Kako podesiti pametne telefone i računare. Informativni portal
  • Dom
  • Windows Phone
  • Šta je Active Directory - kako instalirati i konfigurirati. Najbolji primjeri iz prakse za Active Directory

Šta je Active Directory - kako instalirati i konfigurirati. Najbolji primjeri iz prakse za Active Directory

18.08.2019 Windows Phone

Active Directory je usluga upravljanja sistemom. Oni su mnogo bolja alternativa lokalnim grupama i omogućavaju vam da kreirate računarske mreže sa efikasnim upravljanjem i pouzdanom zaštitom podataka.

Ako se ranije niste susreli s konceptom Active Directory i ne znate kako takvi servisi funkcioniraju, ovaj članak je za vas. Hajde da shvatimo šta ovaj koncept znači, koje su prednosti takvih baza podataka i kako ih kreirati i konfigurisati za početnu upotrebu.

Active Directory je vrlo zgodan način upravljanja sistemom. Uz Active Directory, možete efikasno upravljati svojim podacima.

Ove usluge vam omogućavaju da kreirate jednu bazu podataka kojom upravljaju kontrolori domena. Ako ste vlasnik preduzeća, vodite kancelariju, generalno kontrolišete aktivnosti mnogih ljudi koji se moraju ujediniti, takav domen će vam dobro doći.

Uključuje sve objekte - računare, štampače, faksove, korisničke naloge i još mnogo toga. Zbir domena na kojima se nalaze podaci naziva se "šuma". Baza Active Directory je okruženje bazirano na domeni u kojem broj objekata može biti do 2 milijarde. Možete li zamisliti ovu skalu?

Odnosno, uz pomoć takve "šume" ili baze podataka moguće je povezati veliki broj zaposlenih i opreme u kancelariji, a bez osvrta na mjesto - u servise se mogu povezati i drugi korisnici, npr. , iz ureda firme u drugom gradu.

Osim toga, nekoliko domena se kreira i spaja u okviru Active Directory-a – što je kompanija veća, potrebno je više alata za kontrolu njene tehnologije unutar baze podataka.

Nadalje, prilikom kreiranja takve mreže određuje se jedan kontrolni domen, a čak i uz naknadno prisustvo drugih domena, originalni i dalje ostaje "roditelj" - odnosno samo on ima potpuni pristup upravljanju informacijama.

Gdje se ti podaci pohranjuju i kako postoje domeni? Kontroleri se koriste za kreiranje Active Directory. Obično ih ima dva - ako se jednom nešto dogodi, informacija će biti sačuvana na drugom kontroleru.

Druga opcija za korištenje baze podataka je ako, na primjer, vaša kompanija sarađuje sa drugom, a vi morate da završite zajednički projekat. U tom slučaju može biti potreban pristup neovlaštenih osoba fajlovima domene, a ovdje možete uspostaviti neku vrstu "veze" između dvije različite "šume", otvoriti pristup traženim informacijama bez rizika po sigurnost ostatka podaci.

Općenito, Active Directory je alat za kreiranje baze podataka unutar određene strukture, bez obzira na njenu veličinu. Korisnici i sva oprema su ujedinjeni u jednu "šumu", kreiraju se domeni koji se nalaze na kontrolerima.

Također je preporučljivo pojasniti da usluge mogu raditi samo na uređajima sa Windows serverskim sistemima. Pored toga, na kontrolerima se kreiraju 3-4 DNS servera. Oni opslužuju glavnu zonu domene, a u slučaju da jedan od njih pokvari, drugi serveri ga zamjenjuju.

Nakon kratkog pregleda Active Directory za lutke, prirodno vas zanima pitanje - zašto promijeniti lokalnu grupu u cijelu bazu podataka? Naravno, ovdje je polje mogućnosti višestruko šire, a da bismo saznali druge razlike između ovih servisa za upravljanje sistemom, pogledajmo bliže njihove prednosti.

Prednosti aktivnog imenika

Prednosti Active Directory-a su sljedeće:

  1. Korištenje jednog resursa za autentifikaciju. U ovoj situaciji, potrebno je da dodate sve naloge na svakom računaru koji zahtevaju pristup opštim informacijama. Što je više korisnika i tehničara, to je teže uskladiti ove podatke između njih.

I tako, kada koristite usluge sa bazom podataka, nalozi se pohranjuju u jednom trenutku, a promjene stupaju na snagu odmah na svim računarima.

Kako radi? Svaki zaposlenik koji dođe u kancelariju pokreće sistem i prijavljuje se na svoj nalog. Zahtjev za prijavu će automatski biti dostavljen serveru i autentifikacija će se odvijati preko njega.

Što se tiče određenog reda u vođenju evidencije, uvijek možete podijeliti korisnike u grupe - "Kadovski resursi" ili "Računovodstvo".

Još je lakše u ovom slučaju omogućiti pristup informacijama - ako trebate otvoriti folder za zaposlene iz jednog odjela, to činite preko baze podataka. Zajedno dobijaju pristup potrebnoj fascikli sa podacima, dok ostali dokumenti ostaju zatvoreni.

  1. Kontrola nad svakim članom baze podataka.

Ako je u lokalnoj grupi svaki član nezavisan, teško ga je kontrolisati sa drugog računara, onda se u domenima mogu postaviti određena pravila u skladu sa politikom kompanije.

Kao administrator sistema, možete konfigurisati postavke pristupa i sigurnosne postavke, a zatim ih primijeniti za svaku korisničku grupu. Naravno, ovisno o hijerarhiji, jedna grupa može definirati strože postavke, dok se drugima može dati pristup drugim datotekama i radnjama u sistemu.

Osim toga, kada se nova osoba pridruži kompaniji, njen računar će odmah dobiti potreban set postavki, gdje su uključene komponente za rad.

  1. Svestranost u instalaciji softvera.

Usput, o komponentama - uz pomoć Active Directory možete dodijeliti štampače, instalirati potrebne programe za sve zaposlene odjednom, postaviti parametre privatnosti. Generalno, stvaranje baze podataka će značajno optimizirati rad, pratiti sigurnost i ujediniti korisnike za maksimalnu efikasnost.

A ako kompanija upravlja posebnim uslužnim ili posebnim uslugama, oni se mogu sinkronizirati s domenama i pojednostaviti im pristup. Kako? Ako kombinujete sve proizvode koji se koriste u kompaniji, zaposleni neće morati da unosi različite login i lozinke da bi se prijavio u svaki program - ove informacije će biti podeljene.

Sada kada ste shvatili prednosti i implikacije korištenja Active Directory-a, prođimo kroz proces instaliranja ovih usluga.

Korištenje baze podataka na Windows Server 2012

Instaliranje i konfigurisanje Active Directory-a nije teško, a takođe je lakše nego što se čini na prvi pogled.

Da biste učitali usluge, prvo morate učiniti sljedeće:

  1. Promenite ime računara: kliknite na "Start", otvorite Control Panel, stavku "Sistem". Odaberite "Promijeni parametre" i u Svojstvima nasuprot retka "Naziv računara" kliknite na "Promijeni", unesite novu vrijednost za glavni računar.
  2. Ponovo pokrenite sistem na zahtev računara.
  3. Postavite mrežne postavke ovako:
    • Sa kontrolne table otvorite meni Mreže i deljenje.
    • Ispravne postavke adaptera. Kliknite desnim tasterom miša na Svojstva i kliknite na karticu Networking.
    • U prozoru sa liste kliknite na Internet protokol na broju 4, ponovo kliknite na "Svojstva".
    • Unesite potrebna podešavanja, na primjer: IP adresa - 192.168.10.252, maska ​​podmreže - 255.255.255.0, glavni podmrežni prolaz - 192.168.10.1.
    • U redu "Željeni DNS server" navedite adresu lokalnog servera, u "Alternativno ..." - ostale adrese DNS servera.
    • Sačuvajte promjene i zatvorite prozore.

Instalirajte uloge Active Directory ovako:

  1. Otvorite "Server Manager" kroz početak.
  2. Iz izbornika odaberite Dodaj uloge i značajke.
  3. Čarobnjak će se pokrenuti, ali možete preskočiti prvi prozor opisa.
  4. Provjerite liniju "Instaliranje uloga i funkcija", nastavite dalje.
  5. Odaberite svoj računar da instalirate Active Directory na njega.
  6. Sa liste označite ulogu koju želite da učitate - za vaš slučaj, ovo je "Active Directory Domain Services".
  7. Pojavit će se mali prozor u kojem se od vas traži da preuzmete komponente potrebne za usluge - prihvatite to.
  8. Tada će se od vas tražiti da instalirate druge komponente - ako vam nisu potrebne, samo preskočite ovaj korak klikom na "Dalje".
  9. Čarobnjak za podešavanje će prikazati prozor sa opisima usluga koje instalirate - čitajte dalje i idite dalje.
  10. Pojavit će se lista komponenti koje ćemo instalirati - provjerite da li je sve ispravno i ako jeste, pritisnite odgovarajuće dugme.
  11. Zatvorite prozor kada se proces završi.
  12. To je to - usluge se učitavaju na vaš računar.

Konfiguriranje Active Directory

Da biste postavili uslugu domene, trebate učiniti sljedeće:

  • Pokrenite čarobnjak za konfiguraciju istog imena.
  • Kliknite na žuti pokazivač na vrhu prozora i odaberite Promote Server Role to Domain Controller.
  • Kliknite na dodaj novu "šumu" i kreirajte ime za root domen, a zatim kliknite "Dalje".
  • Odredite funkcionalne nivoe šuma i domena — najčešće su isti.
  • Smislite lozinku, ali je svakako zapamtite. Nastavite dalje.
  • Nakon toga možete vidjeti upozorenje da domena nije delegirana i prijedlog za provjeru naziva domene - ove korake možete preskočiti.
  • U sljedećem prozoru možete promijeniti putanju do direktorija baze podataka - učinite to ako vam ne odgovaraju.
  • Sada ćete vidjeti sve parametre koje ćete postaviti - provjerite da li ste ih ispravno odabrali i nastavite dalje.
  • Aplikacija će provjeriti da li su preduslovi ispunjeni, a ako nema komentara ili nisu kritični, kliknite na "Instaliraj".
  • Nakon završetka instalacije, računar će se sam ponovo pokrenuti.

Možda se pitate i kako dodati korisnika u bazu podataka. Da biste to uradili, koristite meni „Active Directory Users or Computers“ koji ćete pronaći u odeljku „Administracija“ na kontrolnoj tabli ili koristite meni za podešavanja baze podataka.

Da biste dodali novog korisnika, kliknite desnim tasterom miša na ime domene, izaberite „Kreiraj“, posle „Podela“. Videćete prozor u koji treba da unesete naziv novog odeljenja – on služi kao fascikla u kojoj možete prikupljati korisnike iz različitih odeljenja. Na isti način ćete kasnije kreirati još nekoliko divizija i pravilno rasporediti sve zaposlene.

Zatim, kada ste kreirali naziv odjela, kliknite desnim klikom na njega i odaberite "Novo", nakon - "Korisnik". Sada ostaje samo da unesete potrebne podatke i podesite postavke pristupa za korisnika.

Kada se kreira novi profil, kliknite na njega odabirom kontekstnog menija i otvorite "Svojstva". Na kartici "Račun" uklonite kvačicu pored "Blokiraj ...". To je sve.

Opšti zaključak je da je Active Directory moćan i koristan alat za upravljanje sistemom koji će pomoći da se svi računari zaposlenih ujedine u jedan tim. Uz pomoć servisa možete kreirati sigurnu bazu podataka i značajno optimizirati rad i sinhronizaciju informacija između svih korisnika. Ako je vaša firma i bilo koje drugo mjesto rada povezano sa računarima i mrežom, potrebno je da kombinujete naloge i nadgledate rad i privatnost, instalacija baze podataka zasnovana na Active Directory-u biće odlično rešenje.

Svaki početnik, suočen sa akronimom AD, pita se šta je Active Directory? Active Directory je usluga imenika koju je razvio Microsoft za Windows domenske mreže. Uključen je u većinu Windows Server operativnih sistema kao skup procesa i usluga. U početku se servis bavio samo domenima. Međutim, od Windows Servera 2008, AD je postao naziv za širok spektar usluga identiteta zasnovanih na direktorijumu. Ovo čini Active Directory boljim mjestom za učenje za početnike.

Osnovna definicija

Server koji pokreće Active Directory domenske usluge naziva se kontroler domene. On provjerava autentičnost i ovlasti sve korisnike i računare u Windows mrežnom domenu, dodjeljujući i primjenjujući sigurnosne politike za sve PC računare i instalirajući ili ažurirajući softver. Na primjer, kada se korisnik prijavi na računar koji je uključen u Windows domenu, Active Directory potvrđuje datu lozinku i utvrđuje da li je objekt administrator sistema ili standardni korisnik. Takođe vam omogućava da upravljate i pohranjujete informacije, pruža autentifikaciju i mehanizme autorizacije i postavlja okvir za implementaciju drugih povezanih usluga: usluge certifikata, federalne i lake usluge imenika i upravljanje pravima.

Active Directory koristi LDAP verzije 2 i 3, Microsoftovu verziju Kerberosa i DNS-a.

Šta je Active Directory? Jednostavnim riječima o kompleksu

Praćenje mrežnih podataka je dosadan zadatak. Čak i na malim mrežama, korisnici imaju tendenciju da imaju poteškoća u pronalaženju mrežnih datoteka i štampača. Bez neke vrste imenika, srednje i velike mreže se ne mogu upravljati i često imaju poteškoća u pronalaženju resursa.

Prethodne verzije Microsoft Windows-a su uključivale usluge koje su korisnicima i administratorima pomogle da pronađu podatke. Umrežavanje je korisno u mnogim okruženjima, ali očigledan nedostatak je nezgodan interfejs i njegova nepredvidljivost. WINS Manager i Server Manager se mogu koristiti za pregled liste sistema, ali nisu bili dostupni krajnjim korisnicima. Administratori su koristili User Manager za dodavanje i uklanjanje podataka potpuno drugačijeg tipa mrežnog objekta. Ove aplikacije su se pokazale neefikasne za rad u velikim mrežama i postavile su pitanje zašto u kompaniji Active Directory?

Direktorij, u svom najopćenitijem smislu, je potpuna lista objekata. Telefonski imenik je vrsta imenika koji pohranjuje informacije o ljudima, preduzećima i vladinim organizacijama iobično sadrže imena, adrese i brojeve telefona. Postavljam pitanje Active Directory - šta je to, jednostavno rečeno, možemo reći da je ova tehnologija slična direktoriju, ali je mnogo fleksibilnija. AD pohranjuje informacije o organizacijama, lokacijama, sistemima, korisnicima, dionicama i bilo kojem drugom mrežnom objektu.

Uvod u osnovne koncepte Active Directory

Zašto je organizaciji potreban Active Directory? Kao što je spomenuto u uvodu u Active Directory, usluga pohranjuje informacije o mrežnim komponentama. Vodič za Active Directory za početnike navodi da jeste omogućava klijentima da pronađu objekte u svom imenskom prostoru. Ovaj t Termin (koji se naziva i stablo konzole) odnosi se na područje u kojem se mrežna komponenta može nalaziti. Na primjer, sadržaj knjige stvara prostor imena u kojem poglavlja mogu biti mapirana na brojeve stranica.

DNS je stablo konzole koje razrješava imena hostova u IP adrese kao što je toTelefonski imenici pružaju prostor imena za razlučivanje imena za telefonske brojeve. Kako ovo funkcionira u Active Directoryju? AD pruža stablo konzole za rješavanje imena mrežnih objekata na same objekte imože riješiti širok spektar objekata, uključujući korisnike, sisteme i usluge na mreži.

Objekti i atributi

Sve što Active Directory nadgleda smatra se objektom. Jednostavnim riječima možemo reći da je ovo u Active Directoryju je bilo koji korisnik, sistem, resurs ili usluga. Uobičajeni termin objekt se koristi jer AD može pratiti mnoge elemente, a mnogi objekti mogu dijeliti zajedničke atribute. Šta to znači?

Atributi opisuju objekte u aktivnom direktoriju Active Directory, na primjer, svi prilagođeni objekti dijele atribute za pohranjivanje korisničkog imena. Ovo se odnosi i na njihov opis. Sistemi su također objekti, ali imaju poseban skup atributa koji uključuju ime hosta, IP adresu i lokaciju.

Skup atributa dostupnih za bilo koji određeni tip objekta naziva se šema. To čini klase objekata različitim jedna od druge. Informacije o šemi su zapravo pohranjene u Active Directory. Da je ovo ponašanje sigurnosnog protokola veoma važno pokazuje činjenica da shema dozvoljava administratorima da dodaju atribute klasama objekata i distribuiraju ih po mreži u svim kutovima domene bez ponovnog pokretanja bilo kojeg kontrolera domene.

LDAP kontejner i naziv

Kontejner je poseban tip objekta koji se koristi za organizaciju rada usluge. Ne predstavlja fizički entitet kao što je korisnik ili sistem. Umjesto toga, koristi se za grupiranje drugih stavki zajedno. Objekti kontejnera mogu biti ugniježđeni unutar drugih kontejnera.

Svaka stavka u AD ima ime. To nisu oni na koje ste navikli, na primjer, Ivan ili Olga. Ovo su LDAP prepoznatljiva imena. LDAP različita imena su složena, ali omogućavaju da bilo koji objekt unutar direktorija bude jedinstveno identificiran, bez obzira na njegov tip.

Stablo termina i lokacija

Stablo pojmova se koristi za opisivanje skupa objekata u Active Directory. Šta je? Jednostavno rečeno, ovo se može objasniti pomoću asocijacije stabla. Kada su kontejneri i objekti hijerarhijski kombinovani, oni imaju tendenciju da formiraju grane - otuda i naziv. Srodni termin je kontinualno podstablo, koje se odnosi na neraskidivo glavno deblo drveta.

Nastavljajući s metaforom, izraz šuma opisuje kolekciju koja nije dio istog prostora imena, ali ima zajedničku šemu, konfiguraciju i globalni katalog. Objekti u ovim strukturama dostupni su svim korisnicima ako to sigurnost dozvoljava. Organizacije sa više domena treba da grupišu stabla u jednu šumu.

Stranica je geografska lokacija kako je definirana u Active Directoryju. Lokacije odgovaraju logičkim IP podmrežama i, kao takve, mogu ih koristiti aplikacije da pronađu najbliži server na mreži. Korištenje informacija o lokaciji iz Active Directory može značajno smanjiti WAN promet.

Active Directory Management

Komponenta dodatka Active Directory - Korisnici. To je najpogodniji alat za administriranje Active Directory-a. Direktno mu se pristupa iz programske grupe Administrativni alati na Start meniju. On zamjenjuje i poboljšava Server Manager i User Manager iz Windows NT 4.0.


Sigurnost

Active Directory igra važnu ulogu u budućnosti Windows umrežavanja. Administratori bi trebali moći zaštititi svoj direktorij od uljeza i korisnika dok delegiraju zadatke drugim administratorima. Ovo je sve moguće pomoću sigurnosnog modela Active Directory, koji povezuje listu kontrole pristupa (ACL) sa svakim atributom kontejnera i objekta u direktoriju.

Visok nivo kontrole omogućava administratoru da pojedinačnim korisnicima i grupama dodeli različite nivoe dozvola za objekte i njihova svojstva. Oni čak mogu dodati atribute objektima i sakriti te atribute od određenih grupa korisnika. Na primjer, možete postaviti ACL tako da samo menadžeri mogu vidjeti kućne telefone drugih korisnika.

Delegirana administracija

Koncept nov za Windows 2000 Server je delegirana administracija. Ovo vam omogućava da dodijelite zadatke drugim korisnicima bez dodjele dodatnih prava pristupa. Delegirana administracija se može dodijeliti kroz specifične objekte ili susjedna podstabla direktorija. Ovo je mnogo efikasniji metod davanja ovlašćenja nad mrežama.

V dodjeljivanjem svih globalnih administratorskih prava domene nekome, korisniku se mogu dati dozvole samo unutar određenog podstabla. Active Directory podržava nasljeđivanje, tako da svi novi objekti nasljeđuju ACL iz svog kontejnera.

Izraz "odnos povjerenja"

Izraz "povjerenje" se još uvijek koristi, ali ima drugačiju funkcionalnost. Ne postoji razlika između jednostranih i bilateralnih trustova. Svi Active Directory trustovi su dvosmjerni. Štaviše, svi su tranzitivni. Dakle, ako domen A vjeruje domeni B i B vjeruje C, tada postoji automatski implicitni odnos povjerenja između domene A i domene C.

Revizija u Active Directoryju - šta je to jednostavnim riječima? Ovo je sigurnosna funkcija koja vam omogućava da odredite ko pokušava pristupiti objektima, kao i koliko je taj pokušaj uspješan.

Korištenje DNS-a (sistema imena domena)

Različiti DNS sistem je neophodan za svaku organizaciju koja je povezana na Internet. DNS omogućava razlučivanje imena između uobičajenih imena kao što je mspress.microsoft.com i sirovih IP adresa koje komponente mrežnog sloja koriste za komunikaciju.

Active Directory u velikoj mjeri koristi DNS tehnologiju za pronalaženje objekata. Ovo je značajna promjena u odnosu na prethodne Windows operativne sisteme koji zahtijevaju da se NetBIOS imena rješavaju IP adresama i oslanjaju na WINS ili druge tehnike rješavanja NetBIOS imena.

Active Directory najbolje radi kada se koristi sa Windows 2000 DNS serverima. Microsoft je olakšao administratorima da pređu na Windows 2000 DNS servere tako što je obezbedio čarobnjake za migraciju koji vode administratora kroz proces.

Mogu se koristiti i drugi DNS serveri. Međutim, u ovom slučaju, administratori će morati potrošiti više vremena na upravljanje DNS bazama podataka. Koje su nijanse? Ako odlučite da ne koristite Windows 2000 DNS servere, morate osigurati da vaši DNS serveri budu u skladu s novim DNS protokolom za dinamičko ažuriranje. Serveri se oslanjaju na dinamičko ažuriranje svojih zapisa kako bi pronašli kontrolere domena. Nije udobno. Uostalom, eAko dinamičko ažuriranje nije podržano, morate ručno ažurirati baze podataka.

Windows domene i internet domene su sada potpuno kompatibilne. Na primjer, ime kao što je mspress.microsoft.com će identificirati Active Directory kontrolere domena odgovorne za domenu, tako da svaki klijent sa DNS pristupom može pronaći kontroler domene.Klijenti mogu koristiti DNS rezoluciju da traže bilo koji broj usluga jer Active Directory serveri objavljuju listu adresa u DNS-u koristeći novu funkciju dinamičkog ažuriranja. Ovi podaci se identificiraju kao domena i objavljuju kroz evidenciju resursa usluge. SRV RR-ovi slijede format service.protocol.domain.

Serveri Active Directory pružaju LDAP uslugu za hostovanje objekta, a LDAP koristi TCP kao osnovni transportni protokol. Stoga će klijent koji traži Active Directory server u domeni mspress.microsoft.com potražiti DNS zapis za ldap.tcp.mspress.microsoft.com.

Globalni katalog

Active Directory pruža globalni katalog (GC) ipruža jedan izvor za pronalaženje bilo kojeg objekta na mreži organizacije.

Globalni katalog je usluga u Windows 2000 Serveru koja omogućava korisnicima da pronađu sve objekte kojima je odobren pristup. Ova funkcionalnost je daleko bolja od one aplikacije Find Computer uključenu u prethodne verzije Windows-a. Na kraju krajeva, korisnici mogu pretraživati ​​bilo koji objekt u Active Directoryju: servere, štampače, korisnike i aplikacije.

Osnovna komponenta domenskih usluga u svakoj organizaciji su principi sigurnosti (prvobitno nazvani Security principal), koji pružaju korisnicima, grupama ili računarima kojima je potreban pristup određenim resursima na mreži. Objektima kao što su principali sigurnosti možete dodijeliti dozvole za pristup resursima na mreži, pri čemu se svakom principalu dodjeljuje jedinstveni sigurnosni identifikator (SID) tokom kreiranja objekta, koji se sastoji od dva dijela. Sigurnosni ID SID naziva se numeričkom reprezentacijom koja jedinstveno identificira principala sigurnosti. Prvi dio takvog identifikatora je id domena... Budući da se principali sigurnosti nalaze u istoj domeni, svim takvim objektima se dodjeljuje isti identifikator domene. Drugi dio SID-a je relativni identifikator (RID) koji se koristi za jedinstvenu identifikaciju principala sigurnosti u odnosu na agenciju koja izdaje SID.

Iako većina organizacija planira i implementira infrastrukturu domenskih usluga samo jednom i rijetko mijenja većinu objekata, važan izuzetak od ovog pravila su sigurnosni principi koje je potrebno dodati, promijeniti i ukloniti s vremena na vrijeme. Korisnički nalozi su jedna od osnovnih komponenti identifikacije. U osnovi, korisnički nalozi su fizički entiteti, uglavnom ljudi, koji su zaposleni u vašoj organizaciji, ali postoje izuzeci kada se korisnički nalozi kreiraju za neke aplikacije kao usluge. Korisnički nalozi igraju ključnu ulogu u administraciji preduzeća. Ove uloge uključuju:

  • Identitet korisnika, budući da kreirani nalog omogućava da se prijavite na računare i domene sa tačno onim podacima čiju autentičnost proverava domen;
  • Dozvole za pristup resursima domene koji su dodijeljeni korisniku da odobri pristup resursima domene na osnovu eksplicitnih dozvola.

Objekti korisničkog naloga su među najčešćim objektima u Active Directoryju. Administratori moraju da obrate posebnu pažnju na korisničke naloge, jer korisnici obično dolaze da rade u organizaciji, kreću se između odeljenja i kancelarija, venčavaju se, venčavaju, razvode pa čak i napuštaju kompaniju. Takvi objekti su skup atributa, a samo jedan korisnički račun može sadržavati preko 250 različitih atributa, što je nekoliko puta više od broja atributa na radnim stanicama i računalima na kojima je pokrenut Linux. Kada kreirate korisnički nalog, kreira se ograničen skup atributa i tek tada možete dodati korisničke vjerodajnice kao što su organizacijske informacije, korisničke adrese, brojevi telefona i još mnogo toga. Stoga je važno napomenuti da neki atributi jesu obavezan a ostalo - opciono... U ovom članku govorit ću o ključnim metodama za kreiranje korisničkih naloga, nekim opcijskim atributima, a također ću opisati alate za automatizaciju rutinskih radnji povezanih s kreiranjem korisničkih naloga.

Kreirajte korisnike koristeći Active Directory korisnike i računare

U ogromnoj većini slučajeva, administratori sistema radije koriste snap-in koji se dodaje u folder "Administracija" odmah nakon instaliranja uloge Usluge domena Active Directory i promoviranje servera u kontrolor domene. Ova metoda je najpogodnija jer koristi grafičko korisničko sučelje za kreiranje sigurnosnih principa, a čarobnjak za kreiranje korisničkog naloga je vrlo jednostavan za korištenje. Nedostatak ove metode je što prilikom kreiranja korisničkog naloga ne možete odmah postaviti većinu atributa, već ćete morati dodati potrebne atribute uređivanjem naloga. Da kreirate prilagođeni račun, slijedite ove korake:

  • Na terenu "ime" unesite svoje korisničko ime;
  • Na terenu "inicijali" unesite njegove inicijale (najčešće se inicijali ne koriste);
  • Na terenu "Prezime" unesite prezime korisnika koji se kreira;
  • Polje "Puno ime" koristi se za kreiranje atributa generiranog objekta kao što je zajedničko ime CN i prikaz svojstava imena. Ovo polje mora biti jedinstveno u cijeloj domeni, i popunjava se automatski, a mijenjate ga samo ako je potrebno;
  • Polje "Ime za prijavu korisnika" je obavezan i namijenjen za prijavu na domenu korisnika. Ovdje trebate unijeti korisničko ime i sa padajuće liste odabrati UPN sufiks, koji će se nalaziti iza simbola @;
  • Polje Korisničko ime za prijavu (pre-Windows 2000) namenjeno za prijavno ime za sisteme ranije od operativnog sistema Windows 2000. Poslednjih godina organizacije imaju sve manje vlasnika takvih sistema, ali ovo polje je obavezno, jer neki softver koristi ovaj atribut za identifikaciju korisnika;

Nakon što popunite sva potrebna polja, kliknite na dugme "Dalje":

Rice. 2. Dijaloški okvir za kreiranje korisničkog naloga

  • Na sljedećoj stranici čarobnjaka za kreiranje korisničkog naloga moraćete da unesete početnu korisničku lozinku u polje "Lozinka" i potvrdite to na terenu "Potvrda"... Osim toga, možete odabrati atribut koji označava da korisnik mora samostalno promijeniti lozinku za svoj račun kada se prvi put prijavi na sistem. Najbolje je koristiti ovu opciju u kombinaciji s lokalnim sigurnosnim politikama. "Politika lozinke" da kreirate jake lozinke za svoje korisnike. Također tako što ćete označiti kućicu na opciji "Spriječiti korisnika da promijeni lozinku" korisniku dajete svoju lozinku i sprječavate njezinu promjenu. Prilikom odabira opcije "Lozinka ne ističe" lozinka za korisnički nalog nikada neće isteći i neće se morati periodično menjati. Ako označite polje "Onemogući račun", onda ovaj nalog neće biti namenjen daljem radu i korisnik sa takvim nalogom neće moći da se prijavi dok se ne uključi. Ova opcija, kao i većina atributa, bit će razmotrena u sljedećem odjeljku ovog članka. Nakon odabira svih atributa, kliknite na dugme "Dalje"... Ova stranica čarobnjaka je prikazana na sljedećoj ilustraciji:

    • Rice. 3. Kreiranje lozinke za kreirani nalog

  • Na posljednjoj stranici čarobnjaka vidjet ćete sažetak parametara koje ste unijeli. Ako su podaci ispravno uneseni, kliknite na dugme "spreman" da kreirate korisnički nalog i završite rad čarobnjaka.

    • Kreiranje korisnika iz šablona

    Organizacije obično imaju mnogo odjela ili odjela koji uključuju vaše korisnike. U ovim odjeljenjima korisnici imaju slična svojstva (na primjer, naziv odjela, pozicija, broj ureda, itd.). Za što efikasnije upravljanje korisničkim nalozima iz jednog odeljenja, na primer, korišćenjem grupnih politika, preporučljivo je kreirati ih unutar domena u posebnim odeljenjima (drugim rečima, kontejnerima) na osnovu šablona. Predložak naloga je nalog koji se prvi put pojavio u vreme Windows NT operativnih sistema, u kojem su atributi zajednički za sve kreirane korisnike unapred popunjeni. Za kreiranje predloška korisničkog računa slijedite ove korake:

    • Generale... Ova kartica je namijenjena popunjavanju pojedinačnih korisnički definiranih atributa. Ovi atributi uključuju ime i prezime korisnika, kratak opis naloga, kontakt telefonski broj korisnika, broj sobe, njegov nalog e-pošte i web stranicu. Zbog činjenice da su ovi podaci individualni za svakog pojedinačnog korisnika, podaci koji su popunjeni na ovoj kartici se ne kopiraju;
    • Adresa... Na trenutnoj kartici možete popuniti poštanski sandučić, grad, državu, poštanski broj i državu prebivališta korisnika koji će biti kreirani na osnovu ovog šablona. Pošto svaki korisnik obično nema iste nazive ulica, podaci iz ovog polja se ne mogu kopirati;
    • Račun... U ovoj kartici možete odrediti tačno vrijeme prijavljivanja korisnika, računare kojima će korisnici moći pristupiti, parametre naloga kao što su čuvanje lozinki, tipovi šifriranja itd., kao i datum isteka naloga;
    • Profil... Trenutna kartica vam omogućava da odredite putanju do profila, skriptu za prijavu, lokalnu putanju do matične fascikle, kao i mrežne diskove na kojima će se nalaziti početna fascikla naloga;
    • Organizacija... Na ovoj kartici možete odrediti poziciju zaposlenih, odjel u kojem rade, naziv organizacije, kao i ime šefa odjeljenja;
    • Članovi grupe... Ovdje su navedene glavne grupe i članstva u grupama.

    Ovo su glavne kartice koje se popunjavaju kada kreirate šablone naloga. Pored ovih šest kartica, informacije možete popuniti i u 13 kartica. Većina ovih kartica će biti obrađena u narednim člancima u ovoj seriji.

  • Sljedeći korak je kreiranje korisničkog naloga na osnovu trenutnog predloška. Da biste to učinili, desnom tipkom miša kliknite predložak računa i odaberite naredbu iz kontekstnog izbornika "kopija";
  • U dijaloškom okviru "Kopiraj objekat - korisnik" unesite ime, prezime i prijavno ime korisnika. Na sljedećoj stranici unesite lozinku i potvrdu i poništite izbor opcije "Onemogući račun"... Dovršite čarobnjaka;

    • Rice. 5. Dijaloški okvir za kopiranje korisničkog računa

  • Nakon kreiranja naloga idite na svojstva kreiranog naloga i pogledajte svojstva koja ste dodali predlošku. Konfigurirani atributi će se kopirati na novi račun.

    • Kreiranje korisnika pomoću alata komandne linije

    Kao i kod većine stvari, operativni sistem Windows ima uslužne programe komandne linije sa sličnom funkcionalnošću kao i grafički korisnički interfejs koji se ubacuje Korisnici i računari Active Directory... Takve komande se nazivaju DS komande jer počinju slovima DS. Za kreiranje principala sigurnosti koristite naredbu Dsadd... Nakon same naredbe, postoje modifikatori koji definiraju tip i DN objekta. U slučaju kreiranja korisničkih naloga, potrebno je da navedete modifikator korisnik koji je tip objekta. Nakon tipa objekta, morate unijeti DN ime samog objekta. Distinguished Name (DN) objekta je skup rezultata koji sadrži razlikovno ime. DN obično prati UPN korisničko ime ili ime za prijavu prethodnih verzija Windows-a. Ako DN ime sadrži razmake, tada ime mora biti stavljeno u navodnike. Sintaksa naredbe je sljedeća:

    Dsadd korisnika DN_name –samid account_name –UPN_name –pwd lozinka –dodatni parametri

    41 parametar se može koristiti sa ovom komandom. Razmotrimo najčešće:

    -samid- naziv korisničkog računa;

    -upn- ime za prijavu korisnika pre-Windows 2000;

    -fn- korisničko ime, koje se popunjava u polju u grafičkom interfejsu "ime";

    -mi- inicijal korisnika;

    -ln- prezime korisnika, navedeno u polju "Prezime" čarobnjaka za kreiranje korisničkog naloga;

    -displej- specificira puno ime korisnika, koje se automatski generira u korisničkom interfejsu;

    -empid- šifra zaposlenog koja se kreira za korisnika;

    -pwd- parametar koji definira korisničku lozinku. U slučaju da navedete zvjezdicu (*), od vas će biti zatraženo da unesete korisničku lozinku u zaštićenom načinu rada;

    -desc- kratak opis korisničkog naloga;

    -član- parametar koji određuje članstvo korisnika u jednoj ili više grupa;

    -kancelarija- lokaciju kancelarije u kojoj korisnik radi. U svojstvima naloga, ova postavka se može pronaći ispod kartice "organizacija";

    -tel- kontakt telefon trenutnog korisnika;

    -e-mail- adresa e-pošte korisnika, koja se nalazi na kartici "general";

    -hometel- parametar koji označava kućni broj telefona korisnika;

    -mobilni- broj telefona mobilnog korisnika;

    -fax- broj faksa koji trenutni korisnik koristi;

    -naslov- položaj korisnika u datoj organizaciji;

    -dept- ovaj parametar vam omogućava da odredite naziv odjela u kojem ovaj korisnik radi;

    -kompanija- naziv firme u kojoj kreirani korisnik radi;

    -hmdir- glavni imenik korisnika, u kojem će se nalaziti njegovi dokumenti;

    -hmdrv- put do mrežnog diska na kojem će se nalaziti početna fascikla naloga

    -profil- putanja korisničkog profila;

    -mustchpwd- ovaj parametar označava da je korisnik sljedeći put kada se prijavi na sistem dužan promijeniti svoju lozinku;

    -canchpwd- parametar koji određuje da li korisnik treba promijeniti svoju lozinku. Ako vrijednost parametra specificira "da", tada će korisnik imati opciju da promijeni lozinku;

    -reversiblepwd- trenutni parametar definira skladištenje korisničke lozinke korištenjem obrnute enkripcije;

    -pwdneverexpires Je parametar koji pokazuje da lozinka nikada neće isteći. Samo u sva ova četiri parametra "da" ili "ne";

    -acctexpires- parametar koji određuje nakon koliko dana će račun isteći. Pozitivna vrijednost predstavlja broj dana nakon kojih će račun isteći, dok negativna vrijednost znači da je već istekao;

    -invalid- označava da je račun već onemogućen. Vrijednosti za ovaj parametar su također "da" ili "ne";

    -q- indikacija tihog režima za obradu komandi.

    Primjer upotrebe:

    Dsadd korisnik “cn = Alexey Smirnov, OU = Marketing, OU = Korisnici, DC = testdomain, DC = com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -prikaz “Alexey Smirnov” - tel “743-49-62” -e-mail [email protected]-dept Marketing -firma TestDomain -title Marketer -hmdir \\ dc \ profili \ Alexey.Smirnov -hmdrv X -mustchpwd da -onemogućeno ne

    Rice. 6. Kreiranje korisničkog naloga pomoću uslužnog programa Dsadd

    Kreirajte korisnike koristeći CSVDE naredbu

    Još jedan uslužni program komandne linije CSVDE vam omogućava da uvezete ili izvezete Active Direcoty objekte predstavljene kao cvd datoteku - tekstualnu datoteku razdvojenu zarezima koja se može kreirati pomoću procesora proračunskih tablica Microsoft Excel ili najjednostavnijeg uređivača teksta Notepad. U ovoj datoteci svaki objekat je predstavljen jednom linijom i mora sadržavati atribute koji su navedeni u prvom redu. Vrijedno je obratiti pažnju na činjenicu da pomoću ove naredbe ne možete uvesti korisničke lozinke, odnosno odmah nakon završetka operacije uvoza korisnički nalozi će biti onemogućeni. Primjer takve datoteke je sljedeći:

    Rice. 7. Prezentacija CSV datoteke

    Sintaksa naredbe je sljedeća:

    Csvde –i –f ime datoteke.csv –k

    • -i... Parametar koji je odgovoran za način uvoza. Ako ne navedete ovaj parametar, onda će ova naredba koristiti zadani način izvoza;
    • -f
    • -k
    • -v
    • -j
    • -u... Opcija za korištenje Unicode načina rada.

    Primjer korištenja naredbe:

    Csvde -i -f d: \ testdomainusers.csv -k

    Rice. 8. Uvoz korisničkih naloga iz CSV datoteke

    Uvoz korisnika pomoću LDIFDE

    Ldifde pomoćni program komandne linije vam također omogućava uvoz ili izvoz objekata Active Directory koristeći format datoteke za razmjenu podataka Lightweight Directory Access Protocol (LDIF). Ovaj format datoteke sastoji se od bloka linija koje formiraju određenu operaciju. Za razliku od CSV datoteka, u ovom formatu datoteke, svaki pojedinačni red je skup atributa, nakon čega slijedi dvotočka i stvarna vrijednost trenutnog atributa. Kao iu CSV datoteci, prvi red mora biti DN atribut. Iza njega slijedi niz changeType koji označava tip operacije (dodavanje, promjena ili brisanje). Da biste naučili razumjeti ovaj format datoteke, morate naučiti barem ključne atribute sigurnosnih principala. Primjer je dat u nastavku:

    Rice. 9. Primjer LDF datoteke

    Sintaksa naredbe je sljedeća:

    Ldifde -i -f ime datoteke.csv -k

    • -i... Parametar koji je odgovoran za način uvoza. Ako ne navedete ovaj parametar, onda će ova naredba koristiti zadani način izvoza;
    • -f... Parametar koji identifikuje ime datoteke za uvoz ili izvoz;
    • -k... Parametar namijenjen za nastavak uvoza, preskačući sve moguće greške;
    • -v... Parametar pomoću kojeg možete prikazati detaljne informacije;
    • -j... Parametar odgovoran za lokaciju datoteke evidencije;
    • -d... Parametar koji specificira korijen LDAP pretraživanja;
    • -f... Parametar za LDAP filter pretrage;
    • -p... Predstavlja područje ili dubinu pretrage;
    • -l... Dizajniran da specificira listu atributa razdvojenih zarezima koji će biti uključeni u izvoz rezultirajućih objekata;

    Kreiranje korisnika pomoću VBScript-a

    VBScript je jedan od najmoćnijih alata za automatizaciju administrativnih zadataka. Ovaj alat vam omogućava da kreirate skripte dizajnirane da automatizuju većinu radnji koje se mogu izvesti preko korisničkog interfejsa. VBScript skripte su tekstualne datoteke koje korisnici obično mogu uređivati ​​pomoću običnih uređivača teksta (kao što je Notepad). A da biste izvršili skripte, potrebno je samo dvaput kliknuti na ikonu same skripte, koja će se otvoriti pomoću naredbe Wscript. Ne postoji posebna naredba za kreiranje korisničkog naloga u VBScript-u, tako da se prvo morate povezati sa kontejnerom, a zatim koristiti biblioteku adaptera Active Directory Services Interface (ADSI) koristeći naredbu Get-Object, gdje se izvršava niz LDAP upita koji daje protokolni nadimak LDAP: // s DN imenom objekta. Na primjer, postavite objOU = GetObject (“LDAP: // OU = Marketing, OU = Korisnici, dc = testdomain, dc = com”). Drugi red koda aktivira metodu Create jedinice za kreiranje objekta određene klase sa specifičnim razlikovnim imenom, na primjer, Set objUser = objOU.Create („korisnik“, „CN = Yuri Solovjev“). Treći red je metoda Put, gdje trebate navesti ime atributa i njegovu vrijednost. Poslednji red ove skripte potvrđuje izvršene promene, odnosno objUser.SetInfo ().

    Primjer upotrebe:

    Postavite objOU = GetObject (“LDAP: // OU = Marketing, OU = Korisnici, dc = testdomain, dc = com” Postavite objUser = objOU.Create (“user”, ”CN = Yuri Soloviev”) objUser.Put “sAMAccountName” , ”Yuriy.Soloviev” objUser.Put “UserPrincipalName” [email protected]"ObjUser.Put" givenName "," Yuri "objUser.Put" sn "Soloviev" objUser.SetInfo ()

    Kreiranje korisnika pomoću PowerShell-a

    Windows Server 2008 R2 uvodi mogućnost upravljanja objektima Active Directory pomoću Windows PowerShell-a. PowerShell se smatra najmoćnijom ljuskom komandne linije razvijenom na osnovu .Net Framework-a i dizajniranom za upravljanje i automatizaciju administracije Windows operativnih sistema i aplikacija koje rade na ovim operativnim sistemima. PowerShell uključuje preko 150 alata komandne linije, zvanih cmdlet, koji pružaju mogućnost upravljanja računarima u vašem preduzeću iz komandne linije. Ova ljuska je komponenta operativnog sistema.

    Da biste kreirali novog korisnika u domeni Active Directory, koristite cmdlet New-ADUser, čija se većina vrijednosti svojstva može dodati korištenjem parametara ovog cmdleta. Parametar –Path se koristi za prikaz LDAP imena. Ovaj parametar specificira kontejner ili organizacijsku jedinicu (OU) za novog korisnika. Ako parametar Putanja nije naveden, cmdlet kreira korisnički objekt u zadanom kontejneru za korisničke objekte u ovoj domeni, odnosno u kontejneru Korisnici. Da biste naveli lozinku, koristite parametar –AccountPassword sa vrijednošću (Read-Host -AsSecureString "Lozinka za vaš račun"). Također, obratite pažnju na činjenicu da je vrijednost parametra –Country upravo šifra zemlje ili regije jezika koji je odabrao korisnik. Sintaksa za cmdlet je sljedeća:

    Novi-ADU korisnik [-Ime] [-AccountExpirationDate ] [-AccountNotDelegated ] [-Lozinka računa ] [-AllowReversiblePasswordEncryption ] [-AuthType (Pregovaranje | Osnovno)] [-CannotChangePassword ] [-Sertifikati ] [-ChangePasswordAtLogon ] [-Grad ] [-Kompanija ] [-Država ] [-Akreditiv ] [-Odjel ] [-Opis ] [-Ime prikaza ] [-Divizija ] [-E-mail adresa ] [-ID zaposlenika ] [-Broj radnika ] [-Omogućeno ] [-Faks ] [-Dato ime ] [-HomeDirectory ] [-HomeDrive ] [-Početna stranica ] [-Kućni telefon ] [-Inicijal ] [-Instanca ] [-LogonWorkstations ] [-Upravitelj ] [-Mobilni telefon ] [-Kancelarija ] [-OfficePhone ] [-Organizacija ] [-OtherAttributes ] [-Drugo ime ] [-PassThru ] [-PasswordNeverExpires ] [-PasswordNotRequired ] [-Put ] [-Poštanski pretinac ] [-Poštanski broj ] [-Putanja profila ] [-SamAccountName ] [-ScriptPath ] [-Server ] [-ServicePrincipalNames ] [-SmartcardLogonRequired ] [-Stanje ] [-Adresa ulice ] [-Prezime ] [-Naslov ] [-TrustedForDelegation ] [-Tip ] [-UserPrincipalName ] [-Potvrdi] [-Šta ako] [ ]

    Kao što možete vidjeti iz ove sintakse, nema smisla opisivati ​​sve parametre, jer su identični atributima principala sigurnosti i ne trebaju objašnjenje. Pogledajmo primjer upotrebe:

    Novi-ADUser -SamAccountName "Evgeniy.Romanov" -Ime "Evgeniy Romanov" -GivenName "Evgeniy" -Prezime "Romanov" -DisplayName "Evgeniy Romanov" -Putanja "OU = Marketing, OU = Korisnici, DC = testdomain, DC = com "-CannotChangePassword $ false -ChangePasswordAtLogon $ true -Grad" Herson "-Država" Herson "-Zemlja UA -Odjel" Marketing "-Title" (! LANG: Marketer" -UserPrincipalName "!} [email protected]"-E-mail adresa" [email protected]"-Omogućeno $ true -AccountPassword (Read-Host -AsSecureString" AccountPassword ")

    Rice. 10. Kreiranje korisničkog naloga pomoću Windows PowerShell-a

    Zaključak

    U ovom članku naučili ste o konceptu principala sigurnosti i ulozi korisničkih naloga u okruženju domene. Detaljno su razmotreni glavni scenariji za kreiranje korisničkih naloga u domenu Active Directory. Naučili ste kako kreirati prilagođene račune pomoću dodatka Korisnici i računari Active Directory koristeći šablone, pomoćne programe komandne linije Dsadd, CSVDE i LDIFDE. Takođe ste naučili o VBScript jeziku za skriptovanje i metodi komandne linije Windows PowerShell za kreiranje korisničkih naloga.

    Politika grupe je hijerarhijska infrastruktura koja omogućava administratoru mreže zaduženom za Microsoftov Active Directory da implementira specifične konfiguracije za korisnike i računare. Politika grupe se također može koristiti za definiranje korisničkih, sigurnosnih i mrežnih politika na razini stroja.

    Definicija

    Grupe Active Directory pomažu administratorima da definiraju postavke za ono što korisnici mogu raditi na mreži, uključujući datoteke, mape i aplikacije kojima mogu pristupiti. Kolekcije korisničkih i računarskih postavki nazivaju se GPO i upravljaju se iz centralnog interfejsa koji se zove Operacijska konzola. Politika grupe se takođe može kontrolisati pomoću alata komandne linije kao što su gpresult i gpupdate.

    Active Directory je nov za Windows 2000 Server i poboljšan je 2003. kako bi postao još važniji dio operativnog sistema. Windows Server 2003 AD obezbeđuje jednu vezu, nazvanu servis direktorijuma, za sve objekte na mreži, uključujući korisnike, grupe, računare, štampače, smernice i dozvole.

    Za korisnika ili administratora, konfigurisanje Active Directory-a pruža jedan hijerarhijski prikaz iz kojeg se može upravljati svim mrežnim resursima.

    Zašto implementirati Active Directory

    Postoji mnogo razloga za implementaciju ovog sistema. Prije svega, Microsoft Active Directory se općenito smatra značajnim poboljšanjem u odnosu na Windows NT Server 4.0 domene ili čak samostalne serverske mreže. AD ima mehanizam centralizirane administracije u cijeloj mreži. Takođe obezbeđuje redundantnost i toleranciju grešaka kada se postavljaju dva ili više kontrolera domena u domenu.

    Usluga automatski upravlja komunikacijom između kontrolera domena kako bi mreža bila održiva. Korisnici imaju pristup svim resursima na mreži za koje su ovlašteni korištenjem jedinstvene prijave. Svi resursi na mreži zaštićeni su robusnim sigurnosnim mehanizmom koji provjerava identitet korisnika i ovlaštenje resursa za svaki pristup.

    Čak i uz poboljšanu sigurnost i kontrolu Active Directoryja, većina njegovih funkcionalnosti je nevidljiva krajnjim korisnicima. Kao takav, migracija korisnika na AD mrežu zahtijeva malo preobuke. Usluga nudi sredstva za brzo promoviranje i derangiranje kontrolora domena i servera članova. Sistemom se može upravljati i štititi pomoću Active Directory grupnih politika. To je fleksibilan hijerarhijski organizacijski model koji vam omogućava da lako upravljate i detaljno definirate specifično delegiranje administrativnih odgovornosti. AD je sposoban da upravlja milionima objekata unutar jednog domena.

    Glavne sekcije

    Knjige smernica grupe Active Directory organizovane su korišćenjem četiri tipa particija ili struktura kontejnera. Ova četiri OU-a su šume, domene, organizacione jedinice i lokacije:

      Šuma je zbirka svakog objekta, njegovih atributa i sintakse.

      Domen je skup računara koji dijele zajednički skup politika, imena i baze podataka svojih članova.

      Organizacione jedinice su kontejneri u kojima se domeni mogu grupirati. Oni stvaraju hijerarhiju za domen i kreiraju strukturu kompanije u geografskom ili organizacionom okruženju.

      Lokacije su fizičke grupe koje su nezavisne od obima i strukture organizacionih jedinica. Web lokacije razlikuju lokacije povezane niskim i brzim vezama i identificiraju ih jedna ili više IP podmreža.

    Šume nisu ograničene geografijom ili topologijom mreže. Jedna šuma može sadržavati više domena, svaka sa zajedničkom shemom. Članovima domene u istoj šumi nije potrebna ni namjenska LAN ili WAN veza. Jedna mreža također može biti dom za nekoliko nezavisnih šuma. Generalno, za svako pravno lice treba koristiti jednu šumu. Međutim, dodatne skele mogu biti poželjne za svrhe testiranja i istraživanja izvan proizvodne šume.

    Domains

    Domeni Active Directory služe kao kontejneri za sigurnosne politike i administrativne zadatke. Podrazumevano, svi objekti u njima podležu smernicama grupe. Isto tako, svaki administrator može upravljati svim objektima unutar domene. Osim toga, svaka domena ima svoju jedinstvenu bazu podataka. Dakle, autentifikacija se vrši na osnovu domene. Jednom kada je korisnički nalog autentifikovan, tom nalogu se odobrava pristup resursima.

    Jedna ili više domena su potrebne za konfiguraciju grupnih politika u Active Directory. Kao što je ranije spomenuto, AD domena je kolekcija računara koji dijele zajednički skup politika, ime i bazu podataka svojih članova. Domena mora imati jedan ili više servera koji služe kao kontrolori domena (DC) i pohranjuju bazu podataka, održavaju politike i osiguravaju autentifikaciju za prijave.

    Kontrolori domena

    U Windows NT-u, Basic Domain Controller (PDC) i Backup Domain Controller (BDC) su bile uloge koje su se mogle dodijeliti serveru na mreži računara koji su radili pod operativnim sistemom Windows. Windows je koristio ideju domene za kontrolu pristupa skupu mrežnih resursa (aplikacije, štampači, itd.) za grupu korisnika. Korisnik se samo treba prijaviti na domenu da bi dobio pristup resursima koji se mogu nalaziti na nekoliko različitih servera na mreži.

    Jedan server, poznat kao primarni kontroler domene, upravljao je primarnom bazom podataka korisnika za domen. Jedan ili više servera su označeni kao rezervni kontroleri domena. Primarni kontroler je povremeno slao kopije baze podataka na rezervne kontrolere domene. Kontroler domene u stanju pripravnosti može se prijaviti kao primarni kontroler domene u slučaju da PDC server pokvari, a također može pomoći u balansiranju radnog opterećenja ako je mreža dovoljno zauzeta.

    Delegiranje i konfigurisanje Active Directory

    U Windows 2000 Serveru, dok su kontroleri domena zadržani, uloge PDC i BDC servera su u velikoj mjeri zamijenjene aktivnim direktorijem. Više nije potrebno kreirati zasebne domene za odvajanje administrativnih privilegija. Unutar AD-a možete delegirati administrativne privilegije na osnovu organizacionih jedinica. Broj domena više nije ograničen na 40.000 korisnika. AD domeni mogu upravljati milionima objekata. Pošto više nema PDC-ova i BDC-ova, konfiguracija grupnih politika Active Directory primjenjuje replikaciju s više glavnih i svi kontroleri domena su ravnopravni.

    Organizacijske strukture

    Organizacione jedinice su mnogo fleksibilnije i lakše za upravljanje od domena. Organizacione jedinice vam daju gotovo neograničenu fleksibilnost jer po potrebi možete premještati, brisati i kreirati nove jedinice. Međutim, domene su mnogo restriktivnije u svojim postavkama strukture. Domeni se mogu brisati i ponovo kreirati, ali ovaj proces destabilizuje okruženje i treba ga izbegavati kad god je to moguće.

    Web lokacije su kolekcije IP podmreža koje imaju brzu i pouzdanu komunikaciju između svih hostova. Drugi način za kreiranje stranice je LAN veza, ali ne i WAN veza, jer su WAN veze znatno sporije i manje pouzdane od LAN veza. Korištenjem web lokacija možete kontrolirati i smanjiti količinu prometa koji prolazi kroz vaše spore WAN veze. Ovo može rezultirati efikasnijim protokom prometa za zadatke performanse. Takođe može smanjiti WAN troškove za usluge plaćanja po bitu.

    Čarobnjak za infrastrukturu i globalni katalog

    Ostale ključne komponente Windows Servera u Active Directory-u uključuju Čarobnjak za infrastrukturu (IM), koji je potpuno funkcionalna FSMO (Fleksibilni Single Operations Wizard) usluga odgovorna za automatski proces koji hvata zastarjele veze, poznate kao fantomi, u bazi podataka Active Directory.

    Fantomi se kreiraju na DC-ovima koji zahtijevaju unakrsno referenciranje između objekta unutar vlastite baze podataka i objekta iz druge domene u šumi. Ovo se dešava, na primjer, kada dodate korisnika iz jedne domene u grupu u drugoj domeni u istoj šumi. Fantomi se smatraju zastarjelim kada više ne sadrže ažurirane podatke koji su rezultat promjena napravljenih na stranom objektu kojeg predstavlja fantom. Na primjer, kada se cilj preimenuje, premješta, prenosi između domena ili briše. Za pronalaženje i popravljanje zastarjelih fantoma isključivo je odgovoran gospodar infrastrukture. Sve promjene napravljene kao rezultat procesa "popravljanja" moraju se zatim replicirati na druge kontrolere domene.

    Čarobnjak za infrastrukturu se ponekad miješa sa globalnim katalogom (GC), koji održava djelomičnu kopiju svake domene u šumi samo za čitanje i, između ostalog, koristi se za grupno skladištenje opće namjene i obradu prijave. Budući da GC pohranjuju djelomičnu kopiju svih objekata, oni mogu kreirati međudomenske reference bez potrebe za fantomima.

    Active Directory i LDAP

    Microsoft uključuje LDAP (Lightweight Directory Access Protocol) kao integralnu komponentu Active Directory. LDAP je softverski protokol koji omogućava svakome da pronađe organizacije, pojedince i druge resurse kao što su datoteke i uređaji na mreži, bilo na javnom Internetu ili na korporativnom intranetu.

    Na TCP/IP mrežama (uključujući Internet), sistem imena domena (DNS) je sistem direktorija koji se koristi za mapiranje imena domene na određenu mrežnu adresu (jedinstvenu lokaciju na mreži). Međutim, možda ne znate naziv domene. LDAP vam omogućava da tražite ljude bez da znate gdje se nalaze (iako će vam više informacija pomoći u potrazi).

    LDAP direktorij je organiziran u jednostavnoj hijerarhijskoj hijerarhiji sa sljedećim nivoima:

      Korijenski direktorij (izvorna lokacija ili izvor stabla).

    • Organizacije.

      Organizacione jedinice (odjeljenja).

      Pojedinci (uključujući ljude, datoteke i zajedničke resurse kao što su štampači).

    LDAP direktorij se može distribuirati na mnoge servere. Svaki poslužitelj može imati repliciranu verziju dijeljenog direktorija koji se periodično sinkronizira.

    Važno je da svaki administrator razumije šta je LDAP. Zato što je pronalaženje informacija u Active Directory i mogućnost kreiranja LDAP upita posebno korisno kada se pronalaze informacije pohranjene u AD bazi podataka. Iz tog razloga, mnogi administratori stavljaju veliki naglasak na savladavanje LDAP filtera za pretraživanje.

    Grupna politika i upravljanje aktivnim direktorijumom

    Teško je razgovarati o AD bez spominjanja grupne politike. Administratori mogu da koriste smernice grupe u Microsoft Active Directory da definišu postavke za korisnike i računare na mreži. Ove postavke se konfigurišu i pohranjuju u takozvanim objektima grupne politike (GPO), koji se zatim povezuju sa objektima Active Directory, uključujući domene i web lokacije. Ovo je glavni mehanizam za primjenu promjena na računarima na korisnike u Windows okruženju.

    Zahvaljujući upravljanju grupnim pravilima, administratori mogu globalno konfigurirati postavke radne površine na korisničkim računarima, ograničiti/dozvoliti pristup određenim datotekama i folderima na mreži.

    Primjena grupnih politika

    Važno je razumjeti kako se GPO koriste i primjenjuju. Za njih je prihvatljiv sljedeći redoslijed: prvo se primjenjuju politike lokalne mašine, zatim politike lokacije, zatim politike domena, a zatim politike koje se primjenjuju na pojedinačne organizacione jedinice. Korisnik ili računarski objekat može istovremeno pripadati samo jednoj lokaciji i jednom domenu, tako da će primati samo GPO-ove koji su povezani sa tom lokacijom ili domenom.

    Struktura objekta

    GPO-ovi su podijeljeni u dva različita dijela: predložak grupnih politika (GPT) i kontejner grupnih politika (GPC). GPO šablon je odgovoran za pohranjivanje određenih postavki kreiranih u GPO-u i od suštinskog je značaja za njegov uspjeh. Pohranjuje ove postavke u veliku fasciklu i strukturu datoteka. Da bi postavke bile uspješno primijenjene na sve korisničke i računalne objekte, GPT mora biti repliciran na sve kontrolere u domeni.

    Kontejner grupnih politika je dio GPO-a pohranjenog u Active Directory koji se nalazi na svakom kontroleru domena u domeni. GPC je odgovoran za održavanje veza do ekstenzija klijenta (CSE), GPT putanje, putanja do softverskih instalacionih paketa i drugih referenciranih aspekata GPO-a. GPC ne sadrži mnogo informacija koje se odnose na odgovarajući GPO, ali su potrebne za funkcionalnost GPO-a. Kada su politike instalacije softvera konfigurirane, GPC pomaže u održavanju veza povezanih s GPO-om i pohranjuje druge relacijske veze i staze pohranjene u atributima objekta. Poznavanje strukture GPC-a i načina pristupa skrivenim informacijama pohranjenim u atributima isplatit će vam se kada trebate identificirati problem grupne politike.

    U Windows Serveru 2003, Microsoft je objavio svoje rješenje za upravljanje grupnim politikama kao alat za udruživanje podataka u obliku dodatka poznatog kao Konzola za upravljanje pravilima grupe (GPMC). GPMC pruža GPO-centrično upravljanje sučelje koje uvelike pojednostavljuje administraciju, upravljanje i lokaciju GPO-a. Putem GPMC-a možete kreirati nove GPO-ove, modificirati i uređivati ​​objekte, izrezati / kopirati / zalijepiti GPO-ove, napraviti sigurnosnu kopiju objekata i izvršiti rezultirajući skup politika.

    Optimizacija

    Kako se broj kontrolisanih GPO-a povećava, performanse utiču na mašine na mreži. Savjet: Ako se performanse pogoršaju, ograničite mrežne postavke objekta. Vrijeme obrade se povećava direktno proporcionalno broju pojedinačnih postavki. Relativno jednostavne konfiguracije, kao što su postavke radne površine ili politike Internet Explorer-a, možda neće potrajati dugo, dok preusmeravanja softverskih fascikli mogu ozbiljno opteretiti mrežu, posebno tokom perioda najvećeg opterećenja.

    Podijelite prilagođene GPO-ove, a zatim onemogućite neiskorišteni dio. Jedna od najboljih praksi za poboljšanje produktivnosti i smanjenje zabune u upravljanju je kreiranje zasebnih objekata za parametre koji će se primjenjivati ​​na računala i odvojeni za korisnike.

    Administratori Windows mreža ne mogu izbjeći upoznavanje. Ovaj pregledni članak će se fokusirati na ono što je Active Directory i s čime se jedu.

    Dakle, Active Directory je Microsoftova implementacija usluge imenika. Usluga imenika u ovom slučaju znači softverski paket koji pomaže administratoru sistema da radi sa takvim mrežnim resursima kao što su deljeni folderi, serveri, radne stanice, štampači, korisnici i grupe.

    Active Directory ima hijerarhijsku strukturu objekata. Sve nekretnine su podijeljene u tri glavne kategorije.

    • Korisnički i računalni računi;
    • Resursi (kao što su štampači);
    • Usluge (kao što je e-pošta).

    Svaki objekat ima jedinstveno ime i niz karakteristika. Objekti se mogu grupirati.

    Korisnička svojstva

    Active Directory ima strukturu šume. Šuma ima nekoliko stabala koja sadrže domene. Domeni, pak, sadrže gore navedene objekte.


    Struktura aktivnog imenika

    Obično se objekti u domeni grupišu u organizacione jedinice. Pododjeljci se koriste za izgradnju hijerarhije unutar domena (organizacije, teritorijalne jedinice, odjeljenja, itd.). Ovo je posebno važno za geografski disperzovane organizacije. Prilikom izgradnje strukture preporučuje se kreiranje što manje domena, stvarajući, ako je potrebno, odvojene podjele. Na njima ima smisla primijeniti grupne politike.

    Svojstva radne stanice

    Drugi način da strukturirate svoj Active Directory je web stranice... Sajtovi su način njihovog fizičkog grupisanja, a ne logički, na osnovu mrežnih segmenata.

    Kao što je spomenuto, svaki objekt u Active Directory ima jedinstveno ime. Na primjer štampač HPLaserJet4350dtn koji se nalazi u podjelu Advokati iu domenu primer.ru imaće ime CN = HPLaserJet4350dtn, OU = pravnici, DC = prajmer, DC = ru. CN je uobičajeno ime, OU- podjela, DC- klasa objekta domene. Ime objekta može imati mnogo više dijelova nego u ovom primjeru.

    Drugi oblik pisanja imena objekta izgleda ovako: primer.ru/Lawyers/HPLaserJet4350dtn... Takođe, svaki objekat ima globalno jedinstveni identifikator ( GUID) je jedinstveni i nepromjenjivi 128-bitni niz koji se koristi u Active Directoryju za pretraživanje i replikaciju. Neki objekti također imaju UPN ( UPN) u formatu objekt @ domena.

    Evo pregleda šta je Active Directory i čemu služe na Windows LAN mrežama. Konačno, logično je reći da administrator ima mogućnost daljinskog rada s Active Directory-om Alati za udaljenu administraciju servera za Windows 7 (KB958830)(Skinuti) i Alati za udaljenu administraciju servera za Windows 8.1 (KB2693643) (Skinuti).

    Top srodni članci

    Najbolji programi za kreiranje osnovne i elektronske muzike
    Najbolji programi za kreiranje osnovne i elektronske muzike
    Opća struktura datoteka tema
    Opća struktura datoteka tema
    Osnovni principi upotrebe boja u web dizajnu
    Osnovni principi upotrebe boja u web dizajnu
    Kategorije:
    © 2021 bumotors.ru. Kako podesiti pametne telefone i računare. Informativni portal.