Ano ang isang direktoryo ng asset? Pinakamahuhusay na kagawian sa Active Directory. Pamamahala sa Patakaran ng Grupo at Aktibong Direktoryo


Ang domain ay ang pangunahing administratibong yunit sa imprastraktura ng network ng isang enterprise, na kinabibilangan ng lahat ng bagay sa network gaya ng mga user, computer, printer, share, atbp. Ang isang koleksyon (hierarchy) ng mga domain ay tinatawag na kagubatan. Ang bawat kumpanya ay maaaring magkaroon ng panlabas at panloob na domain.

Halimbawa, ang website ay isang panlabas na domain sa Internet na binili mula sa isang name registrar. Ang domain na ito ay nagho-host sa aming WEB site at mail server. Ang lankey.local ay ang panloob na domain ng serbisyo ng direktoryo ng Active Directory na nagho-host ng mga account ng user, computer, printer, server, at corporate application. Minsan ang mga panlabas at panloob na pangalan ng domain ay ginagawang pareho.

Ang Microsoft Active Directory ay naging pamantayan para sa mga enterprise unified directory system. Naka-on ang domain Aktibong database Ang direktoryo ay ipinatupad sa halos lahat ng mga kumpanya sa mundo, at sa merkado na ito ang Microsoft ay halos wala nang kakumpitensya na natitira, ang bahagi ng parehong Novell Directory Service (NDS) ay bale-wala, at ang natitirang mga kumpanya ay unti-unting lumilipat sa Active Directory.

Ang Active Directory (Serbisyo ng Direktoryo) ay isang distributed database na naglalaman ng lahat ng object sa isang domain. Ang kapaligiran ng domain ng Active Directory ay nagbibigay ng isang punto ng pagpapatunay at awtorisasyon para sa mga user at application sa buong enterprise. Ito ay kasama ng organisasyon ng isang domain at ang pag-deploy ng Active Directory na magsisimula ang pagtatayo ng isang enterprise IT infrastructure. Ang database ng Active Directory ay naka-imbak sa mga nakalaang server - mga controller ng domain. Ang Active Directory ay isang tungkulin sa mga operating system ng server ng Microsoft Windows Server. Ang LanKey ay kasalukuyang nagpapatupad ng mga domain ng Active Directory batay sa operating system ng Windows Server 2008 R2.

Ang pag-deploy ng Active Directory sa isang Workgroup ay nagbibigay ng mga sumusunod na benepisyo:

  • Isang punto ng pagpapatunay. Kapag ang mga computer ay tumatakbo grupong nagtatrabaho, wala silang iisang database ng gumagamit, ang bawat computer ay may sariling. Samakatuwid, bilang default, walang user ang may network access sa computer o server ng ibang user. At, tulad ng alam mo, ang punto ng network ay tiyak upang ang mga gumagamit ay maaaring makipag-ugnayan. Kinakailangan ng mga empleyado pagbabahagi sa mga dokumento o aplikasyon. Sa isang workgroup, sa bawat computer o server kakailanganin mong manu-manong magdagdag ng kumpletong listahan ng mga user na nangangailangan access sa network. Kung biglang nais ng isa sa mga empleyado na baguhin ang kanyang password, kakailanganin itong baguhin sa lahat ng mga computer at server. Mabuti kung ang network ay binubuo ng 10 mga computer, ngunit kung mayroong 100 o 1000 sa kanila, kung gayon ang paggamit ng isang workgroup ay hindi katanggap-tanggap. Kapag gumagamit ng domain ng Active Directory, lahat ng user account ay nakaimbak sa isang database, at lahat ng computer ay tumitingin dito para sa pahintulot. Ang lahat ng user ng domain ay kasama sa mga naaangkop na grupo, halimbawa, "Accounting", "Human Resources", "Finance Department", atbp. Ito ay sapat na upang magtakda ng mga pahintulot para sa ilang mga grupo nang isang beses, at lahat ng mga gumagamit ay magkakaroon ng naaangkop na access sa mga dokumento at application. Kung ang isang bagong empleyado ay sumali sa kumpanya, isang account ang nilikha para sa kanya, na kasama sa naaangkop na grupo, at iyon na! Pagkalipas ng ilang minuto, ang bagong empleyado ay makakakuha ng access sa lahat ng mga mapagkukunan ng network kung saan dapat siyang payagan na ma-access, sa lahat ng mga server at computer. Kung ang isang empleyado ay huminto, kung gayon ito ay sapat na upang harangan o tanggalin ang kanyang account, at agad siyang mawawalan ng access sa lahat ng mga computer, dokumento at application.
  • Isang punto ng pamamahala ng patakaran. Sa isang peer-to-peer network (workgroup), lahat ng mga computer ay may pantay na karapatan. Wala sa mga computer ang makakakontrol sa isa pa, lahat ng mga computer ay iba ang pagkaka-configure, at imposibleng subaybayan ang pagsunod sa mga pare-parehong patakaran o mga panuntunan sa seguridad. Kapag gumagamit ng iisang Active Directory, lahat ng user at computer ay hierarchically distributed sa mga unit ng organisasyon, na ang bawat isa ay napapailalim sa parehong mga patakaran ng grupo. Nagbibigay-daan sa iyo ang mga patakaran na magtakda ng magkatulad na mga setting at mga setting ng seguridad para sa isang pangkat ng mga computer at user. Kapag ang isang bagong computer o user ay idinagdag sa isang domain, awtomatiko itong nakakatanggap ng mga setting na sumusunod sa mga tinatanggap na pamantayan ng kumpanya. Gayundin, gamit ang mga patakaran, maaari mong sentral na magtalaga ng mga printer ng network sa mga user, itakda mga kinakailangang aplikasyon, itakda ang mga setting ng seguridad ng Internet browser, i-configure ang mga application Microsoft Office atbp.
  • Mga pagsasama sa mga aplikasyon at kagamitan ng kumpanya. Ang malaking bentahe ng Active Directory ay ang pagsunod nito sa pamantayan ng LDAP, na sinusuportahan ng daan-daang mga application, tulad ng mga mail server (Exchange, Lotus, Mdaemon), ERP system (Dynamics, CRM), proxy server (ISA Server, Squid) , atbp. Bukod dito, ito ay hindi lamang mga application para sa Microsoft Windows, kundi pati na rin ang mga server batay sa Linux. Ang mga bentahe ng naturang pagsasama ay hindi kailangang matandaan ng user ang isang malaking bilang ng mga login at password upang ma-access ang isang partikular na application sa lahat ng mga application ang user ay may parehong mga kredensyal, dahil ang pagpapatotoo nito ay nangyayari sa iisang Active Directory. Bilang karagdagan, ang empleyado ay hindi kailangang ipasok ang kanyang username at password nang maraming beses, sapat na upang mag-log in nang isang beses kapag sinimulan ang computer, at sa hinaharap ang gumagamit ay awtomatikong mapatunayan sa lahat ng mga aplikasyon. Nagbibigay ang Windows Server ng RADIUS protocol para sa pagsasama sa Active Directory, na sinusuportahan ng malaking bilang ng mga kagamitan sa network. Sa ganitong paraan, maaari kang, halimbawa, magbigay ng pagpapatunay para sa mga gumagamit ng domain kapag kumokonekta sa Cisco router sa pamamagitan ng VPN.
  • Pinag-isang imbakan ng pagsasaayos ng application. Iniimbak ng ilang application ang kanilang configuration sa Active Directory, gaya ng Exchange Server o Office Communications Server. Ang pag-deploy ng serbisyo ng direktoryo ng Active Directory ay kinakailangan para gumana ang mga application na ito. Maaari mo ring iimbak ang configuration ng DNS domain name server sa serbisyo ng direktoryo. Ang pag-iimbak ng configuration ng application sa isang serbisyo ng direktoryo ay nag-aalok ng kakayahang umangkop at pagiging maaasahan ng mga benepisyo. Halimbawa, kung sakali ganap na pagtanggi Exchange server, ang buong configuration nito ay mananatiling hindi nagalaw, dahil nakaimbak sa Active Directory. At upang maibalik ang pag-andar ng corporate mail, sapat na upang muling i-install ang Exchange server sa recovery mode.
  • Tumaas na antas ng seguridad ng impormasyon. Paggamit ng Aktibo Malaking pinatataas ng direktoryo ang antas ng seguridad ng network. Una, ito ay isang solong at secure na imbakan ng account. Sa isang peer-to-peer na network, ang mga kredensyal ng user ay iniimbak sa isang lokal na database ng account (SAM), na maaaring ma-hack ayon sa teorya sa pamamagitan ng pagkuha sa computer. Sa isang domain environment, lahat ng password mga gumagamit ng domain ay naka-imbak sa mga nakalaang domain controller server, na karaniwang protektado mula sa panlabas na pag-access. Pangalawa, kapag gumagamit ng isang domain environment, ang Kerberos protocol ay ginagamit para sa authentication, na mas secure kaysa sa NTLM, na ginagamit sa mga workgroup. Bilang kahalili, maaari mong gamitin dalawang-factor na pagpapatunay gamit ang mga smart card. Yung. Upang makakuha ng access ang isang empleyado sa computer, kakailanganin niyang ipasok ang kanyang username at password, pati na rin ipasok ang kanyang smart card.

Scalability at Resiliency ng Active Directory

Serbisyo Mga direktoryo ng Microsoft Ang Active Directory ay lubos na nasusukat. Mahigit sa 2 bilyong bagay ang maaaring malikha sa isang Active Directory na kagubatan, na nagpapahintulot sa serbisyo ng direktoryo na maipatupad sa mga kumpanyang may daan-daang libong mga computer at user. Hierarchical na istraktura Binibigyang-daan ka ng mga domain na flexible na sukatin ang imprastraktura ng IT sa lahat ng sangay at rehiyonal na dibisyon ng mga kumpanya. Para sa bawat sangay o dibisyon ng isang kumpanya, maaaring gumawa ng hiwalay na domain, na may sariling mga patakaran, sariling mga user at grupo. Para sa bawat child domain, maaaring italaga ang administratibong awtoridad sa mga lokal na administrator ng system. Kasabay nito, ang mga domain ng bata ay nasa ilalim pa rin ng kanilang mga magulang.

Bilang karagdagan, pinapayagan ka ng Active Directory na i-configure relasyong tiwala sa pagitan ng domain forest. Ang bawat kumpanya ay may sariling kagubatan ng mga domain, bawat isa ay may sariling mga mapagkukunan. Ngunit minsan kailangan mong magbigay ng access sa iyong mga mapagkukunan ng korporasyon mga empleyado mula sa mga kasosyong kumpanya. Halimbawa, kapag nakikilahok sa magkasanib na proyekto ang mga empleyado mula sa mga kasosyong kumpanya ay maaaring kailangang makipagtulungan sa pangkalahatang mga dokumento o mga aplikasyon. Upang gawin ito, maaaring i-set up ang mga ugnayan ng tiwala sa pagitan ng mga kagubatan ng organisasyon, na magbibigay-daan sa mga empleyado mula sa isang organisasyon na mag-log in sa domain ng isa pa.

Tinitiyak ang fault tolerance ng serbisyo ng direktoryo sa pamamagitan ng pag-deploy ng 2 o higit pang mga server - mga controller ng domain sa bawat domain. Ang lahat ng mga pagbabago ay awtomatikong ginagaya sa pagitan ng mga controller ng domain. Kung nabigo ang isa sa mga controllers ng domain, hindi maaapektuhan ang functionality ng network, dahil ang mga natitira ay patuloy na nagtatrabaho. Ang karagdagang antas ng fault tolerance ay ibinibigay sa pamamagitan ng paglalagay ng mga DNS server sa mga domain controller sa Active Directory, na nagbibigay-daan sa bawat domain na magkaroon ng maramihang mga DNS server na nagsisilbi sa pangunahing domain zone. At kung nabigo ang isa sa mga DNS server, ang mga natitira ay patuloy na gagana, at maa-access ang mga ito kapwa para sa pagbabasa at pagsusulat, na hindi masigurado gamit, halimbawa, DNS BIND server batay sa Linux.

Mga benepisyo ng pag-upgrade sa Windows Server 2008 R2

Kahit na na-deploy na ng iyong kumpanya ang serbisyo ng direktoryo ng Active Directory sa Nakabatay sa Windows Server 2003, maaari kang makakuha ng ilang mga benepisyo sa pamamagitan ng pag-upgrade sa Windows Server 2008 R2. Nagbibigay ang Windows Server 2008 R2 ng mga sumusunod na karagdagang tampok:

    Read-only Domain Controller RODC (Read-only Domain Controller). Ang mga controller ng domain ay nag-iimbak ng mga user account, certificate at higit pa kumpidensyal na impormasyon. Kung ang mga server ay matatagpuan sa mga secure na data center, maaari kang maging mahinahon tungkol sa kaligtasan ng impormasyong ito, ngunit ano ang gagawin kung ang domain controller ay matatagpuan sa isang sangay na opisina sa isang lugar na naa-access ng publiko. Sa kasong ito, may posibilidad na ang server ay manakaw ng mga umaatake at ma-hack. At pagkatapos ay ginagamit nila ang data na ito upang maglunsad ng pag-atake sa iyong network ng korporasyon, para sa layunin ng pagnanakaw o pagsira ng impormasyon. Ito ay upang maiwasan ang mga ganitong kaso na ang mga sangay na tanggapan ay nag-install ng mga read-only na domain controllers (RODCs). Una, ang mga controller ng RODC ay hindi nag-iimbak ng mga password ng gumagamit, ngunit ini-cache lamang ang mga ito upang mapabilis ang pag-access, at pangalawa, gumagamit sila ng one-way na pagtitiklop, mula lamang sa mga sentral na server sa sangay, ngunit hindi pabalik. At kahit na sakupin ng mga umaatake ang RODC domain controller, hindi sila makakatanggap ng mga password ng user at hindi makakapagdulot ng pinsala sa pangunahing network.

    Pagbawi ng mga tinanggal na Active Directory object. Halos lahat ng system administrator ay nahaharap sa pangangailangang ibalik ang isang hindi sinasadyang natanggal na user account o isang buong pangkat ng mga user. Sa Windows 2003, kailangan nitong ibalik ang serbisyo ng direktoryo mula sa backup na kopya, na madalas ay wala, ngunit kahit na mayroon ito, medyo matagal ang pagbawi. Ipinakilala ng Windows Server 2008 R2 ang Active Directory Recycle Bin. Ngayon, kapag nagtanggal ka ng user o computer, mapupunta ito sa recycle bin, kung saan maaari itong maibalik sa loob ng ilang minuto sa loob ng 180 araw, na pinapanatili ang lahat ng orihinal na katangian.

    Pinasimpleng pamamahala. Kasama sa Windows Server 2008 R2 ang ilang pagbabago na makabuluhang nagpapababa ng pasanin sa mga administrator ng system at ginagawang mas madaling pamahalaan ang imprastraktura ng IT. Halimbawa, ang mga naturang tool ay lumitaw bilang: Pag-audit ng mga pagbabago sa Active Directory, na nagpapakita kung sino ang nagbago kung ano at kailan; ang mga patakaran sa pagiging kumplikado ng password ay maaaring i-configure sa antas ng pangkat ng gumagamit dati ito ay posible lamang sa antas ng domain; bagong user at mga tool sa pamamahala ng computer; mga template ng patakaran; kontrol gamit ang command Mga string ng PowerShell atbp.

Pagpapatupad ng Active Directory

Ang serbisyo ng direktoryo ng Active Directory ay ang puso ng imprastraktura ng IT ng isang enterprise. Kung nabigo ito, ang buong network, lahat ng mga server, at ang gawain ng lahat ng mga gumagamit ay paralisado. Walang sinuman ang makakapag-log in sa computer o makaka-access sa kanilang mga dokumento at aplikasyon. Samakatuwid, ang isang serbisyo sa direktoryo ay dapat na maingat na idinisenyo at i-deploy, na isinasaalang-alang ang lahat posibleng mga nuances. Halimbawa, ang istraktura ng mga site ay dapat na nakabatay sa pisikal na topology ng network at bandwidth mga channel sa pagitan ng mga sangay o opisina ng kumpanya, dahil Direktang nakakaapekto ito sa bilis ng pag-login ng user, pati na rin ang pagtitiklop sa pagitan ng mga controller ng domain. Bilang karagdagan, batay sa topology ng site, ang Exchange Server 2007/2010 ay nagsasagawa ng pagruruta ng mail. Kailangan mo ring kalkulahin nang tama ang bilang at pagkakalagay ng mga global catalog server na nag-iimbak ng mga pangkalahatang listahan ng pangkat at marami pang ibang karaniwang ginagamit na katangian sa lahat ng domain sa kagubatan. Iyon ang dahilan kung bakit itinatalaga ng mga kumpanya ang mga gawain ng pagpapatupad, muling pagsasaayos o paglipat ng serbisyo ng direktoryo ng Active Directory sa mga integrator ng system. Gayunpaman, hindi ka dapat magkamali sa pagpili ng isang system integrator;

Ang LanKey ay isang certified system integrator at mayroong Microsoft Gold Certified Partner status. Ang LanKey ay may kakayahan sa Datacenter Platform (Advanced Infrastructure Solutions), na nagpapatunay sa aming karanasan at mga kwalipikasyon sa mga bagay na nauugnay sa pag-deploy ng Active Directory at pagpapatupad ng mga solusyon sa server Microsoft.


Ang lahat ng gawain sa mga proyekto ay isinasagawa ng mga sertipikadong inhinyero ng Microsoft na MCSE, MCITP, na may malawak na karanasan sa malalaki at kumplikadong mga proyekto upang bumuo ng mga imprastraktura ng IT at magpatupad ng mga domain ng Active Directory.

Bubuo ng LanKey ang imprastraktura ng IT, ilalagay ang serbisyo ng direktoryo ng Active Directory at titiyakin ang pagsasama-sama ng lahat ng umiiral na mapagkukunan ng enterprise sa isang solong espasyo ng impormasyon. Ang pagpapatupad ng Active Directory ay makakatulong na bawasan ang kabuuang halaga ng pagmamay-ari ng isang sistema ng impormasyon, pati na rin ang pagtaas ng kahusayan ng pagbabahagi ng mga karaniwang mapagkukunan. Nagbibigay din ang LanKey ng mga serbisyo para sa paglipat ng domain, pagsasama-sama at paghihiwalay ng mga imprastraktura ng IT sa panahon ng mga pagsasanib at pagkuha, pagpapanatili at suporta ng mga sistema ng impormasyon.

Mga halimbawa ng ilang proyekto sa pagpapatupad ng Active Directory na ipinatupad ng LanKey:

Customer Paglalarawan ng solusyon

Kaugnay ng transaksyon para sa pagbili ng 100% ng mga namamahagi ng kumpanya OJSC SIBUR-Minudobreniya (na kalaunan ay pinalitan ng pangalan OJSC SDS-Azot) Holding Company Siberian Business Union noong Disyembre 2011, ang pangangailangan ay lumitaw upang paghiwalayin ang IT infrastructure ng OJSC SDS - Azot" mula sa SIBUR Holding network.

Inilipat ng kumpanya ng LanKey ang serbisyo ng direktoryo ng Active Directory ng SIBUR-Minudobreniya division mula sa SIBUR holding network patungo sa isang bagong imprastraktura. Ang mga user account, computer, at application ay inilipat din. Batay sa mga resulta ng proyekto, isang liham ng pasasalamat ang natanggap mula sa customer.
Kaugnay ng muling pagsasaayos ng negosyo, ang serbisyo ng direktoryo ng Active Directory ay na-deploy para sa sentral na opisina at 50 Moscow at mga panrehiyong tindahan. Ang serbisyo ng direktoryo ay nagbigay ng sentralisadong pamamahala ng lahat ng mga mapagkukunan ng enterprise, pati na rin ang pagpapatunay at awtorisasyon ng lahat ng mga gumagamit.
Bilang bahagi ng isang komprehensibong proyekto upang lumikha ng isang enterprise IT infrastructure, ang LanKey ay nag-deploy ng Active Directory domain para sa management company at 3 regional divisions. Isang hiwalay na site ang ginawa para sa bawat branch; Na-deploy din ang mga serbisyo ng sertipikasyon. Ang lahat ng mga serbisyo ay na-deploy sa mga virtual machine na nagpapatakbo ng Microsoft Hyper-V. Ang kalidad ng trabaho ng kumpanya ng LanKey ay napansin ng pagsusuri.
Bilang bahagi ng isang komprehensibong proyekto upang lumikha ng isang corporate information system, ang serbisyo ng direktoryo ng Active Directory ay na-deploy batay sa Windows Server 2008 R2. Na-deploy ang system gamit ang teknolohiya ng virtualization ng server na nagpapatakbo ng Microsoft Hyper-V. Ang serbisyo ng direktoryo ay nagbigay ng pinag-isang pagpapatunay at awtorisasyon para sa lahat ng empleyado ng ospital, at tiniyak din ang paggana ng mga application tulad ng Exchange, TMG, SQL, atbp.



Ang serbisyo ng direktoryo ng Active Directory ay na-deploy sa Windows Server 2008 R2. Upang mabawasan ang mga gastos, ang pag-install ay isinagawa sa isang sistema ng virtualization ng server sa database ng Microsoft Hyper-V.
Bilang bahagi ng isang komprehensibong proyekto upang lumikha ng isang enterprise IT infrastructure, isang serbisyo ng direktoryo na batay sa Windows Server 2008 R2 ang na-deploy. Ang lahat ng mga controller ng domain ay na-deploy gamit ang Microsoft Hyper-V server virtualization system. Ang kalidad ng trabaho ay nakumpirma ng feedback na natanggap mula sa customer.


Ang paggana ng serbisyo ng direktoryo ng Active Directory ay naibalik sa pinakamaikling posibleng panahon sa isang kritikal na sitwasyon ng negosyo. Literal na naibalik ng mga espesyalista sa LanKey ang functionality ng root domain sa loob lamang ng ilang oras at nagsulat ng mga tagubilin para sa pagpapanumbalik ng replikasyon ng 80 branch office. Nakatanggap kami ng feedback mula sa customer para sa kahusayan at kalidad ng trabaho.
Bilang bahagi ng isang komprehensibong proyekto upang lumikha ng isang imprastraktura ng IT, isang Active Directory na domain ang na-deploy batay sa Windows Server 2008 R2. Ang functionality ng serbisyo ng direktoryo ay natiyak gamit ang 5 domain controllers na naka-deploy sa isang kumpol ng mga virtual machine. Ang serbisyo ng direktoryo ay na-back up gamit ang Microsoft Data Protection Manager 2010 at nasuri para sa kalidad.

Bilang bahagi ng isang komprehensibong proyekto upang bumuo ng isang corporate information system, ang Active Directory unified directory service ay na-deploy batay sa Windows Server 2008. Ang IT infrastructure ay binuo gamit ang Hyper-V virtualization. Matapos makumpleto ang proyekto, isang kasunduan ang ginawa para sa karagdagang pagpapanatili ng sistema ng impormasyon. Ang kalidad ng trabaho ay nakumpirma ng pagsusuri.
Mga teknolohiya ng langis at gas Bilang bahagi ng isang komprehensibong proyekto upang lumikha ng isang imprastraktura ng IT, isang direktoryo ng Active Directory ang na-deploy batay sa Windows Server 2008 R2. Natapos ang proyekto sa loob ng 1 buwan. Matapos makumpleto ang proyekto, isang kasunduan ang ginawa para sa karagdagang pagpapanatili ng system. Ang kalidad ng trabaho ay nakumpirma ng pagsusuri.
Na-deploy ang Active Directory sa Windows Server 2008 bilang bahagi ng proyekto ng pagpapatupad ng Exchange Server 2007.
Ang serbisyo ng direktoryo ng Active Directory batay sa Windows Server 2003 ay muling inayos dati pagpapatupad ng Exchange Server 2007. Ang kalidad ng trabaho ay kinumpirma ng pagsusuri.
Ang serbisyo ng direktoryo ng Active Directory ay na-deploy sa Windows Server 2003 R2. Matapos makumpleto ang proyekto, isang kontrata ang nilagdaan para sa karagdagang pagpapanatili ng sistema. Ang kalidad ng trabaho ay nakumpirma ng pagsusuri.

Na-deploy ang Active Directory sa Windows Server 2003. Pagkatapos makumpleto ang proyekto, nilagdaan ang isang kasunduan para sa karagdagang suporta ng system.

Ang Active Directory ay isang serbisyo ng direktoryo ng Microsoft para sa pamilya ng Windows NT ng mga operating system.

Ang serbisyong ito ay nagbibigay-daan sa mga administrator na gumamit ng mga patakaran ng grupo upang matiyak ang pagkakapare-pareho sa mga setting ng user. kapaligiran sa pagtatrabaho, pag-install ng software, mga update, atbp.

Ano ang kakanyahan ng Active Directory at anong mga problema ang nalulutas nito? Magbasa pa.

Mga prinsipyo ng pag-aayos ng mga peer-to-peer at multi-peer na network

Ngunit ang isa pang problema ay lumitaw, paano kung ang user2 sa PC2 ay nagpasya na baguhin ang kanyang password? Pagkatapos kung binago ng user1 ang password ng account, hindi maa-access ng user2 sa PC1 ang mapagkukunan.

Isa pang halimbawa: mayroon kaming 20 workstation na may 20 account kung saan gusto naming magbigay ng access sa isang partikular na .

Paano kung hindi 20 kundi 200 sila?

Tulad ng naiintindihan mo, ang pangangasiwa ng network na may ganitong paraan ay nagiging ganap na impiyerno.

Samakatuwid, ang diskarte sa workgroup ay angkop para sa maliliit mga network ng opisina na may bilang ng mga PC na hindi hihigit sa 10 mga yunit.

Kung mayroong higit sa 10 mga workstation sa network, ang diskarte kung saan ang isang network node ay itinalaga ng mga karapatang magsagawa ng pagpapatunay at awtorisasyon ay magiging makatwiran.

Ang node na ito ay ang domain controller - Active Directory.

Kontroler ng Domain

Ang controller ay nag-iimbak ng isang database ng mga account, i.e. nag-iimbak ito ng mga account para sa parehong PC1 at PC2.

Ngayon ang lahat ng mga account ay nakarehistro nang isang beses sa controller, at ang pangangailangan para sa mga lokal na account ay nagiging walang kabuluhan.

Ngayon, kapag nag-log in ang isang user sa isang PC, ipinapasok ang kanyang username at password, ang data na ito ay ipinapadala sa pribadong anyo sa controller ng domain, na nagsasagawa ng mga pamamaraan ng pagpapatunay at pagpapahintulot.

Pagkatapos, ang controller ay nag-isyu sa gumagamit na naka-log in ng isang bagay tulad ng isang pasaporte, kung saan siya pagkatapos ay gumagana sa network at kung saan siya ay nagpapakita sa kahilingan ng iba pang mga network computer, mga server kung saan ang mga mapagkukunan ay nais niyang kumonekta.

Mahalaga! Ang domain controller ay isang computer na nagpapatakbo ng Active Directory na kumokontrol sa access ng user sa mga mapagkukunan ng network. Nag-iimbak ito ng mga mapagkukunan (hal. mga printer, nakabahaging folder), mga serbisyo (hal. email), mga tao (mga account ng user at user group), mga computer (mga computer account).

Ang bilang ng mga naturang nakaimbak na mapagkukunan ay maaaring umabot sa milyon-milyong mga bagay.

Ang mga sumusunod na bersyon ng MS Windows ay maaaring kumilos bilang isang domain controller: Windows Server 2000/2003/2008/2012 maliban sa Web-Edition.

Ang domain controller, bilang karagdagan sa pagiging ang authentication center para sa network, ay din ang control center para sa lahat ng mga computer.

Kaagad pagkatapos i-on, ang computer ay nagsisimulang makipag-ugnayan sa domain controller, bago pa man lumitaw ang window ng pagpapatunay.

Kaya, hindi lamang ang gumagamit na pumapasok sa pag-login at password ay napatotohanan, kundi pati na rin ang computer ng kliyente ay napatotohanan.

Pag-install ng Active Directory

Tingnan natin ang isang halimbawa ng pag-install ng Active Directory sa Windows Server 2008 R2. Kaya, upang i-install ang papel na Active Directory, pumunta sa "Server Manager":

Idagdag ang tungkuling "Magdagdag ng Mga Tungkulin":

Piliin ang tungkulin ng Active Directory Domain Services:

At simulan natin ang pag-install:

Pagkatapos nito ay nakatanggap kami ng window ng notification tungkol sa naka-install na tungkulin:

Pagkatapos i-install ang domain controller role, magpatuloy tayo sa pag-install ng controller mismo.

I-click ang "Start" sa field ng paghahanap ng programa, ipasok ang pangalan ng DCPromo wizard, ilunsad ito at lagyan ng check ang kahon para sa mga advanced na setting ng pag-install:

I-click ang “Next” at piliing lumikha ng bagong domain at kagubatan mula sa mga opsyong inaalok.

Ilagay ang domain name, halimbawa, example.net.

Sinusulat namin ang pangalan ng domain ng NetBIOS, nang walang zone:

Piliin ang functional level ng aming domain:

Dahil sa mga kakaibang katangian ng paggana ng domain controller, nag-install din kami ng DNS server.

Paano ito makakatulong Aktibong Direktoryo mga espesyalista?

Magbibigay ako ng maliit na listahan ng mga "goodies" na makukuha mo sa pamamagitan ng pag-deploy ng Active Directory:

  • isang database ng pagpaparehistro ng solong user, na naka-imbak sa gitna sa isa o higit pang mga server; kaya, kapag lumitaw ang isang bagong empleyado sa opisina, kakailanganin mo lamang na lumikha ng isang account para sa kanya sa server at ipahiwatig kung aling mga workstation ang maaari niyang ma-access;
  • dahil na-index ang lahat ng mapagkukunan ng domain, ginagawa nitong posible para sa mga user na maghanap nang madali at mabilis; halimbawa, kung kailangan mong maghanap ng color printer sa isang departamento;
  • ang kumbinasyon ng paglalapat ng mga pahintulot sa NTFS, mga patakaran ng grupo at paglalaan ng kontrol ay magbibigay-daan sa iyo na i-fine-tune at ipamahagi ang mga karapatan sa pagitan ng mga miyembro ng domain;
  • ginagawang posible ng roaming user profile na mag-imbak ng mahalagang impormasyon at mga setting ng configuration sa server; sa katunayan, kung ang isang user na may roaming na profile sa isang domain ay umupo para magtrabaho sa isa pang computer at ipinasok ang kanyang username at password, makikita niya ang kanyang desktop na may mga setting na pamilyar sa kanya;
  • Gamit ang mga patakaran ng grupo, maaari mong baguhin ang mga setting ng mga operating system ng user, mula sa pagpayag sa user na magtakda ng wallpaper sa desktop hanggang sa mga setting ng seguridad, at ipamahagi din sa network. software, halimbawa, Volume Shadow Copy client, atbp.;
  • Maraming mga programa (proxy server, database server, atbp.) na hindi lamang ginawa ng Microsoft ngayon ay natutong gumamit ng domain authentication, kaya hindi mo na kailangang lumikha ng isa pang database ng user, ngunit maaaring gumamit ng isang umiiral na;
  • Ang paggamit ng Remote Installation Services ay nagpapadali sa pag-install ng mga system sa mga workstation, ngunit, sa turn, ay gagana lamang kung ang serbisyo ng direktoryo ay ipinatupad.

At Ito ay hindi isang kumpletong listahan ng mga posibilidad, ngunit higit pa sa na mamaya. Ngayon susubukan kong sabihin sa iyo ang lohika ng pagtatayo Aktibong Direktoryo, ngunit muli ay sulit na alamin kung saan ang ating mga anak na lalaki Aktibong Direktoryo- ito ay mga Domain, Puno, Kagubatan, Mga Unit ng Organisasyon, Mga Grupo ng mga User at Computer.

Mga Domain - Ito ang pangunahing lohikal na yunit ng konstruksiyon. Kumpara sa mga workgroup AD domain ay mga grupo ng seguridad na mayroon iisang base mga pagpaparehistro, habang ang mga workgroup ay isang lohikal na pagpapangkat ng mga makina. Gumagamit ang AD ng DNS para sa pagbibigay ng pangalan at mga serbisyo sa paghahanap ( Domain Name Server – domain name server), hindi WINS ( Windows Internet Serbisyo ng Pangalan - Serbisyo sa pangalan ng Internet), tulad ng sa mga naunang bersyon ng NT. Kaya, ang mga pangalan ng mga computer sa domain ay kamukha, halimbawa, buh.work.com, kung saan ang buh ay ang pangalan ng computer sa work.com domain (bagaman hindi ito palaging nangyayari).

Gumagamit ang mga workgroup ng mga pangalan ng NetBIOS. Upang mag-host ng istraktura ng domain AD Posibleng gumamit ng hindi Microsoft DNS server. Ngunit dapat itong tugma sa BIND 8.1.2 o mas mataas at sumusuporta sa mga talaan ng SRV() pati na rin sa Dynamic Registration Protocol (RFC 2136). Ang bawat domain ay may hindi bababa sa isang domain controller na nagho-host sa gitnang database.

mga puno - Ito ay mga multi-domain na istruktura. Ang ugat ng istrukturang ito ay ang pangunahing domain kung saan ka gumagawa ng mga child domain. Sa katunayan, ginagamit ng Active Directory sistemang hierarchical konstruksiyon, katulad ng istraktura ng mga domain sa DNS.

Kung mayroon kaming domain na work.com (first-level domain) at gumawa kami ng dalawang child domain para dito first.work.com at second.work.com (narito ang una at pangalawa ay mga second-level na domain, at hindi isang computer sa domain , tulad ng sa kaso , na inilarawan sa itaas), napupunta tayo sa isang domain tree.

Ang mga puno bilang isang lohikal na istraktura ay ginagamit kapag kailangan mong hatiin ang mga sangay ng isang kumpanya, halimbawa, ayon sa heograpiya, o para sa ilang iba pang mga kadahilanan ng organisasyon.

AD tumutulong na awtomatikong lumikha ng mga ugnayan ng tiwala sa pagitan ng bawat domain at mga child domain nito.

Kaya, ang paglikha ng first.work.com na domain ay humahantong sa awtomatikong pagtatatag ng isang two-way na ugnayan ng tiwala sa pagitan ng magulang na work.com at ang child first.work.com (katulad din para sa second.work.com). Samakatuwid, maaaring ilapat ang mga pahintulot mula sa parent domain sa bata, at vice versa. Hindi mahirap ipagpalagay na magkakaroon din ng mga relasyon sa pagtitiwala para sa mga domain ng bata.

Ang isa pang pag-aari ng mga relasyon sa tiwala ay transitivity. Napag-alaman namin na ang isang ugnayang pinagkakatiwalaan ay nilikha para sa domain na net.first.work.com na may domain na work.com.

kagubatan - Tulad ng mga puno, sila ay mga istrukturang multi-domain. Pero kagubatan ay isang unyon ng mga puno na may iba't ibang mga domain ng ugat.

Ipagpalagay na magpasya kang magkaroon ng maraming domain na pinangalanang work.com at home.net at lumikha ng mga child domain para sa kanila, ngunit dahil ang tld (top level na domain) ay wala sa ilalim ng iyong kontrol, sa kasong ito maaari kang mag-organisa ng kagubatan sa pamamagitan ng pagpili ng isa sa mga unang antas ng root domain. Ang kagandahan ng paglikha ng kagubatan sa kasong ito ay ang two-way na ugnayan ng tiwala sa pagitan ng dalawang domain na ito at ng kanilang mga child domain.

Gayunpaman, kapag nagtatrabaho sa mga kagubatan at puno, dapat mong tandaan ang mga sumusunod:

  • hindi ka maaaring magdagdag ng isang umiiral na domain sa puno
  • Hindi mo maaaring isama ang isang umiiral na puno sa kagubatan
  • Kapag nailagay na ang mga domain sa isang kagubatan, hindi na sila maaaring ilipat sa ibang kagubatan
  • hindi ka makakapagtanggal ng domain na may mga child domain

Mga yunit ng organisasyon - Sa prinsipyo, maaari silang tawaging mga subdomain. nagbibigay-daan sa iyong pagpangkatin ang mga user account, pangkat ng user, computer, nakabahaging mapagkukunan, printer at iba pang OU (Organizational Units) sa isang domain. Ang praktikal na benepisyo ng kanilang paggamit ay ang posibilidad ng pagtatalaga ng mga karapatang pangasiwaan ang mga yunit na ito.

Sa madaling salita, maaari kang magtalaga ng isang administrator sa isang domain na maaaring pamahalaan ang OU, ngunit walang mga karapatang pangasiwaan ang buong domain.

Ang isang mahalagang tampok ng mga OU, hindi katulad ng mga grupo, ay ang kakayahang maglapat ng mga patakaran ng grupo sa kanila. "Bakit hindi mo mahati ang orihinal na domain sa maraming domain sa halip na gumamit ng OU?" – tanong mo.

Maraming eksperto ang nagpapayo na magkaroon ng isang domain kung maaari. Ang dahilan nito ay ang desentralisasyon ng administrasyon kapag lumilikha karagdagang domain, dahil ang mga administrator ng bawat naturang domain ay tumatanggap ng walang limitasyong kontrol (paalalahanan kita na kapag nagtalaga ng mga karapatan sa mga administrator ng OU, maaari mong limitahan ang kanilang paggana).

Bilang karagdagan dito, upang lumikha ng isang bagong domain (kahit isang bata) kakailanganin mo ng isa pang controller. Kung mayroon kang dalawang magkahiwalay na departamento na konektado ng isang mabagal na channel ng komunikasyon, maaaring magkaroon ng mga problema sa pagtitiklop. Sa kasong ito, mas angkop na magkaroon ng dalawang domain.

Mayroon ding isa pang nuance ng paggamit ng mga patakaran ng grupo: ang mga patakarang tumutukoy sa mga setting ng password at lockout ng account ay maaari lamang ilapat sa mga domain. Para sa mga OU, binabalewala ang mga setting ng patakarang ito.

Mga website - Ito ay isang paraan upang pisikal na paghiwalayin ang isang serbisyo ng direktoryo. Sa pamamagitan ng kahulugan, ang isang site ay isang pangkat ng mga computer na konektado mabilis na mga channel paglilipat ng data.

Kung mayroon kang ilang mga sangay sa iba't ibang bahagi ng bansa, na konektado sa pamamagitan ng mababang bilis ng mga linya ng komunikasyon, pagkatapos ay para sa bawat sangay maaari kang lumikha ng iyong sariling website. Ginagawa ito upang madagdagan ang pagiging maaasahan ng pagtitiklop ng direktoryo.

Ang dibisyon ng AD na ito ay hindi nakakaapekto sa mga prinsipyo lohikal na konstruksyon, samakatuwid, kung paanong ang isang site ay maaaring maglaman ng ilang mga domain, at vice versa, ang isang domain ay maaaring maglaman ng ilang mga site. Ngunit mayroong isang catch sa topology ng serbisyo ng direktoryo na ito. Bilang isang patakaran, ang Internet ay ginagamit upang makipag-usap sa mga sangay - isang napaka-insecure na kapaligiran. Maraming mga kumpanya ang gumagamit ng mga hakbang sa seguridad tulad ng mga firewall. Gumagamit ang serbisyo ng direktoryo ng humigit-kumulang isang dosenang port at serbisyo sa trabaho nito, ang pagbubukas kung saan upang payagan ang trapiko ng AD na dumaan sa firewall ay talagang maglalantad dito "sa labas". Ang solusyon sa problema ay ang paggamit ng teknolohiya ng tunneling, gayundin ang pagkakaroon ng domain controller sa bawat site upang mapabilis ang pagproseso ng mga kahilingan ng AD client.

Ang lohika ng nesting ng mga bahagi ng serbisyo sa direktoryo ay ipinakita. Makikita na ang kagubatan ay naglalaman ng dalawang domain tree, kung saan ang root domain ng puno, sa turn, ay maaaring maglaman ng mga OU at grupo ng mga bagay, at mayroon ding mga child domain (sa kasong ito, isa para sa bawat isa). Ang mga child domain ay maaari ding maglaman ng mga object group at OU at may mga child domain (hindi ipinapakita sa figure). At iba pa. Hayaan mong ipaalala ko sa iyo na ang mga OU ay maaaring maglaman ng mga OU, mga bagay at grupo ng mga bagay, at ang mga grupo ay maaaring maglaman ng iba pang mga grupo.

Mga pangkat ng user at computer - ay ginagamit para sa mga layuning pang-administratibo at may parehong kahulugan tulad ng kapag ginamit sa mga lokal na makina sa network. Hindi tulad ng mga OU, hindi maaaring ilapat ang mga patakaran ng grupo sa mga grupo, ngunit maaaring italaga ang kontrol para sa kanila. Sa loob Mga aktibong scheme Tinutukoy ng direktoryo ang dalawang uri ng mga pangkat: mga pangkat ng seguridad (ginagamit upang ibahin ang mga karapatan sa pag-access sa mga bagay sa network) at mga pangkat ng pamamahagi (pangunahing ginagamit para sa pamamahagi mga mensaheng mail, halimbawa, sa Microsoft server Exchange Server).

Nahahati sila ayon sa saklaw:

  • unibersal na mga grupo maaaring kabilang ang mga gumagamit sa loob ng kagubatan pati na rin ang iba pang unibersal na grupo o pandaigdigang mga grupo anumang domain sa kagubatan
  • pandaigdigang mga pangkat ng domain maaaring magsama ng mga user ng domain at iba pang pandaigdigang pangkat ng parehong domain
  • mga lokal na pangkat ng domain na ginagamit upang ibahin ang mga karapatan sa pag-access, ay maaaring magsama ng mga user ng domain, pati na rin ang mga unibersal na grupo at pandaigdigang grupo ng anumang domain sa kagubatan
  • mga lokal na pangkat ng computer– mga pangkat na naglalaman ng SAM (security account manager) lokal na makina. Ang kanilang saklaw ay limitado lamang sa isang partikular na makina, ngunit maaari nilang isama ang mga lokal na grupo ng domain kung saan matatagpuan ang computer, pati na rin ang mga pangkalahatan at pandaigdigang grupo ng kanilang sariling domain o iba pang pinagkakatiwalaan nila. Halimbawa, maaari mong isama ang isang user mula sa domain na lokal na pangkat ng Mga User sa pangkat ng Mga Administrator ng lokal na makina, sa gayon ay binibigyan siya ng mga karapatan ng administrator, ngunit para lamang sa computer na ito

Ang pangunahing bahagi ng mga serbisyo ng domain sa bawat organisasyon ay ang mga punong-guro ng seguridad ( orihinal na pamagat- Security Principal), na nagbibigay ng mga user, grupo o computer na nangangailangan ng access sa mga partikular na mapagkukunan sa network. Ang mga bagay na ito, na tinatawag na mga security principal, ang maaaring bigyan ng mga pahintulot sa pag-access sa mga mapagkukunan sa network, at ang bawat punong-guro ay itinalaga ng isang natatanging security identifier (SID), na binubuo ng dalawang bahagi, sa panahon ng paglikha ng object. Security Identifier SID ay isang numeric na representasyon na natatanging nagpapakilala sa isang security principal. Ang unang bahagi ng naturang identifier ay domain id. Dahil ang mga punong-guro ng seguridad ay matatagpuan sa parehong domain, ang lahat ng naturang mga bagay ay itinalaga sa parehong domain identifier. Ang ikalawang bahagi ng SID ay relative identifier (RID), na ginagamit para natatanging kilalanin ang security principal kaugnay ng ahensyang nag-isyu ng SID.

Bagama't ang karamihan sa mga organisasyon ay nagpaplano at nag-deploy ng isang imprastraktura ng Mga Serbisyo ng Domain nang isang beses lang, at karamihan sa mga bagay ay sumasailalim sa napakadalang na pagbabago, isang mahalagang pagbubukod sa panuntunang ito ay ang mga punong-guro ng seguridad, na dapat pana-panahong idagdag, baguhin, at alisin. Ang isa sa mga pangunahing bahagi ng pagkakakilanlan ay ang mga account ng gumagamit. Sa pangkalahatan, ang mga user account ay mga pisikal na bagay, karamihan ay mga taong empleyado ng iyong organisasyon, ngunit may mga pagbubukod kung saan ang mga user account ay ginawa para sa ilang mga application bilang mga serbisyo. Naglalaro ang mga user account mahalagang papel sa pangangasiwa ng negosyo. Kabilang sa mga naturang tungkulin ang:

  • User ID, dahil pinapayagan ka ng ginawang account na mag-log in sa mga computer at domain na may eksaktong data na ang pagiging tunay nito ay na-verify ng domain;
  • Mga pahintulot na ma-access ang mga mapagkukunan ng domain, na itinalaga sa isang user na magbigay ng access sa mga mapagkukunan ng domain batay sa tahasang mga pahintulot.

Ang mga object ng user account ay kabilang sa mga pinakakaraniwang bagay sa Active Directory. Ito ay mga user account na kailangang bigyang pansin ng mga administrator espesyal na atensyon, dahil karaniwan na para sa mga user na magtrabaho sa isang organisasyon, lumipat sa pagitan ng mga departamento at opisina, magpakasal, magdiborsyo, at umalis pa sa kumpanya. Ang mga naturang bagay ay isang koleksyon ng mga katangian, at ang isang user account lamang ay maaaring maglaman ng higit sa 250 iba't ibang mga katangian, na ilang beses ang bilang ng mga katangian sa mga workstation at computer na tumatakbo sa Linux operating system. Kapag gumawa ka ng user account, isang limitadong hanay ng mga katangian ang gagawin, at pagkatapos ay maaari kang magdagdag ng mga kredensyal ng user gaya ng impormasyon ng organisasyon, mga address ng user, numero ng telepono, at higit pa. Samakatuwid, mahalagang tandaan na ang ilang mga katangian ay sapilitan, at ang iba pa - opsyonal. Sa artikulong ito ay pag-uusapan ko mga pangunahing pamamaraan paggawa ng mga user account, ilang opsyonal na katangian, at ilalarawan din ang mga tool na nagbibigay-daan sa iyong i-automate ang mga nakagawiang pagkilos na nauugnay sa paggawa ng mga user account.

Paglikha ng mga user gamit ang Active Directory Users at Computers

Sa karamihan ng mga kaso mga tagapangasiwa ng system Upang lumikha ng mga pangunahing kaalaman sa seguridad, mas gusto nilang gamitin ang snap-in, na idinagdag sa folder "Pamamahala" kaagad pagkatapos i-install ang papel "Mga Serbisyo sa Domain ng Active Directory" at pagpo-promote ng server sa isang domain controller. Ang pamamaraang ito ay ang pinaka-maginhawa dahil gumagamit ito ng isang graphical na interface ng gumagamit upang lumikha ng mga punong-guro ng seguridad at ang wizard ng paglikha ng user account ay napakadaling gamitin. Sa dehado ang pamamaraang ito Maaari itong maiugnay sa katotohanan na kapag lumilikha ng isang user account, hindi mo agad maitakda ang karamihan sa mga katangian, at kakailanganin mong idagdag ang mga kinakailangang katangian sa pamamagitan ng pag-edit ng account. Para gumawa ng user account, sundin ang mga hakbang na ito:

  • Sa bukid "Pangalan" ipasok ang iyong username;
  • Sa bukid "Inisyal" ipasok ang kanyang mga inisyal (kadalasan ay hindi ginagamit ang mga inisyal);
  • Sa bukid "Apelyido" ipasok ang apelyido ng user na gagawin;
  • Patlang "Buong pangalan" ginamit upang lumikha ng mga katangian ng nilikhang bagay tulad ng Karaniwang Pangalan CN at pagpapakita ng mga katangian ng pangalan. Ang field na ito ay dapat na natatangi sa buong domain, at awtomatikong napunan, at dapat lamang baguhin kung kinakailangan;
  • Patlang "Pangalan ng User Login" ay kinakailangan at nilayon para sa domain login name ng user. Dito kailangan mong ipasok ang iyong username at piliin ang UPN suffix mula sa drop-down na listahan, na matatagpuan pagkatapos ng simbolo na @;
  • Patlang "Pangalan ng User Login (Pre-Windows 2000)" ay inilaan para sa mga pangalan sa pag-log in para sa mga system bago ang Windows 2000 operating system. mga nakaraang taon Ang mga may-ari ng naturang mga sistema ay lalong bihira sa mga organisasyon, ngunit ang field ay kinakailangan, dahil ang ilang software ay gumagamit ng katangiang ito upang matukoy ang mga user;

Matapos punan ang lahat ng kinakailangang mga patlang, mag-click sa pindutan "Susunod":

kanin. 2. Dialog Box ng Paglikha ng User Account

  • Sa susunod na pahina ng user account creation wizard kailangan mong ipasok paunang password user sa field "Password" at kumpirmahin ito sa field "Pagkumpirma". Bilang karagdagan, maaari kang pumili ng isang katangian na nagsasaad na sa unang pagkakataong mag-log in ang isang user, dapat baguhin ng user ang password para sa kanilang account mismo. Pinakamainam na gamitin ang opsyong ito kasabay ng mga lokal na patakaran sa seguridad "Patakaran sa Password", na magbibigay-daan sa iyong lumikha ng malalakas na password para sa iyong mga user. Gayundin, sa pamamagitan ng pagsuri sa opsyon "Ipagbawal ang user na baguhin ang password" binibigyan mo ang user ng iyong password at pinipigilan silang baguhin ito. Kapag pumipili ng opsyon "Hindi nag-e-expire ang password" hindi kailanman mawawalan ng bisa ang password ng user account at hindi na kailangang i-reset panaka-nakang pagbabago. Kung lagyan mo ng check ang kahon "Idiskonekta ang account", kung gayon ang account na ito ay hindi para sa karagdagang trabaho at ang isang user na may ganoong account ay hindi makakapag-sign in hanggang sa ito ay pinagana. Ang pagpipiliang ito, tulad ng karamihan sa mga katangian, ay tatalakayin sa susunod na seksyon ng artikulong ito. Pagkatapos piliin ang lahat ng mga katangian, mag-click sa pindutan "Susunod". Ang pahina ng wizard na ito ay ipinapakita sa sumusunod na paglalarawan:

    • kanin. 3. Gumawa ng password para sa account na iyong ginagawa

  • Sa huling pahina ng wizard, makikita mo ang isang buod ng mga setting na iyong inilagay. Kung ang impormasyon ay naipasok nang tama, mag-click sa pindutan "Handa na" para gumawa ng user account at kumpletuhin ang wizard.

    • Paglikha ng mga user batay sa mga template

    Karaniwan, ang mga organisasyon ay may maraming mga dibisyon o departamento kung saan nabibilang ang iyong mga user. Sa mga departamentong ito, ang mga user ay may mga katulad na katangian (halimbawa, pangalan ng departamento, posisyon, numero ng opisina, atbp.). Para sa karamihan epektibong pamamahala mga user account mula sa isang departamento, halimbawa, gamit ang mga patakaran ng grupo, ipinapayong gawin ang mga ito sa loob ng domain sa mga espesyal na departamento (sa madaling salita, mga lalagyan) batay sa mga template. Template ng account ay isang account na unang lumitaw noong panahon ng mga operating system ng Windows NT, kung saan ang mga katangiang karaniwan sa lahat ng nilikhang user ay paunang napunan. Upang gumawa ng template ng user account, sundin ang mga hakbang na ito:

    • Heneral. Ang tab na ito ay inilaan para sa pagpuno sa mga indibidwal na katangian ng user. Kasama sa mga katangiang ito ang pangalan at apelyido ng user, isang maikling paglalarawan para sa account, numero ng telepono ng contact ng user, numero ng kuwarto, email address, at website. Dahil sa ang katunayan na ang impormasyong ito ay indibidwal para sa bawat isa indibidwal na gumagamit, ang data na napunan sa tab na ito ay hindi kinokopya;
    • Address. Sa kasalukuyang tab, maaari mong punan ang mailbox, lungsod, rehiyon, postal code at bansa kung saan nakatira ang mga user, na gagawin batay sa template na ito. Dahil karaniwang hindi magkatugma ang mga pangalan ng kalye ng bawat user, hindi maaaring kopyahin ang data sa field na ito;
    • Account. Sa tab na ito, maaari mong tukuyin nang eksakto kung kailan nag-log in ang user, ang mga computer kung saan maaaring mag-log in ang mga user, mga parameter ng account tulad ng storage ng password, mga uri ng pag-encrypt, atbp., pati na rin ang petsa ng pag-expire ng account;
    • Profile. Ang kasalukuyang tab ay nagbibigay-daan sa iyo na tukuyin ang landas patungo sa profile, ang script sa pag-login, ang lokal na landas sa home folder, pati na rin ang network na nagtutulak kung saan ang folder ng bahay account;
    • Organisasyon. Sa tab na ito, maaari mong ipahiwatig ang posisyon ng mga empleyado, ang departamento kung saan sila nagtatrabaho, ang pangalan ng organisasyon, at ang pangalan ng pinuno ng departamento;
    • Mga miyembro ng grupo. Dito tinukoy ang pangunahing pangkat at mga miyembro ng grupo.

    Ito ang mga pangunahing tab na pupunan mo kapag gumagawa ng mga template ng account. Bilang karagdagan sa anim na tab na ito, maaari mo ring punan ang impormasyon sa 13 tab. Karamihan sa mga tab na ito ay tatalakayin sa mga susunod na artikulo sa seryeng ito.

  • Ang susunod na hakbang ay lumilikha ng isang user account batay sa kasalukuyang template. Upang gawin ito, mag-right-click sa template ng account at mula sa menu ng konteksto pumili ng koponan "Kopyahin";
  • Sa dialog box "Kopyahin ang object - User" Ilagay ang pangalan ng user, apelyido, at pangalan sa pag-login. Sa susunod na pahina, ipasok ang iyong password at kumpirmasyon, at alisan ng tsek ang opsyon "Idiskonekta ang account". Kumpletuhin ang gawain ng wizard;

    • kanin. 5. Kopyahin ang Dialog Box ng User Account

  • Kapag nagawa na ang iyong account, pumunta sa mga property ng account na ginawa mo at suriin ang mga property na idinaragdag mo sa template. Ang mga na-configure na katangian ay makokopya sa bagong account.

    • Paglikha ng mga user gamit ang command line

    Tulad ng karamihan sa mga bagay, ang Windows operating system ay may command line utility na may katulad na snap-in na graphical user interface functionality "Aktibong Direktoryo - Mga User at Computer". Ang mga utos na ito ay tinatawag na mga utos ng DS dahil nagsisimula sila sa mga titik na DS. Upang lumikha ng mga punong-guro ng seguridad, gamitin ang command Dsadd. Pagkatapos ng mismong command, tinukoy ang mga modifier na tumutukoy sa uri at pangalan ng DN ng bagay. Sa kaso ng paglikha ng mga user account, kailangan mong tukuyin ang modifier gumagamit, na siyang uri ng bagay. Pagkatapos ng uri ng bagay, dapat mong ipasok ang pangalan ng DN ng bagay mismo. Ang DN (Distinguished Name) ng isang bagay ay isang set ng resulta na naglalaman ng natatanging pangalan. Ang DN ay karaniwang sinusundan ng UPN username o login name ng mga nakaraang bersyon ng Windows. Kung may mga puwang sa pangalan ng DN, ang pangalan ay dapat na nakapaloob sa mga panipi. Ang command syntax ay ang mga sumusunod:

    Dsadd user DN_name –samid account_name –UPN_name –pwd password –mga karagdagang parameter

    Mayroong 41 mga parameter na maaaring magamit sa utos na ito. Tingnan natin ang pinakakaraniwan sa kanila:

    -samid- pangalan ng user account;

    -upn– pre-Windows 2000 user login name;

    -fn– user name, na napunan sa field sa graphical interface "Pangalan";

    -mi- inisyal ng gumagamit;

    -ln– apelyido ng user, na tinukoy sa field na “Apelyido” ng wizard ng paggawa ng user account;

    -display– nagsasaad buong pangalan user, na awtomatikong nabuo sa user interface;

    -empid– empleyado code na nilikha para sa gumagamit;

    -pwd– parameter na tumutukoy sa password ng user. Kung tinukoy mo ang asterisk (*) na simbolo, ipo-prompt kang ipasok ang password ng user sa view-protected mode;

    -desc- isang maikling paglalarawan para sa account ng gumagamit;

    -miyembro ng– isang parameter na tumutukoy sa membership ng user sa isa o higit pang mga grupo;

    -opisina– lokasyon ng opisina kung saan nagtatrabaho ang user. Sa mga property ng account, makikita ang parameter na ito sa tab "Organisasyon";

    -tel– contact numero ng telepono ng kasalukuyang gumagamit;

    -email- address email user, na makikita sa tab "General";

    -hometel- parameter na nagpapahiwatig ng numero ng telepono sa bahay ng user;

    -mobile– numero ng telepono ng mobile user;

    -fax– numero ng fax machine na ginagamit ng kasalukuyang gumagamit;

    -pamagat- posisyon ng gumagamit sa organisasyon;

    -dept– pinapayagan ka ng parameter na ito na tukuyin ang pangalan ng departamento kung saan gumagana ang user na ito;

    -kumpanya– ang pangalan ng kumpanya kung saan gumagana ang nilikhang user;

    -hmdir– ang pangunahing direktoryo ng gumagamit, kung saan matatagpuan ang kanyang mga dokumento;

    -hmdrv– path sa network drive kung saan matatagpuan ang home folder ng account

    -profile- landas ng profile ng gumagamit;

    -mustchpwd– ang parameter na ito ay nagpapahiwatig na dapat baguhin ng user ang kanyang password sa kasunod na pag-login;

    -canchpwd– isang parameter na tumutukoy kung dapat baguhin ng user ang kanyang password. Kung ang halaga ng parameter ay "oo", pagkatapos ay magkakaroon ng pagkakataon ang user na baguhin ang password;

    -reversiblepwd– tinutukoy ng kasalukuyang parameter ang imbakan ng password ng user gamit ang reverse encryption;

    -pwdnever expires– isang opsyon na nagpapahiwatig na ang password ay hindi mawawalan ng bisa. Sa lahat ng apat na parameter na ito, ang mga halaga ay maaari lamang "oo" o "hindi";

    -acctexpires– isang parameter na tumutukoy pagkatapos ng ilang araw na mag-e-expire ang account. Ang isang positibong halaga ay kumakatawan sa bilang ng mga araw kung saan ang account ay mag-e-expire, habang ang isang negatibong halaga ay nangangahulugan na ito ay nag-expire na;

    -may kapansanan– nagpapahiwatig na ang account ay hindi pinagana. Ang mga halaga para sa parameter na ito ay din "oo" o "hindi";

    -q– indikasyon tahimik na mode upang iproseso ang utos.

    Halimbawa ng paggamit:

    Dsadd user “cn=Alexey Smirnov,OU=Marketing,OU=Users,DC=testdomain,DC=com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -display “Alexey Smirnov” - tel “743-49-62” -email [email protected]-dept Marketing -company TestDomain -title Marketer -hmdir \\dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd yes -disabled no

    kanin. 6. Paglikha ng user account gamit ang Dsadd utility

    Paglikha ng mga User Gamit ang CSVDE Command

    Ang isa pang command line utility, CSVDE, ay nagbibigay-daan sa iyo na mag-import o mag-export ng mga Active Direcoty object, na kinakatawan bilang isang cvd file, isang comma-delimited text file na maaaring gawin gamit ang processor ng mesa Microsoft Excel o ang pinakasimpleng text editor na Notepad. Sa file na ito, ang bawat bagay ay kinakatawan ng isang linya at dapat maglaman ng mga katangian na nakalista sa unang linya. Ito ay nagkakahalaga ng pagbibigay pansin sa katotohanan na ang paggamit ng utos na ito ay hindi mo mai-import mga password ng gumagamit, iyon ay, kaagad pagkatapos makumpleto ang pagpapatakbo ng pag-import, ang mga user account ay idi-disable. Ang isang halimbawa ng naturang file ay ang sumusunod:

    kanin. 7. Pagsusumite ng CSV File

    Ang command syntax ay ang mga sumusunod:

    Csvde –i –f filename.csv –k

    • -i. Isang parameter na kumokontrol sa import mode. Kung hindi mo tinukoy ang parameter na ito, gagamitin ng command na ito ang default na export mode;
    • -f
    • -k
    • -v
    • -j
    • -u. Isang opsyon na nagbibigay-daan sa iyong gamitin ang Unicode mode.

    Halimbawa ng paggamit ng command:

    Csvde -i -f d:\testdomainusers.csv -k

    kanin. 8. Mag-import ng mga user account mula sa isang CSV file

    Pag-import ng mga user gamit ang LDIFDE

    Ang Ldifde command line utility ay nagpapahintulot din sa iyo na mag-import o mag-export ng mga Active Directory object gamit ang LDIF (Lightweight Directory Access Protocol Data Interchange File). Ang format ng file na ito ay binubuo ng isang bloke ng mga linya na bumubuo ng isang partikular na operasyon. Hindi tulad ng mga CSV file, ito format ng file bawat indibidwal na linya ay kumakatawan sa isang hanay ng mga katangian, na sinusundan ng isang tutuldok at ang halaga ng kasalukuyang katangian mismo. Tulad ng sa isang CSV file, ang unang linya ay dapat na ang katangian ng DN. Sinusundan ito ng line changeType, na tumutukoy sa uri ng operasyon (idagdag, baguhin, o tanggalin). Upang maunawaan ang format ng file na ito, kailangan mong matutunan ang hindi bababa sa mga pangunahing katangian ng mga punong-guro ng seguridad. Ang isang halimbawa ay ibinigay sa ibaba:

    kanin. 9. Halimbawa ng LDF file

    Ang command syntax ay ang mga sumusunod:

    Ldifde -i -f filename.csv -k

    • -i. Isang parameter na kumokontrol sa import mode. Kung hindi mo tinukoy ang opsyong ito, gagamitin ng command na ito ang default na export mode;
    • -f. Isang parameter na tumutukoy sa pangalan ng file na i-import o i-export;
    • -k. Isang parameter na idinisenyo upang ipagpatuloy ang pag-import, laktawan ang lahat ng posibleng mga error;
    • -v. Isang parameter kung saan maaari kang magpakita ng detalyadong impormasyon;
    • -j. Parameter na responsable para sa lokasyon ng log file;
    • -d. Parameter na tumutukoy sa LDAP search root;
    • -f. Parameter na nilayon para sa LDAP search filter;
    • -p. Kinakatawan ang saklaw o lalim ng paghahanap;
    • -l. Nilalayon na tumukoy ng listahan ng mga katangian na pinaghihiwalay ng kuwit na isasama sa pag-export ng mga resultang bagay;

    Paglikha ng mga User Gamit ang VBScript

    Ang VBScript ay isa sa pinakamakapangyarihang tool na idinisenyo upang i-automate ang mga gawaing pang-administratibo. Ang tool na ito nagbibigay-daan sa iyo na lumikha ng mga script na idinisenyo upang i-automate ang karamihan sa mga pagkilos na maaaring gawin sa pamamagitan ng user interface. Ang mga VBScript ay mga text file na karaniwang maaaring i-edit ng mga gumagamit gamit ang mga karaniwang tool. mga text editor(hal. Notepad). At para magsagawa ng mga script, kailangan mo lang mag-double click sa icon ng script mismo, na magbubukas gamit ang Wscript command. Para gumawa ng user account sa VBScript walang partikular na command, kaya kailangan mo munang kumonekta sa container, pagkatapos ay gamitin ang Active Directory Services Interface (ADSI) adapter library gamit ang Get-Object statement, kung saan mag-execute ka ng LDAP query string na nagbibigay ng protocol moniker na LDAP:// na may pangalan ng object DN. Halimbawa, Itakda ang objOU=GetObject("LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com"). Ang pangalawang linya ng code ay nag-a-activate ng paraan ng Create ng division para lumikha ng object ng isang partikular na klase na may partikular na natatanging pangalan, halimbawa, Set objUser=objOU.Create(“user”,”CN= Yuriy Soloviev”). Ang ikatlong linya ay naglalaman ng paraan ng Put, kung saan kailangan mong tukuyin ang pangalan ng katangian at ang halaga nito. Huling linya ng ganitong senaryo Kinukumpirma ang mga pagbabagong ginawa, iyon ay, objUser.SetInfo().

    Halimbawa ng paggamit:

    Itakda ang objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com” Itakda ang objUser=objOU.Create(“user”,”CN= Yuri Solovyov”) objUser.Put “sAMAccountName” ,"Yuriy.Soloviev" objUser.Put "UserPrincipalName" [email protected]” objUser.Put “givenName”,”Yuri” objUser.Put “sn”Soloviev” objUser.SetInfo()

    Paglikha ng mga User Gamit ang PowerShell

    Nag-aalok na ngayon ang operating system ng Windows Server 2008 R2 ng kakayahang pamahalaan ang mga object ng Active Directory gamit ang Windows PowerShell. Ang PowerShell environment ay itinuturing na pinakamakapangyarihang command line shell, na binuo batay sa .Net Framework at idinisenyo upang pamahalaan at i-automate ang pangangasiwa ng mga operating system ng Windows at mga application na tumatakbo sa ilalim ng data mga operating system. Kasama sa PowerShell ang mahigit 150 command-line tool, na tinatawag na cmdlet, na nagbibigay ng kakayahang pamahalaan ang mga enterprise computer mula sa command line. Ang shell na ito ay isang bahagi ng operating system.

    Upang lumikha ng bagong user sa isang domain ng Active Directory, gamitin ang New-ADUser cmdlet, karamihan sa mga value ng property ay maaaring idagdag gamit ang mga parameter ng cmdlet na ito. Ang –Path na parameter ay ginagamit upang ipakita ang pangalan ng LDAP. Tinutukoy ng parameter na ito ang container o unit ng organisasyon (OU) para sa bagong user. Kung hindi tinukoy ang parameter ng Path, gagawa ang cmdlet ng object ng user sa default na container para sa mga object ng user sa ibinigay na domain, na siyang container ng Mga User. Upang tukuyin ang isang password, gamitin ang –AccountPassword parameter na may halaga (Read-Host -AsSecureString "Password para sa iyong account"). Ito rin ay nagkakahalaga ng pagbibigay pansin sa katotohanan na ang halaga ng parameter na –Country ay eksakto ang code ng bansa o rehiyon ng wikang pinili ng user. Ang syntax ng cmdlet ay ang mga sumusunod:

    Bagong-ADUser [-Pangalan] [-AccountExpirationDate ] [-AccountNotDelegated ] [-AccountPassword ] [-AllowReversiblePasswordEncryption ] [-AuthType (Negotiate | Basic)] [-CannotChangePassword ] [-Mga Sertipiko ] [-ChangePasswordAtLogon ] [-Lungsod ] [-Kumpanya ] [-Bansa ] [-Credential ] [-Kagawaran ] [-Paglalarawan ] [-DisplayName ] [-Dibisyon ] [-EmailAddress ] [-EmployeeID ] [-EmployeeNumber ] [-Pinagana ] [-Fax ] [-GivenName ] [-HomeDirectory ] [-HomeDrive ] [-HomePage ] [-HomePhone ] [-Mga inisyal ] [-Instance ] [-LogonWorkstations ] [-Manager ] [-MobilePhone ] [-Opisina ] [-OfficePhone ] [-Organisasyon ] [-Iba pang mga Katangian ] [-OtherName ] [-PassThru ] [-PasswordNeverExpires ] [-PasswordNotRequired ] [-Path ] [-POBox ] [-PostalCode ] [-ProfilePath ] [-SamAccountName ] [-ScriptPath ] [-Server ] [-ServicePrincipalNames ] [-SmartcardLogonRequired ] [-Estado ] [-StreetAddress ] [-Apelyido ] [-Pamagat ] [-TrustedForDelegation ] [-Uri ] [-UserPrincipalName ] [-Kumpirmahin] [-Paano Kung] [ ]

    Tulad ng makikita mo mula sa syntax na ito, walang saysay na ilarawan ang lahat ng mga parameter, dahil magkapareho sila sa mga katangian ng punong-guro ng seguridad at hindi nangangailangan ng paliwanag. Tingnan natin ang isang halimbawa ng paggamit:

    New-ADUser -SamAccountName "Evgeniy.Romanov" -Name "Evgeniy Romanov" -GivenName "Evgeniy" -Surname "Romanov" -DisplayName "Evgeniy Romanov" -Path "OU=Marketing,OU=Users,DC=testdomain,DC=com " -CannotChangePassword $false -ChangePasswordAtLogon $true -City "Kherson" -State "Kherson" -Country UA -Department "Marketing" -Title "Marketer" -UserPrincipalName "!} [email protected]" -EmailAddress " [email protected]" -Pinagana ang $true -AccountPassword (Read-Host -AsSecureString "AccountPassword")

    kanin. 10. Gumawa ng user account gamit ang Windows PowerShell

    Konklusyon

    Sa artikulong ito, natutunan mo ang tungkol sa konsepto ng isang punong-guro ng seguridad at kung ano ang papel na kinakatawan ng mga user account sa isang domain environment. Ang mga pangunahing senaryo para sa paglikha ng mga user account sa isang domain ng Active Directory ay tinalakay nang detalyado. Natutunan mo kung paano gumawa ng mga user account gamit ang snap-in "Aktibong Direktoryo - Mga User at Computer", gamit ang mga template, command line utilities Dsadd, CSVDE at LDIFDE. Natutunan mo rin ang tungkol sa paraan ng paggawa ng mga user account gamit ang VBScript scripting language at ang command shell Mga string ng Windows PowerShell.

    Ang teknolohiyang Active Directory (AD) ay isang serbisyo sa direktoryo na nilikha ng Microsoft. Ang isang serbisyo ng direktoryo ay naglalaman ng data sa isang organisadong format at nagbibigay ng organisadong pag-access dito. Ang Active Directory ay hindi isang imbensyon ng Microsoft, ngunit isang pagpapatupad ng isang umiiral na modelo ng industriya (ibig sabihin, X.500), isang protocol ng komunikasyon (LDAP - Lightweight Directory Access Protocol) at teknolohiya sa pagkuha ng data (mga serbisyo ng DNS).

    Dapat mong simulan ang pag-aaral tungkol sa Active Directory sa pamamagitan ng pag-unawa sa layunin ng teknolohiyang ito. Sa pangkalahatan, ang isang direktoryo ay isang lalagyan para sa pag-iimbak ng data.

    Ang isang direktoryo ng telepono ay isang magandang halimbawa ng isang serbisyo ng direktoryo dahil naglalaman ito ng isang set ng data at nagbibigay ng kakayahang makuha ang kinakailangang impormasyon mula sa direktoryo. Ang direktoryo ay naglalaman ng iba't ibang mga entry, bawat isa ay may eigenvalue, halimbawa, ang mga pangalan/apelyido ng mga subscriber, ang kanilang tirahan at, sa katunayan, ang kanilang numero ng telepono. Sa isang pinahabang direktoryo, ang mga entry ay pinagsama ayon sa heyograpikong lokasyon, uri, o pareho. Sa ganitong paraan, maaaring mabuo ang isang hierarchy ng mga uri ng talaan para sa bawat heyograpikong lokasyon. Bukod, operator ng telepono umaangkop din sa kahulugan ng isang serbisyo sa direktoryo dahil mayroon itong access sa data. Samakatuwid, kung magbibigay ka ng kahilingan upang makakuha ng anumang data ng direktoryo, ibibigay ng operator ang kinakailangang tugon sa natanggap na kahilingan.

    Ang serbisyo ng direktoryo ng Active Directory ay idinisenyo upang mag-imbak ng impormasyon tungkol sa lahat mga mapagkukunan ng network. Ang mga kliyente ay may kakayahang mag-query sa Active Directory upang makakuha ng impormasyon tungkol sa anumang bagay sa network. Kasama sa mga feature ng Active Directory ang mga sumusunod:

    • Secure na imbakan ng data. Ang bawat bagay sa Active Directory ay mayroon sariling listahan access control (ACL), na naglalaman ng isang listahan ng mga mapagkukunan na nabigyan ng access sa isang object, pati na rin ang isang paunang natukoy na antas ng access sa object na iyon.
    • Mayaman sa feature na query engine batay sa ginawa ng Active Direktoryo sa buong mundo katalogo (GC). Maa-access ng lahat ng kliyenteng sumusuporta sa Active Directory ang direktoryo na ito.
    • Ang pagkopya ng data ng direktoryo sa lahat ng mga controller ng domain ay pinapasimple ang pag-access sa impormasyon, pinapahusay ang availability, at pinapabuti ang pagiging maaasahan ng buong serbisyo.
    • Isang modular extension na konsepto na nagbibigay-daan sa iyong magdagdag ng mga bagong uri ng bagay o palawigin ang mga umiiral na bagay. Halimbawa, maaari mong idagdag ang attribute na "salary" sa object na "user".
    • Komunikasyon sa network gamit ang maramihang mga protocol. Ang Active Directory ay batay sa modelong X.500, na sumusuporta sa iba't-ibang mga protocol ng network hal LDAP 2, LDAP 3 at HTTP.
    • Upang ipatupad ang mga serbisyo sa pagpapangalan at paghahanap ng domain controller mga address ng network Ginagamit ang serbisyo ng DNS sa halip na NetBIOS.

    Ang impormasyon ng direktoryo ay ipinamamahagi sa buong domain, sa gayon ay maiiwasan ang labis na pagdoble ng data.

    Bagama't ang Active Directory ay namamahagi ng impormasyon ng direktoryo sa iba't ibang mga tindahan, may kakayahan ang mga user na mag-query sa Active Directory para sa impormasyon tungkol sa iba pang mga domain. Global catalog naglalaman ng impormasyon tungkol sa lahat ng bagay sa isang enterprise forest, na tumutulong sa iyong maghanap ng data sa buong kagubatan.

    Kapag pinatakbo mo ang DCPROMO utility (isang programa para sa pag-promote ng isang regular na server sa isang domain controller) sa isang computer na tumatakbo Kontrol sa Windows Upang lumikha ng isang bagong domain, ang utility ay lumilikha ng isang domain sa DNS server. Pagkatapos ay makipag-ugnayan ang kliyente sa DNS server upang makakuha ng impormasyon tungkol sa domain nito. DNS Server nagbibigay ng impormasyon hindi lamang tungkol sa domain, kundi pati na rin tungkol sa pinakamalapit na domain controller. Ang client system, sa turn, ay kumokonekta sa Active Directory domain database sa pinakamalapit na domain controller upang mahanap ang mga kinakailangang bagay (mga printer, file server, user, grupo, organisasyonal na unit) na bahagi ng domain. Dahil ang bawat domain controller ay nag-iimbak ng mga reference sa iba pang mga domain sa tree, maaaring hanapin ng kliyente ang buong domain tree.

    Available ang lasa ng Active Directory na naglilista ng lahat ng bagay sa isang domain forest kapag kailangan mong maghanap ng data sa labas ng domain tree ng kliyente. Ang bersyon na ito ay tinatawag na isang global catalog. Ang pandaigdigang catalog ay maaaring maimbak sa anumang domain controller sa AD forest.

    Ang global catalog ay nagbibigay ng mabilis na access sa bawat bagay na matatagpuan sa domain forest, ngunit naglalaman lamang ito ng ilang mga parameter ng object. Upang makuha ang lahat ng katangian, dapat kang makipag-ugnayan sa serbisyo ng Active Directory ng target na domain (ang controller ng domain ng interes). Maaaring i-configure ang global catalog upang maibigay ang mga kinakailangang katangian ng object.

    Upang gawing simple ang proseso ng paglikha ng mga object ng Active Directory, ang domain controller ay nagpapanatili ng isang kopya at hierarchy ng klase para sa buong kagubatan. Ang Active Directory ay naglalaman ng mga istruktura ng klase sa isang napapalawak na schema kung saan maaaring magdagdag ng mga bagong klase.

    Schema ay bahagi ng Windows configuration namespace na sinusuportahan ng lahat ng domain controllers sa kagubatan. Ang Windows configuration namespace ay binubuo ng ilan mga elemento ng istruktura gaya ng pisikal na lokasyon, mga site ng Windows, at mga subnet.

    Site ay nakapaloob sa loob ng isang kagubatan at maaaring pagsamahin ang mga computer mula sa anumang domain, at lahat ng mga computer sa site ay dapat may mabilis at maaasahang mga koneksyon sa network upang i-back up ang data ng controller ng domain.

    Subnet ay isang pangkat ng mga IP address na inilalaan sa isang site. Binibigyang-daan ka ng mga subnet na pabilisin ang pagtitiklop ng data ng Active Directory sa pagitan ng mga controller ng domain.



    MGA KAUGNAY NA ARTIKULO