Un controller di dominio è un server che esegue un sistema operativo Windows Server con il servizio di dominio Active Directory installato. Questo articolo esamina rapidamente lo scopo di un controller di dominio, le sue funzionalità e l'importanza di una configurazione corretta.
Appuntamento
Per evitare di entrare in troppi termini tecnici, i controller di dominio sono server che supportano Active Directory. Memorizzano le informazioni sugli account utente e computer che sono membri del dominio, lo schema e la propria copia del database di Active Directory che può essere scritta. Inoltre, i controller di dominio fungono da componente di sicurezza centrale nel dominio. Tale organizzazione consente di configurare in modo flessibile le politiche di sicurezza all'interno della rete aziendale, nonché di consentire o viceversa, vietare a determinati gruppi di utenti di accedere a determinate risorse.
Le principali funzioni di un controller di dominio:
- Memorizzazione di una copia completa delle informazioni di Active Directory relative a un dominio specifico, gestione e replica di tali informazioni su altri controller in questo dominio;
- Replica delle informazioni di directory relative a tutti gli oggetti in un dominio Active Directory;
- Risoluzione dei conflitti di replica quando lo stesso attributo è stato modificato su controller diversi prima dell'inizializzazione della replica.
Vantaggi aziendali
Vantaggi di un sistema centralizzato basato su controller di dominio:
- Database unico per l'autenticazione. Il controller di dominio archivia tutti gli account in un unico database e ogni utente membro del dominio del computer contatta il controller di dominio per accedere al sistema. La suddivisione degli utenti in gruppi appropriati semplifica l'organizzazione dell'accesso distribuito a documenti e applicazioni. Pertanto, quando appare un nuovo dipendente, è sufficiente creare un account per lui nel gruppo corrispondente e il dipendente avrà automaticamente accesso a tutte le risorse e i dispositivi di rete necessari. Quando un dipendente esce, è sufficiente bloccare il suo account per revocare tutti gli accessi.
- Unico punto di controllo per le politiche. Un controller di dominio consente di distribuire computer e account utente per unità organizzativa e applicare loro vari criteri di gruppo, definendo le impostazioni e le impostazioni di sicurezza per un gruppo di computer e utenti (ad esempio, accesso a stampanti di rete, un insieme di applicazioni richieste, browser impostazioni, ecc.). Pertanto, quando un nuovo computer o utente viene aggiunto al dominio, riceverà automaticamente tutte le impostazioni e l'accesso definiti per questo o quel reparto.
- Sicurezza. La configurazione flessibile delle procedure di autenticazione e autorizzazione, insieme alla gestione centralizzata, può aumentare significativamente la sicurezza dell'infrastruttura IT all'interno dell'organizzazione. Inoltre, il controller di dominio viene installato fisicamente in una posizione speciale protetta dall'accesso esterno.
- Integrazione semplificata con altri servizi. L'utilizzo di un controller di dominio come singolo punto di autenticazione consente agli utenti di utilizzare lo stesso account quando lavorano con strumenti e servizi aggiuntivi (ad es. servizi di posta, programmi per ufficio, server proxy, messaggistica istantanea e così via).
personalizzazione
Un controller di dominio basato su Servizi di dominio Active Directory è un elemento chiave dell'infrastruttura IT che fornisce il controllo degli accessi e la protezione dei dati in tutta l'organizzazione. Il funzionamento non solo del controller di dominio stesso, ma anche di Active Directory nel suo insieme (ad esempio, la distribuzione delle politiche di sicurezza e delle regole di accesso) dipende dalla corretta configurazione del controller di dominio, che a sua volta influisce sul funzionamento di tutti i servizi correlati e servizi, e determina anche il livello di sicurezza.
Ecco perché, se la tua azienda prevede di ottimizzare le procedure di accesso alle risorse aziendali, migliorare la sicurezza e semplificare le attività amministrative di routine passando alla gestione centralizzata, gli specialisti IT Svit ti aiuteranno a decidere i problemi di una corretta pianificazione della struttura di una rete aziendale scalabile e i suoi componenti, nonché la configurazione e l'ulteriore distribuzione un controller di dominio su questa rete.
I controller di dominio che eseguono Windows Server 2003 archiviano le informazioni sulla directory e gestiscono le interazioni utente-dominio, inclusi l'accesso utente, l'autenticazione e le ricerche nella directory. I controller di dominio vengono creati utilizzando l'Installazione guidata di Active Directory.
In Windows NT Server, un controller di dominio per l'affidabilità viene creato insieme al controller di dominio primario, un controller di dominio di backup. In Windows 2000 e Windows Server 2003, tutti sono uguali.
Windows NT
Nelle reti Windows NT, un server veniva utilizzato come controller di dominio primario (PDC) e tutti gli altri server fungevano da controller di dominio di backup (BDC).
Il BDC può autenticare gli utenti nel dominio, ma tutti gli aggiornamenti al dominio (aggiunta di nuovi utenti, modifica delle password, appartenenza a gruppi e così via) possono essere eseguiti solo tramite il PDC, che è stato quindi propagato a tutti i controller di dominio di backup. Senza PDC disponibile, gli aggiornamenti non sono riusciti. Se il PDC fosse permanentemente non disponibile, il BDC esistente potrebbe essere promosso al ruolo di PDC.
Windows 2000
Windows 2000 e versioni successive hanno introdotto Active Directory (AD), che ha effettivamente negato il concetto di controller di dominio primari e di backup a favore di più master di replica (modello di replica peer-to-peer (Inglese)).
Tuttavia, esistono diversi ruoli installati per impostazione predefinita nel primo controller di dominio della rete. Sono chiamate operazioni flessibili a master singolo (FSMO). Alcuni di questi ruoli sono responsabili del dominio, altri della foresta di domini. Se un server in uno di questi ruoli non è disponibile, il dominio continua a funzionare. Se il server non è sempre disponibile, un altro controller di dominio può assumere il ruolo di controller (un processo noto come "acquisizione" del ruolo).
Windows Server 2008 e versioni successive possono essere utilizzati come controller di dominio di sola lettura (RODC). L'aggiornamento delle informazioni su di essi è possibile tramite la replica da altri controller di dominio.
Samba 4.0 / 4.1
Nei sistemi Unix-like, Samba 4.x può fungere da controller di dominio, supporta schemi di foresta di dominio Windows 2003, 2003 R2, 2008, 2008 R2, che a loro volta possono essere estesi, possono essere utilizzati come RODC.
L'installazione di un controller di dominio è una parte importante di una rete di computer, infatti, ne controlla il funzionamento. Il suo compito principale è avviare l'importante servizio Active Directory. Funziona con il Centro distribuzione chiavi - Kerberos.
Fornisce anche lavoro su sistemi compatibili con Unix. In essi, la suite di software Samba funge da controller.
Il controller di dominio viene utilizzato per creare una rete locale in cui gli utenti possono accedere con il proprio nome e con le proprie credenziali. Devono farlo su tutti i computer. Inoltre, l'installazione di un controller di dominio fornisce una definizione dei diritti di accesso alla rete e la gestione della relativa sicurezza. Con il suo aiuto, puoi gestire centralmente l'intera rete, il che è molto importante.
I controller di dominio possono anche eseguire Windows Server 2003. In questo modo forniscono l'archiviazione di tutti i dati della directory, gestiscono le operazioni di utenti e domini, controllano l'accesso degli utenti, autenticano la directory e altro ancora. Tutti possono essere creati utilizzando il programma di installazione di Active Directory. Può funzionare anche su Windows NT. Qui, affinché funzioni in modo più affidabile, viene creato un controller aggiuntivo. Sarà collegato al controller principale.
C'era un server sulla rete Windows NT. Potrebbe essere utilizzato per far funzionare il controller di dominio principale o PDC. Tutti gli altri server hanno funzionato come server ausiliari. Ad esempio, potrebbero controllare tutti gli utenti, archiviare e controllare password e altre operazioni importanti. Ma allo stesso tempo, non potevano aggiungere nuovi utenti al server, non potevano anche cambiare password e simili, cioè la configurazione del controller di dominio era meno varia. Queste operazioni possono essere eseguite solo utilizzando il PDC. Le modifiche apportate potrebbero quindi essere applicate a tutti i domini di backup. Se il server primario non era disponibile, il dominio di backup non poteva essere promosso al livello primario.
Tuttavia, puoi configurare un controller di dominio, una rete e aumentare il livello del dominio su qualsiasi computer ea casa. Questa saggezza è facile da imparare da soli. Tutti gli strumenti necessari per questo si trovano nel Pannello di controllo - Aggiungi o rimuovi programmi - Installa componenti di sistema. È vero, dovrai lavorare con loro, avendo precedentemente installato un disco con un sistema operativo nel tuo computer. È possibile aumentare il ruolo di un computer utilizzando la riga di comando immettendo il comando dcpromo.
Inoltre, il controllo di un controller di dominio può essere eseguito utilizzando utilità specializzate che funzionano di fatto in modalità automatizzata, ovvero consentono di ottenere le informazioni necessarie dopo l'avvio del programma e regolare il funzionamento dei controller dopo aver eseguito la diagnostica. Ad esempio, è possibile utilizzare l'utilità Ntdsutil.exe, che fornisce la possibilità di connettersi a un controller di dominio appena installato per verificare la capacità di rispondere a una richiesta LDAP. Allo stesso modo, con l'aiuto di questo software, è possibile determinare se il controller dispone di informazioni sulla posizione dei ruoli FSMO nel proprio dominio.
Esistono alcuni metodi più semplici che ti permetteranno di diagnosticare il corretto funzionamento dei controller. In particolare, puoi andare su HKEY _LOCAL _MACHINE \ SYSTEM \ CurrentControlSet \ Services (chiave di registro) e cercare lì la sottochiave NTDS, la cui presenza indica il normale funzionamento del controller di dominio. Esiste un metodo per inserire account netti sulla riga di comando e lì, se il computer è un controller di dominio, vedrai il valore BACKUP o PRIMARY nella riga del ruolo del computer, altri valori sono disponibili su computer semplici.
Famiglie di Windows
Quando si organizzano le reti in un sistema operativo della famiglia Windows, il concetto di controller di dominio è un cosiddetto server, ovvero il computer principale o centrale nella rete, da cui viene controllato il funzionamento di vari servizi di directory, e anche un si trova il database delle stesse directory. Tra le altre cose, il server (controller di dominio) memorizza le impostazioni relative a tutti gli account utente, nonché le impostazioni di sicurezza. In quest'ultimo caso, si tratta esclusivamente di.Naturalmente, il computer host memorizza le informazioni necessarie sulle politiche, di gruppo e locali.
Se un'organizzazione installa il primo server di fila, ovviamente il sito e la prima foresta vengono creati immediatamente e Active Directory viene installato senza errori. Un controller di dominio configurato per essere eseguito su un sistema operativo archivia i dati e regola l'interazione dell'utente del dominio. In questo caso la configurazione del dominio in rete locale viene effettuata direttamente utilizzando Active Directory come procedura guidata di installazione.
Controller di dominio per sistema operativo Unix
In questo caso l'organizzazione dei server per OS Linux/Unix è pienamente compatibile con gli standard specificati.Tutte le funzionalità necessarie e correlate sono fornite dal pacchetto software Samba (lo trovi anche sul sito www.samba.org come OpenLDAP (rispettivamente, www.openldap.org Come tutti ben sanno, il vantaggio fondamentale del famoso Windows è che è distribuito gratuitamente e, di conseguenza, l'organizzazione non ha bisogno di spendere fondi sufficienti per installare un dominio controller, ad esempio, sotto Windows Server 2003. La licenza per questo Per legge, un prodotto software deve essere acquistato, mentre l'impostazione di un dominio in una rete locale non pone particolari problemi.
Modificare il dominio per il sito di un'organizzazione
Oltre al fatto che nella stragrande maggioranza delle organizzazioni è organizzata una rete locale, ma un altro aspetto significativo della soluzione è la possibilità di accedere a Internet da qualsiasi computer, incluso visitare il sito Web dell'azienda, che è in qualche modo il volto dell'organizzazione. Ma a volte potrebbe essere necessario eseguire un'attività come il trasferimento di un sito a un altro dominio. Come dimostra la pratica, due ragioni principali possono contribuire a prendere una tale decisione: primo - l'acquisizione di un nome di dominio più attraente per clienti e visitatori; il secondo è inserire il vecchio nelle liste nere di vari motori di ricerca.
Per risolvere il problema con perdite minime, soprattutto nei visitatori, si consiglia di utilizzare un'operazione come l'incollaggio del dominio. Vale la pena notare che vale la pena usare l'incollaggio solo in casi eccezionali, poiché questa operazione è piuttosto lunga e, soprattutto, è piuttosto nervosa, anche se vale la pena notare e non difficile da un punto di vista tecnico.
Secondo la stragrande maggioranza degli esperti, il modo più efficace per eseguire un'operazione come il trasferimento di un sito su un altro dominio è il cosiddetto parcheggio del dominio sotto forma di mirror. Il principale aspetto positivo in questa situazione è che gli utenti difficilmente notano l'incollaggio. L'unica cosa che potrebbe essere necessaria lasciare la notizia del cambio di indirizzo per i clienti abituali, in modo che possano apportare modifiche ai segnalibri dei loro browser. L'unica cosa da tenere a mente in questa situazione è la necessità di utilizzare link relativi per non spostarsi da un dominio all'altro.
Per evitare di entrare in troppi termini tecnici, i controller di dominio sono server che supportano Active Directory. Memorizzano le informazioni sugli account utente e computer che sono membri del dominio, lo schema e la propria copia del database di Active Directory che può essere scritta. Inoltre, i controller di dominio fungono da componente di sicurezza centrale nel dominio. Tale organizzazione consente di configurare in modo flessibile le politiche di sicurezza all'interno della rete aziendale, nonché di consentire o viceversa, vietare a determinati gruppi di utenti di accedere a determinate risorse.
Le principali funzioni di un controller di dominio:
- Memorizzazione di una copia completa delle informazioni di Active Directory relative a un dominio specifico, gestione e replica di tali informazioni su altri controller in questo dominio;
- Replica delle informazioni di directory relative a tutti gli oggetti in un dominio Active Directory;
- Risoluzione dei conflitti di replica quando lo stesso attributo è stato modificato su controller diversi prima dell'inizializzazione della replica.
Vantaggi aziendali
Vantaggi di un sistema centralizzato basato su controller di dominio:
- Database unico per l'autenticazione. Il controller di dominio archivia tutti gli account in un unico database e ogni utente membro del dominio del computer contatta il controller di dominio per accedere al sistema. La suddivisione degli utenti in gruppi appropriati semplifica l'organizzazione dell'accesso distribuito a documenti e applicazioni. Pertanto, quando appare un nuovo dipendente, è sufficiente creare un account per lui nel gruppo corrispondente e il dipendente avrà automaticamente accesso a tutte le risorse e i dispositivi di rete necessari. Quando un dipendente esce, è sufficiente bloccare il suo account per revocare tutti gli accessi.
- Unico punto di controllo per le politiche. Un controller di dominio consente di distribuire computer e account utente per unità organizzativa e applicare loro vari criteri di gruppo, definendo le impostazioni e le impostazioni di sicurezza per un gruppo di computer e utenti (ad esempio, accesso a stampanti di rete, un insieme di applicazioni richieste, browser impostazioni, ecc.). Pertanto, quando un nuovo computer o utente viene aggiunto al dominio, riceverà automaticamente tutte le impostazioni e l'accesso definiti per questo o quel reparto.
- Sicurezza. La configurazione flessibile delle procedure di autenticazione e autorizzazione, insieme alla gestione centralizzata, può aumentare significativamente la sicurezza dell'infrastruttura IT all'interno dell'organizzazione. Inoltre, il controller di dominio viene installato fisicamente in una posizione speciale protetta dall'accesso esterno.
- Integrazione semplificata con altri servizi. L'utilizzo di un controller di dominio come singolo punto di autenticazione consente agli utenti di utilizzare lo stesso account quando lavorano con strumenti e servizi aggiuntivi (ad es. servizi di posta, programmi per ufficio, server proxy, messaggistica istantanea e così via).
personalizzazione
Un controller di dominio basato su Servizi di dominio Active Directory è un elemento chiave dell'infrastruttura IT che fornisce il controllo degli accessi e la protezione dei dati in tutta l'organizzazione. Il funzionamento non solo del controller di dominio stesso, ma anche di Active Directory nel suo insieme (ad esempio, la distribuzione delle politiche di sicurezza e delle regole di accesso) dipende dalla corretta configurazione del controller di dominio, che a sua volta influisce sul funzionamento di tutti i servizi correlati e servizi, e determina anche il livello di sicurezza. Scegli i migliori sviluppatori nella sezione.
