Što je Active Directory. Active Directory najbolje prakse

12.08.2019 Greške

Active Directory pruža usluge upravljanja sustavima. Oni su puno bolja alternativa lokalnim grupama i omogućuju vam stvaranje računalnih mreža s učinkovitim upravljanjem i pouzdanom zaštitom podataka.

Ako se dosad niste susreli s pojmom Active Directory i ne znate kako takve usluge funkcioniraju, ovaj je članak za vas. Razmotrimo što ovaj koncept znači, koje su prednosti takvih baza podataka i kako ih stvoriti i konfigurirati za početnu upotrebu.

Active Directory je vrlo zgodan način upravljanja sustavom. Koristeći Active Directory, možete učinkovito upravljati svojim podacima.

Ove vam usluge omogućuju stvaranje jedinstvene baze podataka kojom upravljaju kontroleri domene. Ako posjedujete tvrtku, upravljate uredom ili općenito kontrolirate aktivnosti mnogih ljudi koje je potrebno ujediniti, takva će vam domena biti korisna.

Uključuje sve objekte - računala, pisače, faksove, korisničke račune itd. Zbroj domena na kojima se nalaze podaci naziva se "šuma". Baza podataka Active Directory je okruženje domene u kojoj broj objekata može biti do 2 milijarde. Možete li zamisliti ove skale?

Odnosno, uz pomoć takve “šume” ili baze podataka možete povezati velik broj djelatnika i opreme u uredu, a bez vezanja za lokaciju - u servisima se mogu povezati i drugi korisnici, npr. iz ureda tvrtke u drugom gradu.

Osim toga, u okviru usluga Active Directory kreira se i kombinira nekoliko domena – što je tvrtka veća, potrebno je više alata za kontrolu njezine opreme unutar baze podataka.

Nadalje, kada je takva mreža stvorena, određena je jedna kontrolna domena, a čak i uz naknadnu prisutnost drugih domena, izvorna još uvijek ostaje "roditelj" - to jest, samo ona ima puni pristup upravljanju informacijama.

Gdje se ti podaci pohranjuju i što osigurava postojanje domena? Za izradu aktivnog imenika koriste se kontroleri. Obično ih ima dva - ako se nešto dogodi jednom, informacije će biti spremljene na drugom kontroleru.

Druga mogućnost korištenja baze podataka je ako npr. vaša tvrtka surađuje s drugom, a vi morate završiti zajednički projekt. U ovom slučaju, neovlaštene osobe mogu trebati pristup datotekama domene, a ovdje možete postaviti neku vrstu "odnosa" između dvije različite "šume", dopuštajući pristup potrebnim informacijama bez rizika za sigurnost preostalih podataka.

Općenito, Active Directory je alat za kreiranje baze podataka unutar određene strukture, bez obzira na njezinu veličinu. Korisnici i sva oprema objedinjuju se u jednu “šumu”, kreiraju se domene i postavljaju na kontrolere.

Također je preporučljivo pojasniti da usluge mogu raditi samo na uređajima sa sustavima Windows poslužitelja. Osim toga, na kontrolerima se kreiraju 3-4 DNS poslužitelja. Oni služe glavnoj zoni domene, a ako jedan od njih zakaže, drugi poslužitelji ga zamjenjuju.

Nakon kratkog pregleda Active Directory for Dummies, prirodno vas zanima pitanje - zašto mijenjati lokalnu grupu za cijelu bazu podataka? Naravno, polje mogućnosti ovdje je višestruko šire, a kako bismo saznali druge razlike između ovih usluga za upravljanje sustavom, pogledajmo pobliže njihove prednosti.

Prednosti Active Directory

Prednosti Active Directory-a su:

Korištenje jednog izvora za provjeru autentičnosti. U ovoj situaciji morate na svako računalo dodati sve račune koji zahtijevaju pristup općim informacijama. Što je više korisnika i opreme, to je teže sinkronizirati te podatke između njih.

I tako, pri korištenju usluga s bazom podataka, računi se pohranjuju u jednu točku, a promjene stupaju na snagu odmah na svim računalima.

Kako radi? Svaki zaposlenik, dolaskom u ured, pokreće sustav i prijavljuje se na svoj račun. Zahtjev za prijavu automatski će se poslati poslužitelju i preko njega će se izvršiti autentifikacija.

Što se tiče određenog redoslijeda u vođenju evidencije, uvijek možete podijeliti korisnike u grupe - “HR odjel” ili “Računovodstvo”.

U ovom slučaju još je lakše omogućiti pristup informacijama - ako trebate otvoriti mapu za djelatnike jednog odjela, to radite kroz bazu podataka. Zajedno dobivaju pristup traženoj mapi s podacima, dok drugima dokumenti ostaju zatvoreni.

Kontrola nad svakim sudionikom baze podataka.

Ako je u lokalnoj grupi svaki član neovisan i teško ga je kontrolirati s drugog računala, tada u domenama možete postaviti određena pravila koja su u skladu s politikom tvrtke.

Kao administrator sustava, možete postaviti postavke pristupa i sigurnosne postavke, a zatim ih primijeniti na svaku korisničku grupu. Naravno, ovisno o hijerarhiji, neke grupe mogu dobiti strože postavke, dok se drugima može dati pristup drugim datotekama i radnjama u sustavu.

Osim toga, kada se nova osoba pridruži tvrtki, njegovo računalo će odmah dobiti potreban set postavki, što uključuje komponente za rad.

Svestranost u instalaciji softvera.

Kad smo već kod komponenti, koristeći Active Directory možete dodijeliti pisače, instalirati potrebne programe za sve zaposlenike odjednom i postaviti postavke privatnosti. Općenito, izrada baze podataka značajno će optimizirati rad, pratiti sigurnost i ujediniti korisnike za maksimalnu učinkovitost rada.

A ako tvrtka upravlja zasebnim komunalnim ili posebnim uslugama, one se mogu sinkronizirati s domenama i pojednostaviti im pristup. Kako? Ako kombinirate sve proizvode koji se koriste u tvrtki, zaposlenik neće morati unositi različite prijave i lozinke za ulazak u svaki program - te će informacije biti zajedničke.

Sada kada su prednosti i značenje korištenja Active Directoryja jasni, pogledajmo postupak instaliranja ovih usluga.

Koristimo bazu podataka na Windows Server 2012

Instalacija i konfiguracija Active Directoryja nije težak zadatak, ai lakši je nego što se čini na prvi pogled.

Za učitavanje usluga prvo morate učiniti sljedeće:

Promijenite naziv računala: kliknite na "Start", otvorite upravljačku ploču, odaberite "Sustav". Odaberite "Promijeni postavke" i u svojstvima, nasuprot retku "Naziv računala", kliknite "Promijeni", unesite novu vrijednost za glavno računalo.
Ponovno pokrenite računalo prema potrebi.
Postavite mrežne postavke ovako:
- Preko upravljačke ploče otvorite izbornik s mrežama i dijeljenjem.
- Podesite postavke adaptera. Desnom tipkom miša kliknite "Svojstva" i otvorite karticu "Mreža".
- U prozoru s popisa kliknite na Internet protokol broj 4, ponovno kliknite na "Svojstva".
- Unesite potrebne postavke, na primjer: IP adresa - 192.168.10.252, maska podmreže - 255.255.255.0, glavni pristupnik - 192.168.10.1.
- U retku "Preferirani DNS poslužitelj" navedite adresu lokalnog poslužitelja, u "Alternativa ..." - druge adrese DNS poslužitelja.
- Spremite promjene i zatvorite prozore.

Postavite uloge aktivnog imenika ovako:

Kroz Start otvorite Server Manager.
Na izborniku odaberite Dodaj uloge i značajke.
Čarobnjak će se pokrenuti, ali možete preskočiti prvi prozor s opisom.
Provjerite redak "Instaliranje uloga i komponenti", nastavite dalje.
Odaberite svoje računalo da biste na njega instalirali Active Directory.
S popisa odaberite ulogu koju treba učitati - u vašem slučaju to su “Active Directory Domain Services”.
Pojavit će se mali prozor s upitom da preuzmete komponente potrebne za usluge - prihvatite to.
Zatim ćete biti upitani da instalirate druge komponente - ako ih ne trebate, samo preskočite ovaj korak klikom na "Dalje".
Čarobnjak za postavljanje prikazat će prozor s opisima usluga koje instalirate - pročitajte i krenite dalje.
Pojavit će se popis komponenti koje ćemo instalirati - provjerite je li sve ispravno i ako je tako, pritisnite odgovarajući gumb.
Kada je proces završen, zatvorite prozor.
To je to - usluge se preuzimaju na vaše računalo.

Postavljanje aktivnog imenika

Da biste konfigurirali uslugu domene morate učiniti sljedeće:

Pokrenite istoimeni čarobnjak za postavljanje.
Kliknite na žuti pokazivač na vrhu prozora i odaberite "Promakni poslužitelj u kontroler domene."
Kliknite na dodaj novu šumu i stvorite naziv za korijensku domenu, zatim kliknite na Dalje.
Odredite načine rada "šume" i domene - najčešće se podudaraju.
Napravite lozinku, ali je svakako zapamtite. Nastavite dalje.
Nakon toga možete vidjeti upozorenje da domena nije delegirana i upit da provjerite naziv domene - možete preskočiti ove korake.
U sljedećem prozoru možete promijeniti put do direktorija baze podataka - učinite to ako vam ne odgovaraju.
Sada ćete vidjeti sve opcije koje namjeravate postaviti - provjerite jeste li ih ispravno odabrali i nastavite dalje.
Aplikacija će provjeriti jesu li ispunjeni preduvjeti, a ako nema komentara ili nisu kritični, kliknite na “Instaliraj”.
Nakon završetka instalacije, računalo će se samostalno ponovno pokrenuti.

Možda se također pitate kako dodati korisnika u bazu podataka. Da biste to učinili, upotrijebite izbornik "Active Directory korisnici ili računala", koji ćete pronaći u odjeljku "Administracija" na upravljačkoj ploči ili upotrijebite izbornik postavki baze podataka.

Da biste dodali novog korisnika, kliknite desnom tipkom miša na naziv domene, odaberite "Stvori", zatim "Podjela". Ispred vas će se pojaviti prozor u koji trebate unijeti naziv novog odjela - on služi kao mapa u koju možete prikupiti korisnike iz različitih odjela. Na isti način kasnije ćete kreirati još nekoliko odjela i pravilno rasporediti sve zaposlenike.

Zatim, kada ste kreirali naziv odjela, desnom tipkom miša kliknite na njega i odaberite "Stvori", zatim "Korisnik". Sada preostaje samo unijeti potrebne podatke i postaviti postavke pristupa za korisnika.

Kada se kreira novi profil, kliknite na njega odabirom kontekstnog izbornika i otvorite “Svojstva”. Na kartici "Račun" uklonite potvrdni okvir pored "Blokiraj...". To je sve.

Opći zaključak je da je Active Directory moćan i koristan alat za upravljanje sustavom koji će pomoći ujediniti sva računala zaposlenika u jedan tim. Korištenjem usluga možete stvoriti sigurnu bazu podataka i značajno optimizirati rad i sinkronizaciju informacija između svih korisnika. Ako je vaša tvrtka ili bilo koje drugo mjesto poslovanja povezano s elektroničkim računalima i mrežama, morate konsolidirati račune i nadzirati rad i povjerljivost, instalacija baze podataka temeljene na Active Directory bit će izvrsno rješenje.

Aktivni direktorij

Aktivni direktorij(“Aktivni direktoriji”, OGLAS) - LDAP-Kompatibilna implementacija imeničke usluge korporacije Microsoft za obiteljske operativne sustave Windows NT. Aktivni direktorij omogućuje administratorima korištenje grupnih pravila kako bi osigurali jedinstvenu konfiguraciju korisnikovog radnog okruženja, implementaciju softvera na više računala putem grupnih pravila ili putem System Center Configuration Manager(prethodno Microsoft Systems Management Server), instalirajte ažuriranja operativnog sustava, aplikacije i softvera poslužitelja na svim računalima na mreži koristeći uslugu ažuriranja Windows poslužitelj . Aktivni direktorij pohranjuje podatke i postavke okoline u centraliziranu bazu podataka. mreže Aktivni direktorij mogu biti različitih veličina: od nekoliko desetaka do nekoliko milijuna objekata.

Izvođenje Aktivni direktorij koji se dogodio 1999., proizvod je prvi put pušten s Windows 2000 poslužitelj, a kasnije je modificiran i poboljšan nakon izdavanja Windows Server 2003. Naknadno Aktivni direktorij je poboljšan u Windows Server 2003 R2, Windows Server 2008 I Windows Server 2008 R2 i preimenovan u Usluge domene Active Directory. Prethodno je pozvana imenička služba NT Directory Service (NTDS), ovo se ime još uvijek može pronaći u nekim izvršnim datotekama.

Za razliku od verzija Windows prije Windows 2000, koji je uglavnom koristio protokol NetBIOS za mrežnu komunikaciju, servis Aktivni direktorij integrirano sa DNS I TCP/IP. Zadani protokol provjere autentičnosti je Kerberos. Ako klijent ili aplikacija ne podržavaju autentifikaciju Kerberos, koristi se protokol NTLM .

Uređaj

Predmeti

Aktivni direktorij ima hijerarhijsku strukturu koja se sastoji od objekata. Objekti spadaju u tri glavne kategorije: resursi (kao što su pisači), usluge (kao što je e-pošta) te korisnički i računalni računi. Aktivni direktorij pruža informacije o objektima, omogućuje organiziranje objekata, kontrolu pristupa njima i također uspostavlja sigurnosna pravila.

Objekti mogu biti spremnici za druge objekte (sigurnosne i distribucijske grupe). Objekt je jedinstveno identificiran svojim imenom i ima skup atributa—karakteristike i podatke—koje može sadržavati; potonji pak ovise o vrsti objekta. Atributi čine osnovu strukture objekta i definirani su u shemi. Shema definira koje vrste objekata mogu postojati.

Sama shema sastoji se od dvije vrste objekata: objekata klase sheme i objekata atributa sheme. Jedan objekt klase sheme definira jedan tip objekta Aktivni direktorij(kao što je objekt User), a jedan objekt atributa sheme definira atribut koji objekt može imati.

Svaki objekt atributa može se koristiti u nekoliko različitih objekata klase sheme. Ti se objekti nazivaju objekti sheme (ili metapodaci) i omogućuju vam da promijenite i proširite shemu prema potrebi. Međutim, svaki objekt sheme dio je definicije objekta Aktivni direktorij, stoga onemogućavanje ili mijenjanje ovih objekata može imati ozbiljne posljedice, jer će se kao rezultat tih radnji struktura promijeniti Aktivni direktorij. Promjene objekta sheme automatski se prenose na Aktivni direktorij. Jednom stvoren, objekt sheme ne može se izbrisati, može se samo onemogućiti. Obično se sve promjene sheme pažljivo planiraju.

Kontejner sličan objekt u smislu da također ima atribute i pripada prostoru imena, ali, za razliku od objekta, spremnik ne predstavlja ništa specifično: može sadržavati grupu objekata ili druge spremnike.

Struktura

Najviša razina strukture je šuma - skup svih objekata, atributa i pravila (sintaksa atributa) u Aktivni direktorij. Šuma sadrži jedno ili više stabala povezanih tranzitivnošću odnosi povjerenja . Stablo sadrži jednu ili više domena, također povezanih u hijerarhiju tranzitivnim odnosima povjerenja. Domene se identificiraju svojim DNS imenskim strukturama - imenskim prostorima.

Objekti u domeni mogu se grupirati u spremnike - odjele. Divizije vam omogućuju stvaranje hijerarhije unutar domene, pojednostavljuju njezinu administraciju i omogućuju modeliranje organizacijske i/ili geografske strukture tvrtke u Aktivni direktorij. Divizije mogu sadržavati druge divizije. Korporacija Microsoft preporučuje korištenje što manje domena u Aktivni direktorij, te koristiti podjele za strukturiranje i politike. Često se grupna pravila primjenjuju posebno na odjele. Politike grupe su same po sebi objekti. Odjel je najniža razina na kojoj se mogu delegirati administrativne ovlasti.

Drugi način podjele Aktivni direktorij su stranice , koji su metoda fizičkog (a ne logičkog) grupiranja na temelju mrežnih segmenata. Stranice se dijele na one koje imaju veze putem kanala niske brzine (na primjer, putem kanala globalne mreže, korištenjem virtualnih privatnih mreža) i putem kanala velike brzine (na primjer, putem lokalne mreže). Web stranica može sadržavati jednu ili više domena, a domena može sadržavati jednu ili više web stranica. Prilikom projektiranja Aktivni direktorij Važno je uzeti u obzir mrežni promet koji se stvara kada se podaci sinkroniziraju između stranica.

Ključna dizajnerska odluka Aktivni direktorij je odluka o podjeli informacijske infrastrukture na hijerarhijske domene i jedinice najviše razine. Tipični modeli koji se koriste za takvo razdvajanje su modeli razdvajanja po funkcionalnim dijelovima poduzeća, po geografskom položaju i po ulogama u informacijskoj infrastrukturi poduzeća. Često se koriste kombinacije ovih modela.

Fizička struktura i replikacija

Fizički, informacije se pohranjuju na jednom ili više ekvivalentnih kontrolera domene, zamjenjujući one koji se koriste u Windows NT primarne i pomoćne kontrolere domene, iako se za neke operacije zadržava takozvani poslužitelj "single master operations", koji može oponašati primarni kontroler domene. Svaki kontroler domene održava kopiju podataka za čitanje i pisanje. Promjene napravljene na jednom kontroleru sinkroniziraju se sa svim kontrolerima domene putem replikacije. Serveri na kojima se sama usluga Aktivni direktorij nisu instalirani, ali su dio domene Aktivni direktorij, nazivaju se poslužitelji članovi.

Replikacija Aktivni direktorij izvodi na zahtjev. Servis Alat za provjeru dosljednosti znanja stvara topologiju replikacije koja koristi stranice definirane u sustavu za kontrolu prometa. Replikacija unutar stranice događa se često i automatski pomoću alata za provjeru dosljednosti (obavještavanje partnera replikacije o promjenama). Replikacija između stranica može se konfigurirati za svaki kanal stranice (ovisno o kvaliteti kanala) - svakom kanalu može se dodijeliti različita "ocjena" (ili "trošak") (npr. DS3, , ISDN itd.), a promet replikacije bit će ograničen, zakazan i usmjeren prema procjeni dodijeljene veze. Podaci o replikaciji mogu tranzitivno teći preko više stranica preko mostova veza na stranicu ako je "rezultat" nizak, iako AD automatski dodjeljuje nižu ocjenu vezama između stranica i stranica nego tranzitivnim vezama. Replikaciju mjesta na mjesto izvode poslužitelji mosta na svakom mjestu, koji zatim repliciraju promjene na svakom kontroleru domene na svom mjestu. Replikacija unutar domene slijedi protokol RPC prema protokolu IP, interdomain - također može koristiti protokol SMTP.

Ako struktura Aktivni direktorij sadrži nekoliko domena, koristi se za rješavanje problema traženja objekata globalni katalog: Kontroler domene koji sadrži sve objekte u šumi, ali s ograničenim skupom atributa (djelomična replika). Katalog je pohranjen na određenim poslužiteljima globalnog kataloga i služi zahtjevima među domenama.

Sposobnost jednog hosta omogućuje obradu zahtjeva kada replikacija više hostova nije moguća. Postoji pet vrsta takvih operacija: master emulacija kontrolera domene (PDC emulator), master relativnog identifikatora (master relativnog identifikatora ili RID master), master infrastrukture (master infrastrukture), master sheme (master sheme) i master imenovanja domene. (domain čarobnjak za imenovanje). Prve tri uloge su jedinstvene unutar domene, posljednje dvije su jedinstvene unutar cijele šume.

Baza Aktivni direktorij može se podijeliti u tri logička spremišta ili "particije". Dijagram je predložak za Aktivni direktorij i definira sve tipove objekata, njihove klase i atribute, sintaksu atributa (sva su stabla u istoj šumi jer imaju istu shemu). Konfiguracija je struktura šume i drveća Aktivni direktorij. Domena pohranjuje sve informacije o objektima stvorenim u toj domeni. Prve dvije trgovine su replicirane na sve kontrolere domene u šumi, treća particija je u potpunosti replicirana između kontrolera replika unutar svake domene i djelomično replicirana na poslužitelje globalnog kataloga.

Imenovanje

Aktivni direktorij podržava sljedeće formate imenovanja objekata: generička imena tipova UNC, URL I LDAP URL. Verzija LDAP X.500 format naziva koji se koristi interno Aktivni direktorij.

Svaki objekt ima istaknuto ime (Engleski) istaknuto ime, DN) . Na primjer, objekt pisača pod nazivom HPLaser3 u Marketing OU iu domeni foo.org imat će sljedeće razlikovno ime: CN=HPLaser3,OU=Marketing,DC=foo,DC=org, gdje je CN uobičajeno ime, OU je odjeljak, DC je domena klasa objekta. Razlikovna imena mogu imati puno više dijelova od četiri dijela u ovom primjeru. Objekti također imaju kanonska imena. Ovo su istaknuta imena napisana obrnutim redoslijedom, bez identifikatora i korištenjem kose crte kao graničnika: foo.org/Marketing/HPLaser3. Da biste definirali objekt unutar njegovog spremnika, koristite relativno istaknuto ime : CN=HPLaser3 . Svaki objekt također ima globalno jedinstveni identifikator ( vodič) je jedinstveni i nepromjenjivi 128-bitni niz koji se koristi u Aktivni direktorij za pretraživanje i replikaciju. Određeni objekti također imaju UPN ( UPN, u skladu s RFC 822) u formatu objekt@domena.

UNIX integracija

Razne razine interakcije sa Aktivni direktorij može se implementirati u većini UNIX operativni sustavi poput standarda LDAP klijentima, ali takvi sustavi u pravilu ne percipiraju većinu atributa povezanih s komponentama Windows, kao što su grupna pravila i podrška za jednosmjerne punomoći.

Dobavljači trećih strana nude integracije Aktivni direktorij na platformama UNIX, uključujući UNIX, Linux, Mac OS X te brojne aplikacije temeljene na Java, uz paket proizvoda:

Dodaci shemi uključeni uz Windows Server 2003 R2 uključuju atribute koji su dovoljno blisko povezani s RFC 2307 da bi se općenito mogli koristiti. Osnovne implementacije RFC 2307, nss_ldap i pam_ldap, predložene PADL.com, izravno podržavaju ove atribute. Standardna shema za članstvo u grupi slijedi RFC 2307bis (predloženo). Windows Server 2003 R2 uključuje Microsoft Management Console za stvaranje i uređivanje atributa.

Alternativna opcija je korištenje druge usluge imenika, kao što je 389 Imenički poslužitelj(prethodno Fedora imenički poslužitelj, FDS), eB2Bcom ViewDS v7.1 Imenik omogućen za XML ili Sun Java System Directory Server iz Sun Microsystems, koji obavlja dvosmjernu sinkronizaciju sa Aktivni direktorij, čime se ostvaruje „odražena” integracija kada klijenti UNIX I Linux su ovjereni FDS, i klijentima Windows su ovjereni Aktivni direktorij. Druga mogućnost je korištenje OpenLDAP s mogućnošću prozirnog prekrivanja koji proširuje elemente udaljenog poslužitelja LDAP dodatni atributi pohranjeni u lokalnoj bazi podataka.

Aktivni direktorij koriste se automatizirano Powershell .

Književnost

Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003. Kompletan vodič = Microsoft Exchange Server 2003 Unleashed. - M.: “Williams”, 2006. - P. 1024. - ISBN 0-672-32581-0

vidi također

Linkovi

Bilješke

Komponente sustava Microsoft Windows
Osnovni, temeljni
Usluge upravljanje
Prijave	DVD Maker Kontakti Faksiranje i skeniranje Internet ExplorerČasopis Povećalo Medijski centar Windows Media Player Program suradnje Windows Mobile Device Center Centar mobilnosti Narator Paint Osobni uređivač simbola Daljinska pomoć Prepoznavanje govora WordPad Bilježnica Bočna ploča Snimanje zvuka Kalendar Kalkulator Škare pošta tablica simbola Povijesni: Tvorac filmova NetMeeting Outlook Express Programski menadžer Upravitelj datoteka Foto album
Igre
OS kernel
Usluge
Datoteka sustava
poslužitelj	Aktivni direktorij Usluge implementacije Usluga replikacije datoteka DNS domene Preusmjeravanje mape Hyper-V IIS medijske usluge MSMQ Zaštita pristupa mreži (NAP) Usluge ispisa za UNIX Daljinska diferencijalna kompresija Usluge daljinske instalacije Usluga upravljanja pravima Roaming korisničkih profila SharePoint Upravitelj resursa sustava Udaljena radna površina WSUS Pravila grupe Koordinator distribuiranih transakcija
Arhitektura
Sigurnost
Kompatibilnost

Microsoft
PO
Poslužiteljski softver
Tehnologije
Internet
Igre
Hardver sigurnosti
Obrazovanje
Licenciranje
Divizije

Napomena: Ovo predavanje opisuje osnovne koncepte imeničkih usluga Active Directory. Dati su praktični primjeri upravljanja mrežnim sigurnosnim sustavom. Opisan je mehanizam grupnih politika. Omogućuje uvid u zadatke mrežnog administratora pri upravljanju infrastrukturom imeničke usluge

Moderne mreže često se sastoje od mnogo različitih softverskih platformi i širokog spektra hardvera i softvera. Korisnici su često prisiljeni zapamtiti veliki broj lozinki za pristup različitim mrežnim resursima. Prava pristupa mogu biti različita za istog zaposlenika ovisno o resursima s kojima radi. Svo to mnoštvo odnosa zahtijeva ogromno vrijeme od administratora i korisnika za analizu, pamćenje i učenje.

Rješenje problema upravljanja takvom heterogenom mrežom pronađeno je razvojem imeničke usluge. Imeničke usluge pružaju mogućnost upravljanja svim resursima i uslugama s bilo kojeg mjesta, bez obzira na veličinu mreže, operativne sustave koji se koriste ili složenost hardvera. Podaci o korisniku upisuju se jednom u imenički servis, a nakon toga postaju dostupni u cijeloj mreži. Adrese e-pošte, članstva u grupama, potrebna prava pristupa i računi za rad s različitim operativnim sustavima - sve se to automatski kreira i ažurira. Sve promjene u imeničkoj usluzi od strane administratora odmah se ažuriraju u cijeloj mreži. Administratori više ne moraju brinuti o otpuštenim zaposlenicima - jednostavnim brisanjem korisničkog računa iz imeničke usluge, mogu osigurati da se sva prava pristupa mrežnim resursima koja su prethodno dodijeljena tom zaposleniku automatski uklone.

Trenutno se većina imeničkih usluga raznih tvrtki temelji na standardu X.500. Protokol koji se obično koristi za pristup informacijama pohranjenim u imeničkim uslugama je (LDAP). S brzim razvojem TCP/IP mreža, LDAP postaje standard za imeničke usluge i aplikacije koje koriste imeničke usluge.

Imenička služba Active Directory je osnova logičke strukture korporativnih mreža temeljenih na Windows sustavu. Uvjet " Katalog"u najširem smislu znači" Imenik", A imenička služba korporativna mreža je centralizirani korporativni imenik. Poslovni imenik može sadržavati informacije o objektima različitih vrsta. Imenička služba Active Directory sadrži primarno objekte na kojima se temelji Windows mrežni sigurnosni sustav – korisničke, grupne i računalne račune. Računi su organizirani u logičke strukture: domena, stablo, šuma, organizacijske jedinice.

Sa stajališta proučavanja gradiva kolegija "Umrežavanje" uprave"Sljedeća opcija za prolazak materijala za obuku je sasvim moguća: prvo proučite prvi dio ovog odjeljka (od osnovnih pojmova do instaliranja kontrolera domene), zatim idite na "Servis datoteka i ispisa", a nakon proučavanja "Servis datoteka i ispisa" vratite se na "Active Directory Service Directory" kako biste naučili naprednije koncepte imeničkih usluga.

6.1 Osnovni pojmovi i pojmovi (šuma, stablo, domena, organizacijska jedinica). Planiranje prostora imena AD. Instaliranje kontrolera domene

Modeli upravljanja sigurnošću: model radne grupe i model centralizirane domene

Kao što je gore spomenuto, glavna svrha imeničkih usluga je upravljanje sigurnošću mreže. Temelj mrežne sigurnosti je baza podataka o računima korisnika, korisničkih grupa i računala pomoću koje se kontrolira pristup mrežnim resursima. Prije nego što govorimo o imeničkoj usluzi Active Directory, usporedimo dva modela za izgradnju baze podataka imeničkih usluga i upravljanje pristupom resursima.

Model radne grupe

Ovaj korporativni model upravljanja sigurnošću mreže je najprimitivniji. Namijenjen je za korištenje u malim peer-to-peer mreže(3–10 računala) i temelji se na činjenici da svako računalo na mreži s operativnim sustavima Windows NT/2000/XP/2003 ima svoju lokalnu bazu podataka računa te uz pomoć te lokalne baze pristupa resursima ovog računalom se upravlja. Lokalna baza podataka računa naziva se baza podataka SAM (Sigurnosni upravitelj računa) i pohranjuje se u registar operativnog sustava. Baze podataka pojedinih računala potpuno su izolirane jedna od druge i ni na koji način nisu međusobno povezane.

Primjer kontrole pristupa pri korištenju ovog modela prikazan je na sl. 6.1.

Riža. 6.1.

Ovaj primjer prikazuje dva poslužitelja (SRV-1 i SRV-2) i dvije radne stanice (WS-1 i WS-2). Njihove baze podataka SAM označene su redom SAM-1, SAM-2, SAM-3 i SAM-4 (baze podataka SAM prikazane su ovalno na slici). Svaka baza podataka ima korisničke račune User1 i User2. Puno ime Korisnika1 na SRV-1 poslužitelju bit će "SRV-1\Korisnik1", a puno ime Korisnika1 na WS-1 radnoj stanici bit će "WS-1\Korisnik1". Zamislimo da je na poslužitelju SRV-1 kreirana mapa Folder, kojoj Korisnik1 ima pristup preko mreže - čitanje (R), Korisnik2 - čitanje i pisanje (RW). Glavna stvar u ovom modelu je da SRV-1 računalo “ne zna” ništa o računima SRV-2, WS-1, WS-2 računala, kao ni svih ostalih računala na mreži. Ako se korisnik s imenom User1 prijavljuje lokalno u sustav na računalu, na primjer, WS-2 (ili, kako se također kaže, “prijavljuje se s lokalnim imenom User1 na WS-2 računalu”), tada kada pokušava pristupiti s ovog računala preko mreže, mapi Mapa na SRV-1 poslužitelju, poslužitelj će od korisnika tražiti da unese ime i lozinku (iznimka je ako korisnici s istim imenima imaju iste lozinke).

Model radne grupe lakši je za naučiti i nema potrebe za učenjem složenih koncepata Active Directoryja. Ali kada se koristi na mreži s velikim brojem računala i mrežnih resursa, postaje vrlo teško upravljati korisničkim imenima i njihovim lozinkama - morate ručno kreirati iste račune s istim lozinkama na svakom računalu (koje dijeli svoje resurse na mreži ), što je vrlo zahtjevno, ili stvaranje jednog računa za sve korisnike s jednom lozinkom za sve (ili bez lozinke), što uvelike smanjuje razinu informacijske sigurnosti. Stoga se model Workgroup preporučuje samo za mreže s brojem računala od 3 do 10 (ili još bolje ne više od 5), pod uvjetom da među svim računalima nema nijednog s Windows Serverom.

Model domene

U modelu domene postoji jedinstvena baza podataka imeničke usluge kojoj mogu pristupiti sva računala na mreži. U tu svrhu na mreži se instaliraju specijalizirani poslužitelji tzv kontroleri domene, koji pohranjuju ovu bazu podataka na svoje tvrde diskove. Na sl. 6.2. prikazuje dijagram modela domene. Poslužitelji DC-1 i DC-2 su kontroleri domene; oni pohranjuju bazu podataka računa domene (svaki kontroler pohranjuje vlastitu kopiju baze podataka, ali sve promjene napravljene u bazi podataka na jednom od poslužitelja repliciraju se na druge kontrolere).

Riža. 6.2.

U takvom modelu, ako je, na primjer, na poslužitelju SRV-1, koji je član domene, omogućen zajednički pristup mapi Mapa, tada se prava pristupa ovom resursu mogu dodijeliti ne samo računima lokalnu SAM bazu podataka ovog poslužitelja, ali, što je najvažnije, na zapise računa pohranjene u bazi podataka domene. Na slici, prava pristupa mapi Folder dana su jednom lokalnom računu na SRV-1 računalu i nekoliko domenskih računa (korisnika i korisničkih grupa). U modelu upravljanja sigurnošću domene, korisnik se registrira na računalu ("prijavljuje se") sa svojim račun domene te, neovisno o računalu na kojem je izvršena registracija, dobiva pristup potrebnim mrežnim resursima. I nema potrebe za stvaranjem velikog broja lokalnih računa na svakom računalu, svi zapisi su stvoreni jednom u bazi podataka domene. I uz pomoć domenske baze podataka to se provodi centralizirana kontrola pristupa mrežnim resursima bez obzira na broj računala na mreži.

Svrha imeničke usluge Active Directory

Imenik (imenik) može pohraniti razne informacije koje se odnose na korisnike, grupe, računala, mrežne pisače, dijeljenje datoteka i tako dalje - nazovimo sve te objekte. Direktorij također pohranjuje informacije o samom objektu ili njegovim svojstvima, koja se nazivaju atributi. Na primjer, atributi pohranjeni u imeniku o korisniku mogu biti ime njegovog upravitelja, broj telefona, adresa, ime za prijavu, lozinka, grupe kojima pripada i još mnogo toga. Kako bi imenik bio koristan korisnicima, moraju postojati servisi koji su u interakciji s imenikom. Na primjer, možete koristiti direktorij kao spremište informacija koje se mogu koristiti za provjeru autentičnosti korisnika ili kao mjesto gdje možete poslati upit za pronalaženje informacija o objektu.

Active Directory je odgovoran ne samo za stvaranje i organiziranje ovih malih objekata, već i za velike objekte kao što su domene, OU (organizacijske jedinice) i web stranice.

U nastavku pročitajte osnovne pojmove koji se koriste u kontekstu imeničke usluge Active Directory.

Imenička služba Active Directory (skraćeno AD) osigurava učinkovit rad složenih korporativnih okruženja pružajući sljedeće mogućnosti:

Jedinstvena prijava na mrežu; Korisnici se mogu prijaviti na mrežu s jednim korisničkim imenom i lozinkom te dobiti pristup svim mrežnim resursima i uslugama (usluge mrežne infrastrukture, usluge datoteka i ispisa, poslužitelji aplikacija i baza podataka itd.);
Sigurnost informacija. Autentifikacija i kontrole pristupa resursima ugrađene u Active Directory pružaju centraliziranu mrežnu sigurnost;
Centralizirano upravljanje. Administratori mogu centralno upravljati svim korporativnim resursima;
Administracija pomoću pravila grupe. Kada se računalo podigne ili se korisnik prijavi u sustav, zahtjevi grupne politike su ispunjeni; njihove postavke su pohranjene u objekti grupne politike( GPO ) i primjenjuju se na sve korisničke i računalne račune koji se nalaze na stranicama, domenama ili organizacijskim jedinicama;
DNS integracija. Rad imeničkih usluga u potpunosti ovisi o funkcioniranju DNS usluge. DNS poslužitelji, zauzvrat, mogu pohraniti informacije o zoni u bazi podataka Active Directory;
Proširivost imenika. Administratori mogu dodati nove klase objekata shemi kataloga ili dodati nove atribute postojećim klasama;
Skalabilnost. Usluga Active Directory može obuhvaćati jednu domenu ili više domena spojenih u stablo domene, a šuma se može izgraditi iz nekoliko stabala domena;
Replikacija informacija. Active Directory koristi replikaciju servisnih informacija u višeglavnoj shemi ( multi-master), koji vam omogućuje izmjenu baze podataka Active Directory na bilo kojem kontroleru domene. Prisutnost nekoliko kontrolera u domeni osigurava toleranciju na pogreške i mogućnost raspodjele mrežnog opterećenja;
Fleksibilnost upita kataloga. Baza podataka Active Directory može se koristiti za brzo pretraživanje bilo kojeg AD objekta pomoću njegovih svojstava (na primjer, korisničko ime ili adresa e-pošte, vrsta pisača ili lokacija, itd.);
Standardna programska sučelja. Za programere softvera, usluga imenika pruža pristup svim značajkama imenika i podržava industrijske standarde i programska sučelja (API).

Širok raspon različitih objekata može se stvoriti u Active Directory. Objekt je jedinstvena cjelina unutar imenika i obično ima mnogo atributa koji pomažu u njegovom opisivanju i prepoznavanju. Korisnički račun je primjer objekta. Ova vrsta objekta može imati mnogo atributa kao što su ime, prezime, lozinka, telefonski broj, adresa i mnogi drugi. Na isti način, zajednički pisač također može biti objekt u Active Directoryju i njegovi atributi su njegovo ime, lokacija itd. Atributi objekta ne samo da vam pomažu definirati objekt, već vam također omogućuju pretraživanje objekata unutar Imenika.

Terminologija

Imenička služba Sustavi Windows Server izgrađeni su na općeprihvaćenim tehnološkim standardima. Izvorni standard za imeničke usluge bio je X.500, koji je bio namijenjen za izgradnju hijerarhijskih skalabilnih imenika u obliku stabla s mogućnošću proširenja i klasa objekata i skupova atributa (svojstava) svake pojedine klase. Međutim, praktična primjena ovog standarda pokazala se neučinkovitom u smislu izvedbe. Zatim je na temelju standarda X.500 razvijena pojednostavljena (lakša) verzija standarda za izgradnju imenika, tzv. LDAP (Lagani protokol za pristup direktoriju). LDAP protokol zadržava sva osnovna svojstva X.500 (hijerarhijski sustav izgradnje imenika, skalabilnost, proširivost), ali u isto vrijeme omogućuje prilično učinkovitu implementaciju ovog standarda u praksi. Uvjet " lagana " (" lagana") u nazivu LDAP odražava glavni cilj razvoja protokola: stvoriti alat za izgradnju imeničke usluge koja ima dovoljnu funkcionalnu snagu za rješavanje osnovnih problema, ali nije preopterećena složenim tehnologijama koje čine implementaciju imeničke usluge neučinkovitom. Trenutno je LDAP standardna metoda za pristup informacijskim mrežnim imenicima i igra temeljnu ulogu u mnogim proizvodima kao što su sustavi provjere autentičnosti, programi za e-poštu i aplikacije za e-trgovinu. Danas na tržištu postoji više od 60 komercijalnih LDAP poslužitelja, od kojih su oko 90% samostalni LDAP imenički poslužitelji, a ostali se nude kao komponente drugih aplikacija.

LDAP protokol jasno definira raspon operacija imenika koje klijentska aplikacija može izvesti. Ove operacije spadaju u pet grupa:

uspostavljanje veze s katalogom;
traženje informacija u njemu;
izmjena njegovog sadržaja;
dodavanje objekta;
brisanje objekta.

Osim LDAP protokola imenička služba Active Directory također koristi protokol provjere autentičnosti Kerberos i DNS usluga za pretraživanje mreže za komponente imeničkih usluga (kontroleri domene, poslužitelji globalnog kataloga, Kerberos usluga itd.).

Domena

Osnovna jedinica sigurnosti Active Directory je domena. Domena čini područje upravne odgovornosti. Baza podataka domene sadrži račune korisnika, skupine I računala. Većina funkcija upravljanja imeničkim uslugama radi na razini domene (provjera autentičnosti korisnika, kontrola pristupa resursima, upravljanje uslugama, upravljanje replikacijom, sigurnosne politike).

Nazivi domena Active Directory formiraju se na isti način kao i nazivi u DNS imenskom prostoru. I to nije slučajnost. DNS usluga je sredstvo za pronalaženje komponenti domene - prvenstveno kontrolera domene.

Kontrolori domene- posebni poslužitelji koji pohranjuju dio baze podataka Active Directory koji odgovara određenoj domeni. Glavne funkcije kontrolera domene:

Pohrana baze podataka Active Directory(organizacija pristupa informacijama sadržanim u katalogu, uključujući upravljanje tim informacijama i njihovu izmjenu);
sinkronizacija promjena u AD(promjene u AD bazi podataka mogu se izvršiti na bilo kojem kontroleru domene, sve promjene napravljene na jednom od kontrolera bit će sinkronizirane s kopijama pohranjenim na drugim kontrolerima);
provjera autentičnosti korisnika(bilo koji od kontrolera domene provjerava autoritet korisnika koji se registriraju na klijentskim sustavima).

Strogo se preporučuje instalirati najmanje dva kontrolera domene u svaku domenu - prvo, radi zaštite od gubitka baze podataka Active Directory u slučaju kvara bilo kojeg kontrolera, i drugo, radi raspodjele opterećenja između controllers.it.company.ru postoji poddomena dev.it.company.ru, stvorena za odjel za razvoj softvera IT službe.

decentralizirati administraciju imeničkih usluga (primjerice, u slučaju kada tvrtka ima podružnice koje su geografski udaljene jedna od druge, a centralizirano upravljanje je teško iz tehničkih razloga);
povećati produktivnost (za tvrtke s velikim brojem korisnika i poslužitelja, pitanje povećanja performansi kontrolera domene je relevantno);
za učinkovitije upravljanje replikacijom (ako su kontroleri domene udaljeni jedan od drugoga, tada replikacija u jednom može potrajati više vremena i stvoriti probleme korištenjem nesinkroniziranih podataka);

šumska korijenska domena

Organizacijske jedinice (OU).

Organizacijske podjele (Organizacijske jedinice, OU) - spremnici unutar AD koji su stvoreni za kombiniranje objekata u svrhu delegiranje administrativnih prava I primjenom pravila grupe u domeni. OP postoji samo unutar domena a mogu se kombinirati samo objekti iz vaše domene. OP-ovi se mogu ugniježditi jedan u drugi, što vam omogućuje izgradnju složene stablaste hijerarhije spremnika unutar domene i implementaciju fleksibilnije administrativne kontrole. Osim toga, OP-ovi se mogu izraditi tako da odražavaju administrativnu hijerarhiju i organizacijsku strukturu tvrtke.

Globalni katalog

Globalni katalog je popis svi objekti, koji postoje u šumi Active Directory. Kontroleri domene prema zadanim postavkama sadrže samo informacije o objektima u svojoj domeni. Poslužitelj globalnog kataloga je kontroler domene koji sadrži informacije o svakom objektu (iako ne o svim atributima tih objekata) pronađenim u danoj šumi.

Temeljna komponenta domenskih usluga u svakoj organizaciji su sigurnosni principali, koji korisnicima, grupama ili računalima omogućuju pristup određenim resursima na mreži. Ovi objekti, koji se nazivaju sigurnosni principali, mogu dobiti dopuštenja za pristup resursima na mreži, a svakom principalu se tijekom stvaranja objekta dodjeljuje jedinstveni sigurnosni identifikator (SID), koji se sastoji od dva dijela. Sigurnosni identifikator SID je numerički prikaz koji jedinstveno identificira sigurnosnog principala. Prvi dio takvog identifikatora je ID domene. Budući da se sigurnosni principali nalaze u istoj domeni, svim takvim objektima dodijeljen je isti identifikator domene. Drugi dio SID-a je relativni identifikator (RID), koji se koristi za jedinstvenu identifikaciju sigurnosnog principala u odnosu na agenciju koja izdaje SID.

Iako većina organizacija planira i implementira infrastrukturu Domain Services samo jednom, a većina objekata prolazi vrlo rijetke promjene, važna iznimka od ovog pravila su sigurnosni principali, koji se moraju povremeno dodavati, modificirati i uklanjati. Jedna od temeljnih komponenti identifikacije su korisnički računi. U osnovi, korisnički računi su fizički objekti, uglavnom ljudi koji su zaposlenici vaše organizacije, ali postoje iznimke u kojima se korisnički računi stvaraju za neke aplikacije kao usluge. Korisnički računi igraju ključnu ulogu u administraciji poduzeća. Takve uloge uključuju:

ID korisnika, budući da kreirani račun omogućuje prijavu na računala i domene upravo s onim podacima čiju autentičnost provjerava domena;
Dopuštenja za pristup resursima domene, koji se dodjeljuju korisniku za odobravanje pristupa resursima domene na temelju eksplicitnih dopuštenja.

Objekti korisničkog računa među najčešćim su objektima u Active Directoryju. Upravo na korisničke račune administratori su dužni obratiti posebnu pozornost, budući da je uobičajeno da korisnici dolaze na posao u organizaciju, sele se između odjela i ureda, vjenčavaju se, razvode, pa čak i odlaze iz tvrtke. Takvi objekti su skup atributa, a samo jedan korisnički račun može sadržavati više od 250 različitih atributa, što je višestruko više od broja atributa na radnim stanicama i računalima s operativnim sustavom Linux. Kada kreirate korisnički račun, stvara se ograničeni skup atributa, a zatim možete dodati korisničke vjerodajnice kao što su organizacijski podaci, korisničke adrese, telefonski brojevi i više. Stoga je važno napomenuti da su neki atributi obavezna, a ostalo - neobavezan. U ovom ću članku govoriti o ključnim metodama za stvaranje korisničkih računa, nekim izbornim atributima, a također ću opisati alate koji vam omogućuju automatizaciju rutinskih radnji povezanih sa stvaranjem korisničkih računa.

Stvaranje korisnika pomoću Active Directory korisnika i računala

U velikoj većini slučajeva administratori sustava radije koriste dodatak za stvaranje sigurnosnih osnova, koji se dodaje u mapu "Administracija" odmah nakon instaliranja uloge "Usluge domene Active Directory" i promicanje poslužitelja u kontroler domene. Ova metoda je najprikladnija jer koristi grafičko korisničko sučelje za stvaranje sigurnosnih principala, a čarobnjak za kreiranje korisničkog računa vrlo je jednostavan za korištenje. Nedostatak ove metode je što prilikom izrade korisničkog računa ne možete odmah postaviti većinu atributa, već ćete potrebne atribute morati dodati uređivanjem računa. Za izradu korisničkog računa slijedite ove korake:

U polju "Ime" Unesite svoje korisničko ime;
U polju "Inicijali" upisati njegove inicijale (najčešće se inicijali ne koriste);
U polju "Prezime" unesite prezime korisnika kojeg želite kreirati;
Polje "Puno ime" koristi se za stvaranje atributa stvorenog objekta kao što je Common Name CN i prikazivanje svojstava imena. Ovo polje mora biti jedinstveno u cijeloj domeni, popunjava se automatski i treba ga mijenjati samo ako je potrebno;
Polje "Korisničko ime za prijavu" je potrebno i namijenjeno je imenu za prijavu domene korisnika. Ovdje je potrebno unijeti svoje korisničko ime i iz padajućeg popisa odabrati UPN sufiks koji će se nalaziti iza simbola @;
Polje "Korisničko ime za prijavu (prije Windows 2000)" namijenjeno za ime za prijavu za sustave koji prethode operacijskom sustavu Windows 2000. Posljednjih godina vlasnici takvih sustava sve su rjeđi u organizacijama, ali polje je obavezno jer neki softver koristi ovaj atribut za identifikaciju korisnika;

Nakon popunjavanja svih potrebnih polja kliknite na gumb "Unaprijediti":

Riža. 2. Dijaloški okvir za stvaranje korisničkog računa

Na sljedećoj stranici čarobnjaka za kreiranje korisničkog računa morat ćete unijeti početnu korisničku lozinku u polje "Lozinka" i to potvrditi na terenu "Potvrda". Osim toga, možete odabrati atribut koji označava da prvi put kada se korisnik prijavi, korisnik mora sam promijeniti lozinku za svoj račun. Najbolje je koristiti ovu opciju u kombinaciji s lokalnim sigurnosnim pravilima "Pravila zaporke", koji će vam omogućiti stvaranje jakih lozinki za vaše korisnike. Također, označavanjem opcije “Zabrani korisniku promjenu lozinke” korisniku dajete svoju lozinku i sprječavate ga da je promijeni. Prilikom odabira opcije "Lozinka ne ističe" Lozinka korisničkog računa nikada neće isteći i neće je trebati povremeno mijenjati. Ako potvrdite okvir "Odspajanje računa", tada ovaj račun neće biti namijenjen za daljnji rad i korisnik s takvim računom neće se moći prijaviti dok se isti ne omogući. O ovoj će se opciji, kao i o većini atributa, raspravljati u sljedećem odjeljku ovog članka. Nakon odabira svih atributa kliknite na gumb "Unaprijediti". Ova stranica čarobnjaka prikazana je na sljedećoj ilustraciji:

Riža. 3. Napravite lozinku za račun koji kreirate

Na posljednjoj stranici čarobnjaka vidjet ćete sažetak postavki koje ste unijeli. Ako su podaci ispravno uneseni kliknite na gumb "Spreman" za izradu korisničkog računa i dovršetak čarobnjaka.

Kreiranje korisnika na temelju predložaka

Obično organizacije imaju mnogo odjela ili odjela kojima vaši korisnici pripadaju. U tim odjelima korisnici imaju slična svojstva (na primjer naziv odjela, položaj, broj ureda itd.). Za najučinkovitije upravljanje korisničkim računima iz jednog odjela, na primjer, korištenjem grupnih pravila, preporučljivo je kreirati ih unutar domene u posebnim odjelima (drugim riječima, spremnicima) na temelju predložaka. Predložak računa je račun koji se prvi put pojavio još u vrijeme Windows NT operativnih sustava, u kojem su unaprijed popunjeni atributi zajednički za sve kreirane korisnike. Za izradu predloška korisničkog računa slijedite ove korake:

Su česti. Ova kartica je namijenjena za ispunjavanje pojedinačnih korisničkih atributa. Ti atributi uključuju ime i prezime korisnika, kratak opis računa, telefonski broj korisnika za kontakt, broj sobe, adresu e-pošte i web stranicu. Zbog činjenice da su ove informacije individualne za svakog pojedinog korisnika, podaci uneseni na ovoj kartici se ne kopiraju;
Adresa. Na trenutnoj kartici možete ispuniti poštanski sandučić, grad, regiju, poštanski broj i državu u kojoj korisnici žive, koji će biti kreirani na temelju ovog predloška. Budući da se imena ulica svakog korisnika obično ne podudaraju, podaci u ovom polju se ne mogu kopirati;
Račun. U ovoj kartici možete točno odrediti kada se korisnik prijavljuje, računala na koja se korisnici mogu prijaviti, parametre računa kao što su pohrana lozinki, tipovi šifriranja itd., kao i datum isteka računa;
Profil. Trenutačna kartica omogućuje vam da odredite putanju profila, skriptu za prijavu, lokalnu stazu do početne mape, kao i mrežne pogone na kojima će se nalaziti početna mapa računa;
Organizacija. Na ovoj kartici možete naznačiti položaj zaposlenika, odjel u kojem rade, naziv organizacije i ime voditelja odjela;
Članovi grupe. Ovdje se navodi glavna grupa i članstvo u grupi.

Ovo su glavne kartice koje ispunjavate prilikom izrade predložaka računa. Osim ovih šest kartica, podatke možete ispuniti i u 13 kartica. O većini ovih kartica raspravljat ćemo u sljedećim člancima u ovoj seriji.

Sljedeći korak stvara korisnički račun na temelju trenutnog predloška. Da biste to učinili, desnom tipkom miša kliknite predložak računa i odaberite naredbu iz kontekstnog izbornika "Kopirati";

U dijaloškom okviru "Kopiraj objekt - korisnik" Unesite ime, prezime i ime za prijavu korisnika. Na sljedećoj stranici unesite svoju lozinku i potvrdu te poništite opciju "Odspajanje računa". Dovršite posao čarobnjaka;

Riža. 5. Kopiraj dijaloški okvir korisničkog računa

Nakon što je vaš račun kreiran, idite na svojstva računa koji ste stvorili i pregledajte svojstva koja dodajete predlošku. Konfigurirani atributi bit će kopirani na novi račun.

Stvaranje korisnika pomoću naredbenog retka

Kao i kod većine stvari, operativni sustav Windows ima uslužne programe naredbenog retka sa sličnim funkcijama grafičkog korisničkog sučelja. "Aktivni imenik - korisnici i računala". Ove se naredbe nazivaju DS naredbe jer počinju slovima DS. Za stvaranje sigurnosnih principala koristite naredbu Dsadd. Nakon same naredbe navedeni su modifikatori koji određuju tip i DN naziv objekta. U slučaju kreiranja korisničkih računa, potrebno je navesti modifikator korisnik, što je tip objekta. Nakon tipa objekta morate unijeti DN naziv samog objekta. DN (distinguished name) objekta je skup rezultata koji sadrži razlikovno ime. Iza DN obično slijedi UPN korisničko ime ili ime za prijavu prethodnih verzija sustava Windows. Ako u nazivu DN ima razmaka, naziv mora biti u navodnicima. Sintaksa naredbe je sljedeća:

Dsadd user DN_name –samid account_name –UPN_name –pwd lozinka –dodatni parametri

Postoji 41 parametar koji se može koristiti s ovom naredbom. Pogledajmo najčešće od njih:

-samid– naziv korisničkog računa;

-upn– korisničko ime za prijavu prije sustava Windows 2000;

-fn– korisničko ime koje se popunjava u polju u grafičkom sučelju "Ime";

-mi– inicijal korisnika;

-ln– prezime korisnika navedeno u polju „Prezime” čarobnjaka za kreiranje korisničkog računa;

-prikaz– navodi puno korisničko ime koje se automatski generira u korisničkom sučelju;

-empid– šifra zaposlenika koja se kreira za korisnika;

-pwd– parametar koji definira korisničku lozinku. Ako navedete simbol zvjezdice (*), od vas će se tražiti da unesete korisničku lozinku u zaštićenom načinu rada;

-desc– kratak opis korisničkog računa;

-član– parametar koji određuje članstvo korisnika u jednoj ili više grupa;

-ured– mjesto ureda u kojem korisnik radi. U svojstvima računa ovaj se parametar nalazi u kartici "Organizacija";

-tel– kontakt telefon trenutnog korisnika;

-e-mail– e-mail adresu korisnika, koja se nalazi u kartici "Su česti";

-hometel– parametar koji označava broj kućnog telefona korisnika;

-mobilni– broj telefona mobilnog korisnika;

-faks– broj faks uređaja koji trenutni korisnik koristi;

-titula– položaj korisnika u organizaciji;

-dubina– ovaj parametar vam omogućuje da odredite naziv odjela u kojem ovaj korisnik radi;

-društvo– naziv tvrtke u kojoj kreirani korisnik radi;

-hmdir– glavni imenik korisnika u kojem će se nalaziti njegovi dokumenti;

-hmdrv– put do mrežnog pogona gdje će se nalaziti početna mapa računa

-profil– put korisničkog profila;

-mustchpwd– ovaj parametar označava da korisnik mora promijeniti lozinku prilikom sljedeće prijave;

-canchpwd– parametar koji određuje treba li korisnik promijeniti lozinku. Ako je vrijednost parametra "Da", tada će korisnik imati priliku promijeniti lozinku;

-reverzibilnipwd– trenutni parametar određuje pohranjivanje korisničke lozinke korištenjem obrnute enkripcije;

-pwdneveristeče– opcija koja označava da lozinka nikada neće isteći. U sva ova četiri parametra vrijednosti mogu biti samo "Da" ili "Ne";

-acc ističe– parametar koji određuje nakon koliko dana će račun isteći. Pozitivna vrijednost predstavlja broj dana u kojima će račun isteći, dok negativna vrijednost znači da je već istekao;

-onemogućeno– označava da je račun već onemogućen. Vrijednosti za ovaj parametar su također "Da" ili "Ne";

-q– određivanje tihog načina rada za obradu naredbi.

Primjer upotrebe:

Dsad korisnika “cn=Alexey Smirnov,OU=Marketing,OU=Users,DC=testdomain,DC=com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -display “Alexey Smirnov” - tel “743-49-62” -e-mail [e-mail zaštićen]-dept Marketing -company TestDomain -title Marketer -hmdir \\dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd da -onemogućeno ne

Riža. 6. Stvaranje korisničkog računa pomoću uslužnog programa Dsadd

Stvaranje korisnika pomoću CSVDE naredbe

Još jedan uslužni program naredbenog retka, CSVDE, omogućuje uvoz ili izvoz Active Direcoty objekata, predstavljenih kao cvd datoteka - tekstualna datoteka odvojena zarezima koja se može stvoriti pomoću procesora proračunskih tablica Microsoft Excel ili jednostavnog uređivača teksta Notepad. U ovoj datoteci svaki je objekt predstavljen u jednom retku i mora sadržavati atribute koji su navedeni u prvom retku. Vrijedno je obratiti pozornost na činjenicu da pomoću ove naredbe ne možete uvesti korisničke lozinke, odnosno odmah nakon završetka operacije uvoza korisnički računi će biti onemogućeni. Primjer takve datoteke je sljedeći:

Riža. 7. Slanje CSV datoteke

Sintaksa naredbe je sljedeća:

Csvde –i –f naziv datoteke.csv –k

-i. Parametar koji kontrolira način uvoza. Ako ne navedete ovaj parametar, ova naredba će koristiti zadani način izvoza;
-f
-k
-v
-j
-u. Opcija koja vam omogućuje korištenje Unicode načina rada.

Primjer korištenja naredbe:

Csvde -i -f d:\testdomainusers.csv -k

Riža. 8. Uvezite korisničke račune iz CSV datoteke

Uvoz korisnika pomoću LDIFDE

Uslužni program naredbenog retka Ldifde također vam omogućuje da uvezete ili izvezete objekte aktivnog imenika pomoću formata datoteke za razmjenu podataka Lightweight Directory Access Protocol (LDIF). Ovaj format datoteke sastoji se od bloka redaka koji tvore određenu operaciju. Za razliku od CSV datoteka, u ovom formatu datoteke svaki pojedinačni redak predstavlja skup atributa, nakon čega slijedi dvotočka i vrijednost samog trenutnog atributa. Baš kao u CSV datoteci, prvi red mora biti DN atribut. Nakon toga slijedi red changeType, koji specificira vrstu operacije (dodavanje, promjena ili brisanje). Da biste naučili kako razumjeti ovaj format datoteke, morate naučiti barem ključne atribute sigurnosnih principala. Primjer je naveden u nastavku:

Riža. 9. Primjer LDF datoteke

Sintaksa naredbe je sljedeća:

Ldifde -i -f naziv datoteke.csv -k

-i. Parametar koji kontrolira način uvoza. Ako ne navedete ovu opciju, ova naredba će koristiti zadani način izvoza;
-f. Parametar koji identificira naziv datoteke za uvoz ili izvoz;
-k. Parametar dizajniran za nastavak uvoza, preskačući sve moguće pogreške;
-v. Parametar pomoću kojeg možete prikazati detaljne informacije;
-j. Parametar odgovoran za lokaciju datoteke dnevnika;
-d. Parametar koji specificira LDAP korijen pretraživanja;
-f. Parametar namijenjen za LDAP filter pretraživanja;
-str. Predstavlja opseg ili dubinu pretraživanja;
-l. Namijenjen za određivanje popisa atributa odvojenih zarezima koji će biti uključeni u izvoz rezultirajućih objekata;

Stvaranje korisnika pomoću VBScripta

VBScript je jedan od najmoćnijih alata dizajniranih za automatizaciju administrativnih zadataka. Ovaj vam alat omogućuje izradu skripti dizajniranih za automatizaciju većine radnji koje se mogu izvesti putem korisničkog sučelja. VBScript skripte su tekstualne datoteke koje korisnici obično mogu uređivati pomoću uobičajenog uređivača teksta (kao što je Notepad). A da biste izvršili skripte, samo trebate dvaput kliknuti na samu ikonu skripte koja će se otvoriti pomoću naredbe Wscript. Za kreiranje korisničkog računa u VBScriptu ne postoji posebna naredba, tako da se prvo trebate povezati sa spremnikom, a zatim koristiti biblioteku adaptera Active Directory Services Interface (ADSI) pomoću naredbe Get-Object, gdje izvršavate niz LDAP upita koji pruža nadimak protokola LDAP:// s DN imenom objekta. Na primjer, postavite objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com”). Drugi redak koda aktivira metodu Create odjeljenja za stvaranje objekta određene klase s određenim istaknutim imenom, na primjer, Set objUser=objOU.Create(“user”,”CN= Yuriy Soloviev”). Treća linija sadrži metodu Put, gdje je potrebno navesti naziv atributa i njegovu vrijednost. Posljednji redak ove skripte potvrđuje učinjene promjene, odnosno objUser.SetInfo().

Primjer upotrebe:

Postavite objOU=GetObject(“LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com” Postavite objUser=objOU.Create(“user”,”CN= Yuri Solovyov”) objUser.Put “sAMAccountName” ,"Yuriy.Soloviev" objUser.Put "UserPrincipalName" [e-mail zaštićen]” objUser.Put “givenName”,”Yuri” objUser.Put “sn”Soloviev” objUser.SetInfo()

Stvaranje korisnika pomoću PowerShell-a

Operativni sustav Windows Server 2008 R2 uveo je mogućnost upravljanja objektima Active Directory pomoću Windows PowerShell. Okruženje PowerShell smatra se snažnom ljuskom naredbenog retka, razvijeno na temelju .Net Frameworka i dizajnirano za upravljanje i automatizaciju administracije Windows operativnih sustava i aplikacija koje se izvode pod tim operativnim sustavima. PowerShell uključuje preko 150 alata naredbenog retka, zvanih cmdleti, koji pružaju mogućnost upravljanja poslovnim računalima iz naredbenog retka. Ova ljuska je komponenta operativnog sustava.

Da biste stvorili novog korisnika u domeni Active Directory, upotrijebite New-ADUser cmdlet, čija se većina vrijednosti svojstava može dodati pomoću parametara ovog cmdleta. Parametar –Path koristi se za prikaz LDAP naziva. Ovaj parametar navodi spremnik ili organizacijsku jedinicu (OU) za novog korisnika. Ako parametar Put nije naveden, cmdlet stvara korisnički objekt u zadanom spremniku za korisničke objekte u domeni, a to je spremnik Korisnici. Za navođenje lozinke upotrijebite parametar –AccountPassword s vrijednošću (Read-Host -AsSecureString "Lozinka za vaš račun"). Također je vrijedno obratiti pozornost na činjenicu da je vrijednost parametra –Country upravo kod zemlje ili regije jezika koji je odabrao korisnik. Sintaksa cmdleta je sljedeća:

Novi-ADUser [-Name] [-Datum isteka računa ] [-Račun nije delegiran ] [-Lozinka računa ] [-AllowReversiblePasswordEncryption ] [-AuthType (Negotiate | Basic)] [-CannotChangePassword ] [-Potvrde ] [-ChangePasswordAtLogon ] [-Grad ] [-Društvo ] [-Zemlja ] [-Vrednica ] [-Odjel ] [-Opis ] [-Ime za prikaz ] [-Podjela ] [-Email adresa ] [-ID zaposlenika ] [-Broj zaposlenika ] [-Omogućeno ] [-Faks ] [-Ime ] [-HomeDirectory ] [-HomeDrive ] [-Početna stranica ] [-Kućni telefon ] [- Inicijali ] [-Primjer ] [-Prijava na radne stanice ] [-Upravitelj ] [-Mobitel ] [-Ured ] [-Uredski telefon ] [-Organizacija ] [-Ostali atributi ] [-Drugo ime ] [-Proći kroz ] [-Lozinka nikad ne ističe ] [-Zaporka nije potrebna ] [-Staza ] [-Poštanski pretinac ] [-Poštanski broj ] [-Profilna staza ] [-SamAccountName ] [-Put skripte ] [-Poslužitelj ] [-ServicePrincipalNames ] [-Potrebna prijava na pametnu karticu ] [-Država ] [-Adresa ulice ] [-Prezime ] [-Naslov ] [-TrustedForDelegation ] [-Tip ] [-UserPrincipalName ] [-Potvrdi] [-Što ako] [ ]

Kao što možete vidjeti iz ove sintakse, nema smisla opisivati sve parametre, budući da su identični atributima sigurnosnog principala i ne trebaju objašnjenje. Pogledajmo primjer korištenja:

New-ADUser -SamAccountName "Evgeniy.Romanov" -Name "Evgeniy Romanov" -GivenName "Evgeniy" -Prezime "Romanov" -DisplayName "Evgeniy Romanov" -Path "OU=Marketing,OU=Users,DC=testdomain,DC=com " -CannotChangePassword $false -ChangePasswordAtLogon $true -Grad "Kherson" -Država "Kherson" -Država UA -Odjel "Marketing" -Title "Marketer" -UserPrincipalName "!} [e-mail zaštićen]" -Email adresa " [e-mail zaštićen]" -Omogućeno $true -AccountPassword (Read-Host -AsSecureString "AccountPassword")

Riža. 10. Stvorite korisnički račun koristeći Windows PowerShell

Zaključak

U ovom ste članku naučili o konceptu sigurnosnog principala i koju ulogu predstavljaju korisnički računi u okruženju domene. Detaljno su razmotreni glavni scenariji za kreiranje korisničkih računa u domeni Active Directory. Naučili ste kako izraditi korisničke račune pomoću dodatka "Aktivni imenik - korisnici i računala", koristeći predloške, pomoćne programe naredbenog retka Dsadd, CSVDE i LDIFDE. Također ste naučili kako stvoriti korisničke račune pomoću skriptnog jezika VBScript i ljuske naredbenog retka Windows PowerShell.