaan ang mga yunit na ito.

Sa madaling salita, maaari kang magtalaga ng isang administrator sa isang domain na maaaring pamahalaan ang OU, ngunit walang mga karapatang pangasiwaan ang buong domain.

Ang isang mahalagang tampok ng mga OU, hindi tulad ng mga grupo (mag-unahan tayo ng kaunti), ay ang kakayahang maglapat ng mga patakaran ng grupo sa kanila. "Bakit hindi mo mahati ang orihinal na domain sa maraming domain sa halip na gumamit ng OU?" – tanong mo.

Mga pangkat ng user at computer

Ginagamit ang mga ito para sa mga layuning pang-administratibo at may parehong kahulugan tulad ng kapag ginamit sa mga lokal na makina sa isang network. Hindi tulad ng mga OU, hindi mailalapat ang mga patakaran ng grupo sa mga grupo, ngunit maaaring italaga ang kontrol para sa kanila. Sa loob ng scheme ng Active Directory, mayroong dalawang uri ng mga grupo: mga pangkat ng seguridad (ginagamit upang ibahin ang mga karapatan sa pag-access sa mga bagay sa network) at mga grupo ng pamamahagi (pangunahing ginagamit para sa pamamahagi ng mga mensaheng email, halimbawa, sa Microsoft Exchange Server).

Nahahati sila ayon sa saklaw:

unibersal na mga grupo maaaring magsama ng mga user sa loob ng kagubatan pati na rin ang iba pang unibersal na grupo o pandaigdigang grupo ng anumang domain sa kagubatan;
pandaigdigang mga pangkat ng domain maaaring magsama ng mga user ng domain at iba pang pandaigdigang pangkat ng parehong domain;
mga lokal na pangkat ng domain ginagamit upang ibahin ang mga karapatan sa pag-access, maaaring magsama ng mga gumagamit ng domain, pati na rin ang mga unibersal na grupo at pandaigdigang grupo ng anumang domain sa kagubatan;
mga lokal na pangkat ng computer– mga pangkat na naglalaman ng SAM (security account manager) ng lokal na makina. Ang kanilang saklaw ay limitado lamang sa isang partikular na makina, ngunit maaari nilang isama ang mga lokal na grupo ng domain kung saan matatagpuan ang computer, pati na rin ang mga pangkalahatan at pandaigdigang grupo ng kanilang sariling domain o iba pang pinagkakatiwalaan nila. Halimbawa, maaari mong isama ang isang user mula sa pangkat ng lokal na Mga User ng domain sa pangkat ng Mga Administrator ng lokal na makina, sa gayon ay binibigyan siya ng mga karapatan ng administrator, ngunit para lamang sa computer na ito.

Mga website

Ito ay isang paraan upang pisikal na paghiwalayin ang isang serbisyo ng direktoryo. Sa pamamagitan ng kahulugan, ang isang site ay isang pangkat ng mga computer na konektado sa pamamagitan ng mabilis na mga channel sa paglilipat ng data.

Halimbawa, kung mayroon kang ilang sangay sa iba't ibang bahagi ng bansa, na konektado sa pamamagitan ng mababang bilis ng mga linya ng komunikasyon, kung gayon para sa bawat sangay maaari kang lumikha ng iyong sariling website. Ginagawa ito upang madagdagan ang pagiging maaasahan ng pagtitiklop ng direktoryo.

Sa Fig. Ipinapakita ng Figure 3 ang nesting logic ng mga bahagi ng serbisyo ng direktoryo. Makikita na ang kagubatan ay naglalaman ng dalawang domain tree, kung saan ang root domain ng puno, sa turn, ay maaaring maglaman ng mga OU at grupo ng mga bagay, at mayroon ding mga child domain (sa kasong ito, isa para sa bawat isa). Ang mga child domain ay maaari ding maglaman ng mga object group at OU at may mga child domain (hindi ipinapakita sa figure). At iba pa. Hayaan mong ipaalala ko sa iyo na ang mga OU ay maaaring maglaman ng mga OU, mga bagay at grupo ng mga bagay, at ang mga grupo ay maaaring maglaman ng iba pang mga grupo. Magbasa nang higit pa tungkol sa nesting ng mga grupo at ang kanilang mga bahagi sa susunod na artikulo.

Directory Service Entity

Upang magbigay ng ilang antas ng seguridad, ang anumang operating system ay dapat may mga file na naglalaman ng database ng user. Sa mga naunang bersyon ng Windows NT, isang SAM (Security Accounts Manager) file ang ginamit para dito. Naglalaman ito ng mga kredensyal ng user at na-encrypt. Ngayon, ginagamit din ang SAM sa mga operating system ng pamilyang NT 5 (Windows 2000 at mas mataas).

Kapag nag-promote ka ng isang miyembrong server sa isang domain controller gamit ang DCPROMO command (na talagang nagpapatakbo ng Directory Services Installation Wizard), ang Windows Server 2000/2003 security engine ay magsisimulang gumamit ng sentralisadong AD database. Madali itong masuri - pagkatapos gumawa ng domain, subukang buksan ang Computer Management snap-in sa controller at hanapin ang "Mga lokal na user at grupo" doon. Bukod dito, subukang mag-log in sa server na ito gamit ang isang lokal na account. Malabong magtatagumpay ka.

Karamihan sa data ng user ay nakaimbak sa NTDS.DIT (Directory Information Tree) file. Ang NTDS.DIT ay isang binagong database. Nilikha ito gamit ang parehong teknolohiya tulad ng database ng Microsoft Access. Ang mga algorithm para sa operating domain controllers ay naglalaman ng isang variant ng Access database JET engine, na tinatawag na ESE (Extensible Storage Engine). Ang NTDS.DIT at ang mga serbisyong nakikipag-ugnayan sa file na ito ay talagang isang serbisyo sa direktoryo.

Ang istraktura ng pakikipag-ugnayan sa pagitan ng mga kliyente ng AD at ng pangunahing data store, katulad ng namespace ng serbisyo ng direktoryo, ay ipinakita sa artikulo. Upang makumpleto ang paglalarawan, dapat na banggitin ang paggamit ng mga global identifier. Ang Global Unique Identifier (GUID) ay isang 128-bit na numero na nauugnay sa bawat bagay kapag nilikha ito upang matiyak ang pagiging natatangi. Maaaring baguhin ang pangalan ng object ng AD, ngunit mananatiling hindi magbabago ang GUID.

Global catalog

Marahil ay napansin mo na na ang istraktura ng AD ay maaaring maging napakakumplikado at naglalaman ng isang malaking bilang ng mga bagay. Isipin lang ang katotohanan na ang isang AD domain ay maaaring magsama ng hanggang 1.5 milyong mga bagay. Ngunit maaari itong magdulot ng mga isyu sa pagganap kapag nagsasagawa ng mga operasyon. Ang problemang ito ay nalutas gamit ang Global Catalog (GC). Naglalaman ito ng pinaikling bersyon ng buong AD forest, na tumutulong na mapabilis ang mga paghahanap ng bagay. Ang may-ari ng pandaigdigang catalog ay maaaring mga domain controller na espesyal na itinalaga para sa layuning ito.

Mga tungkulin ng FSMO

Sa AD, mayroong isang tiyak na listahan ng mga operasyon, ang pagpapatupad nito ay maaaring italaga sa isang controller lamang. Ang mga ito ay tinatawag na mga tungkulin ng FSMO (Flexible Single-Master Operations). Mayroong kabuuang 5 tungkulin ng FSMO sa AD. Tingnan natin ang mga ito nang mas detalyado.

Sa loob ng kagubatan, dapat mayroong garantiya na ang mga domain name ay natatangi kapag nagdaragdag ng bagong domain sa kagubatan ng mga domain. Ang garantiyang ito ay ibinibigay ng Domain Naming Master. Isinasagawa ng Schema Master ang lahat ng pagbabago sa schema ng direktoryo. Ang mga tungkulin ng May-ari ng Domain Name at May-ari ng Schema ay dapat na natatangi sa loob ng domain forest.

Tulad ng sinabi ko na, kapag ang isang bagay ay nilikha, ito ay nauugnay sa isang pandaigdigang identifier, na ginagarantiyahan ang pagiging natatangi nito. Iyon ang dahilan kung bakit ang controller na responsable para sa pagbuo ng mga GUID at pagkilos bilang may-ari ng mga kamag-anak na pagkakakilanlan (Relative ID Master) ay dapat na isa lamang sa loob ng domain.

Hindi tulad ng mga NT domain, AD ay walang konsepto ng PDC at BDC (pangunahin at backup na mga controller ng domain). Isa sa mga tungkulin ng FSMO ay PDC Emulator (Primary Domain Controller Emulator). Ang isang server na nagpapatakbo ng Windows NT Server ay maaaring kumilos bilang isang backup na domain controller sa AD. Ngunit alam na ang mga domain ng NT ay maaari lamang gumamit ng isang pangunahing controller. Iyon ang dahilan kung bakit ginawa ito ng Microsoft na sa loob ng isang AD domain ay maaari tayong magtalaga ng isang server upang pasanin ang tungkulin ng PDC Emulator. Kaya, umaalis mula sa terminolohiya, maaari naming makipag-usap tungkol sa pagkakaroon ng isang pangunahing at backup na mga controllers ng domain, ibig sabihin ang may-hawak ng tungkulin ng FSMO.

Kapag ang mga bagay ay tinanggal o inilipat, ang isa sa mga controllers ay dapat magpanatili ng isang reference sa bagay na iyon hanggang sa makumpleto ang pagtitiklop. Ang papel na ito ay ginagampanan ng may-ari ng imprastraktura ng direktoryo (Infrastructure Master).

Ang huling tatlong tungkulin ay nangangailangan ng gumaganap na maging natatangi sa loob ng domain. Ang lahat ng mga tungkulin ay itinalaga sa unang controller na ginawa sa kagubatan. Kapag gumagawa ng isang branched na imprastraktura ng AD, maaari mong italaga ang mga tungkuling ito sa iba pang mga controller. Ang mga sitwasyon ay maaari ding lumitaw kapag ang may-ari ng isa sa mga tungkulin ay hindi magagamit (ang server ay nabigo). Sa kasong ito, kinakailangan upang maisagawa ang pagpapatakbo ng pagkuha ng papel ng FSMO gamit ang NTDSUTIL utility (pag-uusapan natin ang tungkol sa paggamit nito sa mga sumusunod na artikulo). Ngunit dapat kang mag-ingat, dahil kapag ang isang tungkulin ay kinuha, ipinapalagay ng serbisyo ng direktoryo na walang dating may-ari at hindi nakikipag-ugnayan sa kanya. Ang pagbabalik ng dating may hawak ng tungkulin sa network ay maaaring humantong sa pagkagambala sa paggana nito. Ito ay lalong kritikal para sa may-ari ng schema, may-ari ng domain name, at may-ari ng pagkakakilanlan.

Tulad ng para sa pagganap: ang papel ng emulator ng pangunahing domain controller ay ang pinaka-hinihingi sa mga mapagkukunan ng computer, kaya maaari itong italaga sa isa pang controller. Ang natitirang mga tungkulin ay hindi masyadong hinihingi, kaya kapag ipinamahagi ang mga ito, maaari kang magabayan ng mga nuances ng lohikal na pagtatayo ng iyong AD diagram.

Ang huling hakbang ng theorist

Ang pagbabasa ng artikulo ay hindi dapat ilipat ka mula sa mga teorista patungo sa mga practitioner. Dahil hangga't hindi mo isinasaalang-alang ang lahat ng mga kadahilanan mula sa pisikal na paglalagay ng mga node ng network hanggang sa lohikal na pagtatayo ng buong direktoryo, hindi ka dapat bumaba sa negosyo at bumuo ng isang domain na may mga simpleng sagot sa mga tanong ng AD installation wizard. Isipin kung ano ang itatawag sa iyong domain at, kung gagawa ka ng mga bata para dito, kung paano sila papangalanan. Kung mayroong ilang mga segment sa network na konektado sa pamamagitan ng hindi mapagkakatiwalaang mga channel ng komunikasyon, isaalang-alang ang paggamit ng mga site.

Bilang gabay sa pag-install ng AD, maaari kong irekomenda ang paggamit ng mga artikulo at, pati na rin ang Microsoft knowledge base.

Sa wakas, ilang mga tip:

Subukan, kung maaari, na huwag pagsamahin ang mga tungkulin ng PDC Emulator at proxy server sa parehong makina. Una, sa isang malaking bilang ng mga makina sa network at mga gumagamit ng Internet, ang pag-load sa server ay tumataas, at pangalawa, sa isang matagumpay na pag-atake sa iyong proxy, hindi lamang ang Internet, kundi pati na rin ang pangunahing domain controller ay "huhulog", at ito ay maaaring humantong sa maling operasyon ng buong network.
Kung patuloy kang nangangasiwa ng lokal na network, at hindi magpapatupad ng Active Directory para sa mga customer, magdagdag ng mga machine sa domain nang paunti-unti, halimbawa, apat hanggang lima bawat araw. Dahil kung mayroon kang malaking bilang ng mga makina sa iyong network (50 o higit pa) at pinamamahalaan mo ito nang mag-isa, malamang na hindi mo ito mapangasiwaan kahit sa katapusan ng linggo, at kahit na pamahalaan mo ito, hindi alam kung gaano katama ang lahat. . Bilang karagdagan, upang makipagpalitan ng dokumentasyon sa loob ng network, maaari kang gumamit ng file o panloob na mail server (inilarawan ko ito sa No. 11, 2006). Ang tanging bagay sa kasong ito ay upang maunawaan nang tama kung paano i-configure ang mga karapatan ng gumagamit upang ma-access ang file server. Dahil kung, halimbawa, hindi ito kasama sa domain, isasagawa ang pagpapatunay ng user batay sa mga tala sa lokal na database ng SAM. Walang data tungkol sa mga user ng domain. Gayunpaman, kung ang iyong file server ay isa sa mga unang machine na kasama sa AD at hindi isang domain controller, magiging posible na mapatotohanan sa pamamagitan ng lokal na database ng SAM at database ng AD account. Ngunit para sa huling opsyon, kakailanganin mong payagan sa iyong lokal na mga setting ng seguridad (kung hindi pa ito nagagawa) ng access sa file server sa network para sa parehong mga miyembro ng domain at mga lokal na account.

Basahin ang tungkol sa karagdagang configuration ng serbisyo ng direktoryo (paggawa at pamamahala ng mga account, pagtatalaga ng mga patakaran ng grupo, atbp.) sa susunod na artikulo.

Aplikasyon

Ano ang Bago sa Active Directory sa Windows Server 2003

Sa paglabas ng Windows Server 2003, ang mga sumusunod na pagbabago ay lumitaw sa Active Directory:

Naging posible na palitan ang pangalan ng isang domain pagkatapos itong magawa.
Ang control user interface ay napabuti. Halimbawa, maaari mong baguhin ang mga katangian ng ilang mga bagay nang sabay-sabay.
Ang isang mahusay na tool para sa pamamahala ng mga patakaran ng grupo ay lumitaw - Group Policy Management Console (gpmc.msc, kailangan mong i-download ito mula sa website ng Microsoft).
Ang domain at mga antas ng functional na kagubatan ay nagbago.

Ang huling pagbabago ay kailangang sabihin nang mas detalyado. Ang isang AD domain sa Windows Server 2003 ay maaaring nasa isa sa mga sumusunod na antas, na nakalista sa pagkakasunud-sunod ng pagtaas ng functionality:

Windows 2000 Mixed (mixed Windows 2000). Pinapayagan na magkaroon ng mga controller ng iba't ibang bersyon - parehong Windows NT at Windows 2000/2003. Bukod dito, kung ang mga server ng Windows 2000/2003 ay pantay, kung gayon ang NT server, tulad ng nabanggit na, ay maaari lamang kumilos bilang isang backup na controller ng domain.
Windows 2000 Native (natural na Windows 2000). Pinapayagan na magkaroon ng mga controller na nagpapatakbo ng Windows Server 2000/2003. Ang antas na ito ay mas functional, ngunit may mga limitasyon nito. Halimbawa, hindi mo magagawang palitan ang pangalan ng mga controllers ng domain.
Windows Server 2003 Interim (intermediate Windows Server 2003). Katanggap-tanggap na magkaroon ng mga controller na nagpapatakbo ng Windows NT pati na rin ang Windows Server 2003. Ginagamit, halimbawa, kapag ang master domain controller na nagpapatakbo ng Windows NT server ay na-upgrade sa W2K3. Ang antas ay may bahagyang higit na paggana kaysa sa antas ng Windows 2000 Native.
Windows Server 2003. Ang mga controller lamang na nagpapatakbo ng Windows Server 2003 ang pinapayagan sa domain Sa antas na ito, maaari mong samantalahin ang lahat ng mga tampok ng serbisyo ng direktoryo ng Windows Server 2003.

Ang mga functional na antas ng isang domain forest ay mahalagang kapareho ng para sa mga domain. Ang tanging pagbubukod ay mayroon lamang isang antas ng Windows 2000 kung saan posible na gumamit ng mga controller na nagpapatakbo ng Windows NT, pati na rin ang Windows Server 2000/2003, sa kagubatan.

Ito ay nagkakahalaga ng noting na ang pagbabago ng functional na antas ng isang domain at kagubatan ay isang hindi maibabalik na operasyon. Ibig sabihin, walang backward compatibility.

Korobko I. Active Directory - teorya ng konstruksiyon. //"System Administrator", No. 1, 2004 – pp. 90-94. ().
Markov R. Windows 2000/2003 na mga domain - pag-abandona sa workgroup. //"System Administrator", No. 9, 2005 – pp. 8-11. ().
Markov R. Pag-install at pag-configure ng Windows 2K Server. //"System Administrator", No. 10, 2004 - pp. 88-94. ().