Ono što je aktivni direktorij je jednostavno. Uspostavljanje odnosa povjerenja

12.06.2019 Sigurnost

Napomena: Ovo predavanje opisuje osnovne koncepte usluga imenika Active Directory. Dati su praktični primjeri upravljanja mrežnim sigurnosnim sistemom. Opisan je mehanizam grupnih politika. Pruža razumijevanje zadataka mrežnog administratora prilikom upravljanja infrastrukturom servisa direktorija

Današnje mreže se često sastoje od mnogo različitih softverskih platformi i širokog spektra hardvera i softvera. Korisnici su često prisiljeni zapamtiti veliki broj lozinki kako bi pristupili raznim mrežnim resursima. Prava pristupa mogu biti različita za istog zaposlenika, ovisno o tome s kojim resursima radi. Sav ovaj skup interkonekcija zahtijeva ogromno vrijeme od administratora i korisnika za analizu, pamćenje i obuku.

Rješenje za problem upravljanja ovako heterogenom mrežom pronađeno je razvojem servisa imenika. Usluge imenika pružaju mogućnost upravljanja bilo kojim resursom i uslugom s bilo kojeg mjesta, bez obzira na veličinu mreže, operativni sistem ili hardversku složenost. Podaci o korisniku se unose jednom u servis imenika, a zatim postaju dostupni širom mreže. Adrese e-pošte, članstvo u grupi, potrebna prava pristupa i nalozi za rad sa različitim operativnim sistemima - sve se to automatski kreira i ažurira. Sve promjene koje administrator izvrši na servisu imenika odmah se ažuriraju na cijeloj mreži. Administratori više ne moraju da brinu o otpuštenim zaposlenima – jednostavnim uklanjanjem korisničkog naloga iz usluge imenika, mogu osigurati da se sva prava pristupa mreži koja su prethodno dodijeljena tom zaposleniku automatski uklone.

Trenutno je većina usluga imenika različitih kompanija zasnovana na standardu X.500... Za pristup informacijama pohranjenim u uslugama imenika, obično se koristi protokol (LDAP). S brzim razvojem TCP/IP mreža, LDAP postaje standard za usluge imenika i aplikacije orijentirane na usluge imenika.

Usluga imenika Active Directory je okosnica logičke strukture korporativnih mreža zasnovanih na Windows sistemu. Pojam " Katalog"u najširem smislu znaci" Imenik", a usluga imenika korporativna mreža je centralizirani korporativni imenik. Korporativni imenik može sadržavati informacije o različitim tipovima objekata. Usluga imenika Active Directory prvenstveno sadrži objekte na kojima se zasniva Windows sistem mrežne sigurnosti - korisničke, grupne i račune računala. Računi su organizovani u logičke strukture: domen, stablo, šuma, organizacione jedinice.

Sa stanovišta proučavanja gradiva predmeta „Mreža administracija„sasvim je moguć sledeći kurs učenja: prvo proučite prvi deo ovog odeljka (od osnovnih koncepata do instaliranja kontrolera domena), zatim idite na „Usluga za datoteke i štampanje“, a nakon proučavanja „Usluga za datoteke i štampanje“ vratite se na Active Directory Service Directory "za naprednije koncepte usluga imenika.

6.1 Osnovni pojmovi i pojmovi (šuma, drvo, domena, organizaciona jedinica). Planiranje AD imenskog prostora. Instalacija kontrolera domena

Modeli upravljanja sigurnošću: model radne grupe i centralizirane domene

Kao što je gore objašnjeno, primarna svrha usluga imenika je upravljanje sigurnošću mreže. Osnova mrežne sigurnosti je baza podataka korisničkih naloga, korisničkih grupa i računara, koja se koristi za kontrolu pristupa mrežnim resursima. Prije nego što govorimo o Active Directory, uporedimo dva modela za izgradnju baze podataka usluga direktorija i kontrolu pristupa resursima.

Model radne grupe

Ovaj model upravljanja sigurnošću korporativne mreže je najprimitivniji. Namijenjen je za upotrebu u malim peer-to-peer mreže(3-10 računara) i zasniva se na činjenici da svaki računar u mreži sa operativnim sistemima Windows NT / 2000 / XP / 2003 ima svoju lokalnu bazu naloga i uz pomoć ove lokalne baze pristupa resursima ovog kompjuter je kontrolisan. Lokalna baza podataka o računima naziva se baza podataka SAM (Security Account Manager) i pohranjen je u registru operativnog sistema. Baze podataka pojedinačnih računara potpuno su izolovane jedna od druge i nisu ni na koji način međusobno povezane.

Primjer kontrole pristupa pomoću takvog modela prikazan je na Sl. 6.1.

Rice. 6.1.

Ovaj primjer prikazuje dva servera (SRV-1 i SRV-2) i dvije radne stanice (WS-1 i WS-2). Njihove SAM baze podataka su označene kao SAM-1, SAM-2, SAM-3 i SAM-4, redom (SAM baze podataka su prikazane kao oval na slici). Svaka baza podataka ima korisničke naloge User1 i User2. Potpuno kvalificirano korisničko ime User1 na SRV-1 serveru će biti "SRV-1 \ User1", a potpuno kvalificirano korisničko ime User1 na WS-1 radnoj stanici će biti "WS-1 \ User1". Zamislite da je na serveru SRV-1 kreirana fascikla foldera, kojoj korisnici User1 imaju pristup preko mreže za čitanje (R), User2 za čitanje i pisanje (RW). Glavna stvar u ovom modelu je da računar SRV-1 ne "zna" ništa o računima računara SRV-2, WS-1, WS-2, kao i svih ostalih računara na mreži. Ako se korisnik pod imenom User1 prijavi lokalno na sistem na računaru, na primjer, WS-2 (ili, kako kažu, "prijavljuje se na sistem s lokalnim imenom User1 na računaru WS-2"), onda kada pokušate za pristup sa ovog računara preko mreže folderu na SRV-1 serveru, server će od korisnika tražiti da unese korisničko ime i lozinku (osim ako korisnici sa istim imenom imaju istu lozinku).

Model radne grupe je lakši za učenje i ne mora učiti složene koncepte Active Directory. Ali kada se koristi na mreži sa velikim brojem računara i mrežnih resursa, postaje veoma teško upravljati korisničkim imenima i njihovim lozinkama - morate ručno kreirati iste naloge sa istim lozinkama na svakom računaru (koji deli svoje resurse na mreži ), što oduzima dosta vremena, ili kreiranje jednog naloga za sve korisnike sa jednom lozinkom za sve (ili bez lozinke), što uveliko smanjuje nivo zaštite informacija. Stoga se model "Radna grupa" preporučuje samo za mreže sa brojem računara od 3 do 10 (ili još bolje - ne više od 5), pod uslovom da među svim računarima ne postoji nijedan sa Windows Serverom.

Model domene

U modelu domene postoji jedinstvena baza podataka usluga direktorija koja je dostupna svim računarima na mreži. Za to se na mreži instaliraju specijalizirani serveri, tzv kontroleri domena koji čuvaju ovu bazu podataka na svojim čvrstim diskovima. Na sl. 6.2. prikazan je dijagram modela domene. Serveri DC-1 i DC-2 su kontrolori domena, oni pohranjuju domensku bazu podataka naloga (svaki kontroler čuva svoju kopiju baze podataka, ali sve promjene u bazi podataka na jednom od servera se repliciraju na druge kontrolere).

Rice. 6.2.

U takvom modelu, ako se, na primjer, na serveru SRV-1, koji je član domene, dijeli mapa Folder, tada se prava pristupa ovom resursu mogu dodijeliti ne samo nalozima lokalnog SAM-a. baze podataka ovog servera, ali, što je najvažnije, na zapise naloga pohranjene u bazi podataka domena. Na slici, pristup folderu Folder ima prava pristupa jednom lokalnom SRV-1 računarskom nalogu i nekoliko domenskih naloga (korisničke i korisničke grupe). U modelu upravljanja sigurnošću domena, korisnik se prijavljuje na računar („prijavljuje se“) sa svojim domenski nalog i, bez obzira na računar na kojem je izvršena registracija, dobija pristup potrebnim mrežnim resursima. I nema potrebe za kreiranjem velikog broja lokalnih naloga na svakom računaru, svi zapisi se kreiraju jednom u bazi podataka domena... I uz pomoć baze podataka domena, centralizovana kontrola pristupa na mrežne resurse bez obzira na broj računara u mreži.

Svrha usluge imenika Active Directory

Direktorij (referenca) može pohraniti razne informacije koje se odnose na korisnike, grupe, računare, mrežne štampače, dijeljenje datoteka i tako dalje — nazvat ćemo sve ove objekte. Direktorij također pohranjuje informacije o samom objektu ili njegovim svojstvima, nazvanim atributima. Na primjer, atributi pohranjeni u imeniku o korisniku mogu biti ime njegovog menadžera, broj telefona, adresa, korisničko ime, lozinka, grupe kojima pripadaju i još mnogo toga. Da bi skladište imenika bilo korisno korisnicima, moraju postojati usluge koje će komunicirati s direktorijem. Na primjer, možete koristiti direktorij kao spremište informacija pomoću kojeg možete autentifikovati korisnika, ili kao mjesto gdje možete poslati zahtjev za pronalaženje informacija o objektu.

Active Directory nije odgovoran samo za kreiranje i organiziranje ovih malih objekata, već i za velike objekte kao što su domene, OU (organizacijske jedinice) i web lokacije.

U nastavku pročitajte o osnovnim terminima koji se koriste u kontekstu Active Directoryja.

Usluga imenika Active Directory (skraćeno AD) omogućava efikasan rad složenog korporativnog okruženja pružajući sljedeće mogućnosti:

Jedinstvena prijava na mreži; Korisnici se mogu prijaviti na mrežu sa jednim korisničkim imenom i lozinkom i istovremeno dobiti pristup svim mrežnim resursima i uslugama (usluge mrežne infrastrukture, servisi datoteka i printanja, serveri aplikacija i baza podataka, itd.);
Sigurnost informacija... Kontrole autentifikacije i pristupa resursima ugrađene u Active Directory pružaju centraliziranu zaštitu mreže;
Centralizovano upravljanje... Administratori mogu centralno upravljati svim korporativnim resursima;
Administracija korištenjem grupnih politika... Kada se računar pokrene ili se korisnik prijavi na sistem, ispunjeni su zahtjevi grupnih politika; njihova podešavanja su pohranjena u objekti grupne politike(GPO) i primjenjuje se na sve korisničke i računalne račune koji se nalaze na lokacijama, domenima ili organizacionim jedinicama;
DNS integracija... Usluge imenika u potpunosti zavise od DNS-a. Zauzvrat, DNS serveri mogu pohraniti informacije o zonama u bazi podataka Active Directory;
Proširivost imenika... Administratori mogu dodati nove klase objekata u šemu kataloga ili dodati nove atribute postojećim klasama;
Skalabilnost... Active Directory može obuhvatiti jednu domenu ili više domena kombinovanih u stablo domena, a višestruka stabla domena se mogu koristiti za izgradnju šume;
Replikacija informacija... Active Directory koristi prekomjernu replikaciju u multi-master ( multi-master), koji vam omogućava da modifikujete bazu podataka Active Directory na bilo kom kontroleru domena. Višestruki kontroleri domena pružaju toleranciju grešaka i balansiranje mrežnog opterećenja;
Fleksibilnost kataloških zahtjeva... Baza podataka Active Directory može se koristiti za brzo pronalaženje bilo kojeg AD objekta koristeći njegova svojstva (na primjer, korisničko ime ili adresa e-pošte, tip ili lokacija štampača, itd.);
Standardni programski interfejsi... Za programere softvera, usluga imenika omogućava pristup svim mogućnostima (alatima) direktorija i podržava prihvaćene standarde i programske interfejse (API).

Širok izbor različitih objekata može se kreirati u Active Directory. Objekt je jedinstveni entitet unutar Direktorija i obično ima mnogo atributa koji pomažu da se opiše i prepozna. Korisnički račun je primjer objekta. Ovaj tip objekta može imati mnogo atributa kao što su ime, prezime, lozinka, broj telefona, adresa i mnoge druge. Na isti način, zajednički pisač također može biti objekt u Active Directory-u, a njegovi atributi su njegovo ime, lokacija itd. Atributi objekta ne samo da vam pomažu da definirate objekt, već vam također omogućavaju da tražite objekte unutar Kataloga.

Terminologija

Usluga imenika Windows Server sistemi su izgrađeni na opšte prihvaćenim tehnološkim standardima. U početku je razvijen standard za usluge imenika X.500, koji je bio namijenjen za izgradnju hijerarhijskih skalabilnih rječnika u obliku stabla sa mogućnošću proširenja kako klasa objekata tako i skupova atributa (svojstava) svake pojedinačne klase. Međutim, praktična implementacija ovog standarda se pokazala neefikasnom u smislu performansi. Zatim je, na osnovu standarda X.500, razvijena pojednostavljena (lagana) verzija standarda za izgradnju imenika, tzv. LDAP (Lightweight Directory Access Protocol). LDAP protokol zadržava sva osnovna svojstva X.500 (hijerarhijski sistem izgradnje direktorija, skalabilnost, proširivost), ali u isto vrijeme omogućava da se ovaj standard efikasno implementira u praksi. Pojam " lagana " (" lagana") u imenu LDAP-a odražava glavni cilj razvoja protokola: kreiranje alata za izgradnju servisa imenika koji ima dovoljno funkcionalne snage za rješavanje osnovnih problema, ali nije preopterećen složenim tehnologijama koje implementaciju usluga imenika čine neučinkovitom LDAP je trenutno standardna metoda pristupa direktorijima informacijske mreže i služi kao osnova u mnogim proizvodima kao što su sistemi za autentifikaciju, programi za e-poštu i aplikacije za e-trgovinu. Danas postoji preko 60 komercijalnih LDAP servera na tržištu, od kojih su oko 90% samostalni serveri LDAP direktorija, dok se ostatak nudi kao komponente drugih aplikacija.

LDAP jasno definira raspon operacija direktorija koje klijentska aplikacija može izvesti. Ove operacije spadaju u pet grupa:

uspostavljanje veze sa imenikom;
tražiti informacije u njemu;
modifikacija njegovog sadržaja;
dodavanje objekta;
brisanje objekta.

Osim LDAP protokola usluga imenika Active Directory također koristi protokol autentikacije Kerberos i DNS za komponente mrežnog pretraživanja usluga direktorija (kontrolori domena, serveri globalnog kataloga, Kerberos servis, itd.).

Domain

Glavna jedinica sigurnosnog sistema Active Directory je domena... Domena čini područje administrativne odgovornosti. Baza domena sadrži račune korisnika, grupe i kompjuteri... Većina funkcija upravljanja uslugama direktorija djeluje na razini domene (provjera autentičnosti korisnika, kontrola pristupa resursima, upravljanje uslugama, upravljanje replikacijom, sigurnosne politike).

Imena domena Active Directory generišu se na isti način kao i imena u DNS imenskom prostoru. I to nije slučajnost. DNS je pretraživač komponenti domena — prvenstveno kontrolera domena.

Kontrolori domena- specijalni serveri koji pohranjuju dio baze podataka Active Directory koji odgovara datom domenu. Ključne karakteristike domenskih kontrolera:

skladištenje baze podataka Active Directory(organizacija pristupa informacijama sadržanim u katalogu, uključujući upravljanje ovim informacijama i njihovu modifikaciju);
sinhronizacija promjena u AD(promjene AD baze podataka mogu se izvršiti na bilo kojem od kontrolera domena, sve promjene napravljene na jednom od kontrolera će biti sinhronizirane sa kopijama pohranjenim na drugim kontrolerima);
autentifikaciju korisnika(bilo koji od kontrolora domena provjerava akreditive korisnika koji se prijavljuju na klijentske sisteme).

Toplo je preporučljivo instalirati najmanje dva kontrolera domene u svakoj domeni - prvo, radi zaštite od gubitka Active Directory baze podataka u slučaju kvara kontrolera, i drugo, postoji poddomena za raspodjelu opterećenja između .it .company.ru kontroleri dev.it.company.ru, kreirani za odjel za razvoj softvera IT usluge.

decentralizirati administraciju usluga imenika (na primjer, u slučaju kada kompanija ima podružnice koje su geografski udaljene jedna od druge, a centralizirano upravljanje je teško iz tehničkih razloga);
za poboljšanje produktivnosti (za kompanije sa velikim brojem korisnika i servera relevantno je pitanje poboljšanja performansi kontrolera domena);
za efikasnije upravljanje replikacijom (ako su kontrolori domena udaljeni jedan od drugog, onda replikacija u jednom može potrajati i stvoriti probleme sa upotrebom nesinhronizovanih podataka);

šumski korijenski domen

Organizacione jedinice (OP).

Organizacione jedinice (Organizacione jedinice, OU) - kontejneri unutar AD, koji su kreirani za kombinovanje objekata za delegiranje administrativnih prava i primjena grupnih politika u domenu. OP postoji samo unutar domena i mogu kombinovati samo objekte iz njihovog domena... OP-ovi mogu biti ugniježđeni jedan unutar drugog, što omogućava izgradnju složene hijerarhije kontejnera u obliku stabla unutar domene i pruža fleksibilniju administrativnu kontrolu. Osim toga, operativni programi se mogu kreirati tako da odražavaju administrativnu hijerarhiju i organizacijsku strukturu kompanije.

Globalni katalog

Globalni katalog je lista svi objekti koji postoje u šumi Active Directory. Po defaultu, kontroleri domena sadrže samo informacije o objektima u svojoj domeni. Globalni kataloški server je kontroler domene koji sadrži informacije o svakom objektu (iako ne o svim atributima tih objekata) u datoj šumi.

Osnovni koncepti Active Directory

Servis Aktivni direktorij

Proširiva i skalabilna usluga direktorija Aktivan Imenik omogućava vam da efikasno upravljate mrežnim resursima.

Aktivan Direktorij je hijerarhijski organizirano spremište podataka o mrežnim objektima koje pruža pogodna sredstva za pronalaženje i korištenje ovih podataka.... Računar radi Active Imenik, zv kontroler domena . WITH Aktivni direktorijskoro svi administrativni poslovi su povezani.

Active Directory tehnologija je bazirana na standardu Internet protokoli i pomaže da se jasno definira struktura mreže.

Active Directory i DNS

V Aktivan Direktorykoristi se sistem naziva domena.

DomenIme Sistem (DNS) je standardni Internet servis koji organizuje grupe računara u domene.DNS domeni imaju hijerarhijsku strukturu koja čini okosnicu Interneta. Različiti nivoi ove hijerarhije identifikuju računare, organizacione domene i domene najvišeg nivoa. DNS se također koristi za rješavanje imena hostova, na primjer z eta.webatwork.com, na numeričke IP adrese kao što je 192.168.19.2. Koristeći DNS alate, hijerarhija domena Active Directory može se integrirati u internetski prostor ili ostaviti neovisnom i izoliranom od vanjskog pristupa.

Za pristup resursima u domene, koristi se potpuno kvalificirano ime hosta, kao što je zeta.webatwork.com. Evozetaje naziv pojedinačnog računara, webatwork je domen organizacije, a com je domen najvišeg nivoa. Domeni najvišeg nivoa čine osnovu DNS hijerarhije i stoga se nazivaju root domene (korijenski domeni). Organizirani su geografski, s nazivima zasnovanim na dvoslovnim kodovima zemalja (ruza Rusiju), prema vrsti organizacije (saće za komercijalne organizacije) i po dogovoru ( mil za vojne organizacije).

Redovne domene poput microsoft.com, su pozvani roditeljski (roditeljski domen) jer čine okosnicu organizacione strukture. Roditeljski domeni se mogu podijeliti na poddomene za različite odjele ili udaljene ogranke. Na primjer, puno ime računara Microsoft Seattle ureda može biti jacob.seattle.microsoft.com , gdje jacob- naziv računara, sealtle - poddomena i microsoft.com je nadređena domena. Drugi naziv za poddomen je podređena domena (podređena domena).

Komponente Aktivan Imenik

Active Directory spaja fizičku i logičku strukturu za mrežne komponente. Logičke strukture Active Directory vam pomažu da organizirate objekte direktorija i upravljate mrežnim nalozima i dijeljenjima. Logička struktura uključuje sljedeće elemente:

organizaciona jedinica - podgrupa računara, koja obično odražava strukturu kompanije;

domena ( domena) - grupa računara koji dijele zajedničku katalošku bazu podataka;

stablo domena (domena drvo) - jedan ili više domena koji dijele neprekidni imenski prostor;

domenska šuma - jedno ili više stabala koja dijele informacije o direktoriju.

Fizički elementi pomažu u planiranju stvarne strukture mreže. Na osnovu fizičkih struktura formiraju se mrežne veze i fizičke granice mrežnih resursa. Fizička struktura uključuje sljedeće elemente:

podmreža ( podmreža) - mrežna grupa sa određenim opsegom IP adresa i mrežnom maskom;

stranica ( site) - jedna ili više podmreža. Stranica se koristi za konfiguriranje pristupa direktoriju i replikacije.

Organizacione jedinice

Organizacione jedinice (OU) su podgrupe unutar domena koje često odražavaju funkcionalnu strukturu organizacije. OP-ovi su vrsta logičkih kontejnera koji hostiraju račune, dijele i druge OP-ove. Na primjer, možete kreirati u domeni microsoft. com podjele Resursi, IT, Marketing... Ova šema se zatim može proširiti da uključi podređene podjele.

OP-u je dozvoljeno samo postavljanje objekata iz nadređene domene. Na primjer, OP-ovi iz domene Seattle.microsoft.com sadrže samo objekte iz te domene. Dodajte objekte tamo izmy. microsoft.com nije dozvoljen. OP su vrlo zgodne pri formiranju funkcionalnog ili poslovne strukture organizacije. Ali to nije jedini razlog njihove upotrebe.

OP vam omogućavaju da definirate politiku grupe za mali skup resursa u domeni bez primjene na cijelu domenu. OP stvara skromnije i lakše upravljive poglede na objekte direktorija u domeni kako bi vam pomogao da učinkovitije upravljate resursima.

OP vam omogućavaju delegiranje ovlaštenja i kontrolu administrativnog pristupa resursima domene, što pomaže u postavljanju ograničenja ovlaštenja administratora u domeni. Moguće je delegirati korisniku A administrativne privilegije za samo jedan PO i istovremeno prenijeti na korisnika B administrativne privilegije za sve PO u domeni.

Domains

Domain Active Directory je grupa računara koji dijele zajedničku katalošku bazu podataka. Imena domena Active Directory moraju biti jedinstvena. Na primjer, ne mogu postojati dvije domene microsoft.com, ali može biti nadređena domena microsoft.com sa podređenim domenama seattle.microsoft.com i my.microsoft.com. Ako je domena dio zatvorene mreže, ime dodijeljeno novoj domeni ne bi trebalo biti u sukobu s bilo kojim od postojećih imena domena na toj mreži. Ako je domena dio globalnog Interneta, tada njeno ime ne bi trebalo biti u sukobu ni sa jednim od postojećih imena domena na Internetu. Da bi se osiguralo da su imena jedinstvena na Internetu, naziv nadređenog domena mora biti registrovan preko bilo koje ovlaštene organizacije za registraciju.

Svaka domena ima svoje sigurnosne politike i povjerenja s drugim domenima. Domene su često raspoređene na više fizičkih lokacija, odnosno sastoje se od više lokacija, a lokacije se protežu na više podmreža. Baza podataka direktorija domene pohranjuje objekte koji definiraju naloge za korisnike, grupe i računare, kao i zajedničke resurse kao što su štampači i fascikle.

Funkcije domene su ograničene i regulisane načinom njenog funkcionisanja. Postoje četiri funkcionalna načina domena:

Windows 2000 mješoviti način rada - podržava kontrolere domena koji koriste Windows NT 4.0, Wi dows 2000 i Windows Server 2003;

Windows 2000 izvorni način rada - podržava kontrolere domena koji koriste Windows 2000 i Windows Server 2003;

srednji način rada Windows Server 2003 ( privremeni način rada) - podržava pokretanje kontrolera domena Windows NT 4.0 i Windows Server 2003;

način rada Windows Server 2003 - Podržava kontrolere domena koji koriste Windows Server 2003.

Šume i drveće

Svaka domena Aktivan Imenik posjeduje DNS-tip imena microsoft.com. Domeni koji dijele podatke direktorija čine šumu. Imena domena šume u DNS hijerarhiji imena su non-contiguous(diskontinuirano) ili susjedni(kontinuirano).

Domene koje imaju kontinualnu strukturu imenovanja nazivaju se stablom domena. Ako domeni u šumi imaju nekontinuirana DNS imena, oni formiraju odvojena stabla domena u šumi. Jedno ili više stabala može biti uključeno u šumu. Za pristup strukturama domena koristite konzoluAktivan Imenik- domene i povjerenje (AktivanImenik Domainsi trustovi).

Funkcije šuma su ograničene i regulisane funkcionalnim režimom šume. Postoje tri takva načina rada:

Windows 2000 - Podržava kontrolere domena koji koriste Windows NT 4.0, Windows 2000 i Windows Server 2003;

srednji ( privremeni) Windows Server 2003 - Podržava kontrolere domena koji koriste Windows NT 4.0 i Windows Server 2003;

Windows Server 2003 - Podržava kontrolere domena koji koriste Windows Server 2003.

Najnaprednije funkcije Active Directory dostupne su u režimu Windows Server 2003. Ako svi domeni u šumi rade u ovom režimu, možete imati koristi od poboljšane replikacije globalnog kataloga (replikacije) i efikasnije replikacije Active Directory podataka. Također možete onemogućiti klase i atribute sheme, koristiti dinamičke pomoćne klase, preimenovati domene i kreirati jednosmjerna, dvosmjerna i tranzitivna povjerenja u šumi.

Web stranice i podmreže

Site je grupa računara na jednoj ili više IP podmreža koja se koristi za planiranje fizičke strukture mreže. Planiranje lokacije se dešava bez obzira na logičku strukturu domena. Active Directory vam omogućava da kreirate više lokacija u jednoj domeni ili jednu lokaciju koja se proteže na više domena.

Za razliku od lokacija koje mogu obuhvatiti više područja IP adresa, podmreže imaju specifično područje IP adrese i mrežnu masku. Imena podmreže su u formatu net / bitmask, na primjer 192.168.19.0/24 gdje se mrežna adresa 192.168.19.0 i mrežna maska 255.255.255.0 kombinuju u ime podmreže 192.168.19.0/24.

Računari se dodjeljuju lokacijama na osnovu njihove lokacije na podmreži ili na skupu podmreža. Ako računari na podmrežama mogu komunicirati dovoljno velikom brzinom, oni se pozivaju dobro povezan (dobro povezan).

U idealnom slučaju, sajtovi se sastoje od dobro povezanih podmreža i računara.Ako je brzina komunikacije između podmreža i računara spora, možda će biti potrebno kreirati više lokacija. Dobra veza daje web stranicama neke prednosti.

Kada se klijent pridruži domeni, proces autentikacije prvo traži lokalni kontroler domene na klijentovoj lokaciji, odnosno, lokalni kontroleri se prvo prozivaju ako je moguće, što ograničava mrežni promet i ubrzava autentifikaciju.

Informacije iz imenika repliciraju se češće unutra web stranice nego između web stranice. Ovo smanjuje međumrežni promet izazvan replikacijom i osigurava da lokalni kontroleri domene brzo primaju ažurirane informacije.

Možete prilagoditi redoslijed u kojem se podaci iz direktorija repliciraju pomoću linkovi sajta (linkovi na stranice). Na primjer, definirajte mostobran server (mostobran) za replikaciju između lokacija.

Najveći dio opterećenja replikacije između lokacija pasti će na ovaj namjenski server, a ne na bilo koji dostupan server web lokacije. Web stranice i podmreže su konfigurisane u konzoli Aktivni direktorij - web stranice i usluge(Web lokacije i usluge aktivnog imenika).

Rad sa domenima Aktivni direktorij

Online Windows Server 2003 servis AktivanImenikkonfigurisan istovremeno saDNS... Međutim, domene Active Directory i DNS domene imaju različite svrhe. Domeni Active Directory vam pomažu da upravljate nalozima, resursima i sigurnošću.

Hijerarhija DNS domena je prvenstveno za rješavanje imena.

Računari koji koriste Windows XP Professional i Windows 2000 mogu u potpunosti da iskoriste prednosti Active Directory-a. Oni rade na mreži kao Active Directory klijenti i imaju pristup tranzitivnim trustovima koji postoje u stablu domena ili šumi. Ovi odnosi omogućavaju ovlaštenim korisnicima pristup resursima u bilo kojoj domeni u šumi.

Sistem Windows Server 2003 funkcioniše kao kontrolor domena ili server član. Serveri članovi postaju kontrolori nakon što se instalira Active Directory; kontrolori se degradiraju na servere-članove nakon što se ukloni Active Directory.

Oba procesa radeČarobnjak za instalaciju Active Directory. Domena može imati više kontrolera. Oni međusobno repliciraju podatke direktorija u modelu replikacije s više glavnih računala koji omogućava svakom kontroleru da obrađuje promjene direktorija i zatim ih širi na druge kontrolere. Sa multi-master strukturom, svi kontrolori po defaultu imaju jednake odgovornosti. Međutim, možete dati nekim kontrolerima domena prioritet nad drugima za specifične zadatke, kao što je kreiranje mostobranskog servera koji ima prednost pri repliciranju podataka direktorija na druge stranice.

Osim toga, neke zadatke je najbolje obavljati na namjenskom serveru. Poziva se server koji obrađuje određenu vrstu zadatka majstor operacija (majstor operacija).

Nalozi se kreiraju za sve računare koji koriste Windows 2000, Windows XP Professional i Windows Server 2003 koji su spojeni na domen i pohranjeni, kao i drugi resursi, kao Active Directory objekti. Računarski nalozi se koriste za kontrolu pristupa mreži i njenim resursima.Pre nego što računar može pristupiti domeni koristeći svoj nalog, mora proći proceduru autentifikacije.

Struktura imenika

Podaci iz kataloga se dostavljaju korisnicima i računarima putem skladište podataka (skladišta podataka) i globalni katalozi (globalnokatalozi). Dok većina funkcijaAktivanImenikutiču na skladište podataka, globalni katalozi (GC) su podjednako važni jer se koriste za prijavljivanje i pronalaženje informacija. Ako GL nije dostupan, redovni korisnici se neće moći prijaviti na domenu. Jedini način da zaobiđete ovo stanje je lokalno keširanje članstva. univerzalne grupe.

Pristup i distribucija podataka Active Directory-a se obezbjeđuje putem sredstava protokoli za pristup direktorijumu (imenik pristupprotokoli) i replikacija (replikacija).

Replikacija je potrebna za distribuciju ažuriranih podataka kontrolorima. Glavna metoda za distribuciju ažuriranja je multi-master replikacija, ali neke promjene obrađuju samo specijalizirani kontroleri - majstori operacija (majstori operacija).

Način na koji se multi-master replikacija izvodi u Windows Serveru 2003 također se promijenio uvođenjem sekcije direktorija aplikacije (aplikacijaimenikparticije). Preko njih, sistemski administratori mogu kreirati particije za replikaciju u šumi domena, koje su logičke strukture koje se koriste za upravljanje replikacijom unutar šume domene. Na primjer, možete kreirati particiju koja replicira DNS informacije unutar domene. Replikacija DNS informacija je zabranjena na druge sisteme u domeni.

Particije direktorija aplikacije mogu biti dijete domene, dijete druge particije aplikacije ili novo stablo u šumi domene. Replike particija mogu biti smještene na bilo kojem Active Directory kontroleru domene, uključujući globalne kataloge. Dok su particije kataloga aplikacija korisne u velikim domenima i šumama, one doprinose planiranju, administraciji i održavanju.

Skladište podataka

Prodavnica sadrži informacije o najvažnijim objektima u usluzi Active Directory direktorija - nalozima, dijeljenjima, OS i grupnim politikama. Skladište podataka se ponekad naziva jednostavno katalog (imenik). Na kontroleru domene, direktorij je pohranjen u datoteci NTDS.DIT, čija se lokacija određuje tokom instalacije Active Directory (ovo mora biti NTFS disk). Neki podaci direktorija se također mogu čuvati odvojeno od glavnog spremišta, kao što su grupne politike, skripte i druge informacije upisane u SYSVOL sistemski dio.

Dijeljenje informacija direktorija se zove objavljivanjem (objaviti). Na primjer, kada otvorite pisač za korištenje na mreži, on se objavljuje; objavljuju se informacije o deljenoj fascikli itd. Kontrolori domena repliciraju većinu promena u spremište u šemi sa više mastera. Administrator u maloj i srednjoj organizaciji rijetko upravlja replikacijom skladišta jer je automatska, ali se može konfigurirati u skladu sa specifičnostima mrežne arhitekture.

Ne repliciraju se svi kataloški podaci, već samo:

Podaci o domeni - informacije o objektima u domeni, uključujući objekte naloga, dijeljene resurse, OS i grupne politike;

Podaci o konfiguraciji — Informacije o topologiji direktorija: lista svih domena, stabala i šuma i lokacija glavnih kontrolera i servera;

Podaci sheme - informacije o svim objektima i tipovima podataka koji se mogu pohraniti u direktorij; Standardna šema Windows Server 2003 opisuje objekte naloga, deljene objekte i još mnogo toga, a može se proširiti definisanjem novih objekata i atributa ili dodavanjem atributa postojećim objektima.

Globalni katalog

Ako lokalno keširanje članstva u ne postoje univerzalne grupe, prijava na mrežu se zasniva na informacijama o članstvu u univerzalnoj grupi koje daje GC.

Također pruža pretragu direktorija u svim domenima u šumi. Kontroler, glumačka uloga serverska knjiga, pohranjuje kompletnu repliku svih objekata u direktoriju svoje domene i djelomičnu repliku objekata drugih domena u šumi.

Potrebno je samo nekoliko svojstava objekta za prijavu i pretraživanje, tako da se mogu koristiti djelomične replike. Replikacija zahtijeva manje prijenosa podataka da bi se formirala djelomična replika, što smanjuje mrežni promet.

Po defaultu, prvi kontroler domene postaje GC server. Stoga, ako postoji samo jedan kontroler domene u domeni, onda su GC server i kontroler domene isti server. Možete postaviti GL na drugi kontroler da skratite vremensko ograničenje za prijavu i ubrzate pretragu. Preporučuje se kreiranje jedne knjige na svakoj stranici domene.

Postoji nekoliko načina za rješavanje ovog problema. Naravno, možete kreirati GC server na jednom od kontrolera domena u udaljenoj kancelariji. Nedostatak ove metode je povećanje opterećenja GC servera, što može zahtijevati dodatne resurse i pažljivo planiranje radnog vremena ovog servera.

Drugo rješenje je lokalno keširanje članstva u univerzalnoj grupi. Međutim, bilo koji kontroler domene može poslužiti zahtjeve za prijavu lokalno bez odlaska na GC server. Ovo ubrzava proceduru prijave i olakšava situaciju u slučaju kvara GK servera. Također smanjuje promet replikacije.

Umjesto periodičnog ažuriranja cijele knjige preko mreže, dovoljno je ažurirati keš memorije univerzalne grupe. Prema zadanim postavkama, ažuriranja se dešavaju svakih osam sati na svakom kontroleru domene koji koristi lokalno keširanje univerzalnog članstva u grupi.

Članstvo u univerzalna grupa pojedinačno za svaku lokaciju. Podsjetimo da je stranica fizička struktura koja se sastoji od jedne ili više podmreža s pojedinačnim skupom IP adresa i mrežnom maskom. Kontrolori domena Windows Server 2003 i knjiga kojoj pristupaju moraju biti na istoj lokaciji. Ako postoji više lokacija, morat ćete konfigurirati lokalno keširanje na svakoj stranici. Osim toga, korisnici koji se prijavljuju na lokaciju moraju biti dio Windows Server 2003 domene koja radi u Windows Server 2003 šumskom režimu.

Replikacija u Active Directory

Direktorij pohranjuje tri vrste informacija: podatke o domeni, podatke o šemi i podatke o konfiguraciji. Podaci o domeni se repliciraju na sve kontrolere domene. Svi kontroleri domena su jednaki, tj. sve promjene napravljene s bilo kojeg kontrolera domene će se replicirati na sve ostale kontrolere domene. Podaci o shemi i konfiguraciji se repliciraju na sve domene u stablu ili šumi. Osim toga, svi objekti pojedinačnog domena i neka svojstva šumskih objekata se repliciraju u glavnoj knjizi. To znači da kontroler domene pohranjuje i replicira shemu za stablo ili šumu, informacije o konfiguraciji za sve domene u stablu ili šumi, i sve objekte direktorija i svojstva za vlastitu domenu.

Kontroler domene koji hostuje glavnu knjigu sadrži i replicira informacije o šemi za šumu, informacije o konfiguraciji za sve domene u šumi i ograničen skup svojstava za sve objekte direktorija u šumi (replicira se samo između servera glavne knjige), kao i kao svi objekti direktorija i svojstva za vašu domenu.

Da biste razumjeli suštinu replikacije, razmotrite ovaj scenarij za postavljanje nove mreže.

1. U domenu I prvi kontroler je instaliran. Ovaj server je jedini kontroler domene. On je također server GC-a. Replikacija na takvoj mreži ne dolazi jer nema drugih kontrolera.

2. U domenu Drugi kontroler je instaliran i replikacija počinje. Možete odrediti jedan kontroler kao glavni infrastrukturni, a drugi kao glavni server. Vlasnik infrastrukture prati ažuriranja glavne knjige i traži od njih promijenjene objekte. Oba ova kontrolera također repliciraju šemu i konfiguracijske podatke.

3. U domenu I instaliran je treći kontroler na kojem nema GK. Master infrastrukture nadgleda ažuriranja GL-a, pita ih za promijenjene objekte, a zatim replicira promjene na treći kontroler domene. Sva tri kontrolera također repliciraju šemu i konfiguracijske podatke.

4. Kreira se novi domen B, dodaju mu se kontroleri. Ledger serveri u domeni A i domeni B repliciraju sve podatke o shemi i konfiguraciji, kao i podskup podataka domene iz svake domene. Replikacija u domeni A se nastavlja kao što je gore opisano, plus počinje replikacija unutar domene B.

AktivanImenik i LDAP

Lightweight Directory Access Protocol (LDAP) je standardni Internet protokol za TCP/IP mreže. LDAP je dizajniran posebno za pristup uslugama direktorija s minimalnim troškovima. LDAP također definira operacije koje se koriste za upite i modificiranje informacija direktorija.

Klijenti Active Directory koristi LDAP za komunikaciju sa računarima koji koriste Active Directory svaki put kada se prijave na mrežu ili traže dijeljene resurse. LDAP pojednostavljuje međupovezivanje direktorija i migraciju na Active Directory iz drugih usluga direktorija. Da biste poboljšali kompatibilnost, možete koristiti Active Directory Service Interface (AktivanImenik Servis- Interfejsi, ADSI).

Glavne uloge u operacijama

Operativni master rješava zadatke koji su nezgodni u modelu replikacije s više mastera. Postoji pet uloga gospodara operacija koje možete dodijeliti jednom ili više kontrolera domene. Neke uloge moraju biti jedinstvene na nivou šume; za druge je dovoljan nivo domena. Sljedeće uloge moraju postojati u svakoj šumi Active Directory:

Šema master) - Upravlja ažuriranjima i promjenama u šemi direktorija. Da ažurirate shemu kataloga, potreban vam je pristup glavnoj shemi. Da biste utvrdili koji je server trenutno glavni za šemu u domeni, samo otvorite prozor komandne linije i unesite: dsquery server -imafsmo shema.

Master imenovanja domena - upravlja dodavanjem i uklanjanjem domena u šumi. Da biste dodali ili uklonili domenu, potreban vam je pristup masteru imenovanja domena. Da biste odredili koji je server trenutno glavni za imenovanje domena, samo unesite dsquery server u prozor komandne linije:imafsmo ime.

Ove uloge, koje su zajedničke za cijelu šumu u cjelini, moraju biti jedinstvene unutar šume.

Sljedeće uloge moraju postojati u svakoj domeni Active Directory.

Relativni ID master - dodjeljuje relativne identifikatore domenskim kontrolerima. Svaki put kada kreirate korisnički objekat, grupišite ili računaru, kontrolori dodeljuju jedinstveni SID objektu, koji se sastoji od domenskog SID-a i jedinstvenog identifikatora koji je dodeljen od strane relativnog ID mastera. Da biste utvrdili koji je server trenutno glavni nad relativnim identifikatorima u domeni, samo unesite u prozor komandne linije: dsqueryserver -imafsmoosloboditi se.

PDC emulator (PDC emulator) - U mešovitom ili scenskom režimu domena, deluje kao Windows NT glavni kontroler domena. Provjerava autentičnost Windows NT prijava, upravlja promjenama lozinke i replicira ažuriranja na P DC. Da biste odredili koji je server trenutno PDC emulator u domeni, samo unesite dsquery server - hasfsmo pdc.

Infrastrukturni majstor majstor ) - ažurira veze objekata, upoređujući podatke svog kataloga sa podacima iz knjige. Ako su podaci zastarjeli, on zahtijeva ažuriranja od GC-a i replicira ih na druge kontrolere u domeni. Da biste odredili koji server je trenutno glavni nad infrastrukturom u domeni, samo u prozoru komandne linije i unesite dsqueryserver -hasfsmo infr.

Ove uloge, koje su zajedničke za cijelu domenu, moraju biti jedinstvene unutar domene. Drugim riječima, možete konfigurirati samo jedan relativni ID master, jedan PDC emulator i jedan infrastrukturni master za svaku domenu.

Glavne uloge operacija se obično dodjeljuju automatski, ali ih možete preraspodijeliti. Kada se instalira nova mreža, prvi kontroler u prvoj domeni preuzima sve glavne uloge operacija. Ako se nova podređena domena ili korijenska domena kasnije kreira u novom stablu, glavne uloge operacija se automatski dodjeljuju i prvom kontroleru domene. U novoj šumi domene, kontroloru domene su dodijeljene sve glavne uloge operacija. Ako je nova domena kreirana u istoj šumi, njenom kontroleru se dodeljuje uloga mastera relativnih identifikatora, emulatora PDC i vlasnik infrastrukture. Uloge majstora sheme i mastera imenovanja domena ostaju s prvom domenom u šumi.

Ako postoji samo jedan kontroler domene u domeni, on preuzima sve uloge glavnog operatera. Ako postoji jedno mjesto na mreži, zadana lokacija za mastere operacija je optimalna. Međutim, kako dodajete kontrolere domene i domene, ponekad morate premjestiti glavne uloge operacija na druge kontrolere domene.

Ako postoje dva ili više kontrolora domene u domeni, preporučujemo da konfigurirate dva kontrolera domene da preuzmu uloge gospodara operacija. Na primjer, odredite jedan kontroler domene kao glavni glavni glavni operativni sistem, a drugi kao rezervni, što će biti potrebno ako primarni ne uspije.

Administracija Aktivni direktorij

CActive Directory kreira račune računara, povezuje ih sa domenom i upravlja računarima, kontrolerima domena i organizacionim jedinicama (OU).

Alatke za administraciju i podršku su obezbeđene za upravljanje Active Directory. Alati navedeni u nastavku implementirani su u obliku snap-ina MMC konzole (Microsoft MenadžmentKonzola):

Korisnici i računari aktivnog imenika (Active Directory Korisnici i Kompjuteri) omogućava vam upravljanje korisnicima, grupama, računarima i organizacionim jedinicama (OP);

Aktivan Imenik- domene i povjerenje ( Aktivan Imenik Domainsi Trusts ) služi za rad sa domenima, stablima domena i šumama domena;

Aktivni direktorij - web stranice iusluga (Web lokacije i usluge aktivnog imenika) omogućava vam upravljanje lokacijama i podmrežama;

Rezultat politika (Rezultirajući skup pravila) koristi se za pregled trenutne korisničke ili sistemske politike i za planiranje promjena politike.

V Microsoft Windows 2003 Server može pristupiti ovim dodacima direktno iz menija Administrativne alatke.

Još jedan administrativni alat je snap-in Šema AktivanImenik (Aktivan Imenik Shema) - omogućava vam da upravljate i mijenjate shemu direktorija.

Uslužni programi komandne linije Aktivan Imenik

Za upravljanje objektima Aktivan Imenik Postoje alati komandne linije koji vam omogućavaju obavljanje širokog spektra administrativnih zadataka:

DSADD - dodaje se Aktivan Imenik kompjuteri, kontakti, grupe, PO i korisnici.

DSGET - prikazuje svojstva računara, kontakata, grupa, OS, korisnika, sajtova, podmreža i servera registrovanih u Aktivan Imenik.

DSMOD - mijenja svojstva računara, kontakata, grupa, OP-a, korisnika i servera u kojima su registrirani Aktivan Imenik.

DSMOVE - premješta jedan objekt na novu lokaciju unutar domene, ili preimenuje objekt bez pomjeranja.

DSQXJERY - traži računare, kontakte, grupe, OP-e, korisnike, stranice, podmreže i servere u Aktivan Imenik prema navedenim kriterijumima.

DSRM - uklanja objekt iz Aktivan Imenik.

NTDSUTIL - omogućava vam pregled informacija o web lokaciji, domeni ili serveru, upravljanje majstori operacija (operacije majstori) i održavati bazu podatakaAktivan Imenik.

Svaki početnik, suočen sa akronimom AD, pita se šta je Active Directory? Active Directory je usluga imenika koju je razvio Microsoft za Windows domenske mreže. Uključen je u većinu Windows Server operativnih sistema kao skup procesa i usluga. U početku se servis bavio samo domenima. Međutim, od Windows Servera 2008, AD je postao naziv za širok spektar usluga identiteta zasnovanih na direktorijumu. Ovo čini Active Directory boljim mjestom za učenje za početnike.

Osnovna definicija

Server koji pokreće Active Directory domenske usluge naziva se kontroler domene. On provjerava autentičnost i ovlasti sve korisnike i računare u Windows mrežnom domenu, dodjeljuje i provodi sigurnosne politike za sve računare i instalira ili ažurira softver. Na primjer, kada se korisnik prijavi na računar koji je uključen u Windows domenu, Active Directory potvrđuje datu lozinku i utvrđuje da li je objekt administrator sistema ili standardni korisnik. Takođe vam omogućava da upravljate i pohranjujete informacije, pruža autentifikaciju i mehanizme autorizacije i postavlja okvir za implementaciju drugih povezanih usluga: usluge certifikata, federalne i lake usluge imenika i upravljanje pravima.

Active Directory koristi LDAP verzije 2 i 3, Microsoftovu verziju Kerberosa i DNS-a.

Šta je Active Directory? Jednostavnim riječima o kompleksu

Praćenje mrežnih podataka je dosadan zadatak. Čak i na malim mrežama, korisnici imaju tendenciju da imaju poteškoća u pronalaženju mrežnih datoteka i štampača. Bez neke vrste imenika, srednje i velike mreže se ne mogu upravljati i često imaju poteškoća u pronalaženju resursa.

Prethodne verzije Microsoft Windows-a su uključivale usluge koje su korisnicima i administratorima pomogle da pronađu podatke. Umrežavanje je korisno u mnogim okruženjima, ali očigledan nedostatak je nezgodan interfejs i njegova nepredvidljivost. WINS Manager i Server Manager se mogu koristiti za pregled liste sistema, ali nisu bili dostupni krajnjim korisnicima. Administratori su koristili User Manager za dodavanje i uklanjanje podataka potpuno drugačijeg tipa mrežnog objekta. Ove aplikacije su se pokazale neefikasne za rad u velikim mrežama i postavile su pitanje zašto u kompaniji Active Directory?

Direktorij, u svom najopćenitijem smislu, je potpuna lista objekata. Telefonski imenik je vrsta imenika koji pohranjuje informacije o ljudima, preduzećima i vladinim organizacijama iobično sadrže imena, adrese i brojeve telefona. Postavljam pitanje Active Directory - šta je to, jednostavno rečeno, možemo reći da je ova tehnologija slična direktoriju, ali je mnogo fleksibilnija. AD pohranjuje informacije o organizacijama, lokacijama, sistemima, korisnicima, dionicama i bilo kojem drugom mrežnom objektu.

Uvod u osnovne koncepte Active Directory

Zašto je organizaciji potreban Active Directory? Kao što je spomenuto u uvodu u Active Directory, usluga pohranjuje informacije o mrežnim komponentama. Vodič za Active Directory za početnike navodi da jeste omogućava klijentima da pronađu objekte u svom imenskom prostoru. Ovaj t Termin (koji se naziva i stablo konzole) odnosi se na područje u kojem se mrežna komponenta može nalaziti. Na primjer, sadržaj knjige stvara prostor imena u kojem poglavlja mogu biti mapirana na brojeve stranica.

DNS je stablo konzole koje razrješava imena hostova u IP adrese kao što je toTelefonski imenici pružaju prostor imena za razlučivanje imena za telefonske brojeve. Kako ovo funkcionira u Active Directoryju? AD pruža stablo konzole za rješavanje imena mrežnih objekata na same objekte imože riješiti širok spektar objekata, uključujući korisnike, sisteme i usluge na mreži.

Objekti i atributi

Sve što Active Directory nadgleda smatra se objektom. Jednostavnim riječima možemo reći da je ovo u Active Directoryju je bilo koji korisnik, sistem, resurs ili usluga. Uobičajeni termin objekt se koristi jer AD može pratiti mnoge elemente, a mnogi objekti mogu dijeliti zajedničke atribute. Šta to znači?

Atributi opisuju objekte u aktivnom direktoriju Active Directory, na primjer, svi prilagođeni objekti dijele atribute za pohranjivanje korisničkog imena. Ovo se odnosi i na njihov opis. Sistemi su također objekti, ali imaju poseban skup atributa koji uključuju ime hosta, IP adresu i lokaciju.

Skup atributa dostupnih za bilo koji određeni tip objekta naziva se šema. To čini klase objekata različitim jedna od druge. Informacije o šemi su zapravo pohranjene u Active Directory. Da je ovakvo ponašanje sigurnosnog protokola veoma važno pokazuje činjenica da shema dozvoljava administratorima da dodaju atribute klasama objekata i distribuiraju ih po mreži u svim kutovima domene bez ponovnog pokretanja bilo kojeg kontrolera domene.

LDAP kontejner i naziv

Kontejner je poseban tip objekta koji se koristi za organizaciju rada usluge. Ne predstavlja fizički entitet kao što je korisnik ili sistem. Umjesto toga, koristi se za grupiranje drugih stavki zajedno. Objekti kontejnera mogu biti ugniježđeni unutar drugih kontejnera.

Svaka stavka u AD ima ime. To nisu oni na koje ste navikli, na primjer, Ivan ili Olga. Ovo su LDAP prepoznatljiva imena. LDAP različita imena su složena, ali omogućavaju da bilo koji objekt unutar direktorija bude jedinstveno identificiran, bez obzira na njegov tip.

Stablo termina i lokacija

Stablo pojmova se koristi za opisivanje skupa objekata u Active Directory. Šta je ovo? Jednostavno rečeno, ovo se može objasniti pomoću asocijacije stabla. Kada su kontejneri i objekti hijerarhijski kombinovani, oni imaju tendenciju da formiraju grane - otuda i naziv. Srodni termin je kontinualno podstablo, koje se odnosi na neraskidivo glavno deblo drveta.

Nastavljajući s metaforom, izraz šuma opisuje kolekciju koja nije dio istog imenskog prostora, ali ima zajedničku šemu, konfiguraciju i globalni katalog. Objekti u ovim strukturama dostupni su svim korisnicima ako to sigurnost dozvoljava. Organizacije sa više domena treba da grupišu stabla u jednu šumu.

Stranica je geografska lokacija kako je definirana u Active Directoryju. Lokacije odgovaraju logičkim IP podmrežama i, kao takve, mogu ih koristiti aplikacije da pronađu najbliži server na mreži. Korištenje informacija o lokaciji iz Active Directory može značajno smanjiti WAN promet.

Active Directory Management

Komponenta dodatka Active Directory - Korisnici. To je najpogodniji alat za administriranje Active Directory-a. Direktno mu se pristupa iz programske grupe Administrativni alati na Start meniju. On zamjenjuje i poboljšava Server Manager i User Manager iz Windows NT 4.0.

Sigurnost

Active Directory igra važnu ulogu u budućnosti Windows umrežavanja. Administratori bi trebali moći zaštititi svoj direktorij od uljeza i korisnika dok delegiraju zadatke drugim administratorima. Ovo je sve moguće pomoću sigurnosnog modela Active Directory, koji povezuje listu kontrole pristupa (ACL) sa svakim atributom kontejnera i objekta u direktoriju.

Visok nivo kontrole omogućava administratoru da pojedinačnim korisnicima i grupama dodeli različite nivoe dozvola za objekte i njihova svojstva. Oni čak mogu dodati atribute objektima i sakriti te atribute od određenih grupa korisnika. Na primjer, možete postaviti ACL tako da samo menadžeri mogu vidjeti kućne telefone drugih korisnika.

Delegirana administracija

Koncept nov za Windows 2000 Server je delegirana administracija. Ovo vam omogućava da dodijelite zadatke drugim korisnicima bez dodjele dodatnih prava pristupa. Delegirana administracija se može dodijeliti kroz specifične objekte ili susjedna podstabla direktorija. Ovo je mnogo efikasniji metod davanja ovlašćenja nad mrežama.

V dodjeljivanjem svih globalnih administratorskih prava domene nekome, korisniku se mogu dati dozvole samo unutar određenog podstabla. Active Directory podržava nasljeđivanje, tako da svi novi objekti nasljeđuju ACL iz svog kontejnera.

Izraz "odnos povjerenja"

Izraz "povjerenje" se još uvijek koristi, ali ima drugačiju funkcionalnost. Ne postoji razlika između jednostranih i bilateralnih trustova. Svi Active Directory trustovi su dvosmjerni. Štaviše, svi su tranzitivni. Dakle, ako domen A vjeruje domeni B i B vjeruje C, tada postoji automatski implicitni odnos povjerenja između domene A i domene C.

Revizija u Active Directoryju - šta je to jednostavnim riječima? Ovo je sigurnosna funkcija koja vam omogućava da odredite ko pokušava pristupiti objektima, kao i koliko je taj pokušaj uspješan.

Korištenje DNS-a (sistema imena domena)

Različiti DNS sistem je neophodan za svaku organizaciju koja je povezana na Internet. DNS omogućava razlučivanje imena između uobičajenih imena kao što je mspress.microsoft.com i sirovih IP adresa koje komponente mrežnog sloja koriste za komunikaciju.

Active Directory u velikoj mjeri koristi DNS tehnologiju za pronalaženje objekata. Ovo je značajna promjena u odnosu na prethodne Windows operativne sisteme koji zahtijevaju da se NetBIOS imena rješavaju IP adresama i oslanjaju na WINS ili druge tehnike rješavanja NetBIOS imena.

Active Directory najbolje radi kada se koristi sa Windows 2000 DNS serverima. Microsoft je olakšao administratorima da pređu na Windows 2000 DNS servere tako što je obezbedio čarobnjake za migraciju koji vode administratora kroz proces.

Mogu se koristiti i drugi DNS serveri. Međutim, u ovom slučaju, administratori će morati potrošiti više vremena na upravljanje DNS bazama podataka. Koje su nijanse? Ako odlučite da ne koristite Windows 2000 DNS servere, morate osigurati da vaši DNS serveri budu u skladu s novim DNS protokolom za dinamičko ažuriranje. Serveri se oslanjaju na dinamičko ažuriranje svojih zapisa kako bi pronašli kontrolere domena. Nije udobno. Uostalom, eAko dinamičko ažuriranje nije podržano, morate ručno ažurirati baze podataka.

Windows domene i internet domene su sada potpuno kompatibilne. Na primjer, ime kao što je mspress.microsoft.com će identificirati Active Directory kontrolere domena odgovorne za domenu, tako da svaki klijent sa DNS pristupom može pronaći kontroler domene.Klijenti mogu koristiti DNS rezoluciju da traže bilo koji broj usluga jer Active Directory serveri objavljuju listu adresa u DNS-u koristeći novu funkciju dinamičkog ažuriranja. Ovi podaci se identificiraju kao domena i objavljuju kroz evidenciju resursa usluge. SRV RR-ovi slijede format service.protocol.domain.

Serveri Active Directory pružaju LDAP uslugu za hostovanje objekta, a LDAP koristi TCP kao osnovni transportni protokol. Stoga će klijent koji traži Active Directory server u domeni mspress.microsoft.com potražiti DNS zapis za ldap.tcp.mspress.microsoft.com.

Globalni katalog

Active Directory pruža globalni katalog (GC) ipruža jedan izvor za pronalaženje bilo kojeg objekta na mreži organizacije.

Globalni katalog je usluga u Windows 2000 Serveru koja omogućava korisnicima da pronađu sve objekte kojima je odobren pristup. Ova funkcionalnost je daleko bolja od one aplikacije Find Computer uključenu u prethodne verzije Windows-a. Na kraju krajeva, korisnici mogu pretraživati bilo koji objekt u Active Directoryju: servere, štampače, korisnike i aplikacije.

Kako će pomoći Aktivni direktorij specijalisti?

Dat ću malu listu "dobrota" koje se mogu dobiti primjenom Active Directory-a:

jedinstvena baza podataka registracije korisnika, koja se centralno pohranjuje na jednom ili više servera; dakle, kada se novi zaposlenik pojavi u kancelariji, samo ćete morati da mu kreirate nalog na serveru i naznačite kojim radnim stanicama može da pristupi;
budući da su svi resursi domene indeksirani, to korisnicima olakšava i brzo pretraživanje; na primjer, ako trebate pronaći štampač u boji u odjelu;
kombinacija primene NTFS dozvola, grupnih politika i delegiranja kontrole omogućiće vam da fino podesite i distribuirate prava između članova domena;
roaming korisnički profili omogućavaju skladištenje važnih informacija i podešavanja konfiguracije na serveru; zapravo, ako korisnik sa roaming profilom u domeni sjedne za drugi računar i unese svoje korisničko ime i lozinku, vidjet će svoju radnu površinu sa svojim uobičajenim postavkama;
koristeći grupne politike, možete promijeniti postavke operativnih sistema korisnika, od dopuštanja korisniku da postavlja pozadinu na radnoj površini do sigurnosnih postavki, kao i distribuciju softvera preko mreže, na primjer, Volume Shadow Copy klijent, itd.;
mnogi programi (proxy serveri, serveri baza podataka, itd.) ne samo što je napravio Microsoft danas su naučili da koriste autentifikaciju domena, tako da ne morate kreirati drugu korisničku bazu podataka, ali možete koristiti postojeću;
korištenje usluga udaljene instalacije olakšava postavljanje sistema na radne stanice, ali zauzvrat radi samo kada je raspoređena usluga direktorija.

I ovo nije potpuna lista funkcija, ali o tome kasnije. Sada ću pokušati da vam ispričam samu logiku konstrukcije Aktivni direktorij, ali opet vrijedi shvatiti od čega su naši momci napravljeni. Aktivni direktorij- To su domeni, drveće, šume, organizacione jedinice, grupe korisnika i računari.

domene - To je osnovna logička građevinska jedinica. U poređenju sa radnim grupama AD domene Jesu li sigurnosne grupe koje imaju jednu bazu registracije, dok su radne grupe samo logično grupisanje mašina. AD koristi Domain Name Server (DNS) za svoje usluge imenovanja i traženja, a ne Windows Internet Name Service (WINS) kao što je to bilo u ranijim verzijama NT-a. Dakle, nazivi računara u domeni su u obliku, na primjer, buh.work.com, gdje je buh ime računara u domeni work.com (iako to nije uvijek slučaj).

Radne grupe koriste NetBIOS imena. Da ugosti strukturu domena AD eventualno koristeći DNS server koji nije Microsoftov. Ali mora biti usklađen sa BIND 8.1.2 ili novijim i podržavati SRV () zapise kao i protokol za dinamičku registraciju (RFC 2136). Svaka domena ima najmanje jedan kontroler domene koji hostuje centralnu bazu podataka.

drveće - To su strukture sa više domena. Koren ove strukture je glavna domena za koju kreirate decu. U stvari, Active Directory koristi hijerarhijsku strukturu sličnu strukturi domena u DNS-u.

Ako imamo domenu work.com (domen prvog nivoa) i kreiramo dvije podređene domene za nju first.work.com i second.work.com (ovdje su prva i druga domena drugog nivoa, a ne računar u domeni , kao u gore opisanom slučaju), završavamo sa stablom domena.

Drveće se koristi kao logička struktura kada treba podijeliti grane kompanije, na primjer, po geografiji ili iz nekih drugih organizacijskih razloga.

AD pomaže da se automatski kreiraju odnosi povjerenja između svake domene i njenih podređenih domena.

Dakle, kreiranje domena first.work.com dovodi do automatskog uspostavljanja dvosmjernog odnosa povjerenja između nadređenog work.com i djeteta first.work.com (slično za second.work.com). Stoga se dozvole podređene domene mogu primijeniti sa nadređene domene i obrnuto. Nije teško pretpostaviti da će odnosi povjerenja postojati i za podređene domene.

Još jedno svojstvo odnosa povjerenja je tranzitivnost. Dobijamo - odnos povjerenja sa domenom work.com je kreiran za net.first.work.com domen.

šuma - Baš kao i stabla, ona su strukture sa više domena. Ali Šuma Je unija stabala s različitim korijenskim domenima.

Pretpostavimo da odlučite imati nekoliko domena sa nazivima work.com i home.net i kreirate podređene domene za njih, ali pošto tld (domen najvišeg nivoa) nije u vašoj kontroli, u ovom slučaju možete organizirati šumu odabirom jednog korijenskih domena prve razine. Ljepota stvaranja šume u ovom slučaju je dvosmjerni odnos povjerenja između dva domena i njihovih podređenih domena.

Međutim, kada radite sa šumama i drvećem, imajte na umu sljedeće:

ne možete dodati postojeću domenu stablu
postojeće drvo ne može biti uključeno u šumu
ako su domeni smješteni u šumi, ne mogu se premjestiti u drugu šumu
ne možete izbrisati domenu koja ima podređene domene

Organizacione jedinice - u principu se mogu nazvati poddomeni. omogućavaju vam da grupišete korisničke naloge, korisničke grupe, računare, deljene resurse, štampače i druge OU (Organizacione jedinice) u domenu. Praktična korist od njihove upotrebe je mogućnost delegiranja prava za administraciju ovih jedinica.

Jednostavno rečeno, možete imenovati administratora u domenu koji može upravljati OU, ali nema prava da administrira cijeli domen.

Važna karakteristika OU-ova, za razliku od grupa, je mogućnost primjene grupnih politika na njih. "Zašto ne možete podijeliti originalnu domenu na više domena umjesto da koristite OU?" - pitate.

Mnogi stručnjaci savjetuju da imate jednu domenu kad god je to moguće. Razlog tome je decentralizacija administracije prilikom kreiranja dodatnog domena, budući da administratori svakog takvog domena dobijaju neograničenu kontrolu (ne zaboravite da prilikom delegiranja prava na OU administratore možete ograničiti njihovu funkcionalnost).

Osim toga, trebat će vam još jedan kontroler da kreirate novu domenu (čak i podređenu domenu). Ako imate dva odvojena odjeljka povezana sporom vezom, mogu se pojaviti problemi s replikacijom. U ovom slučaju bi bilo prikladnije imati dvije domene.

Postoji još jedna nijansa primjene grupnih politika: politike koje definiraju postavke lozinke i zaključavanja računa mogu se primijeniti samo na domene. Za OU, ove postavke politike se zanemaruju.

Stranice - Ovo je način fizičkog odvajanja usluge imenika. Po definiciji, sajt je grupa računara povezanih brzim kanalima za prenos podataka.

Ako imate nekoliko poslovnica u različitim dijelovima zemlje, povezanih brzim komunikacijskim linijama, tada za svaku filijalu možete kreirati vlastitu web stranicu. Ovo se radi kako bi se poboljšala pouzdanost replikacije direktorija.

Ova podjela AD ne utiče na principe logičke konstrukcije, dakle, kako stranica može sadržavati više domena, i obrnuto, domen može sadržavati više lokacija. Ali ova topologija usluge imenika je puna zamka. Obično se internet koristi za komunikaciju sa filijalama – veoma nesigurno okruženje. Mnoge kompanije koriste sigurnosne funkcije kao što su zaštitni zidovi. Servis direktorija u svom radu koristi desetak portova i servisa, otvaranjem kojih će AD promet proći kroz firewall zapravo biti izložen "van". Rješenje je korištenje tehnologije tuneliranja i posjedovanje kontrolera domena na svakoj lokaciji kako bi se ubrzala obrada zahtjeva AD klijenata.

Prikazana je logika ugniježđenja komponenti servisa imenika. Može se vidjeti da šuma sadrži dva stabla domena, u kojima korijenski domen stabla, zauzvrat, može sadržavati OU i grupe objekata, kao i imati podređene domene (u ovom slučaju svako ima po jedan od njih). Podređeni domeni takođe mogu sadržati grupe objekata i OU i imati podređene domene (oni nisu prikazani na slici). itd. Da vas podsjetim da OU mogu sadržavati OU, objekte i grupe objekata, a grupe mogu sadržavati druge grupe.

Grupe korisnika i računara - se koriste u administrativne svrhe i imaju isto značenje kao kada se koriste na lokalnim strojevima u mreži. Za razliku od OU-ova, ne možete primijeniti grupne politike na grupe, ali im možete delegirati kontrolu. U okviru šeme Active Directory razlikuju se dvije vrste grupa: sigurnosne grupe (koje se koriste za razlikovanje prava pristupa mrežnim objektima) i grupe za distribuciju (koje se uglavnom koriste za slanje mail poruka, na primjer, u Microsoft Exchange Serveru).

Klasificiraju se prema svom obimu:

univerzalne grupe može uključiti korisnike unutar šume, kao i druge univerzalne grupe ili globalne grupe bilo kojeg domena u šumi
globalne grupe domena može uključiti korisnike domena i druge globalne grupe u istoj domeni
lokalne grupe domena koriste se za razlikovanje prava pristupa, mogu uključivati korisnike domena, kao i univerzalne grupe i globalne grupe bilo kojeg domena u šumi
lokalne kompjuterske grupe- grupe koje sadrži SAM (upravljač sigurnosnim računima) lokalnog stroja. One su ograničene samo na datu mašinu, ali mogu uključiti lokalne grupe za domenu u kojoj se računar nalazi, kao i univerzalne i globalne grupe za njihovu ili drugu domenu kojoj veruju. Na primjer, možete uključiti korisnika iz domenske lokalne grupe Korisnici u grupu administratora lokalnog stroja, dajući mu na taj način administratorska prava, ali samo za ovaj računar.

Alexander Emelyanov

Principi izgradnje domena Active Directory

Active Directory je odavno uključen u kategoriju konzervativnih principa logičke konstrukcije mrežne infrastrukture. Ali mnogi administratori nastavljaju da koriste Windows NT radne grupe i domene u svom radu. Implementacija usluge imenika će biti zanimljiva i korisna i za početnike i za iskusne administratore kako bi centralizirali upravljanje mrežom i osigurali adekvatan nivo sigurnosti.

Active Directory, tehnologija koja se pojavila u Win2K liniji sistema prije šest godina, mogla bi se opisati kao revolucionarna. Nadmašuje NT 4 domene po redovima veličine u fleksibilnosti i skalabilnosti, a da ne spominjemo mreže radnih grupa.

Od objavljivanja AD, objavljen je ogroman broj knjiga i publikacija na teme planiranja, dizajna topologije, podrške domenima, sigurnosti i još mnogo toga.

Microsoft-ovi kursevi sertifikacije obećavaju da za 40 sati možete naučiti kako da implementirate i uspješno administrirate svoju domenu.

Ne vjerujem. Administracija je proces koji uključuje dugogodišnje iskustvo sa "velikim udarcima", ogromnu količinu pročitane dokumentacije (uglavnom na engleskom) i "intimne" razgovore sa šefovima i korisnicima.

Postoji još jedna nijansa - prije nego što pođete na kurs o implementaciji Active Directory, morate uspješno položiti kurs administracije mrežne infrastrukture baziran na Windows Serveru 2003, što također zahtijeva određene finansijske troškove od strane studenta. Još jednom smo uvjereni da Microsoft neće propustiti svoje. Ali ne radi se o tome...

Učenje o implementaciji AD ne uklapa se u obim sedmičnog kursa, a još manje jedne publikacije. Međutim, naoružani iskustvom iz prethodnih članaka, pokušaćemo da shvatimo šta je to, u suštini, usluga imenika, koje su glavne suptilnosti njene instalacije i kako može da olakša život administratoru sistema.

Pogledajmo i šta je novo u Active Directory-u sa izdanjem Windows Servera 2003.

Vrijedi napomenuti da je Microsoft izdao Windows Vista u posljednjem kvartalu prošle godine, a sa njim i ažurirani servis direktorija. Međutim, stare tehnologije do danas nisu izgubile na važnosti.

U ovom članku ćemo proći putem od razumijevanja suštine AD-a do stvaranja vlastite domene. Njegova daljnja konfiguracija i alati za upravljanje i dijagnostiku će biti pokriveni u sljedećim izdanjima.

Kako Active Directory može pomoći

Evo nepotpune liste svih dobrota koje dobijate implementacijom usluge imenika:

jedinstvena baza podataka registracije korisnika, koja se centralno pohranjuje na jednom ili više servera; dakle, kada se novi zaposlenik pojavi u kancelariji, samo ćete morati da mu kreirate nalog na serveru i naznačite kojim radnim stanicama može da pristupi;
budući da su svi resursi domene indeksirani, to korisnicima olakšava i brzo pretraživanje; na primjer, ako trebate pronaći pisač u boji u odjelu za automatizaciju;
kombinacija primene NTFS dozvola, grupnih politika i delegiranja kontrole omogućiće vam da fino podesite i distribuirate prava između članova domena;
roaming korisnički profili omogućavaju skladištenje važnih informacija i podešavanja konfiguracije na serveru; zapravo, ako korisnik sa roaming profilom u domeni sjedne za drugi računar i unese svoje korisničko ime i lozinku, vidjet će svoju radnu površinu sa svojim uobičajenim postavkama;
koristeći grupne politike, možete promijeniti postavke operativnih sistema korisnika, od dopuštanja korisniku da postavlja pozadinu na radnoj površini do sigurnosnih postavki, kao i distribuciju softvera preko mreže, na primjer, Volume Shadow Copy klijent, itd.;
mnogi programi (proxy serveri, serveri baza podataka, itd.) ne samo što je napravio Microsoft danas su naučili da koriste autentifikaciju domena, tako da ne morate kreirati drugu korisničku bazu podataka, ali možete koristiti postojeću;
korištenje usluga udaljene instalacije olakšava postavljanje sistema na radne stanice, ali zauzvrat radi samo kada je raspoređena usluga direktorija.

Nedostaci ove tehnologije pojavljuju se u procesu rada ili zbog nepoznavanja osnova, ili zbog nespremnosti da se ulazi u zamršenosti AD komponenti. Naučite ispravno rješavati probleme koji se pojavljuju i sva negativnost će nestati.

Skrenuću vam samo pažnju da će sve gore navedeno važiti ako postoji homogena mreža zasnovana na Windows 2000 i novijim operativnim sistemima.

Izgradite logiku

Pogledajmo glavne komponente usluge imenika.

Domains

To je osnovna logička građevinska jedinica. U poređenju sa radnim grupama, AD domeni su sigurnosne grupe sa jednom bazom registracije, dok su radne grupe samo logično grupisanje mašina. AD koristi Domain Name Server (DNS) za svoje usluge imenovanja i traženja, a ne Windows Internet Name Service (WINS) kao što je to bilo u ranijim verzijama NT-a. Dakle, nazivi računara u domeni su u obliku, na primjer, buh.work.com, gdje je buh naziv računara u domeni work.com (iako to nije uvijek slučaj, pročitajte o tome u nastavku ).

Radne grupe koriste NetBIOS imena. Moguće je koristiti DNS server koji nije Microsoftov za hostovanje strukture AD domena. Ali mora biti usklađen sa BIND 8.1.2 ili novijim i podržavati SRV zapise (RFC 2052) kao i protokol za dinamičku registraciju (RFC 2136). Svaka domena ima najmanje jedan kontroler domene koji hostuje centralnu bazu podataka.

Drveće

To su strukture sa više domena. Koren ove strukture je glavna domena za koju kreirate decu. U stvari, Active Directory koristi hijerarhijsku strukturu sličnu strukturi domena u DNS-u.

Na primjer, ako imamo domenu work.com (domen prvog nivoa) i kreiramo dvije podređene domene za nju first.work.com i second.work.com (ovdje su prva i druga domena drugog nivoa, a ne računar u domenu, kao u gore opisanom slučaju), onda kao rezultat dobijamo stablo domena (vidi sliku 1).

Drveće se koristi kao logička struktura kada treba podijeliti grane kompanije, na primjer, po geografiji ili iz nekih drugih organizacijskih razloga.

AD pomaže da se automatski kreiraju odnosi povjerenja između svake domene i njenih podređenih domena.

Još jedno svojstvo odnosa povjerenja je tranzitivnost. Dobijamo - odnos povjerenja sa domenom work.com je kreiran za net.first.work.com domen.

Šume

Baš kao i stabla, ona su strukture sa više domena. Ali šuma je unija drveća s različitim korijenskim domenima.

Pretpostavimo da odlučite da imate nekoliko domena sa nazivima work.com i home.net i kreirate podređene domene za njih, ali zbog činjenice da tld (domen najvišeg nivoa) nije u vašoj kontroli, u ovom slučaju možete organizovati šuma (vidi sliku 2), birajući jedan od domena prvog nivoa kao root. Ljepota stvaranja šume u ovom slučaju je dvosmjerni odnos povjerenja između dva domena i njihovih podređenih domena.

Međutim, kada radite sa šumama i drvećem, imajte na umu sljedeće:

ne možete dodati postojeću domenu stablu;
postojeće drvo ne može biti uključeno u šumu;
ako su domeni smješteni u šumi, ne mogu se premjestiti u drugu šumu;
ne možete izbrisati domenu koja ima podređene domene.

Za detaljnije informacije o zamršenosti korišćenja i konfigurisanja stabala i šuma, možete posetiti Microsoft TechNet bazu znanja, a mi ćemo ići dalje.

organizacione jedinice (OU)

Mogu se nazvati poddomeni. OU-ovi omogućavaju grupisanje korisničkih naloga, korisničkih grupa, računara, dijeljenja, štampača i drugih OU-ova u domenu. Praktična korist od njihove upotrebe je mogućnost delegiranja prava za administraciju ovih jedinica.

Jednostavno rečeno, možete imenovati administratora u domenu koji može upravljati OU, ali nema prava da administrira cijeli domen.

Važna karakteristika OU-ova, za razliku od grupa (pođimo malo ispred sebe), je mogućnost primjene grupnih politika na njih. "Zašto ne možete podijeliti originalnu domenu na više domena umjesto da koristite OU?" - pitate.

Grupe korisnika i računara

Koriste se u administrativne svrhe i imaju isto značenje kao kada se koriste na lokalnim mašinama u mreži. Za razliku od OU-ova, ne možete primijeniti grupne politike na grupe, ali im možete delegirati kontrolu. U okviru šeme Active Directory razlikuju se dvije vrste grupa: sigurnosne grupe (koje se koriste za razlikovanje prava pristupa mrežnim objektima) i grupe za distribuciju (koje se uglavnom koriste za slanje mail poruka, na primjer, u Microsoft Exchange Serveru).

Klasificiraju se prema svom obimu:

univerzalne grupe Može uključiti korisnike unutar šume, kao i druge univerzalne grupe ili globalne grupe bilo kojeg domena u šumi;
globalne grupe domena može uključiti korisnike domena i druge globalne grupe u istoj domeni;
lokalne grupe domena koriste se za razlikovanje prava pristupa, mogu uključivati korisnike domena, kao i univerzalne grupe i globalne grupe bilo kojeg domena u šumi;
lokalne kompjuterske grupe- grupe koje sadrži SAM (upravljač sigurnosnim računima) lokalnog stroja. One su ograničene samo na datu mašinu, ali mogu uključiti lokalne grupe za domenu u kojoj se računar nalazi, kao i univerzalne i globalne grupe za njihovu ili drugu domenu kojoj veruju. Na primjer, možete dodati korisnika iz domenske lokalne grupe Korisnici u grupu administratora lokalnog stroja, dajući mu na taj način administratorska prava, ali samo za ovaj računar.

Web stranice

Ovo je način fizičkog odvajanja usluge imenika. Po definiciji, sajt je grupa računara povezanih brzim kanalima za prenos podataka.

Na primjer, ako imate nekoliko filijala u različitim dijelovima zemlje povezanih komunikacijskim linijama male brzine, tada za svaku filijalu možete kreirati vlastitu web stranicu. Ovo se radi kako bi se poboljšala pouzdanost replikacije direktorija.

Na sl. 3 prikazuje logiku ugniježđenja komponenti usluge imenika. Može se vidjeti da šuma sadrži dva stabla domena, u kojima korijenski domen stabla, zauzvrat, može sadržavati OU i grupe objekata, kao i imati podređene domene (u ovom slučaju svako ima po jedan od njih). Podređeni domeni takođe mogu sadržati grupe objekata i OU i imati podređene domene (oni nisu prikazani na slici). itd. Da vas podsjetim da OU mogu sadržavati OU, objekte i grupe objekata, a grupe mogu sadržavati druge grupe. Pročitajte više o grupama za gniježđenje i njihovim komponentama u sljedećem članku.

Entitet usluge imenika

Da bi se osigurao određeni nivo sigurnosti, svaki operativni sistem mora imati datoteke koje sadrže korisničku bazu podataka. Ranije verzije Windows NT-a su koristile SAM (Security Accounts Manager) datoteku za ovo. Sadržavao je korisničke vjerodajnice i bio je šifriran. SAM se takođe danas koristi u NT 5 porodici operativnih sistema (Windows 2000 i noviji).

Kada promovišete server člana u kontroler domene pomoću naredbe DCPROMO (koja zapravo pokreće čarobnjaka za instalaciju usluge direktorija), sigurnosni mehanizam Windows Server 2000/2003 počinje koristiti centraliziranu AD bazu podataka. Ovo možete lako provjeriti - nakon kreiranja domene, pokušajte otvoriti dodatak za upravljanje računalom na kontroleru i tamo pronaći "Lokalni korisnici i grupe". Štoviše, pokušajte se prijaviti na ovaj server s lokalnim računom. Malo je vjerovatno da ćete uspjeti.

Većina korisničkih podataka pohranjena je u datoteci NTDS.DIT (Directory Information Tree). NTDS.DIT je modificirana baza podataka. Napravljena je koristeći istu tehnologiju kao i Microsoft Access baza podataka. Algoritmi kontrolera domene sadrže varijantu JET motora Access baze podataka pod nazivom ESE (Extensible Storage Engine). NTDS.DIT i servisi koji stupaju u interakciju s ovom datotekom su, u stvari, usluga direktorija.

U članku je prikazana struktura interakcije između AD klijenata i glavnog skladišta podataka, slična imenskom prostoru servisa imenika. Radi potpunosti, treba spomenuti upotrebu globalnih identifikatora. Globalni jedinstveni identifikator (GUID) je 128-bitni broj koji se dodjeljuje svakom objektu kada se kreira kako bi se osigurala jedinstvenost. Ime AD objekta se može promijeniti, ali GUID ostaje nepromijenjen.

Globalni katalog

Verovatno ste već primetili da struktura AD može biti veoma složena i da sadrži veliki broj objekata. Uzmimo činjenicu da AD domen može uključivati do 1,5 miliona objekata. Međutim, to može uzrokovati probleme s performansama prilikom izvođenja operacija. Ovaj problem se bavi Globalnim katalogom (GC). Sadrži smanjenu verziju cijele AD šume kako bi se ubrzala pretraga objekata. Globalni katalog može biti vlasništvo posebno određenih kontrolora domena.

FSMO uloge

U AD postoji određena lista operacija čije se izvršavanje može dodijeliti samo jednom kontroleru. To se naziva fleksibilne uloge jednog glavnog gospodara (FSMO). Postoji 5 FSMO uloga u AD. Razmotrimo ih detaljnije.

Unutar šume mora postojati garancija jedinstvenosti imena domena prilikom dodavanja novog domena u šumu domena. Ovu garanciju daje Master imenovanja domene. Master sheme pravi sve promjene u šemi direktorija. Uloge vlasnika imena domene i vlasnika sheme moraju biti jedinstvene unutar šume domene.

Kao što sam već rekao, kada se objekat kreira, dodeljuje mu se globalni identifikator, koji garantuje njegovu jedinstvenost. Zbog toga bi kontroler odgovoran za generisanje GUID-a i igranje uloge vlasnika relativnih identifikatora (Relative ID Master) trebao biti jedini unutar domene.

Za razliku od NT domena, AD nema koncept PDC i BDC (primarni i rezervni kontroleri domena). Jedna od uloga FSMO-a je PDC emulator (emulator primarnog domenskog kontrolera). Server koji koristi Windows NT Server može da deluje kao rezervni kontroler domena u AD. Međutim, poznato je da se u NT domenima može koristiti samo jedan primarni kontroler. Zato je Microsoft napravio tako da unutar jedne AD domene možemo odrediti jedan server - nosioca uloge PDC emulatora. Dakle, odstupajući od terminologije, možemo govoriti o prisutnosti glavnog i rezervnog domenskog kontrolera, odnosno vlasnika FSMO uloge.

Prilikom brisanja i premještanja objekata, jedan od kontrolera mora održavati referencu na taj objekt dok se replikacija ne završi. Ovu ulogu igra vlasnik infrastrukture direktorija (Infrastructure Master).

Posljednje tri uloge zahtijevaju jedinstvenost izvođača unutar domene. Sve uloge su dodijeljene prvom kontroleru kreiranom u šumi. Kada kreirate račvastu AD infrastrukturu, možete delegirati ove uloge na druge kontrolere. Situacije mogu nastati i kada je vlasnik jedne od uloga nedostupan (server ne radi). U ovom slučaju, potrebno je izvršiti operaciju preuzimanja FSMO uloge pomoću uslužnog programa NTDSUTIL (o njegovoj upotrebi ćemo govoriti u sljedećim člancima). Budite oprezni, međutim, jer usluga imenika pretpostavlja da prethodni vlasnik ne postoji i uopće se ne poziva na njega kada preuzme ulogu. Povratak u mrežu prethodnog izvođača uloge može dovesti do poremećaja njenog funkcionisanja. Ovo je posebno važno za vlasnika šeme, vlasnika imena domene i vlasnika identifikatora.

Što se performansi tiče: uloga emulatora primarnog domenskog kontrolera je najzahtjevnija za resurs resursa računara, pa se može dodijeliti drugom kontroleru. Ostale uloge nisu toliko zahtjevne, pa se prilikom dodjele možete voditi nijansama logičke konstrukcije vaše AD sheme.

Poslednji korak teoretičara

Čitanje članka vas nikako ne bi trebalo prebaciti sa teoretičara na praksu. Jer dok ne uzmete u obzir sve faktore od fizičkog postavljanja hostova do logičke konstrukcije čitavog direktorija, ne biste se trebali baciti na posao i izgraditi domenu sa jednostavnim odgovorima na pitanja čarobnjaka za podešavanje AD. Razmislite o tome kako će se zvati vaša domena i, ako ćete kreirati podređene domene za nju, kako će se zvati. Ako imate više segmenata na vašoj mreži koji su povezani nepouzdanim vezama, razmislite o korištenju web lokacija.

Kao vodič za instaliranje AD-a, mogu vam savjetovati da koristite članke i, kao i Microsoftovu bazu znanja.

Za kraj, nekoliko savjeta:

Pokušajte ne kombinirati uloge PDC emulatora i proxy servera na istom stroju ako je moguće. Prvo, sa velikim brojem mašina u mreži i korisnika interneta raste opterećenje servera, a drugo, uspešnim napadom na vaš proxy, ne samo internet, već i glavni kontroler domena će "pasti", a ovo je ispunjeno nepravilnim radom cijele mreže.
Ako administrirate svoju lokalnu mrežu na dnevnoj bazi i ne želite da implementirate Active Directory za svoje klijente, dodajte mašine u domen postepeno, recimo četiri do pet dnevno. Pošto ako imate veliki broj mašina na mreži (50 ili više) i sami se snalazite, teško da ćete se snaći ni preko vikenda, a ako imate, onda se ne zna koliko će sve biti ispravno. Osim toga, možete koristiti fajl ili interni server pošte za razmjenu dokumentacije unutar mreže (ovo sam opisao u # 11, 2006). Jedina stvar u ovom slučaju je ispravno shvatiti kako konfigurirati korisnička prava za pristup serveru datoteka. Jer ako, na primjer, nije uključen u domenu, autentifikacija korisnika će se izvršiti na osnovu zapisa lokalne SAM baze podataka. Nema podataka o korisnicima domena. Međutim, ako je vaš server datoteka među prvim mašinama uključenim u AD, a nije kontroler domene, tada će biti moguće izvršiti autentifikaciju i sa lokalnim SAM-om i sa AD nalogom. Ali za potonju opciju, morat ćete dozvoliti (ako već nije učinjeno) pristup serveru datoteka preko mreže za članove domene i lokalne račune u lokalnim sigurnosnim postavkama.

O daljnjoj konfiguraciji usluge imenika (kreiranje i upravljanje nalozima, dodjeljivanje grupnih politika, itd.) pročitajte u sljedećem članku.

Dodatak

Šta je novo u Active Directory-u u Windows Serveru 2003

Sa izdavanjem Windows Servera 2003, u Active Directoryju su se pojavile sljedeće promjene:

Postalo je moguće preimenovati domen nakon njegovog kreiranja.
Unaprijeđen je korisnički interfejs za upravljanje. Na primjer, možete promijeniti atribute nekoliko objekata odjednom.
Pojavio se dobar alat za upravljanje grupnim polisama - Konzola za upravljanje grupnim politikama (gpmc.msc, potrebno je da je preuzmete sa Microsoft sajta).
Funkcionalni nivoi domena i šume su se promijenili.

Posljednju promjenu treba detaljnije reći. AD domena u Windows Serveru 2003 može biti na jednom od sljedećih nivoa, navedenih po rastućoj funkcionalnosti:

Windows 2000 Mixed (mješoviti Windows 2000)... Dozvoljeno je imati kontrolere različitih verzija - i Windows NT i Windows 2000/2003. Štaviše, ako su Windows 2000/2003 serveri jednaki, onda NT server, kao što je već pomenuto, može da deluje samo kao rezervni kontroler domena.
Windows 2000 izvorni (matični Windows 2000)... Dozvoljeno je imati kontrolere koji koriste Windows Server 2000/2003. Ovaj nivo je funkcionalniji, ali ima svoja ograničenja. Na primjer, nećete moći preimenovati kontrolere domena.
Windows Server 2003 Interim (srednji Windows Server 2003)... Dozvoljeno je imati kontrolere koji koriste Windows NT kao i Windows Server 2003. Koristi se, na primjer, kada se glavni kontroler domena koji pokreće Windows NT server nadogradi na W2K3. Nivo ima nešto više funkcionalnosti od Windows 2000 Native nivoa.
Windows Server 2003... U domeni su dozvoljeni samo Windows Server 2003 kontroleri. Na ovom nivou možete u potpunosti iskoristiti prednosti usluge direktorija Windows Server 2003.

Funkcionalni nivoi šuma domena su skoro isti kao i za domene. Jedini izuzetak je da postoji samo jedan Windows 2000 nivo na kojem se Windows NT i Windows Server 2000/2003 kontroleri mogu koristiti u šumi.

Treba napomenuti da je promjena funkcionalnog nivoa domene i šume nepovratna operacija. Odnosno, ne postoji kompatibilnost unatrag.

Korobko I. Active Directory - teorija konstrukcije. // "System Administrator", br. 1, 2004 - C. 90-94. ().
R. Markov Windows 2000/2003 domeni - odbijanje radne grupe. // "System Administrator", br. 9, 2005 - C. 8-11. ().
Markov R. Instaliranje i konfigurisanje Windows 2K servera. // "System Administrator", br. 10, 2004 - C. 88-94. ().

Ono što je aktivni direktorij je jednostavno. Uspostavljanje odnosa povjerenja

6.1 Osnovni pojmovi i pojmovi (šuma, drvo, domena, organizaciona jedinica). Planiranje AD imenskog prostora. Instalacija kontrolera domena

Modeli upravljanja sigurnošću: model radne grupe i centralizirane domene

Model radne grupe

Model domene

Svrha usluge imenika Active Directory

Terminologija

Domain

Globalni katalog

Osnovna definicija

Šta je Active Directory? Jednostavnim riječima o kompleksu

Uvod u osnovne koncepte Active Directory

Objekti i atributi

LDAP kontejner i naziv

Stablo termina i lokacija

Active Directory Management

Sigurnost

Delegirana administracija

Izraz "odnos povjerenja"

Korištenje DNS-a (sistema imena domena)

Globalni katalog

Top srodni članci