Che cos'è Active Directory. Best practice per Active Directory

12.08.2019 Errori

Active Directory è un servizio di gestione del sistema. Sono un'alternativa molto migliore ai gruppi locali e consentono di creare reti di computer con una gestione efficiente e una protezione dei dati affidabile.

Se non hai mai incontrato il concetto di Active Directory e non sai come funzionano tali servizi, questo articolo fa per te. Scopriamo cosa significa questo concetto, quali sono i vantaggi di tali database e come crearli e configurarli per l'uso iniziale.

Active Directory è un metodo di gestione del sistema molto conveniente. Con Active Directory puoi gestire in modo efficiente i tuoi dati.

Questi servizi consentono di creare un unico database gestito dai controller di dominio. Se possiedi un'impresa, gestisci un ufficio, in generale, controlla le attività di molte persone che devono essere unite, un tale dominio ti tornerà utile.

Include tutti gli oggetti: computer, stampanti, fax, account utente e altro. La somma dei domini su cui si trovano i dati è chiamata "foresta". La base di Active Directory è un ambiente basato su dominio in cui il numero di oggetti può arrivare fino a 2 miliardi. Riesci a immaginare questa scala?

Cioè, con l'aiuto di una tale "foresta" o database, è possibile connettere un gran numero di dipendenti e attrezzature in ufficio e senza riferimento al luogo - anche altri utenti possono essere collegati nei servizi, ad esempio , dall'ufficio di una società in un'altra città.

Inoltre, diversi domini vengono creati e uniti nell'ambito di Active Directory: più grande è l'azienda, più strumenti sono necessari per controllare la sua tecnologia all'interno del database.

Inoltre, quando si crea una rete di questo tipo, viene determinato un dominio di controllo e, anche con la successiva presenza di altri domini, quello originale rimane ancora il "genitore", ovvero solo lui ha pieno accesso alla gestione delle informazioni.

Dove sono archiviati questi dati e come esistono i domini? I controller vengono utilizzati per creare Active Directory. Di solito ce ne sono due: se succede qualcosa a uno, le informazioni verranno salvate sul secondo controller.

Un'altra opzione per utilizzare il database è se, ad esempio, la tua azienda sta collaborando con un'altra e devi completare un progetto comune. In questo caso potrebbe essere necessario l'accesso di persone non autorizzate ai file di dominio, e qui è possibile impostare una sorta di "relazione" tra due diverse "foreste", accesso aperto alle informazioni richieste senza mettere a rischio la sicurezza del resto del dati.

In generale, Active Directory è uno strumento per creare un database all'interno di una determinata struttura, indipendentemente dalle sue dimensioni. Gli utenti e tutte le apparecchiature sono uniti in un'unica "foresta", vengono creati i domini, che si trovano sui controller.

È inoltre opportuno chiarire che i servizi possono funzionare solo su dispositivi con sistemi server Windows. Inoltre, sui controller vengono creati 3-4 server DNS. Servono la zona principale del dominio e, in caso di guasto di uno di essi, altri server lo sostituiscono.

Dopo una breve panoramica di Active Directory per manichini, sei naturalmente interessato alla domanda: perché cambiare un gruppo locale in un intero database? Naturalmente, qui il campo delle possibilità è molte volte più ampio e per scoprire altre differenze tra questi servizi per la gestione del sistema, diamo un'occhiata più da vicino ai loro vantaggi.

Vantaggi di Active Directory

I vantaggi di Active Directory sono i seguenti:

Utilizzo di una risorsa per l'autenticazione. In questa situazione, è necessario aggiungere tutti gli account su ciascun PC che richiedono l'accesso alle informazioni generali. Più utenti e tecnici, più difficile è sincronizzare questi dati tra loro.

Pertanto, quando si utilizzano i servizi con un database, gli account vengono archiviati in un punto e le modifiche hanno effetto immediato su tutti i computer.

Come funziona? Ogni dipendente che arriva in ufficio avvia il sistema e accede al proprio account. La richiesta di accesso verrà inoltrata automaticamente al server e l'autenticazione avverrà attraverso di esso.

Per quanto riguarda un certo ordine nella tenuta dei registri, puoi sempre dividere gli utenti in gruppi: "Risorse umane" o "Contabilità".

In questo caso è ancora più semplice fornire l'accesso alle informazioni: se è necessario aprire una cartella per i dipendenti di un reparto, lo si fa attraverso il database. Insieme ottengono l'accesso alla cartella dati richiesta, mentre il resto dei documenti rimane chiuso.

Controllo su ogni membro del database.

Se in un gruppo locale ogni membro è indipendente, è difficile controllarlo da un altro computer, è possibile impostare determinate regole nei domini in conformità con la politica aziendale.

In qualità di amministratore di sistema, puoi configurare le impostazioni di accesso e le impostazioni di sicurezza, quindi applicarle a ciascun gruppo di utenti. Naturalmente, a seconda della gerarchia, un gruppo può definire impostazioni più rigorose, mentre altri possono avere accesso ad altri file e azioni nel sistema.

Inoltre, quando una nuova persona si unisce all'azienda, il suo computer riceverà immediatamente il set di impostazioni necessario, in cui sono inclusi i componenti per il lavoro.

Versatilità nell'installazione del software.

A proposito, sui componenti: con l'aiuto di Active Directory puoi assegnare le stampanti, installare i programmi necessari per tutti i dipendenti contemporaneamente, impostare i parametri di privacy. In generale, la creazione di un database ottimizzerà in modo significativo il lavoro, monitorerà la sicurezza e unirà gli utenti per la massima efficienza.

E se un'azienda gestisce un'utilità separata o servizi speciali, possono essere sincronizzati con i domini e l'accesso semplificato ad essi. Come? Se combini tutti i prodotti utilizzati nell'azienda, il dipendente non dovrà inserire login e password diversi per accedere a ciascun programma: queste informazioni saranno condivise.

Ora che hai compreso i vantaggi e le implicazioni dell'utilizzo di Active Directory, esaminiamo il processo di installazione di questi servizi.

Utilizzo di un database su Windows Server 2012

L'installazione e la configurazione di Active Directory non è difficile ed è anche più semplice di quanto sembri a prima vista.

Per caricare i servizi, devi prima fare quanto segue:

Modificare il nome del computer: fare clic su "Start", aprire il Pannello di controllo, voce "Sistema". Seleziona "Cambia parametri" e in Proprietà di fronte alla riga "Nome computer" fai clic su "Cambia", inserisci un nuovo valore per il PC host.
Riavvia su richiesta del PC.
Imposta le impostazioni di rete in questo modo:
- Dal pannello di controllo, apri il menu Reti e condivisione.
- Impostazioni corrette dell'adattatore. Fare clic con il tasto destro su Proprietà e fare clic sulla scheda Rete.
- Nella finestra dall'elenco, fare clic sul protocollo Internet al numero 4, fare nuovamente clic su "Proprietà".
- Immettere le impostazioni richieste, ad esempio: indirizzo IP - 192.168.10.252, subnet mask - 255.255.255.0, subgateway principale - 192.168.10.1.
- Nella riga "Server DNS preferito" specificare l'indirizzo del server locale, in "Alternativa ..." - altri indirizzi dei server DNS.
- Salva le modifiche e chiudi le finestre.

Installa i ruoli di Active Directory in questo modo:

Apri il "Server Manager" attraverso l'inizio.
Dal menu, seleziona Aggiungi ruoli e funzionalità.
Verrà avviata la procedura guidata, ma è possibile saltare la prima finestra di descrizione.
Controlla la riga "Installazione di ruoli e funzionalità", vai avanti.
Seleziona il tuo computer per installare Active Directory su di esso.
Dall'elenco, contrassegna il ruolo che desideri caricare: nel tuo caso, questo è "Servizi di dominio Active Directory".
Apparirà una piccola finestra che ti chiederà di scaricare i componenti necessari per i servizi - accettalo.
Quindi ti verrà chiesto di installare altri componenti: se non ti servono, salta questo passaggio facendo clic su "Avanti".
La procedura guidata di installazione mostrerà una finestra con le descrizioni dei servizi che stai installando - continua a leggere e vai avanti.
Apparirà un elenco di componenti che andremo ad installare: controlla se tutto è corretto e, in tal caso, premi il pulsante appropriato.
Chiudi la finestra quando il processo è completo.
Ecco fatto: i servizi vengono caricati sul tuo computer.

Configurazione di Active Directory

Per configurare un servizio di dominio, è necessario effettuare le seguenti operazioni:

Eseguire la procedura guidata di configurazione con lo stesso nome.
Fare clic sul puntatore giallo nella parte superiore della finestra e selezionare Promuovi ruolo server a controller di dominio.
Fare clic su aggiungi una nuova "foresta" e creare un nome per il dominio principale, quindi fare clic su "Avanti".
Specificare i livelli di funzionalità della foresta e del dominio: molto spesso sono gli stessi.
Trova una password, ma assicurati di ricordarla. Procedi ulteriormente.
Successivamente, potresti vedere un avviso che il dominio non è delegato e una proposta per controllare il nome del dominio: puoi saltare questi passaggi.
Nella finestra successiva, puoi modificare il percorso delle directory del database - fallo se non ti soddisfano.
Ora vedrai tutti i parametri che stai per impostare - vedi se li hai scelti correttamente e vai avanti.
L'applicazione verificherà se i prerequisiti sono soddisfatti e se non ci sono commenti o non sono critici, fare clic su "Installa".
Dopo aver completato l'installazione, il PC si riavvierà da solo.

Potresti anche chiederti come aggiungere un utente al database. Per fare ciò, utilizza il menu "Utenti o computer di Active Directory", che troverai nella sezione "Amministrazione" del pannello di controllo, oppure utilizza il menu delle impostazioni del database.

Per aggiungere un nuovo utente, fare clic con il tasto destro del mouse sul nome del dominio, selezionare "Crea", dopo "Suddivisione". Verrà visualizzata una finestra in cui è necessario inserire il nome del nuovo dipartimento: funge da cartella in cui è possibile raccogliere utenti di diversi dipartimenti. Allo stesso modo, in seguito creerai alcune altre divisioni e posizionerai correttamente tutti i dipendenti.

Successivamente, dopo aver creato il nome del dipartimento, fai clic con il tasto destro del mouse su di esso e seleziona "Nuovo", dopo - "Utente". Ora non resta che inserire i dati necessari e impostare le impostazioni di accesso per l'utente.

Quando viene creato un nuovo profilo, fai clic su di esso selezionando il menu di scelta rapida e apri "Proprietà". Nella scheda "Account", rimuovere il segno di spunta accanto a "Blocca...". È tutto.

La conclusione generale è che Active Directory è uno strumento di gestione del sistema potente e utile che aiuterà a unire tutti i computer dei dipendenti in un unico team. Con l'aiuto dei servizi, puoi creare un database sicuro e ottimizzare in modo significativo il lavoro e la sincronizzazione delle informazioni tra tutti gli utenti. Se la tua azienda e qualsiasi altro luogo di lavoro è legato ai computer e alla rete, devi combinare account e monitorare lavoro e privacy, l'installazione di un database basato su Active Directory sarà un'ottima soluzione.

Directory attiva

Directory attiva("Rubriche attive", ANNO DOMINI) - LDAP-implementazione compatibile del servizio di directory aziendale Microsoft per i sistemi operativi della famiglia Windows NT. Directory attiva Consente agli amministratori di utilizzare Criteri di gruppo per mantenere un'esperienza utente coerente, distribuire software su più computer tramite Criteri di gruppo o Gestore configurazione di System Center(in precedenza Server di gestione dei sistemi Microsoft), installare gli aggiornamenti del sistema operativo, dell'applicazione e del software del server su tutti i computer della rete utilizzando il servizio di aggiornamento Windows Server . Directory attiva memorizza i dati e le impostazioni dell'ambiente in un database centralizzato. Reti Directory attiva possono essere di varie dimensioni: da alcune decine a diversi milioni di oggetti.

Rappresentazione Directory attiva ha avuto luogo nel 1999, il prodotto è stato rilasciato per la prima volta con Windows 2000 Server ed è stato successivamente modificato e migliorato al momento del rilascio Windows Server 2003... Successivamente Directory attivaè stato migliorato in Windows Server 2003 R2, Windows Server 2008 e Windows Server 2008 R2 e rinominato in Servizi di dominio Active Directory... In precedenza, veniva chiamato il servizio di directory Servizio di directory NT (NTDS), questo nome può ancora essere trovato in alcuni file eseguibili.

A differenza delle versioni finestre prima di Windows 2000 che ha utilizzato principalmente il protocollo NetBIOS per la rete, il servizio Directory attiva integrato con DNS e TCP/IP... Il protocollo di autenticazione predefinito è Kerberos... Se il client o l'applicazione non supportano l'autenticazione Kerberos, viene utilizzato il protocollo NTLM .

Dispositivo

oggetti

Directory attiva ha una struttura gerarchica costituita da oggetti. Gli oggetti rientrano in tre categorie principali: risorse (come stampanti), servizi (come e-mail) e account utente e computer. Directory attiva fornisce informazioni sugli oggetti, consente di organizzare gli oggetti, controllarne l'accesso e imposta anche le regole di sicurezza.

Gli oggetti possono essere ricettacoli per altri oggetti (sicurezza e gruppi di distribuzione). Un oggetto è definito in modo univoco dal suo nome e ha un insieme di attributi - caratteristiche e dati che può contenere; questi ultimi, a loro volta, dipendono dal tipo di oggetto. Gli attributi sono la base costitutiva della struttura dell'oggetto e sono definiti nello schema. Lo schema determina quali tipi di oggetti possono esistere.

Lo schema stesso è costituito da due tipi di oggetti: oggetti classe schema e oggetti attributo schema. Un oggetto classe schema definisce un tipo di oggetto Directory attiva(ad esempio, un oggetto Utente) e un oggetto attributo dello schema definisce l'attributo che l'oggetto può avere.

Ciascun oggetto attributo può essere utilizzato in diversi oggetti della classe schema. Questi oggetti sono chiamati oggetti schema (o metadati) e consentono di modificare e integrare lo schema secondo necessità. Tuttavia, ogni oggetto dello schema fa parte delle definizioni dell'oggetto Directory attiva, quindi, disabilitare o modificare questi oggetti può avere gravi conseguenze, poiché a seguito di queste azioni, la struttura verrà modificata Directory attiva... La modifica dell'oggetto dello schema viene propagata automaticamente a Directory attiva... Una volta creato, un oggetto schema non può essere eliminato, può solo essere disabilitato. Di solito, tutte le modifiche allo schema sono pianificate con cura.

Contenitore simile oggetto nel senso che ha anche attributi ed è namespace, ma a differenza di un oggetto, un contenitore non significa nulla di specifico: può contenere un gruppo di oggetti o altri contenitori.

Struttura

Il livello superiore della struttura è la foresta - la raccolta di tutti gli oggetti, attributi e regole (sintassi degli attributi) in Directory attiva... La foresta contiene uno o più alberi collegati da transitivo rapporti di fiducia ... L'albero contiene uno o più domini, anch'essi collegati gerarchicamente da trust transitivi. I domini sono identificati dalle loro strutture dei nomi DNS: gli spazi dei nomi.

Gli oggetti in un dominio possono essere raggruppati in contenitori - unità organizzative. Le suddivisioni consentono di creare una gerarchia all'interno di un dominio, semplificarne l'amministrazione e consentono di modellare la struttura organizzativa e/o geografica di un'azienda in Directory attiva... Le suddivisioni possono contenere altre suddivisioni. Società Microsoft consiglia di utilizzare il minor numero possibile di domini in Directory attiva e utilizzare le divisioni per la strutturazione e le politiche. Spesso i criteri di gruppo vengono applicati in modo specifico alle unità organizzative. I criteri di gruppo sono essi stessi oggetti. Un'unità organizzativa è il livello più basso al quale può essere delegata l'autorità amministrativa.

Un altro modo di dividere Directory attiva sono siti , che sono un modo di raggruppamento fisico (piuttosto che logico) basato su segmenti di rete. I siti sono suddivisi in quelli che dispongono di connessioni su canali a bassa velocità (ad esempio, su reti geografiche, utilizzando reti private virtuali) e su canali ad alta velocità (ad esempio, su una rete locale). Un sito può contenere uno o più domini e un dominio può contenere uno o più siti. Quando si progetta Directory attivaè importante considerare il traffico di rete generato dalla sincronizzazione dei dati tra i siti.

Una decisione progettuale chiave Directory attivaè la decisione di suddividere l'infrastruttura informativa in domini gerarchici e divisioni di primo livello. Tipici modelli utilizzati per questa separazione sono i modelli di separazione per divisione funzionale dell'azienda, per posizione geografica e per ruolo nell'infrastruttura informativa dell'azienda. Vengono spesso utilizzate combinazioni di questi modelli.

Struttura fisica e replica

Fisicamente, le informazioni sono memorizzate su uno o più controller di dominio equivalenti che hanno sostituito quelli utilizzati in Windows NT controller di dominio primario e di backup, sebbene per alcune operazioni venga mantenuto un cosiddetto server "operazioni master singolo", che può emulare il controller di dominio primario. Ogni controller di dominio mantiene una copia in lettura e scrittura dei dati. Le modifiche apportate a un controller di dominio vengono sincronizzate con tutti i controller di dominio durante la replica. Server su cui il servizio stesso Directory attiva non installati, ma che sono inclusi nel dominio Directory attiva sono chiamati server membri.

replica Directory attiva eseguita su richiesta. Servizio Controllo della coerenza delle conoscenze crea una topologia di replica che utilizza i siti definiti nel sistema per indirizzare il traffico. La replica all'interno del sito viene eseguita frequentemente e automaticamente utilizzando il controllo di coerenza (notificando le modifiche ai partner di replica). La replica tra i siti può essere configurata per ogni canale del sito (a seconda della qualità del canale) - a ciascun canale può essere assegnato un "punteggio" (o "costo") diverso (ad esempio DS3, , ISDN e così via) e il traffico di replica sarà limitato, pianificato e instradato in base alla stima del collegamento assegnata. I dati di replica possono essere trasferiti in modo transitivo su più siti attraverso bridge di collegamento di sito se il "punteggio" è basso, sebbene AD assegni automaticamente un punteggio più basso per i collegamenti da sito a sito rispetto ai collegamenti transitivi. La replica da sito a sito viene eseguita dai server testa di ponte in ogni sito, che quindi replicano le modifiche a ogni controller di dominio nel proprio sito. La replica intra-dominio segue il protocollo RPC per protocollo IP, interdominio - può anche utilizzare il protocollo SMTP.

Se la struttura Directory attiva contiene diversi domini, per risolvere il problema della ricerca di oggetti viene utilizzato catalogo globale: un controller di dominio contenente tutti gli oggetti nella foresta, ma con un set limitato di attributi (replica parziale). Il catalogo viene archiviato su server di catalogo globale specificati e serve richieste tra domini.

La funzionalità a host singolo consente di gestire le richieste quando la replica su più host è inaccettabile. Esistono cinque tipi di tali operazioni: emulazione PDC, master ID relativo (master ID relativo o master RID), master infrastruttura (master infrastruttura), master schema (master schema) e master di denominazione del dominio (Domain Naming Wizard). I primi tre ruoli sono univoci all'interno di un dominio, gli ultimi due sono univoci nell'intera foresta.

Base Directory attiva può essere suddiviso in tre archivi logici o "partizioni". Lo schema è un modello per Directory attiva e definisce tutti i tipi di oggetti, le loro classi e attributi, la sintassi degli attributi (tutti gli alberi sono nella stessa foresta, perché hanno lo stesso schema). La configurazione è la struttura della foresta e degli alberi Directory attiva... Un dominio memorizza tutte le informazioni sugli oggetti creati in questo dominio. I primi due archivi vengono replicati su tutti i controller di dominio della foresta, la terza partizione viene replicata completamente tra le repliche dei controller all'interno di ogni dominio e parzialmente sui server di catalogo globale.

denominazione

Directory attiva supporta i seguenti formati di denominazione degli oggetti: nomi di tipi generici UNC, URL e URL LDAP... Versione LDAP Formato di denominazione X.500 utilizzato internamente Directory attiva.

Ogni oggetto ha nome distinto (ing. nome distinto, DN). Ad esempio, un oggetto stampante denominato HPLaser3 in Marketing e nel dominio foo.org avrà il seguente nome distinto: CN = HPLaser3, OU = Marketing, DC = foo, DC = org, dove CN è il nome comune, OU è la sezione e DC è la classe del oggetto di dominio. I nomi distinti possono avere molte più parti rispetto alle quattro parti in questo esempio. Gli oggetti hanno anche nomi canonici. Questi sono nomi distinti, scritti in ordine inverso, senza identificatori e che utilizzano barre come separatori: foo.org/Marketing/HPLaser3. Per definire un oggetto all'interno del suo contenitore, usa nome distinto relativo : CN = HPLaser3. Ogni oggetto ha anche un identificatore univoco globale ( GUID) è una stringa a 128 bit univoca e immutabile utilizzata in Directory attiva per la ricerca e la replica. Alcuni oggetti hanno anche un UPN ( UPN, in accordo con RFC 822) nel formato oggetto @ dominio.

Integrazione con UNIX

Diversi livelli di interazione con Directory attiva può essere implementato nella maggior parte UNIX-come i sistemi operativi rispettando lo standard LDAP client, ma tali sistemi, di regola, non percepiscono la maggior parte degli attributi associati ai componenti finestre quali Criteri di gruppo e supporto per procure unidirezionali.

I fornitori di terze parti offrono l'integrazione Directory attiva su piattaforme UNIX Compreso UNIX, Linux, Mac OS X e una serie di applicazioni basate su Giava, con un pacchetto di prodotti:

Componenti aggiuntivi dello schema forniti con Windows Server 2003 R2 include attributi strettamente correlati a RFC 2307 da utilizzare in generale. Implementazioni di base della RFC 2307, nss_ldap e pam_ldap, come suggerito PADL.com, supportano direttamente questi attributi. Lo schema standard per l'appartenenza al gruppo è conforme alla RFC 2307bis (proposta). Windows Server 2003 R2 include Microsoft Management Console per la creazione e la modifica degli attributi.

Un'alternativa è usare un servizio di directory diverso come 389 Directory Server(in precedenza Fedora Directory Server, FDS), eB2Bcom ViewDS v7.1 Directory abilitata per XML o Sun Java System Directory Server a partire dal Microsistemi solari eseguire la sincronizzazione bidirezionale con Directory attiva realizzando così un'integrazione "speculare" quando i clienti UNIX e Linux autenticato FDS e clienti finestre autenticato Directory attiva... Un'altra opzione è usare Apri LDAP con possibilità di sovrapposizione traslucida, ampliando gli elementi del server remoto LDAP attributi aggiuntivi memorizzati nel database locale.

Directory attiva automatizzato da Powershell .

Letteratura

Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003... Guida completa = Microsoft Exchange Server 2003 scatenato... - M.: "Williams", 2006. - S. 1024. - ISBN 0-672-32581-0

Guarda anche

Link

Note (modifica)

Componenti di Microsoft Windows
Il principale
Servizi gestione
Applicazioni	Contatti DVD Maker Fax e scanner Internet Explorer Rivista Lente d'ingrandimento dello schermo Centro multimediale Windows Media Player Programma di collaborazione Centro dispositivi Windows Mobile Centro Mobilità Narratore Paint Editor di simboli personali Assistente Remoto Riconoscimento vocale Taccuino Taccuino Pannello laterale Registrazione del suono Il calendario Calcolatrice Forbici posta tabella dei simboli Storico: Movie Maker Incontro in rete Outlook Express Responsabile del programma File Manager album fotografico
Giochi
Kernel del sistema operativo
Servizi
File sistemi
server	Directory attiva Servizi di distribuzione Servizio di replica file Domini DNS Reindirizzamento della cartella Servizi multimediali IIS Hyper-V MSMQ Protezione dell'accesso alla rete (NAP) Servizi di stampa per UNIX Compressione differenziale remota Servizi di installazione remota Servizio di gestione dei diritti Profili utente in roaming SharePoint Gestore delle risorse di sistema Desktop remoto WSUS Politica di gruppo Coordinatore delle transazioni distribuite
Architettura
Sicurezza
Compatibilità

Microsoft
IN POI
Software server
Tecnologie
Internet
Giochi
Hardware sicurezza
Formazione scolastica
Licenza
suddivisioni

Annotazione: Questa lezione descrive i concetti di base dei servizi di directory di Active Directory. Vengono forniti esempi pratici di gestione del sistema di sicurezza della rete. Viene descritto il meccanismo delle politiche di gruppo. Fornisce una comprensione dei compiti di un amministratore di rete durante la gestione di un'infrastruttura di servizi di directory

Le reti odierne sono spesso costituite da molte piattaforme software diverse e da un'ampia varietà di hardware e software. Gli utenti sono spesso costretti a ricordare un gran numero di password per accedere a varie risorse di rete. I diritti di accesso possono essere diversi per lo stesso dipendente, a seconda delle risorse con cui sta lavorando. Tutto questo insieme di interconnessioni richiede un'enorme quantità di tempo da parte dell'amministratore e dell'utente per l'analisi, la memorizzazione e la formazione.

Una soluzione al problema della gestione di una rete così eterogenea è stata trovata con lo sviluppo di un servizio di directory. I servizi di directory offrono la possibilità di gestire qualsiasi risorsa e servizio da qualsiasi luogo, indipendentemente dalle dimensioni della rete, dai sistemi operativi o dalla complessità dell'hardware. Le informazioni sull'utente vengono immesse una volta nel servizio di directory e quindi diventano disponibili in tutta la rete. Indirizzi e-mail, appartenenza a gruppi, diritti di accesso richiesti e account per lavorare con diversi sistemi operativi: tutto questo viene creato automaticamente e aggiornato. Qualsiasi modifica apportata al servizio di directory da un amministratore viene immediatamente aggiornata su tutta la rete. Gli amministratori non devono più preoccuparsi dei dipendenti licenziati: semplicemente rimuovendo un account utente dal servizio di directory, possono garantire che tutti i diritti di accesso alla rete precedentemente concessi a quel dipendente vengano automaticamente rimossi.

Attualmente, la maggior parte dei servizi di directory di varie società si basa sullo standard X.500... Per accedere alle informazioni memorizzate nei servizi di directory, di solito viene utilizzato il protocollo (LDAP). Con il rapido sviluppo delle reti TCP/IP, LDAP sta diventando lo standard per i servizi di directory e le applicazioni orientate ai servizi di directory.

Servizio di directory Active Directory è la spina dorsale della struttura logica delle reti aziendali basate sul sistema Windows. Il termine " Catalogare"in senso lato significa" Directory", un servizio di directory rete aziendale è una directory aziendale centralizzata. La directory aziendale può contenere informazioni su vari tipi di oggetti. Servizio di directory Active Directory contiene principalmente gli oggetti su cui si basa il sistema di sicurezza di rete di Windows: account utente, gruppo e computer. Gli account sono organizzati in strutture logiche: dominio, albero, foresta, unità organizzative.

Dal punto di vista dello studio del materiale del corso "Rete amministrazione"il seguente corso di studi è del tutto possibile: prima studia la prima parte di questa sezione (dai concetti di base all'installazione dei controller di dominio), quindi vai a" Servizio file e stampa ", e dopo aver studiato" Servizio file e stampa "torna a" Active Directory Service Directory "per concetti di servizi di directory più avanzati.

6.1 Termini e concetti di base (foresta, albero, dominio, unità organizzativa). Pianificazione dello spazio dei nomi di AD. Installazione dei controller di dominio

Modelli di gestione della sicurezza: gruppo di lavoro e modello di dominio centralizzato

Come discusso in precedenza, lo scopo principale dei servizi di directory è gestire la sicurezza della rete. La base della sicurezza della rete è un database di account utente, gruppi di utenti e computer, utilizzato per controllare l'accesso alle risorse di rete. Prima di parlare di Active Directory, confrontiamo i due modelli per la creazione di un database dei servizi di directory e il controllo dell'accesso alle risorse.

Modello del gruppo di lavoro

Questo modello di gestione della sicurezza della rete aziendale è il più primitivo. È destinato all'uso in piccoli reti peer-to-peer(3-10 computer) e si basa sul fatto che ogni computer in una rete con sistemi operativi Windows NT / 2000 / XP / 2003 ha il proprio database locale di account e con l'aiuto di questo database locale accede alle risorse di questo computer è controllato. Il database locale degli account è chiamato database SAM (Responsabile dell'account di sicurezza) ed è memorizzato nel registro del sistema operativo. I database dei singoli computer sono completamente isolati l'uno dall'altro e non sono collegati in alcun modo tra loro.

Un esempio di controllo degli accessi utilizzando un tale modello è mostrato in Fig. 6.1.

Riso. 6.1.

Questo esempio mostra due server (SRV-1 e SRV-2) e due workstation (WS-1 e WS-2). I loro database SAM sono designati rispettivamente SAM-1, SAM-2, SAM-3 e SAM-4 (i database SAM sono mostrati come un ovale nella figura). Ciascun database dispone di account utente Utente1 e Utente2. Il nome utente completo Utente1 sul server SRV-1 sarà "SRV-1 \ Utente1" e il nome utente completo Utente1 sulla workstation WS-1 sarà "WS-1 \ Utente1". Immagina di creare una cartella Folder sul server SRV-1, a cui gli utenti User1 hanno accesso in rete per la lettura (R), User2 per la lettura e la scrittura (RW). Il punto principale di questo modello è che il computer SRV-1 non "sa" nulla degli account dei computer SRV-2, WS-1, WS-2, così come di tutti gli altri computer sulla rete. Se un utente denominato Utente1 accede localmente al sistema su un computer, ad esempio WS-2 (o, come si suol dire, "accede al sistema con il nome locale Utente1 sul computer WS-2"), quando si prova per accedere da questo computer in rete alla cartella sul server SRV-1, il server chiederà all'utente di inserire un nome utente e una password (tranne se gli utenti con lo stesso nome hanno la stessa password).

Il modello Workgroup è più facile da apprendere e non richiede l'apprendimento dei complessi concetti di Active Directory. Ma quando viene utilizzato su una rete con un gran numero di computer e risorse di rete, diventa molto difficile gestire i nomi utente e le loro password: devi creare manualmente gli stessi account con le stesse password su ciascun computer (che condivide le sue risorse sulla rete ), che richiede molto tempo, o creare un account per tutti gli utenti con una password per tutti (o nessuna password), il che riduce notevolmente il livello di protezione delle informazioni. Pertanto, il modello "Workgroup" è consigliato solo per reti con un numero di computer da 3 a 10 (o anche meglio - non più di 5), a condizione che tra tutti i computer non ce ne sia nessuno con Windows Server.

Modello di dominio

Nel modello di dominio è presente un unico database dei servizi di directory accessibile a tutti i computer della rete. Per fare ciò, sulla rete vengono installati dei server specializzati, chiamati controller di dominio che memorizzano questo database sui loro dischi rigidi. Nella fig. 6.2. viene mostrato il diagramma del modello di dominio. I server DC-1 e DC-2 sono controller di dominio, archiviano un database di account di dominio (ogni controller mantiene la propria copia del database, ma tutte le modifiche apportate al database su uno dei server vengono replicate sugli altri controller).

Riso. 6.2.

In un tale modello, se, ad esempio, sul server SRV-1, che è un membro del dominio, la cartella Folder è condivisa, i diritti di accesso a questa risorsa possono essere assegnati non solo agli account del SAM locale database di questo server, ma, soprattutto, ai record dell'account memorizzati nel database del dominio. Nella figura, l'accesso alla cartella Folder ha i diritti di accesso di un account del computer SRV-1 locale e diversi account di dominio (utente e gruppi di utenti). Nel modello di gestione della sicurezza del dominio, un utente accede a un computer ("accede") con il proprio account di dominio e, indipendentemente dal computer su cui è stata eseguita la registrazione, accede alle risorse di rete necessarie. E non è necessario creare un numero elevato di account locali su ciascun computer, vengono creati tutti i record una volta nel database del dominio... E con l'aiuto di un database di dominio, controllo accessi centralizzato alle risorse di rete indipendentemente dal numero di computer in rete.

Scopo del servizio di directory di Active Directory

Una directory (riferimento) può memorizzare una varietà di informazioni relative a utenti, gruppi, computer, stampanti di rete, condivisioni di file e così via: chiameremo tutti questi oggetti. La directory memorizza anche le informazioni sull'oggetto stesso o sulle sue proprietà, chiamate attributi. Ad esempio, gli attributi archiviati nella directory di un utente possono essere il nome, il numero di telefono, l'indirizzo, il nome di accesso, la password, i gruppi a cui appartiene e altro ancora del responsabile. Per rendere l'archivio directory utile agli utenti, devono esistere servizi che interagiranno con la directory. Ad esempio, è possibile utilizzare la directory come archivio di informazioni tramite il quale è possibile autenticare un utente o come luogo in cui inviare una richiesta per trovare informazioni su un oggetto.

Active Directory non è solo responsabile della creazione e dell'organizzazione di questi piccoli oggetti, ma anche di oggetti di grandi dimensioni come domini, OU (unità organizzative) e siti.

Leggi i termini di base utilizzati nel contesto di Active Directory di seguito.

Servizio di directory Active Directory (AD in breve) consente a un ambiente aziendale complesso di funzionare in modo efficiente fornendo le seguenti funzionalità:

Accesso singolo online; Gli utenti possono accedere alla rete con un unico nome utente e password e allo stesso tempo accedere a tutte le risorse e servizi di rete (servizi di infrastruttura di rete, servizi di file e stampa, server di applicazioni e database, ecc.);
Informazioni di sicurezza... I controlli di autenticazione e accesso alle risorse integrati in Active Directory forniscono una protezione centralizzata della rete;
Gestione centralizzata... Gli amministratori possono gestire centralmente tutte le risorse aziendali;
Amministrazione tramite criteri di gruppo... Quando il computer si avvia o un utente accede al sistema, i requisiti dei criteri di gruppo sono soddisfatti; le loro impostazioni sono memorizzate in oggetti criteri di gruppo(GPO) e si applicano a tutti gli account utente e computer situati in siti, domini o unità organizzative;
Integrazione DNS... I servizi di directory dipendono completamente dal DNS per funzionare. A loro volta, i server DNS possono memorizzare le informazioni sulla zona in un database di Active Directory;
Estensibilità della directory... Gli amministratori possono aggiungere nuove classi di oggetti allo schema del catalogo o aggiungere nuovi attributi a classi esistenti;
Scalabilità... Active Directory può estendersi su un singolo dominio o su più domini combinati in una struttura di dominio ed è possibile utilizzare più strutture di dominio per creare una foresta;
Replica delle informazioni... Active Directory utilizza la replica overhead in un multi-master ( multi-master), che consente di modificare il database di Active Directory su qualsiasi controller di dominio. Più controller di dominio forniscono tolleranza agli errori e bilanciamento del carico di rete;
Flessibilità delle richieste di catalogo... Il database di Active Directory può essere utilizzato per trovare rapidamente qualsiasi oggetto AD utilizzando le sue proprietà (ad esempio, nome utente o indirizzo e-mail, tipo o posizione della stampante, ecc.);
Interfacce di programmazione standard... Per gli sviluppatori di software, il servizio directory fornisce l'accesso a tutte le funzionalità (strumenti) della directory e supporta gli standard accettati e le interfacce di programmazione (API).

In Active Directory è possibile creare un'ampia varietà di oggetti diversi. Un oggetto è un'entità univoca all'interno della Directory e di solito ha molti attributi che aiutano a descriverlo e riconoscerlo. L'account utente è un esempio di oggetto. Questo tipo di oggetto può avere molti attributi come nome, cognome, password, numero di telefono, indirizzo e molti altri. Allo stesso modo, una stampante condivisa può anche essere un oggetto in Active Directory e i suoi attributi sono il nome, la posizione, ecc. Gli attributi dell'oggetto non solo aiutano a definire un oggetto, ma consentono anche di cercare oggetti all'interno del Catalogo.

Terminologia

Servizio di directory I sistemi Windows Server sono basati su standard tecnologici generalmente accettati. Inizialmente, è stato sviluppato uno standard per i servizi di directory X.500, che era destinato alla creazione di dizionari scalabili gerarchici ad albero con la possibilità di espandere sia le classi di oggetti che gli insiemi di attributi (proprietà) di ogni singola classe. Tuttavia, l'attuazione pratica di questo standard si è rivelata inefficace in termini di prestazioni. Successivamente, sulla base dello standard X.500, è stata sviluppata una versione semplificata (leggera) dello standard per la creazione di directory, denominata LDAP (Protocollo di accesso alla directory leggero). Il protocollo LDAP mantiene tutte le proprietà di base di X.500 (sistema di creazione di directory gerarchica, scalabilità, estensibilità), ma allo stesso tempo consente di implementare efficacemente questo standard nella pratica. Il termine " leggero " (" leggero") nel nome di LDAP riflette l'obiettivo principale dello sviluppo del protocollo: creare un toolkit per la creazione di un servizio di directory che abbia una potenza funzionale sufficiente per risolvere problemi di base, ma non sia sovraccaricato di tecnologie complesse che rendono inefficace l'implementazione dei servizi di directory LDAP è attualmente il metodo standard per accedere alle directory della rete di informazioni e funge da base in molti prodotti come sistemi di autenticazione, programmi di posta elettronica e applicazioni di e-commerce. Ci sono oltre 60 server LDAP commerciali oggi sul mercato, di cui circa il 90% sono server di directory LDAP autonomi, mentre il resto viene offerto come componenti di altre applicazioni.

LDAP definisce chiaramente la gamma di operazioni di directory che un'applicazione client può eseguire. Queste operazioni si dividono in cinque gruppi:

stabilire la connessione con la directory;
cercare informazioni in esso;
modifica del suo contenuto;
aggiungere un oggetto;
eliminazione di un oggetto.

Oltre al protocollo LDAP servizio di directory Active Directory utilizza anche il protocollo di autenticazione Kerberos e DNS per i componenti di ricerca di rete dei servizi di directory (controller di dominio, server di catalogo globale, servizio Kerberos, ecc.).

Dominio

L'unità principale del sistema di sicurezza di Active Directory è dominio... Il dominio costituisce l'area di responsabilità amministrativa. Il database del dominio contiene account utenti, gruppi e computer... La maggior parte delle funzioni di gestione dei servizi di directory operano a livello di dominio (autenticazione utente, controllo dell'accesso alle risorse, gestione dei servizi, gestione della replica, policy di sicurezza).

I nomi di dominio di Active Directory vengono generati allo stesso modo dei nomi nello spazio dei nomi DNS. E questa non è una coincidenza. DNS è un motore di ricerca per componenti di dominio, principalmente controller di dominio.

Controller di dominio- server speciali che memorizzano la parte del database di Active Directory corrispondente a un determinato dominio. Caratteristiche principali dei controller di dominio:

archiviazione del database di Active Directory(organizzazione dell'accesso alle informazioni contenute nel catalogo, compresa la gestione di tali informazioni e la loro modifica);
sincronizzazione dei cambiamenti in AD(le modifiche al database AD possono essere apportate su qualsiasi controller di dominio, eventuali modifiche apportate su uno dei controller verranno sincronizzate con le copie archiviate su altri controller);
autenticazione utente(qualsiasi controller di dominio verifica le credenziali degli utenti che accedono ai sistemi client).

Si consiglia vivamente di installare almeno due controller di dominio in ogni dominio, in primo luogo per proteggere dalla perdita del database di Active Directory in caso di guasto del controller e, in secondo luogo, per distribuire il carico tra controllers.it.company. ru esiste un sottodominio dev.it.company.ru, creato per il reparto di sviluppo software del servizio IT.

decentralizzare l'amministrazione dei servizi di directory (ad esempio, nel caso in cui un'azienda abbia filiali geograficamente distanti tra loro e la gestione centralizzata sia difficile per motivi tecnici);
migliorare la produttività (per le aziende con un numero elevato di utenti e server, è rilevante il problema del miglioramento delle prestazioni dei controller di dominio);
per una gestione più efficiente della replica (se i controller di dominio sono remoti tra loro, la replica in uno può richiedere più tempo e creare problemi con l'utilizzo di dati non sincronizzati);

dominio radice della foresta

Unità organizzative (OP).

Unità organizzative (Unità organizzative, OU) - contenitori all'interno di AD, che sono creati per combinare oggetti per delega dei diritti amministrativi e applicazione dei criteri di gruppo nel dominio. OP esiste solo all'interno di domini e può combinare solo oggetti dal loro dominio... Gli OP possono essere annidati l'uno nell'altro, il che consente di creare una complessa gerarchia di contenitori ad albero all'interno di un dominio e di fornire un controllo amministrativo più flessibile. Inoltre, i PO possono essere creati per riflettere la gerarchia amministrativa e la struttura organizzativa di un'azienda.

Catalogo globale

Catalogo globaleè una lista tutti gli oggetti esistenti nella foresta di Active Directory. Per impostazione predefinita, i controller di dominio contengono solo informazioni sugli oggetti nel loro dominio. Server catalogo globaleè un controller di dominio che contiene informazioni su ogni oggetto (anche se non tutti gli attributi di tali oggetti) in una determinata foresta.

Un componente fondamentale dei Servizi di dominio in ogni organizzazione sono i Security Principal (originariamente chiamati Security Principal), che forniscono utenti, gruppi o computer che necessitano di accesso a determinate risorse sulla rete. È a oggetti come le entità di sicurezza che è possibile concedere le autorizzazioni per accedere alle risorse sulla rete, con ogni entità a cui viene assegnato un identificatore di sicurezza univoco (SID) durante la creazione dell'oggetto, che consiste di due parti. ID di sicurezza SID chiamata rappresentazione numerica che identifica in modo univoco un'entità di sicurezza. La prima parte di un tale identificatore è ID dominio... Poiché le entità di sicurezza si trovano nello stesso dominio, a tutti questi oggetti viene assegnato lo stesso identificatore di dominio. La seconda parte del SID è identificatore relativo (RID) che viene utilizzato per identificare in modo univoco il principale di sicurezza rispetto all'agenzia che emette il SID.

Sebbene la maggior parte delle organizzazioni pianifichi e distribuisca un'infrastruttura di Servizi di dominio solo una volta e raramente apporti modifiche alla maggior parte degli oggetti, un'importante eccezione a questa regola sono le entità di sicurezza che devono essere aggiunte, modificate e rimosse periodicamente. Gli account utente sono una delle componenti fondamentali dell'identificazione. Fondamentalmente, gli account utente sono entità fisiche, per lo più persone, che sono dipendenti della tua organizzazione, ma ci sono eccezioni in cui gli account utente vengono creati per alcune applicazioni come servizi. Gli account utente svolgono un ruolo fondamentale nell'amministrazione aziendale. Questi ruoli includono:

Identità degli utenti, poiché l'account creato consente di accedere a computer e domini con esattamente i dati la cui autenticità è verificata dal dominio;
Permessi di accesso alle risorse di dominio assegnati a un utente per concedere l'accesso alle risorse del dominio in base a autorizzazioni esplicite.

Gli oggetti account utente sono tra gli oggetti più comuni in Active Directory. Sono gli account utente a cui gli amministratori devono prestare particolare attenzione, poiché gli utenti tendono a venire a lavorare in un'organizzazione, a spostarsi tra reparti e uffici, a sposarsi, a sposarsi, a divorziare e persino a lasciare l'azienda. Tali oggetti sono un insieme di attributi e solo un account utente può contenere oltre 250 attributi diversi, che è parecchie volte superiore al numero di attributi su workstation e computer che eseguono Linux. Quando crei un account utente, viene creato un set limitato di attributi e solo allora puoi aggiungere credenziali utente come informazioni sull'organizzazione, indirizzi utente, numeri di telefono e altro. Pertanto, è importante notare che alcuni attributi sono obbligatorio e il resto - opzionale... In questo articolo parlerò dei metodi chiave per la creazione di account utente, alcuni attributi facoltativi e descriverò anche gli strumenti per automatizzare le azioni di routine associate alla creazione di account utente.

Creare utenti utilizzando utenti e computer di Active Directory

Nella stragrande maggioranza dei casi, gli amministratori di sistema preferiscono utilizzare lo snap-in, che viene aggiunto alla cartella "Amministrazione" subito dopo aver installato il ruolo Servizi di dominio Active Directory e promuovere il server a controller di dominio. Questo metodo è più conveniente perché utilizza un'interfaccia utente grafica per creare entità di protezione e la Creazione guidata account utente è molto facile da usare. Lo svantaggio di questo metodo è che quando si crea un account utente, non è possibile impostare immediatamente la maggior parte degli attributi e sarà necessario aggiungere gli attributi necessari modificando l'account. Per creare un account personalizzato, segui questi passaggi:

in campo "Nome" Inserisci il tuo nome utente;
in campo "Iniziali" inserisci le sue iniziali (il più delle volte, le iniziali non vengono utilizzate);
in campo "Cognome" inserire il cognome dell'utente in fase di creazione;
Campo "Nome e cognome" utilizzato per creare attributi dell'oggetto generato come il Nome comune CN e visualizzare le proprietà del nome. Questo campo deve essere univoco in tutto il dominio, viene compilato automaticamente e va modificato solo se necessario;
Campo "Nome di accesso utente"è richiesto e destinato all'accesso al dominio dell'utente. Qui è necessario inserire il nome utente e dall'elenco a discesa selezionare il suffisso UPN, che si troverà dopo il simbolo @;
Campo Nome di accesso utente (precedente a Windows 2000) destinato al nome di accesso per i sistemi precedenti al sistema operativo Windows 2000. Negli ultimi anni, le organizzazioni hanno sempre meno proprietari di tali sistemi, ma questo campo è obbligatorio, poiché alcuni software utilizzano questo attributo per identificare gli utenti;

Dopo aver compilato tutti i campi richiesti, clicca sul pulsante "Ulteriore":

Riso. 2. Finestra di dialogo per la creazione di un account utente

Nella pagina successiva della procedura guidata per la creazione di un account utente, dovrai inserire la password utente iniziale nel campo "Parola d'ordine" e confermalo sul campo "Conferma"... Inoltre, è possibile selezionare un attributo che indica che la prima volta che un utente accede al sistema, l'utente deve modificare autonomamente la password per il proprio account. È meglio usare questa opzione insieme ai criteri di sicurezza locali. "Politica delle password" per creare password complesse per i tuoi utenti. Anche selezionando la casella sull'opzione "Impedisci all'utente di modificare la password" fornisci all'utente la tua password e ne impedisci la modifica. Quando si sceglie un'opzione "La password non ha scadenza" la password dell'account utente non scadrà mai e non dovrà essere modificata periodicamente. Se selezioni la casella "Disabilitare account", questo account non sarà destinato a ulteriori lavori e un utente con tale account non sarà in grado di accedere fino a quando non verrà attivato. Questa opzione, come la maggior parte degli attributi, verrà discussa nella prossima sezione di questo articolo. Dopo aver selezionato tutti gli attributi, fare clic sul pulsante "Ulteriore"... Questa pagina della procedura guidata è illustrata nella seguente illustrazione:

Riso. 3. Creazione di una password per l'account creato

Nell'ultima pagina della procedura guidata, vedrai un riepilogo dei parametri inseriti. Se le informazioni sono state inserite correttamente, fare clic sul pulsante "Pronto" per creare un account utente e completare la procedura guidata.

Creazione di utenti da modelli

Le organizzazioni in genere hanno molte divisioni o reparti che includono i tuoi utenti. In questi reparti, gli utenti hanno proprietà simili (ad esempio, nome del reparto, posizione, numero dell'ufficio, ecc.). Per la gestione più efficiente degli account utente da un reparto, ad esempio utilizzando criteri di gruppo, è consigliabile crearli all'interno del dominio in reparti speciali (ovvero contenitori) basati su modelli. Modello di contoè un account apparso per la prima volta ai tempi dei sistemi operativi Windows NT, in cui gli attributi comuni a tutti gli utenti creati sono precompilati. Per creare un modello di account utente, procedi nel seguente modo:

Sono comuni... Questa scheda è destinata alla compilazione di singoli attributi definiti dall'utente. Questi attributi includono il nome e il cognome dell'utente, una breve descrizione dell'account, il numero di telefono del contatto dell'utente, il numero della stanza, il suo account e-mail e il sito web. Poiché queste informazioni sono individuali per ogni singolo utente, i dati inseriti in questa scheda non vengono copiati;
L'indirizzo... Nella scheda corrente, puoi inserire la casella di posta, la città, lo stato, il codice postale e il paese di residenza degli utenti che verranno creati in base a questo modello. Poiché di solito ogni utente non ha gli stessi nomi di strada, i dati di questo campo non possono essere copiati;
Account... In questa scheda è possibile specificare l'ora esatta dell'accesso dell'utente, i computer a cui gli utenti potranno accedere, i parametri dell'account come l'archiviazione delle password, i tipi di crittografia, ecc., nonché la data di scadenza dell'account;
Profilo... La scheda corrente consente di specificare il percorso del profilo, lo script di accesso, il percorso locale della cartella home e le unità di rete in cui si troverà la cartella home dell'account;
Organizzazione... In questa scheda è possibile specificare la posizione dei dipendenti, il dipartimento in cui lavorano, il nome dell'organizzazione e il nome del capo del dipartimento;
Membri del gruppo... Il gruppo principale e le appartenenze al gruppo sono elencati qui.

Queste sono le schede principali che vengono compilate quando crei i modelli di account. Oltre a queste sei schede, puoi anche inserire informazioni in 13 schede. La maggior parte di queste schede sarà trattata negli articoli successivi di questa serie.

Il passaggio successivo consiste nel creare un account utente basato sul modello corrente. Per fare ciò, fai clic con il pulsante destro del mouse sul modello di account e seleziona il comando dal menu contestuale "Copia";

Nella finestra di dialogo "Copia oggetto - Utente" inserire il nome, il cognome e il nome di accesso dell'utente. Nella pagina successiva, inserisci la password e la conferma e deseleziona l'opzione "Disabilitare account"... Completa la procedura guidata;

Riso. 5. Finestra di dialogo per la copia dell'account utente

Dopo aver creato l'account, vai alle proprietà dell'account creato e visualizza le proprietà che aggiungi al modello. Gli attributi configurati verranno copiati nel nuovo account.

Creazione di utenti utilizzando strumenti da riga di comando

Come con la maggior parte delle cose, il sistema operativo Windows dispone di utilità della riga di comando con funzionalità simili all'interfaccia utente grafica snap-in Utenti e computer di Active Directory... Tali comandi sono chiamati comandi DS perché iniziano con le lettere DS. Per creare entità di sicurezza, utilizzare il comando Dsadd... Dopo il comando stesso, ci sono modificatori che definiscono il tipo e il DN dell'oggetto. In caso di creazione di account utente, è necessario specificare il modificatore utente che è il tipo dell'oggetto. Dopo il tipo di oggetto, è necessario inserire il nome DN dell'oggetto stesso. Il nome distinto (DN) di un oggetto è un set di risultati che contiene il nome distinto. Il DN è solitamente seguito dal nome utente UPN o dal nome di accesso delle versioni precedenti di Windows. Se il nome DN contiene spazi, il nome deve essere racchiuso tra virgolette. La sintassi del comando è la seguente:

Dsadd utente DN_name –samid account_name –UPN_name –pwd password –parametri aggiuntivi

41 parametri possono essere utilizzati con questo comando. Consideriamo i più comuni:

-samid- nome dell'account utente;

-upn- il nome di accesso dell'utente precedente a Windows 2000;

-fn- nome utente, che viene compilato nel campo nell'interfaccia grafica "Nome";

-mi- l'iniziale dell'utente;

-ln- il cognome dell'utente, specificato nel campo "Cognome" della procedura guidata per la creazione di un account utente;

-Schermo- specifica il nome completo dell'utente, che viene generato automaticamente nell'interfaccia utente;

-empid- codice dipendente che viene creato per l'utente;

-pwd- un parametro che definisce una password utente. Nel caso in cui specifichi un asterisco (*), ti verrà chiesto di inserire la password dell'utente in modalità protetta da visualizzazione;

-desc- una breve descrizione dell'account utente;

-membro di- un parametro che determina l'appartenenza dell'utente a uno o più gruppi;

-ufficio- l'ubicazione dell'ufficio in cui l'utente lavora. Nelle proprietà dell'account, questa impostazione si trova nella scheda "Organizzazione";

-tel- recapito telefonico dell'utente attuale;

-e-mail- l'indirizzo email dell'utente, che si trova nella scheda "Sono comuni";

-hometel- parametro indicante il numero di telefono di casa dell'utente;

-mobile- numero di telefono dell'utente mobile;

-fax- il numero del facsimile utilizzato dall'utente corrente;

-titolo- la posizione dell'utente nell'organizzazione data;

-Dipartimento- questo parametro permette di specificare il nome del reparto in cui lavora questo utente;

-società- il nome dell'azienda in cui lavora l'utente creato;

-hmdir- la directory principale dell'utente, in cui si troveranno i suoi documenti;

-hmdrv- il percorso dell'unità di rete in cui si troverà la cartella principale dell'account

-profilo- percorso profilo utente;

-mustchpwd- questo parametro indica che la prossima volta che l'utente accede al sistema, è obbligato a cambiare la sua password;

-canchpwd- un parametro che determina se l'utente deve modificare la propria password. Se il valore del parametro specifica "Sì", quindi l'utente avrà la possibilità di modificare la password;

-reversibilepwd- il parametro corrente definisce la memorizzazione della password dell'utente mediante crittografia inversa;

-pwdneverexpiresÈ un parametro che indica che la password non scadrà mai. In tutti questi quattro parametri, solo "Sì" o "No";

-acctexpires- un parametro che determina dopo quanti giorni scadrà l'account. Un valore positivo rappresenta il numero di giorni dopo i quali l'account scadrà, mentre un valore negativo indica che è già scaduto;

-Disabilitato- indica che l'account è già stato disabilitato. I valori per questo parametro sono anche "Sì" o "No";

-Q- indicazione della modalità silenziosa per l'elaborazione dei comandi.

Esempio di utilizzo:

Dsadd user “cn = Alexey Smirnov, OU = Marketing, OU = Users, DC = testdomain, DC = com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -display “Alexey Smirnov” - tel “743-49-62” -e-mail [e-mail protetta]-dept Marketing -company TestDomain -title Marketer -hmdir \\ dc \ profili \ Alexey.Smirnov -hmdrv X -mustchpwd sì -disabilitato no

Riso. 6. Creazione di un account utente utilizzando l'utility Dsadd

Crea utenti utilizzando il comando CSVDE

Un'altra utilità della riga di comando CSVDE consente di importare o esportare oggetti Active Direcoty presentati come file cvd, un file di testo delimitato da virgole che può essere creato utilizzando un elaboratore di fogli di calcolo Microsoft Excel o il più semplice editor di testo Blocco note. In questo file, ogni oggetto è rappresentato da una riga e deve contenere gli attributi elencati nella prima riga. Vale la pena prestare attenzione al fatto che utilizzando questo comando non è possibile importare le password utente, ovvero subito dopo il completamento dell'operazione di importazione, gli account utente verranno disabilitati. Un esempio di tale file è il seguente:

Riso. 7. Presentazione del file CSV

La sintassi del comando è la seguente:

Csvde –i –f nomefile.csv –k

-io... Il parametro responsabile della modalità di importazione. Se non si specifica questo parametro, questo comando utilizzerà la modalità di esportazione predefinita;
-F
-K
-v
-J
-u... Un'opzione per utilizzare la modalità Unicode.

Un esempio di utilizzo del comando:

Csvde -i -f d: \ testdomainusers.csv -k

Riso. 8. Importazione di account utente da un file CSV

Importazione di utenti utilizzando LDIFDE

L'utilità della riga di comando Ldifde consente inoltre di importare o esportare oggetti di Active Directory utilizzando il formato di file LDIF (Lightweight Directory Access Protocol Data Interchange File). Questo formato di file è costituito da un blocco di righe che formano un'operazione specifica. A differenza dei file CSV, in questo formato di file, ogni singola riga è un insieme di attributi, seguito da due punti e dal valore effettivo dell'attributo corrente. Come nel file CSV, la prima riga deve essere l'attributo DN. È seguito da una stringa changeType che indica il tipo di operazione (aggiunta, modifica o eliminazione). Per imparare a comprendere questo formato di file, è necessario conoscere almeno gli attributi chiave delle entità di sicurezza. Di seguito viene fornito un esempio:

Riso. 9. Esempio di file LDF

La sintassi del comando è la seguente:

Ldifde -i -f nomefile.csv -k

-io... Il parametro responsabile della modalità di importazione. Se non si specifica questo parametro, questo comando utilizzerà la modalità di esportazione predefinita;
-F... Un parametro che identifica il nome del file da importare o esportare;
-K... Il parametro intendeva continuare l'importazione, saltando tutti i possibili errori;
-v... Un parametro tramite il quale è possibile visualizzare informazioni dettagliate;
-J... Il parametro responsabile della posizione del file di registro;
-D... Un parametro che specifica la radice della ricerca LDAP;
-F... Parametro per il filtro di ricerca LDAP;
-P... Rappresenta l'area o la profondità della ricerca;
-l... Progettato per specificare un elenco di attributi separati da virgole che verranno inclusi nell'esportazione degli oggetti risultanti;

Creazione di utenti con VBScript

VBScript è uno degli strumenti più potenti per automatizzare le attività amministrative. Questo strumento consente di creare script progettati per automatizzare la maggior parte delle azioni che possono essere eseguite tramite l'interfaccia utente. Gli script VBScript sono file di testo che gli utenti di solito possono modificare con normali editor di testo (come Blocco note). E per eseguire gli script, devi solo fare doppio clic sull'icona dello script stesso, che si aprirà usando il comando Wscript. Non esiste un comando specifico per creare un account utente in VBScript, quindi è necessario prima connettersi al contenitore, quindi utilizzare la libreria dell'adattatore Active Directory Services Interface (ADSI) utilizzando l'istruzione Get-Object, in cui viene eseguita una stringa di query LDAP che fornisce il moniker di protocollo LDAP: // con il nome DN dell'oggetto. Ad esempio, Imposta objOU = GetObject ("LDAP: // OU = Marketing, OU = Users, dc = testdomain, dc = com"). La seconda riga di codice attiva il metodo Create dell'unità per creare un oggetto di una classe specifica con un nome distinto specifico, ad esempio Set objUser = objOU.Create ("utente", "CN = Yuri Soloviev"). La terza riga è il metodo Put, dove è necessario specificare il nome dell'attributo e il suo valore. L'ultima riga di questo script conferma le modifiche apportate, ovvero objUser.SetInfo ().

Esempio di utilizzo:

Imposta objOU = GetObject ("LDAP: // OU = Marketing, OU = Users, dc = testdomain, dc = com" Imposta objUser = objOU.Create ("user", "CN = Yuri Soloviev") objUser.Put "sAMAccountName" , "Yuriy.Soloviev" objUser.Put "UserPrincipalName" [e-mail protetta]"ObjUser.Put" GivenName "," Yuri "objUser.Put" sn "Soloviev" objUser.SetInfo ()

Creazione di utenti con PowerShell

Windows Server 2008 R2 introduce la possibilità di gestire gli oggetti di Active Directory tramite Windows PowerShell. PowerShell è considerata la più potente shell da riga di comando sviluppata sulla base del .Net Framework e progettata per gestire e automatizzare l'amministrazione dei sistemi operativi Windows e delle applicazioni che girano su questi sistemi operativi. PowerShell include oltre 150 strumenti da riga di comando, denominati cmdlet, che consentono di gestire i computer dell'azienda dalla riga di comando. Questa shell è un componente del sistema operativo.

Per creare un nuovo utente nel dominio Active Directory, utilizzare il cmdlet New-ADUser, la maggior parte dei cui valori di proprietà possono essere aggiunti utilizzando i parametri di questo cmdlet. Il parametro –Path viene utilizzato per visualizzare il nome LDAP. Questo parametro specifica il contenitore o l'unità organizzativa (OU) per il nuovo utente. Se il parametro Path non è specificato, il cmdlet crea un oggetto utente nel contenitore predefinito per gli oggetti utente in questo dominio, ovvero nel contenitore Users. Per specificare la password, utilizzare il parametro –AccountPassword con il valore (Read-Host -AsSecureString "Password per il tuo account"). Inoltre, assicurati di prestare attenzione al fatto che il valore del parametro –Country è esattamente il codice del paese o della regione della lingua selezionata dall'utente. La sintassi per il cmdlet è la seguente:

Nuovo-ADUser [-Nome] [-Data di scadenza dell'account ] [-AccountNotDelegated ] [-Password dell'account ] [-Consenti crittografia password reversibile ] [-AuthType (Negozia | Basic)] [-CannotChangePassword ] [-Certificati ] [-Cambia password all'accesso ] [-Città ] [-Società ] [-Nazione ] [-Credenziali ] [-Dipartimento ] [-Descrizione ] [-Nome da visualizzare ] [-Divisione ] [-Indirizzo email ] [-ID dell'impiegato ] [-Impiegato numero ] [-Abilitato ] [-Fax ] [-Nome di battesimo ] [-Directory Home ] [-HomeDrive ] [-Pagina iniziale ] [-Telefono di casa ] [-Iniziali ] [-Istanza ] [-LogonWorkstation ] [-Gestore ] [-Cellulare ] [-Ufficio ] [-Telefono dell'ufficio ] [-Organizzazione ] [-Altri attributi ] [-Altro nome ] [-Passare attraverso ] [-La password non ha scadenza ] [-Password non richiesta ] [-Sentiero ] [-POBox ] [-Codice Postale ] [-Percorso Profilo ] [-SamNomeAccount ] [-PercorsoScript ] [-Server ] [-ServicePrincipalNames ] [-Accesso Smartcard richiesto ] [-Stato ] [-Indirizzo ] [-Cognome ] [-Titolo ] [-TrustedForDelegation ] [-Tipo ] [-UserPrincipalName ] [-Conferma] [-WhatIf] [ ]

Come puoi vedere da questa sintassi, non ha senso descrivere tutti i parametri, poiché sono identici agli attributi dell'entità di sicurezza e non necessitano di spiegazioni. Vediamo un esempio di utilizzo:

New-ADUser -SamAccountName "Evgeniy.Romanov" -Name "Evgeniy Romanov" -GivenName "Evgeniy" -Cognome "Romanov" -DisplayName "Evgeniy Romanov" -Path "OU = Marketing, OU = Utenti, DC = testdomain, DC = com "-CannotChangePassword $ false -ChangePasswordAtLogon $ true -Città" Kherson "-State" Kherson "-Paese UA -Dipartimento" Marketing "-Titolo" (! LANG: Marketer" -UserPrincipalName "!} [e-mail protetta]"-Indirizzo email" [e-mail protetta]"-Enabled $ true -AccountPassword (Read-Host -AsSecureString" AccountPassword ")

Riso. 10. Creazione di un account utente utilizzando Windows PowerShell

Conclusione

In questo articolo hai appreso il concetto di entità di sicurezza e il ruolo degli account utente in un ambiente di dominio. Sono stati discussi in dettaglio i principali scenari per la creazione di account utente in un dominio Active Directory. Hai imparato a creare account personalizzati utilizzando lo snap-in Utenti e computer di Active Directory utilizzando modelli, utilità della riga di comando Dsadd, CSVDE e LDIFDE. Hai anche appreso del linguaggio di script VBScript e del metodo della riga di comando di Windows PowerShell per la creazione di account utente.