چرا یک سازمان به Active Directory نیاز دارد؟ کنترل کننده دامنه: چیست و برای چیست؟ راه اندازی کنترلر

Domain Controller سروری است که تحت کنترل عملیاتی اجرا می شود سیستم های ویندوزسرور، با Domain Service نصب شده است اکتیو دایرکتوری. در این مقاله به طور خلاصه به هدف یک Domain Controller، عملکرد آن و اهمیت پیکربندی مناسب می پردازیم.

هدف

برای اینکه وارد نشویم عدد بزرگ شرایط خاص، کنترل کننده های دامنه سرورهایی هستند که از Active Directory پشتیبانی می کنند. آنها اطلاعات مربوط به حساب های کاربر و رایانه متعلق به دامنه، طرحواره و همچنین نسخه خود را از پایگاه داده ذخیره می کنند. داده فعالدایرکتوری که از نوشتن پشتیبانی می کند. علاوه بر این، کنترل کننده های دامنه به عنوان جزء امنیتی مرکزی در یک دامنه عمل می کنند. چنین سازمانی به شما اجازه می دهد تا به طور انعطاف پذیری سیاست های امنیتی را در داخل پیکربندی کنید شبکه شرکتیو همچنین اجازه می دهد، یا برعکس، گروه خاصی از کاربران را از دسترسی به منابع خاصی محروم می کند.

توابع اصلی یک کنترل کننده دامنه:

• ذخیره یک کپی کامل از اطلاعات اکتیو دایرکتوری مربوط به یک دامنه خاص، مدیریت و تکثیر این اطلاعات برای سایر کنترلرهای موجود در این دامنه؛
• تکرار اطلاعات دایرکتوری مربوط به تمام اشیاء در یک دامنه اکتیو دایرکتوری.
• حل تضادهای تکرار زمانی که مشخصه یکسان در کنترلرهای مختلف قبل از مقداردهی اولیه تغییر داده شد.

مزایای کسب و کار

مزایای سیستم متمرکزبر اساس کنترل کننده های دامنه:

1. پایگاه داده واحد برای احراز هویتکنترل کننده دامنه همه حساب ها را در یک پایگاه داده ذخیره می کند و هر کاربری که بخشی از دامنه رایانه است با کنترل کننده دامنه تماس می گیرد تا وارد آن شود. تقسیم کاربران به گروه های مناسب، سازماندهی دسترسی توزیع شده به اسناد و برنامه ها را آسان تر می کند. بنابراین، هنگامی که یک کارمند جدید ظاهر می شود، کافی است برای او ایجاد کنید حسابدر گروه مناسب و کارمند به طور خودکار به تمام موارد لازم دسترسی خواهد داشت منابع شبکهو دستگاه ها هنگامی که کارمندی را ترک می کند، کافی است حساب کاربری او را مسدود کنید تا تمام دسترسی ها لغو شود.
2. نقطه واحد مدیریت سیاستیک کنترل‌کننده دامنه به شما امکان می‌دهد حساب‌های رایانه و کاربر را در بین واحدهای سازمانی توزیع کنید و موارد مختلف را اعمال کنید سیاست های گروه، تعریف تنظیمات و پارامترهای امنیتی برای گروهی از رایانه ها و کاربران (به عنوان مثال، دسترسی به چاپگرهای شبکه، کیت برنامه های کاربردی لازم، تنظیمات مرورگر و غیره). بنابراین، هنگامی که یک کامپیوتر یا کاربر جدید به دامنه اضافه می شود، به طور خودکار تمام تنظیمات و دسترسی های تعریف شده برای یک بخش خاص را دریافت می کند.
3. ایمنی.پیکربندی انعطاف پذیر رویه های احراز هویت و مجوز، همراه با مدیریت متمرکزبه شما این امکان را می دهد تا امنیت زیرساخت فناوری اطلاعات در سازمان را به میزان قابل توجهی افزایش دهید. علاوه بر این، کنترل کننده دامنه به صورت فیزیکی در آن نصب شده است مکان خاص، از دسترسی خارجی محافظت می شود.
4. ادغام ساده با سایر خدماتاستفاده از کنترلر دامنه به عنوان نقطه واحداحراز هویت به کاربران این امکان را می دهد که از یک حساب کاربری در هنگام کار با آن استفاده کنند ابزار اضافیو خدمات (مثلا خدمات پستی, برنامه های اداری، سرورهای پروکسی، پیام رسان های فوری و غیره).

تنظیمات

مبتنی بر کنترل کننده دامنه خدمات دامنهاکتیو دایرکتوری است عنصر کلیدیزیرساخت فناوری اطلاعات، ارائه کنترل دسترسی و همچنین حفاظت از داده ها در سازمان. از جانب تنظیمات صحیحکنترل‌کننده دامنه نه تنها به عملکرد خود کنترل‌کننده دامنه، بلکه به کل Active Directory نیز بستگی دارد (به عنوان مثال، توزیع سیاست‌های امنیتی و قوانین دسترسی)، که به نوبه خود بر عملکرد کلیه خدمات مرتبط تأثیر می‌گذارد و همچنین سطح امنیت

به همین دلیل است که اگر شرکت شما قصد دارد رویه های دسترسی را بهینه کند منابع شرکتی، افزایش امنیت و ساده سازی وظایف اداری معمول با تغییر به مدیریت متمرکز، متخصصان IT Svit در حل مسائل مربوط به برنامه ریزی صحیح ساختار یک شبکه سازمانی مقیاس پذیر و اجزای آن و همچنین راه اندازی و استقرار بیشتر یک کنترل کننده دامنه در این زمینه کمک خواهند کرد. شبکه.

کنترل کننده های دامنه در حال اجرا هستند کنترل ویندوزسرور 2003، داده های دایرکتوری را ذخیره می کند و تعاملات دامنه کاربر، از جمله فرآیندهای ورود کاربر، احراز هویت، و جستجوهای دایرکتوری را مدیریت می کند. کنترل کننده های دامنه با استفاده از Active Directory Setup Wizard ایجاد می شوند.

در Windows NT Server، برای اطمینان، یک Domain Controller در ارتباط با Domain Controller اصلی، یک Domain Controller پشتیبان ایجاد می شود. در ویندوز 2000 و ویندوز سرور 2003 همه چیز برابر است.

ویندوز NT

در شبکه‌های ویندوز NT، یک سرور به عنوان کنترل‌کننده دامنه اصلی (PDC) استفاده می‌شد و همه سرورهای دیگر به عنوان کنترل‌کننده دامنه پشتیبان (BDC) عمل می‌کردند.

BDC می‌توانست کاربران را در دامنه احراز هویت کند، اما تمام به‌روزرسانی‌های دامنه (افزودن کاربران جدید، تغییر رمز عبور، عضویت در گروه و غیره) فقط از طریق PDC انجام می‌شد که سپس به همه کنترل‌کننده‌های دامنه پشتیبان منتشر می‌شد. اگر PDC در دسترس نبود، به‌روزرسانی‌ها انجام نمی‌شد. اگر PDC به طور مداوم در دسترس نبود، BDC موجود می تواند به نقش PDC ارتقا یابد.

ویندوز 2000

ویندوز 2000 و بالاتر نسخه های بعدیاکتیو دایرکتوری (AD) را معرفی کرد که عملاً مفهوم کنترل‌کننده‌های دامنه اولیه و پشتیبان را به نفع چندین Master Replication حذف کرد (مدل تکرار نظیر به نظیر). (انگلیسی)).

با این حال، چندین نقش وجود دارد که به طور پیش فرض بر روی اولین DC در شبکه نصب می شوند. آنها عملیات منعطف تک اصلی (FSMO) نامیده می شوند. برخی از این نقش‌ها مسئول یک دامنه هستند، برخی دیگر برای جنگلی از دامنه‌ها. اگر سروری که یکی از این نقش ها را انجام می دهد در دسترس نباشد، دامنه به کار خود ادامه می دهد. اگر سرور همیشه در دسترس نباشد، DC دیگری می تواند نقش کنترل کننده را بر عهده بگیرد (فرآیندی که به عنوان ربودن نقش شناخته می شود).

ویندوز سرور 2008 به بعد می تواند به عنوان یک کنترل کننده دامنه فقط خواندنی (RODC) استفاده شود. به روز رسانی اطلاعات مربوط به آنها از طریق تکرار از سایر DCها امکان پذیر است.

سامبا 4.0/4.1

که در سیستم های یونیکس مانند Samba 4.x می تواند به عنوان یک کنترل کننده دامنه کار کند، از طرح های جنگلی پشتیبانی می کند دامنه های ویندوز 2003، 2003 R2، 2008، 2008 R2، که به نوبه خود قابل گسترش است، می تواند به عنوان RODC استفاده شود.

نصب یک دامین کنترلر بخش مهمی است شبکه کامپیوتری، اساساً کار خود را کنترل می کند. وظیفه اصلی آن راه اندازی مهم است خدمات فعالفهرست راهنما. با یک مرجع توزیع کلیدی - Kerberos کار می کند.

همچنین کار بر روی سیستم های سازگار با یونیکس را فراهم می کند. در آنها کیت به عنوان یک کنترل کننده عمل می کند نرم افزارسامبا

کنترل کننده دامنه برای ایجاد یک شبکه محلی استفاده می شود که در آن کاربران می توانند با نام خود و با اعتبار خود وارد شوند. آنها باید این کار را روی همه رایانه ها انجام دهند. همچنین نصب یک دامین کنترلر تضمین می کند که حقوق دسترسی در شبکه مشخص شده و امنیت آن مدیریت می شود. با کمک آن می توانید کل شبکه را به صورت متمرکز مدیریت کنید که بسیار مهم است.

کنترل‌کننده‌های دامنه می‌توانند تحت Windows Server 2003 نیز اجرا شوند. به این ترتیب آنها همه داده‌های دایرکتوری را ذخیره می‌کنند، عملیات کاربر و دامنه را مدیریت می‌کنند، ورود کاربران را کنترل می‌کنند، صحت دایرکتوری را تأیید می‌کنند و غیره. همه آنها را می توان با استفاده از نصب کننده Active Directory ایجاد کرد. همچنین می تواند روی ویندوز NT کار کند. در اینجا، برای اینکه با اطمینان بیشتری کار کند، ایجاد می شود کنترل کننده اضافی. به کنترل کننده اصلی متصل خواهد شد.

که در شبکه ویندوز NT یک سرور وجود داشت. می توان از آن برای اجرای یک کنترل کننده دامنه اولیه یا PDC استفاده کرد. همه سرورهای دیگر به عنوان سرورهای کمکی کار می کردند. آنها، برای مثال، می توانند همه کاربران را تأیید کنند، رمزهای عبور را ذخیره و بررسی کنند، و غیره عملیات مهم. اما در عین حال نه می توانستند کاربران جدیدی به سرور اضافه کنند و نه می توانستند پسورد و مواردی از این قبیل را تغییر دهند، یعنی راه اندازی یک دامین کنترلر از تنوع کمتری برخوردار بود. این عملیات فقط با استفاده از PDC قابل انجام است. تغییرات ایجاد شده در آنها می تواند سپس به همه دامنه های پشتیبان انتشار یابد. اگر سرور اصلیدر دسترس نبود، دامنه پشتیبان نمی تواند به سطح اولیه ارتقا یابد.

با این حال، می‌توانید یک کنترل‌کننده دامنه، یک شبکه راه‌اندازی کنید و سطح دامنه را در هر رایانه و در خانه بالا ببرید. آموختن این حکمت آسان است. تمام ابزارهای لازم برای این کار در کنترل پنل - افزودن یا حذف برنامه ها - نصب اجزای سیستم قرار دارند. درست است، ابتدا باید با نصب یک دیسک با سیستم عامل در رایانه خود، با آنها کار کنید. با وارد کردن دستور dcpromo در آن می توانید نقش رایانه خود را با استفاده از خط فرمان افزایش دهید.

علاوه بر این، بررسی دامین کنترلر را می توان به راحتی با استفاده از آن انجام داد تاسیسات تخصصی، که در واقع در حالت خودکار کار می کنند، یعنی به شما اجازه می دهند که دریافت کنید اطلاعات لازمپس از شروع برنامه و تنظیم عملکرد کنترلرها پس از انجام عیب یابی. برای مثال، می‌توانید از ابزار Ntdsutil.exe استفاده کنید، که امکان اتصال به یک کنترل‌کننده دامین تازه نصب‌شده را برای آزمایش توانایی آن در پاسخ به درخواست LDAP فراهم می‌کند. همچنین با استفاده از این نرم افزار می توان تشخیص داد که آیا کنترلر اطلاعاتی در مورد مکان نقش های FSMO در دامنه خود دارد یا خیر.

تعدادی دیگر نیز وجود دارد راه های ساده، که به شما امکان می دهد عملکرد مناسب کنترلرها را تشخیص دهید. به طور خاص، می توانید به HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services (کلید رجیستری) بروید و در آنجا به دنبال کلید فرعی NTDS بگردید که وجود آن نشان دهنده عملکرد عادی کنترل کننده دامنه است. روشی برای معرفی حساب های خالص وجود دارد خط فرمانو در آنجا، اگر کامپیوتر یک کنترل کننده دامنه باشد، در خط Computer خواهید دید معنی نقش BACKUP یا PRIMARY، مقادیر دیگر در رایانه های ساده موجود هستند.

خانواده های ویندوز

هنگام سازماندهی شبکه ها در سیستم عامل خانواده ویندوزمفهوم کنترل کننده دامنه شامل به اصطلاح سرور، یعنی اصلی یا کامپیوتر مرکزیدر شبکه ای که کار از آن کنترل می شود خدمات مختلفدایرکتوری ها، و همچنین میزبان یک پایگاه داده از همان دایرکتوری ها است. از جمله موارد دیگر، سرور (کنترل کننده دامنه) تنظیمات مربوط به حساب های تمام کاربران و همچنین تنظیمات امنیتی را ذخیره می کند. که در مورد دوم ما در موردبه طور انحصاری در مورد به طور طبیعی فروشگاه های کامپیوتر سر اطلاعات لازمدر مورد سیاست ها، گروهی و محلی.

اگر اولین سرور در هر سازمانی نصب شود، طبیعتاً بلافاصله یک وب سایت و همچنین اولین Forest ایجاد می شود و لازم است اکتیو دایرکتوری نصب شود. یک کنترل کننده دامنه که برای اجرا در آن پیکربندی شده است سیستم عامل، داده ها را ذخیره می کند و تعامل بین دامنه و کاربر را تنظیم می کند. در این مورد، راه اندازی یک دامنه در شبکه محلی با استفاده مستقیم از Active Directory به عنوان جادوگر نصب انجام می شود.

کنترل کننده دامنه برای سیستم عامل یونیکس

که در در این موردسازماندهی سرور برای سیستم عامل لینوکس/یونیکس کاملاً با استانداردهای مورد نیاز سازگار است کلیه عملکردهای لازم و مرتبط ارائه شده است. بسته نرم افزاریسامبا (می توانید آن را در وب سایت www.samba.org و همچنین OpenLDAP (به ترتیب www.openldap.org) پیدا کنید. همانطور که همه به خوبی می دانند، مزیت اساسی ویندوز معروف این است که رایگان توزیع می شود. و بر این اساس، سازمان نیازی به صرف هزینه زیادی برای نصب یک کنترل کننده دامنه، به عنوان مثال، تحت سرور ویندوز 2003. مجوز برای این نرم افزارقانونا ملزم به خرید در این مورد، راه اندازی یک دامنه در شبکه محلی مشکلات خاصتشکیل نمی دهد.

تغییر دامنه برای وب سایت سازمان شما

علاوه بر این که اکثریت قریب به اتفاق سازمان ها سازماندهی شده اند شبکه محلیاما یکی دیگر از جنبه های قابل توجه راه حل، امکان دسترسی به اینترنت از هر رایانه ای از جمله بازدید از وب سایت شرکت است که به نوعی چهره سازمان است. اما گاهی اوقات ممکن است نیاز به انجام کارهایی مانند انتقال یک سایت به دامنه دیگر وجود داشته باشد. همانطور که تمرین نشان می دهد، دو دلیل اصلی برای چنین تصمیمی وجود دارد: اولی، کسب نام دامنه ای است که برای مشتریان و بازدیدکنندگان جذاب تر است. دوم این که قدیمی در لیست سیاه انواع مختلف قرار می گیرد موتورهای جستجو.

برای حل مشکل با حداقل ضرر، در درجه اول در بازدیدکنندگان، توصیه می شود از چنین عملیاتی مانند ادغام دامنه استفاده کنید. شایان ذکر است که چسب زدن باید فقط در موارد استثنایی استفاده شود، زیرا این عملیات بسیار طولانی است، و مهمتر از همه، کاملا عصبی است، اگرچه شایان ذکر است که با آن دشوار نیست نکته فنیچشم انداز.

طبق نظر اکثریت قاطع کارشناسان، بیشترین راه موثربرای انجام چنین عملیاتی مانند انتقال یک وب سایت به دامنه دیگر از اصطلاحاً پارکینگ دامنه به صورت آینه استفاده می شود. جنبه مثبت اصلی در این شرایط این است که کاربران عملاً متوجه چسباندن نمی شوند. تنها چیزی که ممکن است لازم باشد این است که اخبار مربوط به تغییر آدرس را برای مشتریان عادی بگذارید تا بتوانند تغییراتی در نشانک های مرورگر خود ایجاد کنند. تنها چیزی که در این شرایط ارزش یادآوری دارد، نیاز به استفاده است پیوندهای نسبیبرای اینکه از دامنه ای به دامنه دیگر منتقل نشوید.

بدون وارد شدن به اصطلاحات فنی زیاد، دامین کنترلرها سرورهایی هستند که از Active Directory پشتیبانی می کنند. آن‌ها اطلاعات مربوط به حساب‌های کاربر و رایانه را که عضو دامنه، طرحواره و نسخه‌ای از پایگاه داده Active Directory هستند، ذخیره می‌کنند. علاوه بر این، کنترل کننده های دامنه به عنوان مؤلفه امنیتی مرکزی در یک دامنه عمل می کنند. چنین سازمانی به شما این امکان را می دهد که به طور انعطاف پذیری سیاست های امنیتی را در شبکه شرکت پیکربندی کنید و همچنین به گروه های خاصی از کاربران اجازه دسترسی به منابع خاص را بدهید یا برعکس آن را ممنوع کنید.

توابع اصلی یک کنترل کننده دامنه:

• ذخیره یک کپی کامل از اطلاعات اکتیو دایرکتوری مربوط به یک دامنه خاص، مدیریت و تکثیر این اطلاعات برای سایر کنترلرهای موجود در این دامنه؛
• تکرار اطلاعات دایرکتوری مربوط به تمام اشیاء در یک دامنه اکتیو دایرکتوری.
• حل تضادهای تکرار زمانی که مشخصه یکسان در کنترلرهای مختلف قبل از مقداردهی اولیه تغییر داده شد.

مزایای کسب و کار

مزایای یک سیستم متمرکز مبتنی بر کنترل کننده های دامنه:

1. پایگاه داده واحد برای احراز هویتکنترل کننده دامنه همه حساب ها را در یک پایگاه داده ذخیره می کند و هر کاربری که بخشی از دامنه رایانه است با کنترل کننده دامنه تماس می گیرد تا وارد آن شود. تقسیم کاربران به گروه های مناسب سازماندهی دسترسی توزیع شده به اسناد و برنامه ها را آسان تر می کند. بنابراین، هنگامی که یک کارمند جدید ظاهر می شود، کافی است یک حساب کاربری برای او در گروه مناسب ایجاد کنید و کارمند به طور خودکار به تمام منابع و دستگاه های شبکه لازم دسترسی پیدا می کند. هنگامی که کارمندی را ترک می کند، کافی است حساب کاربری او را مسدود کنید تا تمام دسترسی ها لغو شود.
2. نقطه واحد مدیریت سیاستیک کنترل کننده دامنه به شما امکان می دهد حساب های رایانه و کاربر را در واحدهای سازمانی توزیع کنید و سیاست های گروهی مختلفی را برای آنها اعمال کنید، تنظیمات و تنظیمات امنیتی را برای گروهی از رایانه ها و کاربران تعریف کنید (به عنوان مثال، دسترسی به چاپگرهای شبکه، مجموعه ای از برنامه های کاربردی مورد نیاز، مرورگر. تنظیمات و غیره). بنابراین، هنگامی که یک کامپیوتر یا کاربر جدید به دامنه اضافه می شود، به طور خودکار تمام تنظیمات و دسترسی های تعریف شده برای یک بخش خاص را دریافت می کند.
3. ایمنی.پیکربندی انعطاف پذیر رویه های احراز هویت و مجوز، همراه با مدیریت متمرکز، می تواند امنیت زیرساخت فناوری اطلاعات در سازمان را به میزان قابل توجهی افزایش دهد. علاوه بر این، کنترل کننده دامنه به صورت فیزیکی در یک مکان خاص نصب شده است که از دسترسی خارجی محافظت می شود.
4. ادغام ساده با سایر خدماتاستفاده از کنترل‌کننده دامنه به‌عنوان یک نقطه واحد احراز هویت به کاربران این امکان را می‌دهد تا هنگام کار با ابزارها و سرویس‌های اضافی (مانند خدمات ایمیل، برنامه‌های آفیس، پروکسی‌ها، پیام‌رسان‌های فوری و غیره) از همان حساب استفاده کنند.

تنظیمات

یک کنترل کننده دامنه مبتنی بر Active Directory Domain Service یک عنصر کلیدی زیرساخت فناوری اطلاعات است که کنترل دسترسی و همچنین حفاظت از داده ها را در سازمان فراهم می کند. عملکرد نه تنها خود کنترل کننده دامنه، بلکه به طور کلی اکتیو دایرکتوری (به عنوان مثال، توزیع سیاست های امنیتی و قوانین دسترسی) که به نوبه خود بر عملکرد کلیه خدمات مرتبط تأثیر می گذارد و همچنین سطح امنیت را تعیین می کند، بستگی دارد. در پیکربندی صحیح دامین کنترلر. انتخاب کنید بهترین توسعه دهندگاندر فصل.