Kako postaviti pametne telefone i računala. Informativni portal
  • Dom
  • Windows Phone
  • Što je Active Directory - kako instalirati i konfigurirati. Najbolji primjeri iz prakse za Active Directory

Što je Active Directory - kako instalirati i konfigurirati. Najbolji primjeri iz prakse za Active Directory

18.08.2019 Windows Phone

Active Directory je usluga upravljanja sustavom. Oni su puno bolja alternativa lokalnim grupama i omogućuju vam stvaranje računalnih mreža s učinkovitim upravljanjem i pouzdanom zaštitom podataka.

Ako se prije niste susreli s konceptom Active Directory i ne znate kako takve usluge funkcioniraju, ovaj je članak za vas. Hajdemo shvatiti što ovaj koncept znači, koje su prednosti takvih baza podataka te kako ih stvoriti i konfigurirati za početnu upotrebu.

Active Directory je vrlo zgodna metoda upravljanja sustavom. Uz Active Directory možete učinkovito upravljati svojim podacima.

Ove usluge omogućuju stvaranje jedne baze podataka kojom upravljaju kontrolori domene. Ako posjedujete poduzeće, vodite ured, općenito kontrolirate aktivnosti mnogih ljudi koji se trebaju ujediniti, takva domena će vam dobro doći.

Uključuje sve objekte - računala, pisače, faksove, korisničke račune i još mnogo toga. Zbroj domena na kojima se nalaze podaci naziva se "šuma". Baza Active Directory je okruženje temeljeno na domeni u kojem broj objekata može biti do 2 milijarde. Možete li zamisliti ovu skalu?

Odnosno, uz pomoć takve „šume“ ili baze podataka moguće je povezati veliki broj djelatnika i opreme u uredu, a bez osvrta na mjesto – u servise se mogu povezati i drugi korisnici, npr. , iz ureda tvrtke u drugom gradu.

Osim toga, nekoliko domena se stvara i spaja u okviru Active Directory - što je tvrtka veća, potrebno je više alata za kontrolu njegove tehnologije unutar baze podataka.

Nadalje, pri stvaranju takve mreže određuje se jedna kontrolna domena, pa čak i uz naknadnu prisutnost drugih domena, izvorna i dalje ostaje "roditelj" - odnosno samo on ima potpuni pristup upravljanju informacijama.

Gdje se ti podaci pohranjuju i kako postoje domene? Kontroleri se koriste za stvaranje Active Directory. Obično ih ima dva - ako se jednom nešto dogodi, podaci će biti spremljeni na drugom kontroleru.

Druga mogućnost korištenja baze podataka je ako, na primjer, vaša tvrtka surađuje s drugom, a vi morate dovršiti zajednički projekt. U tom slučaju može biti potreban pristup neovlaštenih osoba datotekama domene, a ovdje možete uspostaviti svojevrsni "odnos" između dvije različite "šume", otvoriti pristup traženim informacijama bez ugrožavanja sigurnosti ostatka podaci.

Općenito, Active Directory je alat za stvaranje baze podataka unutar određene strukture, bez obzira na njezinu veličinu. Korisnici i sva oprema ujedinjeni su u jednu "šumu", kreiraju se domene koje se nalaze na kontrolerima.

Također je poželjno pojasniti da usluge mogu raditi samo na uređajima sa sustavima Windows poslužitelja. Osim toga, na kontrolerima se kreiraju 3-4 DNS poslužitelja. Oni opslužuju glavnu zonu domene, a u slučaju da jedan od njih pokvari, drugi poslužitelji ga zamjenjuju.

Nakon kratkog pregleda Active Directoryja za lutke, prirodno vas zanima pitanje - zašto promijeniti lokalnu grupu u cijelu bazu podataka? Naravno, ovdje je polje mogućnosti višestruko šire, a kako bismo saznali druge razlike između ovih usluga za upravljanje sustavom, pogledajmo pobliže njihove prednosti.

Prednosti aktivnog imenika

Prednosti Active Directory-a su sljedeće:

  1. Korištenje jednog resursa za autentifikaciju. U ovoj situaciji morate dodati sve račune na svakom računalu koji zahtijevaju pristup općim informacijama. Što je više korisnika i tehničara, to je teže sinkronizirati te podatke među njima.

I tako, kada koristite usluge s bazom podataka, računi se pohranjuju u jednom trenutku, a promjene stupaju na snagu odmah na svim računalima.

Kako radi? Svaki zaposlenik koji dođe u ured pokreće sustav i prijavljuje se na svoj račun. Zahtjev za prijavu bit će automatski dostavljen poslužitelju i autentifikacija će se odvijati preko njega.

Što se tiče određenog redoslijeda u vođenju evidencije, uvijek možete podijeliti korisnike u grupe - "Kadovski resursi" ili "Računovodstvo".

Još je lakše u ovom slučaju omogućiti pristup informacijama – ako trebate otvoriti mapu za zaposlenike iz jednog odjela, to činite preko baze podataka. Zajedno dobivaju pristup potrebnoj mapi podataka, dok ostali dokumenti ostaju zatvoreni.

  1. Kontrola nad svakim članom baze podataka.

Ako je u lokalnoj grupi svaki član neovisan, teško ga je kontrolirati s drugog računala, tada se mogu postaviti određena pravila u domenama u skladu s politikom tvrtke.

Kao administrator sustava, možete konfigurirati postavke pristupa i sigurnosne postavke, a zatim ih primijeniti za svaku korisničku grupu. Naravno, ovisno o hijerarhiji, jedna grupa može definirati strože postavke, dok se drugima može dati pristup drugim datotekama i radnjama u sustavu.

Osim toga, kada se nova osoba pridruži tvrtki, njezino će računalo odmah dobiti potreban skup postavki, gdje su uključene komponente za rad.

  1. Svestranost u instalaciji softvera.

Usput, o komponentama - uz pomoć Active Directoryja možete dodijeliti pisače, instalirati potrebne programe za sve zaposlenike odjednom, postaviti parametre privatnosti. Općenito, izrada baze podataka značajno će optimizirati rad, pratiti sigurnost i ujediniti korisnike za maksimalnu učinkovitost.

A ako tvrtka upravlja zasebnim komunalnim ili posebnim uslugama, one se mogu sinkronizirati s domenama i pojednostaviti im pristup. Kako? Ako kombinirate sve proizvode koji se koriste u tvrtki, zaposlenik neće morati unositi različite prijave i lozinke za prijavu u svaki program - ti će se podaci dijeliti.

Sada kada razumijete prednosti i implikacije korištenja Active Directoryja, prođimo kroz proces instaliranja ovih usluga.

Korištenje baze podataka na Windows Server 2012

Instaliranje i konfiguriranje Active Directoryja nije teško, a također je lakše nego što se čini na prvi pogled.

Da biste učitali usluge, prvo morate učiniti sljedeće:

  1. Promijenite naziv računala: kliknite na "Start", otvorite Upravljačku ploču, stavku "Sustav". Odaberite "Promijeni parametre" i u Svojstvima nasuprot retka "Naziv računala" kliknite "Promijeni", unesite novu vrijednost za glavno računalo.
  2. Ponovo pokrenite na zahtjev računala.
  3. Postavite mrežne postavke ovako:
    • Na upravljačkoj ploči otvorite izbornik Mreže i dijeljenje.
    • Ispravne postavke adaptera. Desnom tipkom miša kliknite Svojstva i kliknite karticu Mreža.
    • U prozoru s popisa kliknite na Internet protokol na broju 4, ponovno kliknite na "Svojstva".
    • Unesite potrebne postavke, na primjer: IP adresa - 192.168.10.252, maska ​​podmreže - 255.255.255.0, glavni podgateway - 192.168.10.1.
    • U retku "Željeni DNS poslužitelj" navedite adresu lokalnog poslužitelja, u "Alternativni ..." - ostale adrese DNS poslužitelja.
    • Spremite promjene i zatvorite prozore.

Instalirajte uloge Active Directory ovako:

  1. Otvorite "Upravitelj poslužitelja" kroz početak.
  2. Na izborniku odaberite Dodaj uloge i značajke.
  3. Čarobnjak će se pokrenuti, ali možete preskočiti prvi prozor opisa.
  4. Provjerite redak "Instaliranje uloga i značajki", idite dalje.
  5. Odaberite svoje računalo kako biste na njega instalirali Active Directory.
  6. Na popisu označite ulogu koju želite učitati - za vaš slučaj, ovo je "Active Directory Domain Services".
  7. Pojavit će se mali prozor u kojem se od vas traži da preuzmete komponente potrebne za usluge - prihvatite to.
  8. Zatim će se od vas tražiti da instalirate druge komponente - ako vam nisu potrebne, samo preskočite ovaj korak klikom na "Dalje".
  9. Čarobnjak za postavljanje prikazat će prozor s opisima usluga koje instalirate – čitajte dalje i idite dalje.
  10. Pojavit će se popis komponenti koje ćemo instalirati - provjerite je li sve ispravno, a ako jest, pritisnite odgovarajući gumb.
  11. Zatvorite prozor kada je proces završen.
  12. To je to - usluge se učitavaju na vaše računalo.

Konfiguriranje Active Directory

Da biste postavili uslugu domene, morate učiniti sljedeće:

  • Pokrenite čarobnjak za konfiguraciju istog imena.
  • Kliknite na žuti pokazivač na vrhu prozora i odaberite Promote Server Role to Domain Controller.
  • Kliknite na Dodaj novu "šumu" i kreirajte naziv za korijensku domenu, a zatim kliknite "Dalje".
  • Navedite funkcionalne razine šume i domene — najčešće su iste.
  • Smislite lozinku, ali je svakako zapamtite. Nastavite dalje.
  • Nakon toga možete vidjeti upozorenje da domena nije delegirana i prijedlog za provjeru naziva domene - ove korake možete preskočiti.
  • U sljedećem prozoru možete promijeniti put do direktorija baze podataka - učinite to ako vam ne odgovaraju.
  • Sada ćete vidjeti sve parametre koje ćete postaviti - provjerite jeste li ih ispravno odabrali i nastavite dalje.
  • Aplikacija će provjeriti jesu li ispunjeni preduvjeti, a ako nema komentara ili nisu kritični, kliknite "Instaliraj".
  • Nakon dovršetka instalacije, računalo će se ponovno pokrenuti.

Možda se pitate i kako dodati korisnika u bazu podataka. Da biste to učinili, koristite izbornik "Active Directory Users or Computers" koji ćete pronaći u odjeljku "Administracija" na upravljačkoj ploči ili upotrijebite izbornik postavki baze podataka.

Da biste dodali novog korisnika, desnom tipkom miša kliknite naziv domene, odaberite "Kreiraj", nakon "Podjela". Vidjet ćete prozor u koji trebate unijeti naziv novog odjela – on služi kao mapa u koju možete prikupljati korisnike iz različitih odjela. Na isti način ćete kasnije napraviti još nekoliko podjela i ispravno smjestiti sve zaposlenike.

Zatim, kada ste kreirali naziv odjela, desnom tipkom miša kliknite na njega i odaberite "Novo", nakon - "Korisnik". Sada ostaje samo unijeti potrebne podatke i postaviti postavke pristupa za korisnika.

Kada se stvori novi profil, kliknite na njega odabirom kontekstnog izbornika i otvorite "Svojstva". Na kartici "Račun" uklonite kvačicu pored "Blokiraj ...". To je sve.

Opći zaključak je da je Active Directory moćan i koristan alat za upravljanje sustavom koji će pomoći ujediniti sva računala zaposlenika u jedan tim. Uz pomoć usluga možete kreirati sigurnu bazu podataka i značajno optimizirati rad i sinkronizaciju informacija između svih korisnika. Ako je vaša tvrtka i bilo koje drugo mjesto rada vezano uz računala i mrežu, trebate kombinirati račune i pratiti rad i privatnost, instalacija baze podataka temeljena na Active Directoryju bit će odlično rješenje.

Svaki početnik, suočen s akronimom AD, pita se što je Active Directory? Active Directory je usluga imenika koju je razvio Microsoft za mreže domene Windows. Uključen je u većinu operacijskih sustava Windows Server kao skup procesa i usluga. U početku se usluga bavila samo domenama. Međutim, od Windows Server 2008, AD je postao naziv za širok raspon usluga identiteta temeljenih na imeniku. To čini Active Directory boljim mjestom za učenje za početnike.

Osnovna definicija

Poslužitelj koji izvodi usluge domene Active Directory naziva se kontroler domene. Provjerava autentičnost i autorizira sve korisnike i računala u domeni Windows mreže, dodjeljuje i provodi sigurnosna pravila za sva računala, te instalira ili ažurira softver. Na primjer, kada se korisnik prijavi na računalo koje je uključeno u Windows domenu, Active Directory provjerava danu lozinku i utvrđuje je li objekt administrator sustava ili standardni korisnik. Također vam omogućuje upravljanje i pohranjivanje informacija, pruža mehanizme provjere autentičnosti i autorizacije te postavlja okvir za implementaciju drugih povezanih usluga: usluge certifikata, federalne i lake usluge imenika i upravljanje pravima.

Active Directory koristi LDAP verzije 2 i 3, Microsoftovu verziju Kerberosa i DNS-a.

Što je Active Directory? Jednostavnim riječima o složenom

Praćenje mrežnih podataka je dosadan zadatak. Čak i na malim mrežama, korisnici obično imaju poteškoća u pronalaženju mrežnih datoteka i pisača. Bez neke vrste imenika, srednje i velike mreže ne mogu se upravljati i često imaju poteškoća u pronalaženju resursa.

Prethodne verzije sustava Microsoft Windows uključivale su usluge za pomoć korisnicima i administratorima u pronalaženju podataka. Umrežavanje je korisno u mnogim okruženjima, ali očiti nedostatak je nezgodno sučelje i njegova nepredvidljivost. WINS Manager i Server Manager mogu se koristiti za pregled popisa sustava, ali nisu bili dostupni krajnjim korisnicima. Administratori su koristili User Manager za dodavanje i uklanjanje podataka potpuno drugačije vrste mrežnog objekta. Ove aplikacije su se pokazale neučinkovitima za rad u velikim mrežama i postavile su pitanje, zašto u tvrtki Active Directory?

Imenik je, u svom najopćenitijem smislu, potpuni popis objekata. Telefonski imenik je vrsta imenika koji pohranjuje informacije o ljudima, tvrtkama i državnim organizacijama iobično sadrže imena, adrese i telefonske brojeve. Postavljajući pitanje Active Directory - što je to, jednostavnim riječima, možemo reći da je ova tehnologija slična imeniku, ali je mnogo fleksibilnija. AD pohranjuje informacije o organizacijama, stranicama, sustavima, korisnicima, dionicama i bilo kojem drugom mrežnom objektu.

Uvod u osnovne koncepte Active Directoryja

Zašto je organizaciji potreban Active Directory? Kao što je spomenuto u uvodu u Active Directory, usluga pohranjuje informacije o mrežnim komponentama. Vodič za Active Directory za početnike navodi da jest omogućuje klijentima da pronađu objekte u svom imenskom prostoru. Ovaj t Pojam (koji se također naziva stablo konzole) odnosi se na područje u kojem se mrežna komponenta može nalaziti. Na primjer, sadržaj knjige stvara prostor imena u kojem se poglavlja mogu preslikati na brojeve stranica.

DNS je stablo konzole koje razrješava imena hostova u IP adrese kao što je toTelefonski imenici pružaju imenski prostor za razlučivanje imena za telefonske brojeve. Kako to funkcionira u Active Directoryju? AD pruža stablo konzole za rješavanje imena mrežnih objekata na same objekte imože riješiti širok raspon objekata, uključujući korisnike, sustave i usluge na mreži.

Objekti i atributi

Sve što Active Directory nadzire smatra se objektom. Jednostavnim riječima možemo reći da je ovo u Active Directoryju je bilo koji korisnik, sustav, resurs ili usluga. Uobičajeni izraz objekt koristi se jer AD može pratiti mnoge elemente, a mnogi objekti mogu dijeliti zajedničke atribute. Što to znači?

Atributi opisuju objekte u aktivnom direktoriju Active Directory, na primjer, svi prilagođeni objekti dijele atribute za pohranu imena korisnika. To vrijedi i za njihov opis. Sustavi su također objekti, ali imaju zaseban skup atributa koji uključuju ime hosta, IP adresu i lokaciju.

Skup atributa dostupnih za bilo koju određenu vrstu objekta naziva se shema. To čini klase objekata međusobno različitim. Podaci o shemi zapravo su pohranjeni u Active Directory. Da je ovo ponašanje sigurnosnog protokola vrlo važno pokazuje činjenica da shema omogućuje administratorima da dodaju atribute klasama objekata i distribuiraju ih po mreži u svim kutovima domene bez ponovnog pokretanja kontrolera domene.

LDAP spremnik i naziv

Kontejner je posebna vrsta objekta koji se koristi za organiziranje rada usluge. Ne predstavlja fizički entitet poput korisnika ili sustava. Umjesto toga, koristi se za grupiranje drugih stavki zajedno. Objekti kontejnera mogu biti ugniježđeni unutar drugih spremnika.

Svaka stavka u AD ima ime. To nisu oni na koje ste navikli, primjerice, Ivan ili Olga. Ovo su LDAP istaknuta imena. LDAP različita imena su složena, ali omogućuju jedinstvenu identifikaciju bilo kojeg objekta unutar direktorija, bez obzira na njegov tip.

Stablo pojmova i stranica

Stablo pojmova koristi se za opisivanje skupa objekata u Active Directoryju. Što je ovo? Jednostavnim riječima, to se može objasniti pomoću asocijacije stabla. Kada su spremnici i objekti hijerarhijski kombinirani, oni imaju tendenciju formiranja grana - otuda i naziv. Srodni pojam je susjedno podstablo, koje se odnosi na neraskidivo glavno deblo drveta.

Nastavljajući s metaforom, izraz šuma opisuje kolekciju koja nije dio istog imenskog prostora, ali ima zajedničku shemu, konfiguraciju i globalni katalog. Objekti u tim strukturama dostupni su svim korisnicima ako to sigurnost dopušta. Organizacije s više domena trebale bi grupirati stabla u jednu šumu.

Stranica je geografska lokacija definirana u Active Directoryju. Stranice odgovaraju logičkim IP podmrežama i kao takve ih aplikacije mogu koristiti za pronalaženje najbližeg poslužitelja na mreži. Korištenje informacija o web mjestu iz Active Directory može značajno smanjiti WAN promet.

Upravljanje aktivnim imenikom

Komponenta dodatka Active Directory - Korisnici. To je najprikladniji alat za administriranje Active Directoryja. Izravno je dostupan iz programske grupe Administrativni alati na izborniku Start. Zamjenjuje i poboljšava Server Manager i User Manager iz Windows NT 4.0.


Sigurnost

Active Directory igra važnu ulogu u budućnosti umrežavanja sustava Windows. Administratori bi trebali moći zaštititi svoj imenik od uljeza i korisnika dok delegiraju zadatke drugim administratorima. Sve je to moguće korištenjem sigurnosnog modela Active Directory, koji povezuje popis kontrole pristupa (ACL) sa svakim atributom spremnika i objekta u direktoriju.

Visoka razina kontrole omogućuje administratoru da pojedinačnim korisnicima i grupama dodijeli različite razine dopuštenja za objekte i njihova svojstva. Oni čak mogu dodati atribute objektima i sakriti te atribute od određenih grupa korisnika. Na primjer, možete postaviti ACL tako da samo upravitelji mogu vidjeti kućne telefone drugih korisnika.

Delegirana uprava

Koncept nov za Windows 2000 Server je delegirana administracija. To vam omogućuje dodjeljivanje zadataka drugim korisnicima bez dodjele dodatnih prava pristupa. Delegirana administracija može se dodijeliti kroz određene objekte ili susjedna podstabla direktorija. Ovo je mnogo učinkovitija metoda davanja ovlasti nad mrežama.

V dodjeljivanjem svih prava globalnog administratora domene nekome, korisniku se mogu dati dopuštenja samo unutar određenog podstabla. Active Directory podržava nasljeđivanje, tako da svi novi objekti nasljeđuju ACL iz svog spremnika.

Izraz "odnos povjerenja"

Izraz "povjerenje" se još uvijek koristi, ali ima drugačiju funkcionalnost. Ne postoji razlika između jednostranih i bilateralnih trustova. Svi Active Directory trustovi su dvosmjerni. Štoviše, svi su tranzitivni. Dakle, ako domena A vjeruje domeni B i B vjeruje C, tada postoji automatski implicitni odnos povjerenja između domene A i domene C.

Revizija u Active Directoryju - što je to jednostavnim riječima? Ovo je sigurnosna značajka koja vam omogućuje da odredite tko pokušava pristupiti objektima, kao i koliko je taj pokušaj uspješan.

Korištenje DNS-a (sustav naziva domene)

Različiti DNS sustav bitan je za svaku organizaciju spojenu na Internet. DNS omogućuje razlučivanje imena između uobičajenih naziva kao što je mspress.microsoft.com i neobrađenih IP adresa koje komponente mrežnog sloja koriste za komunikaciju.

Active Directory uvelike koristi DNS tehnologiju za pronalaženje objekata. Ovo je značajna promjena u odnosu na prijašnje Windows operacijske sustave koji zahtijevaju da se NetBIOS imena razriješe IP adresama i oslanjaju se na WINS ili druge tehnike razlučivanja NetBIOS imena.

Active Directory najbolje funkcionira kada se koristi sa Windows 2000 DNS poslužiteljima. Microsoft je administratorima olakšao migraciju na Windows 2000 DNS poslužitelje pružajući čarobnjake za migraciju koji administratora vode kroz proces.

Mogu se koristiti i drugi DNS poslužitelji. Međutim, u ovom slučaju, administratori će morati potrošiti više vremena na upravljanje DNS bazama podataka. Koje su nijanse? Ako odlučite ne koristiti Windows 2000 DNS poslužitelje, morate osigurati da vaši DNS poslužitelji budu u skladu s novim DNS protokolom za dinamičko ažuriranje. Poslužitelji se oslanjaju na dinamičko ažuriranje svojih zapisa kako bi pronašli kontrolere domene. Nije ugodno. Uostalom, eAko dinamičko ažuriranje nije podržano, morate ručno ažurirati baze podataka.

Windows domene i internetske domene sada su potpuno kompatibilne. Na primjer, naziv kao što je mspress.microsoft.com identificirat će kontrolere domene Active Directory odgovorne za domenu, tako da svaki klijent s DNS pristupom može pronaći kontroler domene.Klijenti mogu koristiti DNS razlučivost za traženje bilo kojeg broja usluga jer poslužitelji Active Directory objavljuju popis adresa u DNS-u koristeći novu funkciju dinamičkog ažuriranja. Ti se podaci identificiraju kao domena i objavljuju putem zapisa o resursima usluge. SRV RR-ovi slijede format usluga.protokol.domena.

Poslužitelji Active Directory pružaju LDAP uslugu za smještaj objekta, a LDAP koristi TCP kao temeljni transportni protokol. Stoga će klijent koji traži Active Directory poslužitelj u domeni mspress.microsoft.com potražiti DNS zapis za ldap.tcp.mspress.microsoft.com.

Globalni katalog

Active Directory pruža globalni katalog (GC) ipruža jedan izvor za pronalaženje bilo kojeg objekta na mreži organizacije.

Globalni katalog je usluga u sustavu Windows 2000 Server koja korisnicima omogućuje pronalaženje svih objekata kojima je odobren pristup. Ova je funkcionalnost daleko bolja od one aplikacije Find Computer uključenu u prethodne verzije sustava Windows. Uostalom, korisnici mogu tražiti bilo koji objekt u Active Directoryju: poslužitelje, pisače, korisnike i aplikacije.

Temeljna komponenta domenskih usluga u svakoj organizaciji su sigurnosni principi (izvorno nazvani Security principal), koji pružaju korisnicima, grupama ili računalima kojima je potreban pristup određenim resursima na mreži. Objektima kao što su principali sigurnosti možete dodijeliti dopuštenja za pristup resursima na mreži, pri čemu se svakom principalu dodjeljuje jedinstveni sigurnosni identifikator (SID) tijekom kreiranja objekta, koji se sastoji od dva dijela. Sigurnosni ID SID naziva se numerički prikaz koji jedinstveno identificira principala sigurnosti. Prvi dio takvog identifikatora je id domene... Budući da se principali sigurnosti nalaze u istoj domeni, svim takvim objektima se dodjeljuje isti identifikator domene. Drugi dio SID-a je relativni identifikator (RID) koji se koristi za jedinstvenu identifikaciju principala sigurnosti s obzirom na agenciju koja izdaje SID.

Iako većina organizacija planira i implementira infrastrukturu domenskih usluga samo jednom i rijetko mijenja većinu objekata, važna iznimka od ovog pravila su sigurnosni principi koje je potrebno povremeno dodavati, mijenjati i uklanjati. Korisnički računi jedna su od temeljnih komponenti identifikacije. U osnovi, korisnički računi su fizički subjekti, uglavnom ljudi, koji su zaposlenici vaše organizacije, ali postoje iznimke u kojima se korisnički računi kreiraju za neke aplikacije kao usluge. Korisnički računi igraju ključnu ulogu u administraciji poduzeća. Te uloge uključuju:

  • Identitet korisnika, budući da kreirani račun omogućuje prijavu na računala i domene s točno onim podacima čiju autentičnost provjerava domena;
  • Dozvole za pristup resursima domene koji su dodijeljeni korisniku za odobravanje pristupa resursima domene na temelju eksplicitnih dopuštenja.

Objekti korisničkog računa među najčešćim su objektima u Active Directoryju. Administratori moraju obratiti posebnu pozornost na korisničke račune, budući da korisnici obično dolaze raditi u organizaciju, kretati se između odjela i ureda, vjenčati se, vjenčati, razvesti pa čak i napustiti tvrtku. Takvi objekti su skup atributa, a samo jedan korisnički račun može sadržavati preko 250 različitih atributa, što je nekoliko puta više od broja atributa na radnim stanicama i računalima s Linuxom. Kada kreirate korisnički račun, stvara se ograničen skup atributa i tek tada možete dodati korisničke vjerodajnice kao što su organizacijski podaci, korisničke adrese, telefonski brojevi i još mnogo toga. Stoga je važno napomenuti da su neki atributi obavezna a ostalo - neobavezno... U ovom članku govorit ću o ključnim metodama za stvaranje korisničkih računa, nekim izbornim atributima, a također ću opisati alate za automatizaciju rutinskih radnji povezanih s kreiranjem korisničkih računa.

Stvaranje korisnika pomoću Active Directory korisnika i računala

U ogromnoj većini slučajeva, administratori sustava radije koriste dodatak koji se dodaje u mapu "uprava" odmah nakon instaliranja uloge Usluge domene Active Directory i promoviranje poslužitelja u kontrolora domene. Ova metoda je najprikladnija jer koristi grafičko korisničko sučelje za stvaranje sigurnosnih principa, a Čarobnjak za stvaranje korisničkog računa vrlo je jednostavan za korištenje. Nedostatak ove metode je u tome što prilikom kreiranja korisničkog računa ne možete odmah postaviti većinu atributa, već ćete morati dodati potrebne atribute uređivanjem računa. Da biste stvorili prilagođeni račun, slijedite ove korake:

  • U polju "Ime" Unesite svoje korisničko ime;
  • U polju "Inicijali" unesite njegove inicijale (najčešće se inicijali ne koriste);
  • U polju "Prezime" upisati prezime korisnika koji se kreira;
  • Polje "Puno ime" koristi se za stvaranje atributa generiranog objekta kao što je zajedničko ime CN i prikaz svojstava imena. Ovo polje mora biti jedinstveno u cijeloj domeni i popunjava se automatski, a mijenjajte ga samo ako je potrebno;
  • Polje "Ime za prijavu korisnika" je potrebna i namijenjena za prijavu na domenu korisnika. Ovdje trebate unijeti korisničko ime i s padajućeg popisa odabrati UPN sufiks, koji će se nalaziti iza simbola @;
  • Polje Korisničko ime za prijavu (pre-Windows 2000) namijenjeno za prijavno ime za sustave starije od operacijskog sustava Windows 2000. Posljednjih godina organizacije imaju sve manje vlasnika takvih sustava, ali ovo polje je obavezno jer neki softver koristi ovaj atribut za identifikaciju korisnika;

Nakon što ispunite sva potrebna polja, kliknite na gumb "Unaprijediti":

Riža. 2. Dijaloški okvir za kreiranje korisničkog računa

  • Na sljedećoj stranici čarobnjaka za kreiranje korisničkog računa morat ćete u polje unijeti početnu korisničku lozinku "Zaporka" i potvrdite to na terenu "Potvrda"... Osim toga, možete odabrati atribut koji označava da korisnik mora samostalno promijeniti lozinku za svoj račun kada se prvi put prijavi na sustav. Najbolje je koristiti ovu opciju zajedno s lokalnim sigurnosnim politikama. "Politika lozinke" za stvaranje jakih lozinki za svoje korisnike. Također označite okvir na opciji "Spriječi korisnika da promijeni lozinku" korisniku dajete svoju lozinku i sprječavate njezinu promjenu. Prilikom odabira opcije "Lozinka ne istječe" lozinka za korisnički račun nikada neće isteći i neće se morati povremeno mijenjati. Ako označite okvir "Onemogući račun", tada ovaj račun neće biti namijenjen daljnjem radu i korisnik s takvim računom se neće moći prijaviti dok se ne uključi. Ova opcija, kao i većina atributa, bit će obrađena u sljedećem odjeljku ovog članka. Nakon odabira svih atributa, kliknite na gumb "Unaprijediti"... Ova stranica čarobnjaka prikazana je na sljedećoj ilustraciji:

    • Riža. 3. Izrada lozinke za kreirani račun

  • Na posljednjoj stranici čarobnjaka vidjet ćete sažetak parametara koje ste unijeli. Ako su podaci ispravno uneseni, kliknite na gumb "Spreman" za stvaranje korisničkog računa i dovršetak čarobnjaka.

    • Kreiranje korisnika iz predložaka

    Organizacije obično imaju mnogo odjela ili odjela koji uključuju vaše korisnike. U tim odjelima korisnici imaju slična svojstva (na primjer, naziv odjela, položaj, broj ureda itd.). Za najučinkovitije upravljanje korisničkim računima iz jednog odjela, na primjer, korištenjem grupnih politika, preporučljivo je kreirati ih unutar domene u posebnim odjelima (drugim riječima, spremnicima) na temelju predložaka. Predložak računa je račun koji se prvi put pojavio u vrijeme Windows NT operativnih sustava, u kojem su atributi zajednički svim stvorenim korisnicima unaprijed popunjeni. Za izradu predloška korisničkog računa slijedite ove korake:

    • Su česti... Ova kartica je namijenjena za popunjavanje pojedinačnih korisnički definiranih atributa. Ti atributi uključuju ime i prezime korisnika, kratak opis računa, kontakt telefonski broj korisnika, broj sobe, njegov račun e-pošte i web stranicu. Zbog činjenice da su ti podaci individualni za svakog pojedinog korisnika, podaci koji su popunjeni na ovoj kartici se ne kopiraju;
    • Adresa... Na trenutnoj kartici možete ispuniti poštanski sandučić, grad, državu, poštanski broj i državu prebivališta korisnika koji će biti kreirani na temelju ovog predloška. Budući da svaki korisnik obično nema iste nazive ulica, podaci iz ovog polja ne mogu se kopirati;
    • Račun... U ovoj kartici možete odrediti točno vrijeme prijave korisnika, računala kojima će korisnici moći pristupiti, parametre računa kao što su pohranjivanje lozinki, vrste šifriranja itd., kao i datum isteka računa;
    • Profil... Trenutna kartica omogućuje vam da odredite put do profila, skriptu za prijavu, lokalni put do matične mape, kao i mrežne pogone na kojima će se nalaziti početna mapa računa;
    • Organizacija... Na ovoj kartici možete odrediti položaj zaposlenika, odjel u kojem rade, naziv organizacije, kao i ime voditelja odjela;
    • Članovi grupe... Ovdje su navedene glavne grupe i članstva u grupama.

    Ovo su glavne kartice koje se popunjavaju prilikom izrade predložaka računa. Osim ovih šest kartica, podatke možete ispuniti i u 13 kartica. Većina ovih kartica bit će obrađena u sljedećim člancima u ovoj seriji.

  • Sljedeći korak je stvaranje korisničkog računa na temelju trenutnog predloška. Da biste to učinili, desnom tipkom miša kliknite predložak računa i odaberite naredbu iz kontekstnog izbornika "Kopirati";
  • U dijaloškom okviru "Kopiraj objekt - korisnik" unesite ime, prezime i prijavno ime korisnika. Na sljedećoj stranici unesite svoju lozinku i potvrdu te poništite opciju "Onemogući račun"... Dovršite čarobnjaka;

    • Riža. 5. Dijaloški okvir za kopiranje korisničkog računa

  • Nakon kreiranja računa idite na svojstva stvorenog računa i pogledajte svojstva koja dodajete predlošku. Konfigurirani atributi će se kopirati na novi račun.

    • Kreiranje korisnika pomoću alata naredbenog retka

    Kao i kod većine stvari, operacijski sustav Windows ima uslužne programe naredbenog retka sa sličnim funkcijama kao i grafičko korisničko sučelje uskočnog sustava. Korisnici i računala Active Directory... Takve naredbe nazivaju se DS naredbama jer počinju slovima DS. Za izradu sigurnosnih principala upotrijebite naredbu Dsadd... Nakon same naredbe, postoje modifikatori koji definiraju tip i DN objekta. U slučaju stvaranja korisničkih računa potrebno je navesti modifikator korisnik koji je tip objekta. Nakon tipa objekta morate unijeti DN naziv samog objekta. Distinguished Name (DN) objekta je skup rezultata koji sadrži razlikovno ime. Nakon DN-a obično slijedi UPN korisničko ime ili ime za prijavu prethodnih verzija sustava Windows. Ako DN naziv sadrži razmake, tada naziv mora biti stavljen u navodnike. Sintaksa naredbe je sljedeća:

    Dsadd korisnika DN_name –samid account_name –UPN_name –pwd lozinka –dodatni parametri

    Uz ovu naredbu može se koristiti 41 parametar. Razmotrimo najčešće:

    -samid- naziv korisničkog računa;

    -upn- ime za prijavu pret-Windows 2000 korisnika;

    -fn- korisničko ime, koje se popunjava u polju u grafičkom sučelju "Ime";

    -mi- inicijal korisnika;

    -ln- prezime korisnika, navedeno u polju "Prezime" čarobnjaka za kreiranje korisničkog računa;

    -prikaz- specificira puno ime korisnika, koje se automatski generira u korisničkom sučelju;

    -empid- šifra zaposlenika koja se kreira za korisnika;

    -pwd- parametar koji definira korisničku lozinku. U slučaju da navedete zvjezdicu (*), od vas će se tražiti da unesete korisničku lozinku u zaštićenom načinu rada;

    -desc- kratki opis korisničkog računa;

    -član- parametar koji određuje članstvo korisnika u jednoj ili više grupa;

    -ured- mjesto ureda u kojem korisnik radi. U svojstvima računa ova se postavka može pronaći ispod kartice "Organizacija";

    -tel- kontakt telefon trenutnog korisnika;

    -e-mail- e-mail adresu korisnika, koja se nalazi u kartici "Su česti";

    -hometel- parametar koji označava kućni telefonski broj korisnika;

    -mobilni- broj telefona mobilnog korisnika;

    -faks- broj faks uređaja koji trenutni korisnik koristi;

    -titula- položaj korisnika u datoj organizaciji;

    -dubina- ovaj parametar vam omogućuje da odredite naziv odjela u kojem ovaj korisnik radi;

    -društvo- naziv tvrtke u kojoj radi kreirani korisnik;

    -hmdir- glavni imenik korisnika, u kojem će se nalaziti njegovi dokumenti;

    -hmdrv- put do mrežnog pogona na kojem će se nalaziti početna mapa računa

    -profil- put korisničkog profila;

    -mustchpwd- ovaj parametar označava da je korisnik sljedeći put kada se prijavi u sustav dužan promijeniti svoju lozinku;

    -canchpwd- parametar koji određuje treba li korisnik promijeniti svoju lozinku. Ako vrijednost parametra specificira "Da", tada će korisnik imati mogućnost promjene lozinke;

    -reverzibilnipwd- trenutni parametar definira pohranu korisničke lozinke korištenjem obrnute enkripcije;

    -pwdneveristekne Je parametar koji pokazuje da lozinka nikada neće isteći. Samo u sva ova četiri parametra "Da" ili "Ne";

    -acctistekne- parametar koji određuje nakon koliko dana će račun isteći. Pozitivna vrijednost predstavlja broj dana nakon kojih će račun isteći, dok negativna vrijednost znači da je već istekao;

    -onemogućeno- označava da je račun već onemogućen. Vrijednosti za ovaj parametar su također "Da" ili "Ne";

    -q- indikacija tihog načina rada za obradu naredbi.

    Primjer upotrebe:

    Dsadd korisnik “cn = Alexey Smirnov, OU = Marketing, OU = Korisnici, DC = testdomain, DC = com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -prikaz “Alexey Smirnov” - tel “743-49-62” -e-mail [e-mail zaštićen]-dept Marketing -tvrtka TestDomain -title Marketer -hmdir \\ dc \ profili \ Alexey.Smirnov -hmdrv X -mustchpwd da -onemogućeno ne

    Riža. 6. Izrada korisničkog računa pomoću uslužnog programa Dsadd

    Kreirajte korisnike pomoću CSVDE naredbe

    Još jedan uslužni program naredbenog retka CSVDE omogućuje vam uvoz ili izvoz Active Direcoty objekata predstavljenih kao cvd datoteka - tekstualna datoteka razdvojena zarezima koja se može stvoriti pomoću procesora proračunskih tablica Microsoft Excel ili najjednostavnijeg uređivača teksta Notepad. U ovoj datoteci svaki objekt je predstavljen jednim redkom i mora sadržavati atribute koji su navedeni u prvom retku. Vrijedno je obratiti pažnju na činjenicu da pomoću ove naredbe ne možete uvesti korisničke lozinke, odnosno odmah nakon dovršetka operacije uvoza korisnički računi će biti onemogućeni. Primjer takve datoteke je sljedeći:

    Riža. 7. Prezentacija CSV datoteke

    Sintaksa naredbe je sljedeća:

    Csvde –i –f naziv datoteke.csv –k

    • -i... Parametar koji je odgovoran za način uvoza. Ako ne navedete ovaj parametar, tada će ova naredba koristiti zadani način izvoza;
    • -f
    • -k
    • -v
    • -j
    • -u... Mogućnost korištenja Unicode načina rada.

    Primjer korištenja naredbe:

    Csvde -i -f d: \ testdomainusers.csv -k

    Riža. 8. Uvoz korisničkih računa iz CSV datoteke

    Uvoz korisnika pomoću LDIFDE

    Pomoćni program naredbenog retka Ldifde također vam omogućuje uvoz ili izvoz objekata Active Directory koristeći format datoteke za razmjenu podataka Lightweight Directory Access Protocol (LDIF). Ovaj format datoteke sastoji se od bloka redaka koji čine određenu operaciju. Za razliku od CSV datoteka, u ovom formatu datoteke svaki pojedinačni redak je skup atributa, nakon čega slijedi dvotočka i stvarna vrijednost trenutnog atributa. Kao iu CSV datoteci, prvi redak mora biti DN atribut. Slijedi niz changeType koji označava vrstu operacije (dodavanje, promjena ili brisanje). Da biste naučili razumjeti ovaj format datoteke, morate naučiti barem ključne atribute sigurnosnih principala. Primjer je dat u nastavku:

    Riža. 9. Primjer LDF datoteke

    Sintaksa naredbe je sljedeća:

    Ldifde -i -f ime datoteke.csv -k

    • -i... Parametar koji je odgovoran za način uvoza. Ako ne navedete ovaj parametar, tada će ova naredba koristiti zadani način izvoza;
    • -f... Parametar koji identificira naziv datoteke za uvoz ili izvoz;
    • -k... Parametar namijenjen nastavku uvoza, preskačući sve moguće pogreške;
    • -v... Parametar pomoću kojeg možete prikazati detaljne informacije;
    • -j... Parametar odgovoran za mjesto datoteke dnevnika;
    • -d... Parametar koji specificira korijen LDAP pretraživanja;
    • -f... Parametar za LDAP filter pretraživanja;
    • -str... Predstavlja područje ili dubinu pretraživanja;
    • -l... Dizajniran za određivanje popisa atributa odvojenih zarezima koji će biti uključeni u izvoz rezultirajućih objekata;

    Kreiranje korisnika pomoću VBScript-a

    VBScript je jedan od najmoćnijih alata za automatizaciju administrativnih zadataka. Ovaj alat vam omogućuje stvaranje skripti dizajniranih za automatizaciju većine radnji koje se mogu izvesti putem korisničkog sučelja. VBScript skripte su tekstualne datoteke koje korisnici obično mogu uređivati ​​običnim uređivačima teksta (kao što je Notepad). A da biste izvršili skripte, trebate samo dvaput kliknuti na ikonu same skripte koja će se otvoriti pomoću naredbe Wscript. Ne postoji posebna naredba za kreiranje korisničkog računa u VBScript-u, tako da se prvo trebate povezati sa spremnikom, a zatim upotrijebiti biblioteku adaptora Active Directory Services Interface (ADSI) koristeći naredbu Get-Object, gdje se izvršava niz LDAP upita koji daje protokolni nadimak LDAP: // s DN imenom objekta. Na primjer, postavite objOU = GetObject ("LDAP: // OU = Marketing, OU = Korisnici, dc = testdomain, dc = com"). Drugi redak koda aktivira metodu Create odjela za stvaranje objekta određene klase s određenim razlikovnim imenom, na primjer, Set objUser = objOU.Create (“korisnik”, “CN = Yuri Solovjev”). Treći redak je metoda Put, gdje trebate navesti naziv atributa i njegovu vrijednost. Zadnji redak ove skripte potvrđuje napravljene promjene, odnosno objUser.SetInfo ().

    Primjer upotrebe:

    Postavite objOU = GetObject ("LDAP: // OU = Marketing, OU = Korisnici, dc = testdomain, dc = com" Postavite objUser = objOU.Create ("korisnik", "CN = Yuri Soloviev") objUser. Stavite "sAMAccountName" , "Jurij. Solovjev" objUser. Stavite "UserPrincipalName" [e-mail zaštićen]"ObjUser.Put" givenName "," Jurij "objUser.Put" sn "Soloviev" objUser.SetInfo ()

    Stvaranje korisnika pomoću PowerShell-a

    Windows Server 2008 R2 uvodi mogućnost upravljanja objektima Active Directory pomoću Windows PowerShell-a. PowerShell se smatra najmoćnijom ljuskom naredbenog retka razvijenom na temelju .Net Frameworka i dizajniranom za upravljanje i automatizaciju administracije Windows operativnih sustava i aplikacija koje rade na tim operacijskim sustavima. PowerShell uključuje preko 150 alata naredbenog retka, zvanih cmdlet, koji pružaju mogućnost upravljanja računalima u vašem poduzeću iz naredbenog retka. Ova ljuska je komponenta operativnog sustava.

    Da biste stvorili novog korisnika u domeni Active Directory, koristite cmdlet New-ADUser, čija se većina vrijednosti svojstava može dodati korištenjem parametara ovog cmdleta. Parametar –Path koristi se za prikaz LDAP naziva. Ovaj parametar specificira spremnik ili organizacijsku jedinicu (OU) za novog korisnika. Ako parametar Putanja nije naveden, cmdlet stvara korisnički objekt u zadanom spremniku za korisničke objekte u ovoj domeni, odnosno u spremniku Korisnici. Da biste naveli lozinku, koristite parametar –AccountPassword s vrijednošću (Read-Host -AsSecureString "Lozinka za vaš račun"). Također, svakako obratite pozornost na činjenicu da je vrijednost parametra –Country točno kod zemlje ili regije jezika koji je odabrao korisnik. Sintaksa za cmdlet je sljedeća:

    Novi-ADU korisnik [-Naziv] [-Datum isteka računa ] [-AccountNotDelegated ] [-Lozinka računa ] [-AllowReversiblePasswordEncryption ] [-AuthType (Pregovaranje | Osnovno)] [-CannotChangePassword ] [-Potvrde ] [-ChangePasswordAtLogon ] [-Grad ] [-Društvo ] [-Država ] [-Akreditiv ] [-Odjel ] [-Opis ] [-Ime prikaza ] [-Odjel ] [-Email adresa ] [-ID zaposlenika ] [-Broj zaposlenika ] [-Omogućeno ] [-Faks ] [-Ime ] [-Početni imenik ] [-HomeDrive ] [-Početna stranica ] [-Kućni telefon ] [-Inicijal ] [-Instanca ] [-LogonWorkstations ] [-Upravitelj ] [-Mobitel ] [-Ured ] [-Uredski telefon ] [-Organizacija ] [-Drugi atributi ] [-Drugo ime ] [-Proći kroz ] [-PasswordNeverExpires ] [-Lozinka nije potrebna ] [-Staza ] [-Poštanski pretinac ] [-Poštanski broj ] [-Putanja profila ] [-SamAccountName ] [-ScriptPath ] [-Poslužitelj ] [-ServicePrincipalNames ] [-SmartcardLogonPotreban ] [-Država ] [-Adresa ulice ] [-Prezime ] [-Naslov ] [-TrustedForDelegation ] [-Vrsta ] [-UserPrincipalName ] [-Potvrdi] [-Što ako] [ ]

    Kao što možete vidjeti iz ove sintakse, nema smisla opisivati ​​sve parametre, budući da su identični atributima principala sigurnosti i ne trebaju objašnjenje. Pogledajmo primjer upotrebe:

    New-ADUser -SamAccountName "Evgeniy.Romanov" -Ime "Evgeniy Romanov" -GivenName "Evgeniy" -Prezime "Romanov" -DisplayName "Evgeniy Romanov" -Path "OU = Marketing, OU = Korisnici, DC = testdomain, DC = com "-CannotChangePassword $ false -ChangePasswordAtLogon $ true -Grad" Herson "-Država" Herson "-Zemlja UA -Odjel" Marketing "-Naslov" (! LANG: Marketer" -UserPrincipalName "!} [e-mail zaštićen]"-Email adresa" [e-mail zaštićen]"-Omogućeno $ true -AccountPassword (Read-Host -AsSecureString" AccountPassword ")

    Riža. 10. Izrada korisničkog računa pomoću Windows PowerShell-a

    Zaključak

    U ovom članku naučili ste o konceptu principala sigurnosti i ulozi korisničkih računa u okruženju domene. Detaljno su razmotreni glavni scenariji za kreiranje korisničkih računa u domeni Active Directory. Naučili ste kako stvoriti prilagođene račune pomoću dodatka Korisnici i računala Active Directory pomoću predložaka, uslužnih programa naredbenog retka Dsadd, CSVDE i LDIFDE. Također ste naučili o VBScript skriptnom jeziku i metodi naredbenog retka Windows PowerShell za kreiranje korisničkih računa.

    Politika grupe hijerarhijska je infrastruktura koja mrežnom administratoru zaduženom za Microsoftov Active Directory omogućuje implementaciju specifičnih konfiguracija za korisnike i računala. Politika grupe također se može koristiti za definiranje korisničkih, sigurnosnih i mrežnih pravila na razini stroja.

    Definicija

    Grupe Active Directory pomažu administratorima definirati postavke za ono što korisnici mogu raditi na mreži, uključujući datoteke, mape i aplikacije kojima mogu pristupiti. Zbirke korisničkih i računalnih postavki nazivaju se GPO-i i upravljaju se iz središnjeg sučelja zvanog Operacijska konzola. Pravila grupe također se mogu kontrolirati pomoću alata naredbenog retka kao što su gpresult i gpupdate.

    Active Directory je nov za Windows 2000 Server i poboljšan je 2003. kako bi postao još važniji dio operacijskog sustava. Windows Server 2003 AD pruža jednu vezu, nazvanu usluga imenika, za sve objekte na mreži, uključujući korisnike, grupe, računala, pisače, pravila i dozvole.

    Za korisnika ili administratora, konfiguriranje Active Directoryja pruža jedan hijerarhijski prikaz iz kojeg se može upravljati svim mrežnim resursima.

    Zašto implementirati Active Directory

    Mnogo je razloga za implementaciju ovog sustava. Prije svega, Microsoft Active Directory općenito se smatra značajnim poboljšanjem u odnosu na domene Windows NT Server 4.0 ili čak samostalne poslužiteljske mreže. AD ima mehanizam centralizirane administracije u cijeloj mreži. Također pruža redundantnost i toleranciju grešaka pri postavljanju dva ili više kontrolera domene u domeni.

    Usluga automatski upravlja komunikacijom između kontrolera domene kako bi mreža bila održiva. Korisnici imaju pristup svim resursima na mreži za koje su ovlašteni korištenjem jedinstvene prijave. Svi resursi na mreži zaštićeni su robusnim sigurnosnim mehanizmom koji provjerava identitet korisnika i ovlaštenje resursa za svaki pristup.

    Čak i uz poboljšanu sigurnost i kontrolu Active Directoryja, većina njegovih funkcionalnosti nevidljiva je krajnjim korisnicima. Kao takav, migracija korisnika na AD mrežu zahtijeva malo prekvalifikacije. Usluga nudi način za brzo promoviranje i derangiranje kontrolora domena i poslužitelja članova. Sustavom se može upravljati i štititi ga pomoću pravila grupe Active Directory. To je fleksibilan hijerarhijski organizacijski model koji vam omogućuje jednostavno upravljanje i detaljno delegiranje specifičnih administrativnih odgovornosti. AD je sposoban upravljati milijunima objekata unutar jedne domene.

    Glavni odjeljci

    Knjige grupnih politika Active Directory organizirane su pomoću četiri vrste particija ili struktura spremnika. Ova četiri OU-a su šume, domene, organizacijske jedinice i stranice:

      Šuma je zbirka svakog objekta, njegovih atributa i sintakse.

      Domena je skup računala koja dijele zajednički skup pravila, ime i bazu podataka svojih članova.

      Organizacijske jedinice su spremnici u koje se domene mogu grupirati. Oni stvaraju hijerarhiju za domenu i stvaraju strukturu tvrtke u geografskom ili organizacijskom okruženju.

      Stranice su fizičke grupe koje su neovisne o opsegu i strukturi organizacijskih jedinica. Web-mjesta razlikuju lokacije povezanih vezama male i velike brzine i identificiraju se jednom ili više IP podmreža.

    Šume nisu ograničene zemljopisom ili topologijom mreže. Jedna šuma može sadržavati više domena, svaka sa zajedničkom shemom. Članovi domene u istoj šumi ne trebaju niti namjensku LAN ili WAN vezu. Jedna mreža također može biti dom za nekoliko neovisnih šuma. Općenito, za svaku pravnu osobu treba koristiti jednu šumu. Međutim, dodatne skele mogu biti poželjne za potrebe ispitivanja i istraživanja izvan proizvodne šume.

    domene

    Active Directory domene služe kao spremnici za sigurnosne politike i administrativne zadatke. Prema zadanim postavkama, svi objekti u njima podliježu pravilima grupe. Isto tako, svaki administrator može upravljati svim objektima unutar domene. Osim toga, svaka domena ima svoju jedinstvenu bazu podataka. Dakle, autentifikacija se vrši na temelju domene. Nakon provjere autentičnosti korisničkog računa, tom računu se odobrava pristup resursima.

    Jedna ili više domena su potrebne za konfiguriranje grupnih pravila u Active Directoryju. Kao što je ranije spomenuto, AD domena je zbirka računala koja dijele zajednički skup pravila, ime i bazu podataka svojih članova. Domena mora imati jedan ili više poslužitelja koji služe kao kontroleri domene (DC) i pohranjuju bazu podataka, održavaju pravila i osiguravaju autentifikaciju za prijave.

    Kontrolori domene

    U sustavu Windows NT, Basic Domain Controller (PDC) i Backup Domain Controller (BDC) bile su uloge koje su se mogle dodijeliti poslužitelju na mreži računala koja su pokretala operacijski sustav Windows. Windows je koristio ideju domene za kontrolu pristupa skupu mrežnih resursa (aplikacije, pisači, itd.) za grupu korisnika. Korisnik se samo treba prijaviti na domenu za pristup resursima koji se mogu nalaziti na nekoliko različitih poslužitelja na mreži.

    Jedan poslužitelj, poznat kao primarni kontroler domene, upravljao je primarnom bazom podataka korisnika za domenu. Jedan ili više poslužitelja su označeni kao rezervni kontroleri domene. Primarni kontroler povremeno je slao kopije baze podataka na sigurnosne kontrolere domene. Kontroler domene u stanju pripravnosti može se prijaviti kao primarni kontroler domene u slučaju da PDC poslužitelj ne uspije, a također može pomoći u ravnoteži radnog opterećenja ako je mreža dovoljno zauzeta.

    Delegiranje i konfiguriranje Active Directoryja

    U sustavu Windows 2000 Server, dok su kontroleri domene zadržani, uloge PDC i BDC poslužitelja uvelike su zamijenjene Active Directoryjem. Više nije potrebno stvarati zasebne domene za odvajanje administrativnih privilegija. Unutar AD-a možete delegirati administrativne privilegije na temelju organizacijskih jedinica. Domene više nisu ograničene na 40.000 korisnika. AD domene mogu upravljati milijunima objekata. Budući da više nema PDC-ova i BDC-ova, konfiguracija Pravila grupe Active Directory primjenjuje multi-master replikaciju i svi kontroleri domene su peer-to-peer.

    Organizacijska struktura

    Organizacijske jedinice su puno fleksibilnije i lakše za upravljanje od domena. Organizacijske jedinice daju vam gotovo neograničenu fleksibilnost jer prema potrebi možete premještati, brisati i stvarati nove jedinice. Međutim, domene su mnogo restriktivnije u svojim postavkama strukture. Domene se mogu izbrisati i ponovno stvoriti, ali ovaj proces destabilizira okruženje i treba ga izbjegavati kad god je to moguće.

    Stranice su zbirke IP podmreža koje imaju brzu i pouzdanu komunikaciju između svih domaćina. Drugi način izrade web-mjesta je LAN veza, ali ne i WAN veza, jer su WAN veze znatno sporije i manje pouzdane od LAN veza. Korištenjem web-mjesta možete kontrolirati i smanjiti količinu prometa koji prolazi kroz vaše spore WAN veze. To može rezultirati učinkovitijim protokom prometa za izvedbene zadatke. Također može smanjiti troškove WAN-a za usluge plaćanja po bitu.

    Čarobnjak za infrastrukturu i globalni katalog

    Ostale ključne komponente Windows Servera u Active Directory uključuju Čarobnjak za infrastrukturu (IM), koji je potpuno funkcionalna FSMO (Fleksibilni Single Operations Wizard) usluga odgovorna za automatski proces koji hvata zastarjele veze, poznate kao fantome, u bazi podataka Active Directory.

    Fantomi se stvaraju na DC-ovima koji zahtijevaju unakrsno referenciranje između objekta unutar vlastite baze podataka i objekta iz druge domene u šumi. To se događa, na primjer, kada dodate korisnika iz jedne domene u grupu u drugoj domeni u istoj šumi. Fantomi se smatraju zastarjelima kada više ne sadrže ažurirane podatke koji su rezultat promjena napravljenih na stranom objektu kojeg predstavlja fantom. Na primjer, kada se cilj preimenuje, premješta, prenosi između domena ili briše. Upravitelj infrastrukture isključivo je odgovoran za pronalaženje i popravljanje zastarjelih fantoma. Sve promjene napravljene kao rezultat procesa "popravljanja" moraju se zatim replicirati na druge kontrolere domene.

    Čarobnjak za infrastrukturu ponekad se miješa s globalnim katalogom (GC), koji održava djelomičnu kopiju svake domene u šumi samo za čitanje i, između ostalog, koristi se za grupnu pohranu opće namjene i obradu prijave. Budući da GC-ovi pohranjuju djelomičnu kopiju svih objekata, mogu kreirati međudomenske reference bez potrebe za fantomima.

    Active Directory i LDAP

    Microsoft uključuje LDAP (Lightweight Directory Access Protocol) kao sastavnu komponentu Active Directoryja. LDAP je softverski protokol koji svakome omogućuje pronalaženje organizacija, pojedinaca i drugih resursa kao što su datoteke i uređaji na mreži, bilo na javnom Internetu ili na korporativnom intranetu.

    Na TCP/IP mrežama (uključujući Internet), sustav naziva domene (DNS) je sustav imenika koji se koristi za mapiranje naziva domene na određenu mrežnu adresu (jedinstvenu lokaciju na mreži). Međutim, možda ne znate naziv domene. LDAP vam omogućuje da tražite ljude bez da znate gdje se nalaze (iako će vam više informacija pomoći u potrazi).

    LDAP imenik organiziran je u jednostavnoj hijerarhijskoj hijerarhiji sa sljedećim razinama:

      Korijenski direktorij (izvorno mjesto ili izvor stabla).

    • Organizacije.

      Organizacijske jedinice (odsjeci).

      Pojedinci (uključujući ljude, datoteke i zajedničke resurse kao što su pisači).

    LDAP imenik se može distribuirati na mnoge poslužitelje. Svaki poslužitelj može imati repliciranu verziju zajedničkog direktorija koji se povremeno sinkronizira.

    Važno je da svaki administrator razumije što je LDAP. Budući da je pronalaženje informacija u Active Directoryju i mogućnost kreiranja LDAP upita posebno korisno pri pronalaženju informacija pohranjenih u AD bazi podataka. Iz tog razloga, mnogi administratori stavljaju veliki naglasak na svladavanje LDAP filtera za pretraživanje.

    Grupna pravila i upravljanje aktivnim imenikom

    Teško je raspravljati o AD bez spominjanja grupne politike. Administratori mogu koristiti pravila grupe u Microsoft Active Directoryju za definiranje postavki za korisnike i računala na mreži. Te se postavke konfiguriraju i pohranjuju u takozvanim objektima grupne politike (GPO), koji se zatim povezuju s objektima Active Directory, uključujući domene i web-mjesta. Ovo je glavni mehanizam za primjenu promjena na računalima na korisnike u Windows okruženju.

    Zahvaljujući upravljanju grupnim pravilima, administratori mogu globalno konfigurirati postavke radne površine na korisničkim računalima, ograničiti/dopustiti pristup određenim datotekama i mapama na mreži.

    Primjena grupnih pravila

    Važno je razumjeti kako se GPO-ovi koriste i primjenjuju. Za njih je prihvatljiv sljedeći redoslijed: prvo se primjenjuju lokalne politike stroja, zatim politike web-mjesta, zatim politike domene, a zatim politike koje se primjenjuju na pojedinačne organizacijske jedinice. Korisnik ili računalni objekt može pripadati samo jednom mjestu i jednoj domeni u isto vrijeme, tako da će primati samo GPO-ove koji su pridruženi tom mjestu ili domeni.

    Struktura objekta

    GPO-ovi su podijeljeni u dva različita dijela: predložak grupne politike (GPT) i spremnik grupne politike (GPC). GPO predložak odgovoran je za pohranjivanje određenih postavki stvorenih u GPO-u i bitan je za njegov uspjeh. Pohranjuje te postavke u veliku mapu i strukturu datoteka. Da bi se postavke uspješno primijenile na sve korisničke i računalne objekte, GPT se mora replicirati na sve kontrolere u domeni.

    Kontejner grupnih pravila dio je GPO-a pohranjenog u Active Directory koji se nalazi na svakom kontroleru domene u domeni. GPC je odgovoran za održavanje veza na klijentske ekstenzije (CSE), GPT staze, staze do softverskih instalacijskih paketa i druge referentne aspekte GPO-a. GPC ne sadrži puno informacija vezanih uz odgovarajući GPO, ali je potreban za funkcionalnost GPO-a. Kada se konfiguriraju pravila instalacije softvera, GPC pomaže u održavanju veza povezanih s GPO-om i pohranjuje druge relacijske veze i staze pohranjene u atributima objekta. Poznavanje strukture GPC-a i načina pristupa skrivenim informacijama pohranjenim u atributima isplatit će vam se kada trebate identificirati problem s pravilima grupe.

    U sustavu Windows Server 2003, Microsoft je izdao svoje rješenje za upravljanje grupnim pravilima kao alat za udruživanje podataka u obliku dodatka poznatog kao Konzola za upravljanje pravilima grupe (GPMC). GPMC pruža sučelje upravljanja usmjereno na GPO koje uvelike pojednostavljuje administraciju, upravljanje i lokaciju GPO-ova. Putem GPMC-a možete kreirati nove GPO-ove, mijenjati i uređivati ​​objekte, rezati/kopirati/zalijepiti GPO-ove, sigurnosno kopirati objekte i izvršavati rezultirajući skup politika.

    Optimizacija

    Kako se povećava broj kontroliranih GPO-ova, performanse utječu na strojeve u mreži. Savjet: Ako se izvedba pogorša, ograničite mrežne postavke objekta. Vrijeme obrade raste izravno proporcionalno broju pojedinačnih postavki. Relativno jednostavne konfiguracije, kao što su postavke radne površine ili pravila Internet Explorera, možda neće potrajati dugo, dok preusmjeravanja softverskih mapa mogu ozbiljno opteretiti mrežu, osobito tijekom razdoblja špica.

    Podijelite prilagođene GPO-ove, a zatim onemogućite neiskorišteni dio. Jedna od najboljih praksi za poboljšanje produktivnosti i smanjenje zbrke u upravljanju je stvaranje zasebnih objekata za parametre koji će se primjenjivati ​​na računala i odvojeni za korisnike.

    Administratori Windows mreža ne mogu izbjeći upoznavanje. Ovaj pregledni članak usredotočit će se na to što je Active Directory i s čime se jede.

    Dakle, Active Directory je Microsoftova implementacija usluge imenika. Usluga imenika u ovom slučaju znači softverski paket koji administratoru sustava pomaže u radu s mrežnim resursima kao što su dijeljene mape, poslužitelji, radne stanice, pisači, korisnici i grupe.

    Active Directory ima hijerarhijsku strukturu objekata. Sve nekretnine podijeljene su u tri glavne kategorije.

    • Korisnički i računalni računi;
    • Resursi (kao što su pisači);
    • Usluge (kao što je e-pošta).

    Svaki objekt ima jedinstveno ime i niz karakteristika. Objekti se mogu grupirati.

    Korisnička svojstva

    Active Directory ima strukturu šume. Šuma ima nekoliko stabala koja sadrže domene. Domene pak sadrže gore navedene objekte.


    Struktura aktivnog imenika

    Obično su objekti u domeni grupirani u organizacijske jedinice. Pododjeli se koriste za izgradnju hijerarhije unutar domene (organizacije, teritorijalni odjeli, odjeli, itd.). To je osobito važno za geografski raspršene organizacije. Prilikom izgradnje strukture preporuča se stvoriti što je moguće manje domena, stvarajući, ako je potrebno, zasebne podjele. Na njima ima smisla primjenjivati ​​grupna pravila.

    Svojstva radne stanice

    Drugi način da strukturirate svoj Active Directory je stranice... Web-mjesta su način njihovog fizičkog grupiranja, a ne logično, na temelju mrežnih segmenata.

    Kao što je spomenuto, svaki objekt u Active Directoryju ima jedinstveno ime. Na primjer pisač HPLaserJet4350dtn koji je u podrazdjelu Odvjetnici i u domeni primer.ru imat će ime CN = HPLaserJet4350dtn, OU = Odvjetnici, DC = temelj, DC = ru. CN Uobičajeno je ime, OU- podjela, DC- klasa objekta domene. Naziv objekta može imati mnogo više dijelova nego u ovom primjeru.

    Drugi oblik pisanja imena objekta izgleda ovako: primer.ru/Lawyers/HPLaserJet4350dtn... Također, svaki objekt ima globalno jedinstveni identifikator ( vodič) je jedinstveni i nepromjenjivi 128-bitni niz koji se koristi u Active Directoryju za pretraživanje i replikaciju. Neki objekti također imaju UPN ( UPN) u formatu objekt @ domena.

    Evo pregleda što je Active Directory i čemu služi na LAN-ovima koji se temelje na sustavu Windows. Konačno, logično je reći da administrator ima mogućnost daljinskog rada s Active Directoryjem Alati za udaljenu administraciju poslužitelja za Windows 7 (KB958830)(preuzimanje datoteka) i Alati za udaljenu administraciju poslužitelja za Windows 8.1 (KB2693643) (preuzimanje datoteka).

    Vrhunski povezani članci

    Različiti pokreti miša okomito i vodoravno
    Različiti pokreti miša okomito i vodoravno
    Kako komprimirati teksture u Fallout 4
    Kako komprimirati teksture u Fallout 4
    Ostaje samo razumjeti potrebnu razinu
    Ostaje samo razumjeti potrebnu razinu
    Kategorije:
    © 2021 bumotors.ru. Kako postaviti pametne telefone i računala. Informativni portal.