Cum se configurează smartphone-uri și PC-uri. Portal informativ
  • Acasă
  • Windows Phone
  • Ce este Active Directory - cum se instalează și se configurează. Cele mai bune practici Active Directory

Ce este Active Directory - cum se instalează și se configurează. Cele mai bune practici Active Directory

18.08.2019 Windows Phone

Active Directory este un serviciu de management de sistem. Sunt o alternativă mult mai bună la grupurile locale și vă permit să creați rețele de computere cu un management eficient și o protecție fiabilă a datelor.

Dacă nu ați întâlnit anterior conceptul de Active Directory și nu știți cum funcționează astfel de servicii, acest articol este pentru dvs. Să ne dăm seama ce înseamnă acest concept, care sunt avantajele unor astfel de baze de date și cum să le creăm și să le configurați pentru utilizarea inițială.

Active Directory este o metodă foarte convenabilă de gestionare a sistemului. Cu Active Directory, vă puteți gestiona eficient datele.

Aceste servicii vă permit să creați o singură bază de date gestionată de controlori de domeniu. Dacă dețineți o întreprindere, conduceți un birou, în general, controlați activitățile multor oameni care trebuie să fie uniți, un astfel de domeniu vă va fi la îndemână.

Include toate obiectele - computere, imprimante, faxuri, conturi de utilizator și multe altele. Suma domeniilor pe care se află datele se numește „pădure”. Baza Active Directory este un mediu bazat pe domeniu în care numărul de obiecte poate fi de până la 2 miliarde. Vă puteți imagina această scară?

Adică, cu ajutorul unei astfel de „păduri” sau baze de date, este posibil să se conecteze un număr mare de angajați și echipamente în birou și fără referire la loc - în servicii pot fi conectați și alți utilizatori, de exemplu , de la biroul unei firme din alt oraș.

În plus, mai multe domenii sunt create și fuzionate în cadrul Active Directory - cu cât compania este mai mare, cu atât sunt necesare mai multe instrumente pentru a-și controla tehnologia în baza de date.

În plus, atunci când se creează o astfel de rețea, se determină un domeniu de control și, chiar și cu prezența ulterioară a altor domenii, cel inițial rămâne în continuare „părintele” - adică doar el are acces deplin la gestionarea informațiilor.

Unde sunt stocate aceste date și cum există domeniile? Controllerele sunt folosite pentru a crea Active Directory. De obicei, sunt două dintre ele - dacă se întâmplă ceva cu unul, informațiile vor fi salvate pe al doilea controler.

O altă opțiune de utilizare a bazei de date este dacă, de exemplu, compania dvs. colaborează cu alta și trebuie să finalizați un proiect comun. În acest caz, poate fi necesar accesul persoanelor neautorizate la fișierele de domeniu, iar aici puteți stabili un fel de „relație” între două „păduri” diferite, accesul deschis la informațiile solicitate fără a risca securitatea restului date.

În general, Active Directory este un instrument de creare a unei baze de date în cadrul unei anumite structuri, indiferent de dimensiunea acesteia. Utilizatorii și toate echipamentele sunt unite într-o singură „pădure”, sunt create domenii, care sunt situate pe controlere.

De asemenea, este recomandabil să clarificați că serviciile pot funcționa numai pe dispozitive cu sisteme server Windows. În plus, pe controlere sunt create 3-4 servere DNS. Acestea deservesc zona principală a domeniului, iar în cazul în care unul dintre ele eșuează, alte servere îl înlocuiesc.

După o scurtă prezentare generală a Active Directory pentru manechin, sunteți în mod natural interesat de întrebarea - de ce să schimbați un grup local într-o bază de date întreagă? Desigur, aici câmpul de posibilități este de multe ori mai larg, iar pentru a afla și alte diferențe între aceste servicii pentru managementul sistemului, să aruncăm o privire mai atentă asupra avantajelor acestora.

Beneficii Active Directory

Avantajele Active Directory sunt următoarele:

  1. Utilizarea unei singure resurse pentru autentificare. În această situație, trebuie să adăugați toate conturile pe fiecare computer care necesită acces la informații generale. Cu cât sunt mai mulți utilizatori și tehnicieni, cu atât este mai dificilă sincronizarea acestor date între ei.

Și astfel, atunci când utilizați servicii cu o bază de date, conturile sunt stocate la un moment dat, iar modificările intră în vigoare imediat pe toate computerele.

Cum functioneaza? Fiecare angajat care sosește la birou pornește sistemul și se conectează la contul său. Cererea de autentificare va fi transmisă automat la server și autentificarea va avea loc prin intermediul acestuia.

În ceea ce privește o anumită ordine în ținerea evidenței, puteți oricând împărți utilizatorii în grupuri - „Resurse umane” sau „Contabilitate”.

Este și mai ușor în acest caz să oferiți acces la informații - dacă trebuie să deschideți un folder pentru angajații dintr-un departament, o faceți prin baza de date. Împreună au acces la folderul de date solicitat, în timp ce restul documentelor rămân închise.

  1. Control asupra fiecărui membru al bazei de date.

Dacă într-un grup local fiecare membru este independent, este dificil să îl controlezi de pe alt computer, atunci anumite reguli pot fi stabilite în domenii în conformitate cu politica companiei.

În calitate de administrator de sistem, puteți configura setările de acces și setările de securitate și apoi le puteți aplica pentru fiecare grup de utilizatori. Desigur, în funcție de ierarhie, un grup poate defini setări mai stricte, în timp ce altora li se poate da acces la alte fișiere și acțiuni din sistem.

În plus, atunci când o persoană nouă se alătură companiei, computerul său va primi imediat setul necesar de setări, unde sunt incluse componente pentru lucru.

  1. Versatilitate în instalarea software-ului.

Apropo, despre componente - cu ajutorul Active Directory puteți aloca imprimante, puteți instala simultan programele necesare pentru toți angajații, puteți seta parametrii de confidențialitate. În general, crearea unei baze de date va optimiza semnificativ munca, va monitoriza siguranța și va uni utilizatorii pentru o eficiență maximă.

Iar dacă o companie operează o utilitate separată sau servicii speciale, acestea pot fi sincronizate cu domeniile și accesul simplificat la acestea. Cum? Dacă combinați toate produsele utilizate în companie, angajatul nu va trebui să introducă diferite date de conectare și parole pentru a se conecta la fiecare program - aceste informații vor fi partajate.

Acum că înțelegeți beneficiile și implicațiile utilizării Active Directory, să parcurgem procesul de instalare a acestor servicii.

Utilizarea unei baze de date pe Windows Server 2012

Instalarea și configurarea Active Directory nu este dificilă și este, de asemenea, mai ușoară decât pare la prima vedere.

Pentru a încărca serviciile, mai întâi trebuie să faceți următoarele:

  1. Schimbați numele computerului: faceți clic pe „Start”, deschideți Panoul de control, elementul „Sistem”. Selectați „Modificați parametrii” și în Proprietăți vizavi de linia „Nume computer” faceți clic pe „Modificați”, introduceți o nouă valoare pentru computerul gazdă.
  2. Reporniți la cererea computerului.
  3. Setați setările de rețea astfel:
    • Din panoul de control, deschideți meniul Rețele și partajare.
    • Setări corecte ale adaptorului. Faceți clic dreapta pe Proprietăți și faceți clic pe fila Rețea.
    • În fereastra din listă, faceți clic pe protocolul Internet la numărul 4, faceți din nou clic pe „Proprietăți”.
    • Introduceți setările necesare, de exemplu: adresa IP - 192.168.10.252, masca de subrețea - 255.255.255.0, subgateway principal - 192.168.10.1.
    • În linia „Server DNS preferat” specificați adresa serverului local, în „Alternative...” - alte adrese ale serverelor DNS.
    • Salvați modificările și închideți ferestrele.

Instalați rolurile Active Directory astfel:

  1. Deschideți „Managerul serverului” de la început.
  2. Din meniu, selectați Adăugați roluri și funcții.
  3. Vrăjitorul va porni, dar puteți sări peste prima fereastră de descriere.
  4. Verificați linia „Instalarea rolurilor și funcțiilor”, continuați.
  5. Selectați computerul pentru a instala Active Directory pe el.
  6. Din listă, marcați rolul pe care doriți să îl încărcați - pentru cazul dvs., acesta este „Active Directory Domain Services”.
  7. Va apărea o mică fereastră care vă va cere să descărcați componentele necesare pentru servicii - acceptați-o.
  8. Apoi vi se va solicita să instalați alte componente - dacă nu aveți nevoie de ele, săriți peste acest pas făcând clic pe „Următorul”.
  9. Expertul de configurare va afișa o fereastră cu descrieri ale serviciilor pe care le instalați - citiți mai departe și continuați.
  10. Va apărea o listă de componente pe care urmează să le instalăm - verificați dacă totul este corect și, dacă da, apăsați butonul corespunzător.
  11. Închideți fereastra când procesul este finalizat.
  12. Asta este - serviciile sunt încărcate pe computer.

Configurarea Active Directory

Pentru a configura un serviciu de domeniu, trebuie să faceți următoarele:

  • Rulați vrăjitorul de configurare cu același nume.
  • Faceți clic pe indicatorul galben din partea de sus a ferestrei și selectați Promovare rol server la controler de domeniu.
  • Faceți clic pe adăugați o nouă „pădure” și creați un nume pentru domeniul rădăcină, apoi faceți clic pe „Următorul”.
  • Specificați nivelurile funcționale ale pădurii și ale domeniului - cel mai adesea sunt aceleași.
  • Veniți cu o parolă, dar asigurați-vă că o amintiți. Continuați mai departe.
  • După aceea, este posibil să vedeți un avertisment că domeniul nu este delegat și o propunere de verificare a numelui domeniului - puteți sări peste acești pași.
  • În fereastra următoare, puteți schimba calea către directoarele bazei de date - faceți acest lucru dacă acestea nu vă convin.
  • Acum veți vedea toți parametrii pe care urmează să îi setați - vedeți dacă i-ați ales corect și continuați.
  • Aplicația va verifica dacă sunt îndeplinite condițiile preliminare, iar dacă nu există comentarii sau nu sunt critice, faceți clic pe „Instalare”.
  • După finalizarea instalării, computerul se va reporni singur.

S-ar putea să vă întrebați, de asemenea, cum să adăugați un utilizator la baza de date. Pentru a face acest lucru, utilizați meniul „Utilizatori sau computere Active Directory”, pe care îl veți găsi în secțiunea „Administrare” a panoului de control, sau utilizați meniul de setări a bazei de date.

Pentru a adăuga un utilizator nou, faceți clic dreapta pe numele domeniului, selectați „Creare”, după „Subdiviziune”. Veți vedea o fereastră în care trebuie să introduceți numele noului departament - servește ca un folder în care puteți colecta utilizatori din diferite departamente. În același mod, mai târziu vei mai crea câteva divizii și vei plasa corect toți angajații.

Apoi, când ați creat numele departamentului, faceți clic dreapta pe el și selectați „Nou”, după - „Utilizator”. Acum nu mai rămâne decât să introduceți datele necesare și să setați setările de acces pentru utilizator.

Când este creat un profil nou, faceți clic pe el selectând meniul contextual și deschideți „Proprietăți”. În fila „Cont”, eliminați bifa de lângă „Blocați...”. Asta e tot.

Concluzia generală este că Active Directory este un instrument puternic și util de gestionare a sistemului, care va ajuta la unirea tuturor computerelor angajaților într-o singură echipă. Cu ajutorul serviciilor, puteți crea o bază de date securizată și puteți optimiza semnificativ munca și sincronizarea informațiilor între toți utilizatorii. Dacă compania dvs. și orice alt loc de muncă este conectat la computere și la rețea, trebuie să combinați conturile și să monitorizați munca și confidențialitatea, instalarea unei baze de date bazată pe Active Directory va fi o soluție excelentă.

Orice utilizator începător, confruntat cu acronimul AD, se întreabă ce este Active Directory? Active Directory este un serviciu de directoare dezvoltat de Microsoft pentru rețelele de domenii Windows. Este inclus în majoritatea sistemelor de operare Windows Server ca un set de procese și servicii. Inițial, serviciul se ocupa doar de domenii. Cu toate acestea, de la Windows Server 2008, AD a devenit numele pentru o gamă largă de servicii de identitate bazate pe directoare. Acest lucru face ca Active Directory să fie un loc mai bun de învățat pentru începători.

Definiție de bază

Serverul care rulează Active Directory Domain Services se numește controler de domeniu. Acesta autentifică și autorizează toți utilizatorii și computerele din domeniul rețelei Windows, atribuind și impunând politici de securitate pentru toate PC-urile și instalând sau actualizând software-ul. De exemplu, când un utilizator se conectează la un computer care este inclus într-un domeniu Windows, Active Directory validează parola furnizată și determină dacă obiectul este un administrator de sistem sau un utilizator standard. De asemenea, vă permite să gestionați și să stocați informații, oferă mecanisme de autentificare și autorizare și stabilește un cadru pentru implementarea altor servicii conexe: servicii de certificate, servicii de directoare federate și ușoare și gestionarea drepturilor.

Active Directory folosește versiunile LDAP 2 și 3, versiunea Microsoft de Kerberos și DNS.

Ce este Active Directory? Cu cuvinte simple despre complex

Urmărirea datelor din rețea este o sarcină obositoare. Chiar și în rețelele mici, utilizatorii tind să întâmpine dificultăți în a găsi fișiere și imprimante de rețea. Fără un fel de director, rețelele medii și mari nu pot fi gestionate și adesea au dificultăți în găsirea resurselor.

Versiunile anterioare ale Microsoft Windows au inclus servicii pentru a ajuta utilizatorii și administratorii să găsească date. Rețeaua este utilă în multe medii, dar dezavantajul evident este interfața incomodă și imprevizibilitatea acesteia. WINS Manager și Server Manager pot fi folosite pentru a vizualiza lista de sisteme, dar acestea nu erau disponibile pentru utilizatorii finali. Administratorii au folosit User Manager pentru a adăuga și elimina datele unui tip complet diferit de obiect de rețea. Aceste aplicații s-au dovedit a fi ineficiente pentru lucrul în rețele mari și au ridicat întrebarea, de ce în compania Active Directory?

Un director, în sensul său cel mai general, este o listă completă de obiecte. O agendă de telefon este un tip de director care stochează informații despre oameni, întreprinderi și organizații guvernamentale șiele conțin de obicei nume, adrese și numere de telefon. Punând întrebarea Active Directory - ce este, în termeni simpli, putem spune că această tehnologie este asemănătoare unui director, dar este mult mai flexibilă. AD stochează informații despre organizații, site-uri, sisteme, utilizatori, partajări și orice alt obiect de rețea.

Introducere în conceptele de bază ale Active Directory

De ce o organizație are nevoie de Active Directory? După cum sa menționat în introducerea la Active Directory, un serviciu stochează informații despre componentele rețelei. Tutorialul Active Directory pentru începători afirmă că este permite clienților să găsească obiecte în spațiul lor de nume. Acest t Un termen (numit și arbore de consolă) se referă la zona în care poate fi localizată o componentă de rețea. De exemplu, cuprinsul unei cărți creează un spațiu de nume în care capitolele pot fi mapate la numere de pagină.

DNS este un arbore de consolă care rezolvă numele de gazdă în adrese IP astfelAgenda telefonică oferă un spațiu de nume pentru rezoluția numelor pentru numerele de telefon. Cum funcționează acest lucru în Active Directory? AD oferă un arbore de consolă pentru rezolvarea numelor obiectelor de rețea la obiectele în sine șipoate rezolva o mare varietate de obiecte, inclusiv utilizatori, sisteme și servicii din rețea.

Obiecte și atribute

Orice lucru pe care Active Directory monitorizează este considerat un obiect. Putem spune în cuvinte simple că asta în Active Directory este orice utilizator, sistem, resursă sau serviciu. Termenul comun obiect este folosit deoarece AD ​​este capabil să țină evidența multor elemente și multe obiecte pot împărtăși atribute comune. Ce înseamnă?

Atributele descriu obiecte din directorul activ al Active Directory, de exemplu, toate obiectele personalizate partajează atribute pentru a stoca numele utilizatorului. Acest lucru este valabil și pentru descrierea lor. Sistemele sunt, de asemenea, obiecte, dar au un set separat de atribute care includ numele de gazdă, adresa IP și locația.

Setul de atribute disponibile pentru orice tip particular de obiect se numește schema. Face ca clasele de obiecte să fie diferite unele de altele. Informațiile despre schemă sunt de fapt stocate în Active Directory. Faptul că acest comportament al protocolului de securitate este foarte important este indicat de faptul că schema permite administratorilor să adauge atribute la clasele de obiecte și să le distribuie în rețea în toate colțurile domeniului fără a reporni niciun controler de domeniu.

Container LDAP și nume

Un container este un tip special de obiect care este folosit pentru a organiza funcționarea unui serviciu. Nu reprezintă o entitate fizică precum un utilizator sau un sistem. În schimb, este folosit pentru a grupa alte elemente împreună. Obiectele containerului pot fi imbricate în alte containere.

Fiecare articol din AD are un nume. Acestea nu sunt cele cu care sunteți obișnuiți, de exemplu, Ivan sau Olga. Acestea sunt nume distincte LDAP. Numele distinctive LDAP sunt complexe, dar permit oricărui obiect dintr-un director să fie identificat în mod unic, indiferent de tipul acestuia.

Arborele termenului și site-ul

Un arbore de termeni este folosit pentru a descrie un set de obiecte din Active Directory. Ce este asta? În termeni simpli, acest lucru poate fi explicat folosind o asociere de arbore. Atunci când containerele și obiectele sunt combinate ierarhic, ele tind să formeze ramuri - de unde și numele. Un termen înrudit este un subarbore contiguu, care se referă la trunchiul principal care nu poate fi spart al unui copac.

Continuând cu metafora, termenul pădure descrie o colecție care nu face parte din același spațiu de nume, dar are o schemă comună, o configurație și un catalog global. Obiectele din aceste structuri sunt disponibile pentru toți utilizatorii dacă securitatea permite. Organizațiile cu mai multe domenii ar trebui să grupeze copacii într-o singură pădure.

Un site este o locație geografică așa cum este definită în Active Directory. Site-urile corespund subrețelelor IP logice și, ca atare, pot fi folosite de aplicații pentru a găsi cel mai apropiat server din rețea. Utilizarea informațiilor despre site din Active Directory poate reduce semnificativ traficul WAN.

Managementul Active Directory

Componentă a snap-in-ului Active Directory - Utilizatori. Este cel mai convenabil instrument pentru administrarea Active Directory. Este direct accesibil din grupul de programe Instrumente administrative din meniul Start. Acesta înlocuiește și îmbunătățește Server Manager și User Manager din Windows NT 4.0.


Siguranță

Active Directory joacă un rol important în viitorul rețelelor Windows. Administratorii ar trebui să își poată proteja directorul de intruși și utilizatori în timp ce deleg sarcini altor administratori. Toate acestea sunt posibile folosind modelul de securitate Active Directory, care asociază o listă de control al accesului (ACL) cu fiecare container și atribut obiect din director.

Nivelul ridicat de control permite administratorului să acorde utilizatorilor individuali și grupurilor diferite niveluri de permisiuni asupra obiectelor și proprietăților acestora. Ele pot chiar adăuga atribute la obiecte și pot ascunde acele atribute de anumite grupuri de utilizatori. De exemplu, puteți seta un ACL astfel încât numai managerii să poată vizualiza telefoanele de acasă ale altor utilizatori.

Administrare delegată

Un concept nou pentru Windows 2000 Server este administrarea delegată. Acest lucru vă permite să atribuiți sarcini altor utilizatori fără a acorda drepturi de acces suplimentare. Administrarea delegată poate fi atribuită prin obiecte specifice sau subarbori de directoare contigu. Aceasta este o metodă mult mai eficientă de a acorda autoritate asupra rețelelor.

V atribuind cuiva toate drepturile globale de administrator de domeniu, unui utilizator i se pot acorda permisiuni numai într-un anumit subarboresc. Active Directory acceptă moștenirea, astfel încât orice obiect nou moștenește ACL din containerul lor.

Termenul „relație de încredere”

Termenul „încredere” este încă folosit, dar are o funcționalitate diferită. Nu există nicio distincție între trusturile unilaterale și bilaterale. Toate trusturile Active Directory sunt bidirecționale. În plus, toate sunt tranzitive. Deci, dacă domeniul A are încredere în domeniul B și B are încredere în C, atunci există o relație automată de încredere implicită între domeniul A și domeniul C.

Auditarea în Active Directory - ce este în termeni simpli? Aceasta este o caracteristică de securitate care vă permite să determinați cine încearcă să acceseze obiecte, precum și cât de reușită este această încercare.

Utilizarea DNS (Domain Name System)

Un sistem DNS diferit este esențial pentru orice organizație conectată la Internet. DNS oferă rezoluție de nume între nume comune, cum ar fi mspress.microsoft.com și adrese IP brute pe care componentele stratului de rețea le folosesc pentru a comunica.

Active Directory folosește tehnologia DNS pentru a găsi obiecte. Aceasta este o schimbare semnificativă față de sistemele de operare Windows anterioare, care necesită ca numele NetBIOS să fie rezolvate prin adrese IP și se bazează pe WINS sau alte tehnici de rezoluție a numelui NetBIOS.

Active Directory funcționează cel mai bine atunci când este utilizat cu servere DNS Windows 2000. Microsoft a facilitat migrarea administratorilor la serverele DNS Windows 2000 prin furnizarea de vrăjitori de migrare care ghidează administratorul prin proces.

Alte servere DNS pot fi utilizate. Cu toate acestea, în acest caz, administratorii vor trebui să petreacă mai mult timp gestionând bazele de date DNS. Care sunt nuanțele? Dacă alegeți să nu utilizați serverele DNS Windows 2000, trebuie să vă asigurați că serverele DNS respectă noul protocol de actualizare dinamică DNS. Serverele se bazează pe actualizarea dinamică a înregistrărilor lor pentru a găsi controlere de domeniu. Nu este confortabil. La urma urmei, eDacă actualizarea dinamică nu este acceptată, trebuie să actualizați manual bazele de date.

Domeniile Windows și domeniile de internet sunt acum pe deplin compatibile. De exemplu, un nume precum mspress.microsoft.com va identifica controlorii de domeniu Active Directory responsabili pentru domeniu, astfel încât orice client cu acces DNS poate găsi controlerul de domeniu.Clienții pot folosi rezoluția DNS pentru a căuta orice număr de servicii, deoarece serverele Active Directory publică lista de adrese în DNS folosind noua funcționalitate de actualizare dinamică. Aceste date sunt identificate ca un domeniu și publicate prin înregistrările resurselor de serviciu. SRV RR urmează formatul serviciu.protocol.domeniu.

Serverele Active Directory furnizează serviciul LDAP pentru a găzdui obiectul, iar LDAP utilizează TCP ca protocol de transport de bază. Prin urmare, un client care caută un server Active Directory în domeniul mspress.microsoft.com va căuta înregistrarea DNS pentru ldap.tcp.mspress.microsoft.com.

Catalog global

Active Directory oferă un catalog global (GC) șioferă o singură sursă pentru găsirea oricărui obiect din rețeaua organizației.

Catalogul global este un serviciu din Windows 2000 Server care permite utilizatorilor să găsească orice obiecte cărora li sa acordat acces. Această funcționalitate este cu mult superioară celei a aplicației Find Computer inclusă cu versiunile anterioare de Windows. La urma urmei, utilizatorii pot căuta orice obiect în Active Directory: servere, imprimante, utilizatori și aplicații.

O componentă fundamentală a Serviciilor de domeniu din fiecare organizație sunt Principalii de securitate (numit inițial Principalul de securitate), care oferă utilizatorilor, grupurilor sau computerelor care au nevoie de acces la anumite resurse din rețea. Obiectelor precum principalele de securitate le puteți acorda permisiuni pentru a accesa resursele din rețea, fiecărui principal fiindu-i atribuit un identificator de securitate unic (SID) în timpul creării obiectului, care constă din două părți. ID de securitate SID numită reprezentare numerică care identifică în mod unic un principal de securitate. Prima parte a unui astfel de identificator este id de domeniu... Deoarece principalii de securitate sunt localizați în același domeniu, tuturor acestor obiecte li se atribuie același identificator de domeniu. A doua parte a SID este identificator relativ (RID) care este utilizat pentru a identifica în mod unic principalul de securitate în raport cu agenția care emite SID.

Deși majoritatea organizațiilor planifică și implementează o infrastructură de servicii de domeniu o singură dată și rareori fac modificări la majoritatea obiectelor, o excepție importantă de la această regulă o reprezintă principiile de securitate care trebuie adăugate, modificate și eliminate din când în când. Conturile de utilizator sunt una dintre componentele fundamentale ale identificării. Practic, conturile de utilizator sunt entități fizice, în mare parte persoane, care sunt angajați ai organizației dvs., dar există excepții în care conturile de utilizator sunt create pentru unele aplicații ca servicii. Conturile de utilizator joacă un rol critic în administrarea întreprinderii. Aceste roluri includ:

  • Identitatea utilizatorilor, deoarece contul creat vă permite să vă conectați la computere și domenii cu exact datele a căror autenticitate este verificată de domeniu;
  • Permisiuni de acces la resurse de domeniu care sunt atribuite unui utilizator pentru a acorda acces la resursele domeniului pe baza permisiunilor explicite.

Obiectele contului de utilizator sunt printre cele mai comune obiecte din Active Directory. Administratorii trebuie să le acorde o atenție deosebită conturilor de utilizator, deoarece utilizatorii tind să vină să lucreze într-o organizație, să se deplaseze între departamente și birouri, să se căsătorească, să se căsătorească, să divorțeze și chiar să părăsească compania. Astfel de obiecte sunt un set de atribute și un singur cont de utilizator poate conține peste 250 de atribute diferite, ceea ce este de câteva ori mai mare decât numărul de atribute de pe stațiile de lucru și computerele care rulează Linux. Când creați un cont de utilizator, este creat un set limitat de atribute și numai atunci puteți adăuga acreditări de utilizator, cum ar fi informații despre organizație, adrese de utilizator, numere de telefon și multe altele. Prin urmare, este important de reținut că unele atribute sunt obligatoriu si restul - opțional... În acest articol, voi vorbi despre metodele cheie pentru crearea conturilor de utilizator, câteva atribute opționale și, de asemenea, voi descrie instrumentele pentru automatizarea acțiunilor de rutină asociate cu crearea conturilor de utilizator.

Creați utilizatori utilizând utilizatori și computere Active Directory

În majoritatea covârșitoare a cazurilor, administratorii de sistem preferă să folosească snap-in-ul, care este adăugat la folder "Administrare" imediat după instalarea rolului Servicii de domeniu Active Directoryși promovarea serverului la un controler de domeniu. Această metodă este cea mai convenabilă deoarece folosește o interfață grafică cu utilizatorul pentru a crea principii de securitate, iar Expertul Creare cont de utilizator este foarte ușor de utilizat. Dezavantajul acestei metode este că atunci când creați un cont de utilizator, nu puteți seta imediat majoritatea atributelor și va trebui să adăugați atributele necesare prin editarea contului. Pentru a crea un cont personalizat, urmați acești pași:

  • În câmp "Nume" Introduceți numele de utilizator;
  • În câmp „inițiale” introduceți inițialele sale (cel mai adesea, inițialele nu sunt folosite);
  • În câmp "Nume de familie" introduceți numele de familie al utilizatorului creat;
  • Camp "Numele complet" folosit pentru a crea atribute ale obiectului generat, cum ar fi numele comun CNși afișarea proprietăților numelui. Acest câmp trebuie să fie unic în întregul domeniu și este completat automat și trebuie să îl modificați doar dacă este necesar;
  • Camp „Nume de conectare al utilizatorului” este necesar și destinat pentru autentificarea domeniului utilizatorului. Aici trebuie să introduceți numele de utilizator și din lista derulantă selectați sufixul UPN, care va fi localizat după simbolul @;
  • Camp Nume de conectare utilizator (pre-Windows 2000) destinat numelui de autentificare pentru sistemele anterioare sistemului de operare Windows 2000. În ultimii ani, organizațiile au din ce în ce mai puțini proprietari ai unor astfel de sisteme, dar acest câmp este obligatoriu, deoarece unele software folosesc acest atribut pentru a identifica utilizatorii;

După completarea tuturor câmpurilor obligatorii, faceți clic pe butonul "Mai departe":

Orez. 2. Caseta de dialog pentru crearea unui cont de utilizator

  • Pe pagina următoare a expertului pentru crearea unui cont de utilizator, va trebui să introduceți parola inițială de utilizator în câmp "Parola"și confirmați-l pe teren "Confirmare"... În plus, puteți selecta un atribut care indică faptul că prima dată când un utilizator se conectează la sistem, utilizatorul trebuie să schimbe independent parola pentru contul său. Cel mai bine este să utilizați această opțiune împreună cu politicile locale de securitate. „Politica privind parolele” pentru a crea parole puternice pentru utilizatorii dvs. De asemenea, bifând caseta de pe opțiune „Preveniți utilizatorul să schimbe parola” oferiți utilizatorului parola și împiedicați schimbarea acesteia. La alegerea unei opțiuni „Parola nu expiră” parola pentru contul de utilizator nu va expira niciodată și nu va trebui schimbată periodic. Dacă bifați caseta "Dezactivați Account-ul", atunci acest cont nu va fi destinat lucrărilor ulterioare, iar un utilizator cu un astfel de cont nu se va putea conecta până când nu este pornit. Această opțiune, la fel ca majoritatea atributelor, va fi discutată în următoarea secțiune a acestui articol. După ce ați selectat toate atributele, faceți clic pe butonul "Mai departe"... Această pagină expert este descrisă în următoarea ilustrație:

    • Orez. 3. Crearea unei parole pentru contul creat

  • Pe ultima pagină a expertului, veți vedea un rezumat al parametrilor introduși. Dacă informațiile sunt introduse corect, faceți clic pe butonul "Gata" pentru a crea un cont de utilizator și a finaliza expertul.

    • Crearea utilizatorilor din șabloane

    Organizațiile au de obicei multe divizii sau departamente care includ utilizatorii dvs. În aceste departamente, utilizatorii au proprietăți similare (de exemplu, numele departamentului, funcția, numărul biroului etc.). Pentru gestionarea cât mai eficientă a conturilor de utilizator dintr-un departament, de exemplu, folosind politici de grup, este indicat să le creați în cadrul domeniului în departamente speciale (cu alte cuvinte, containere) pe baza de șabloane. Șablon de cont este un cont care a apărut pentru prima dată pe vremea sistemelor de operare Windows NT, în care sunt pre-populate atributele comune tuturor utilizatorilor creați. Pentru a crea un șablon de cont de utilizator, urmați acești pași:

    • Sunt comune... Această filă este destinată completării atributelor individuale definite de utilizator. Aceste atribute includ numele și prenumele utilizatorului, o scurtă descriere a contului, numărul de telefon de contact al utilizatorului, numărul camerei, contul său de e-mail și site-ul web. Datorită faptului că aceste informații sunt individuale pentru fiecare utilizator în parte, datele completate în această filă nu sunt copiate;
    • Adresa... În fila curentă, puteți completa cutia poștală, orașul, statul, codul poștal și țara de reședință a utilizatorilor care vor fi creați pe baza acestui șablon. Deoarece fiecare utilizator nu are de obicei aceleași nume de străzi, datele din acest câmp nu pot fi copiate;
    • Cont... În această filă, puteți specifica ora exactă de conectare a utilizatorului, computerele pe care utilizatorii le vor putea accesa, parametrii contului precum stocarea parolelor, tipurile de criptare etc., precum și perioada de valabilitate a contului;
    • Profil... Fila curentă vă permite să specificați calea către profil, scriptul de conectare, calea locală către folderul de acasă, precum și unitățile de rețea în care va fi localizat folderul de acasă al contului;
    • Organizare... Pe această filă, puteți specifica funcția angajaților, departamentul în care lucrează, numele organizației, precum și numele șefului departamentului;
    • Membrii grupului... Grupul principal și apartenența la grup sunt listate aici.

    Acestea sunt principalele file care sunt completate atunci când creați șabloane de cont. Pe lângă aceste șase file, puteți completa și informații în 13 file. Cele mai multe dintre aceste file vor fi acoperite în articolele ulterioare din această serie.

  • Următorul pas este să creați un cont de utilizator pe baza șablonului curent. Pentru a face acest lucru, faceți clic dreapta pe șablonul de cont și selectați comanda din meniul contextual "Copie";
  • În caseta de dialog „Copiați obiectul - Utilizator” introduceți prenumele, prenumele și numele de conectare ale utilizatorului. Pe pagina următoare, introduceți parola și confirmarea și debifați opțiunea "Dezactivați Account-ul"... Finalizați vrăjitorul;

    • Orez. 5. Caseta de dialog pentru copierea contului de utilizator

  • După crearea contului, accesați proprietățile contului creat și vizualizați proprietățile pe care le adăugați la șablon. Atributele configurate vor fi copiate în noul cont.

    • Crearea utilizatorilor folosind instrumente de linie de comandă

    La fel ca în majoritatea lucrurilor, sistemul de operare Windows are utilitare de linie de comandă cu funcționalități similare cu interfața grafică de utilizator snap-in Utilizatori și computere Active Directory... Astfel de comenzi se numesc comenzi DS deoarece încep cu literele DS. Pentru a crea principii de securitate, utilizați comanda Dsadd... După comanda în sine, există modificatori care definesc tipul și DN-ul obiectului. În cazul creării conturilor de utilizator, trebuie să specificați modificatorul utilizator care este tipul obiectului. După tipul obiectului, trebuie să introduceți numele DN al obiectului însuși. Numele distinctiv (DN) al unui obiect este un set de rezultate care conține numele distinctiv. DN-ul este de obicei urmat de numele de utilizator UPN sau numele de conectare al versiunilor anterioare de Windows. Dacă numele DN conține spații, atunci numele trebuie să fie cuprins între ghilimele. Sintaxa comenzii este următoarea:

    Dsadd user DN_name –samid account_name –UPN_name –pwd password –parametri suplimentari

    Cu această comandă pot fi utilizați 41 de parametri. Să luăm în considerare cele mai comune:

    -samid- numele contului de utilizator;

    -upn- numele de conectare al utilizatorului pre-Windows 2000;

    -fn- nume de utilizator, care este completat în câmpul din interfața grafică "Nume";

    -mi- initiala utilizatorului;

    -ln- numele de familie al utilizatorului, specificat în câmpul „Nume” al expertului pentru crearea unui cont de utilizator;

    -afişa- specifică numele complet al utilizatorului, care este generat automat în interfața cu utilizatorul;

    -empid- cod de angajat care este creat pentru utilizator;

    -pwd- un parametru care definește o parolă de utilizator. În cazul în care specificați un asterisc (*), vi se va solicita să introduceți parola utilizatorului în modul protejat de vizualizare;

    -desc- o scurtă descriere a contului de utilizator;

    -membru al- un parametru care determină apartenența utilizatorului la unul sau mai multe grupuri;

    -birou- locația biroului în care lucrează utilizatorul. În proprietățile contului, această setare poate fi găsită în fila "Organizare";

    -tel- numărul de telefon de contact al utilizatorului actual;

    -e-mail- adresa de e-mail a utilizatorului, care poate fi găsită în filă "Sunt comune";

    -acasa- parametru care indică numărul de telefon de acasă al utilizatorului;

    -mobil- numărul de telefon al utilizatorului mobil;

    -fax- numărul de fax utilizat de utilizatorul actual;

    -titlu- pozitia utilizatorului in organizatia data;

    -dept- acest parametru vă permite să specificați numele departamentului în care lucrează acest utilizator;

    -companie- numele firmei în care lucrează utilizatorul creat;

    -hmdir- directorul principal al utilizatorului, în care vor fi localizate documentele acestuia;

    -hmdrv- calea către unitatea de rețea în care va fi localizat folderul de acasă al contului

    -profil- calea profilului utilizatorului;

    -mustchpwd- acest parametru indică faptul că data viitoare când utilizatorul se autentifică în sistem, acesta este obligat să-și schimbe parola;

    -canchpwd- un parametru care determină dacă utilizatorul trebuie să-și schimbe parola. Dacă valoarea parametrului specifică "Da", atunci utilizatorul va avea opțiunea de a schimba parola;

    -reversibilpwd- parametrul curent definește stocarea parolei utilizatorului folosind criptarea inversă;

    -pwdnu expiră Este un parametru care indică faptul că parola nu va expira niciodată. În toți acești patru parametri, numai "Da" sau "Nu";

    -acctexpires- un parametru care determină după câte zile va expira contul. O valoare pozitivă reprezintă numărul de zile după care contul va expira, în timp ce o valoare negativă înseamnă că acesta a expirat deja;

    -dezactivat- indică faptul că contul a fost deja dezactivat. Valorile pentru acest parametru sunt de asemenea "Da" sau "Nu";

    -q- indicarea modului silențios pentru procesarea comenzilor.

    Exemplu de utilizare:

    Adăugați utilizatorul „cn = Alexey Smirnov, OU = Marketing, OU = Users, DC = testdomain, DC = com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -afișează „Alexey Smirnov” - tel „743-49-62” -email [email protected]-dept Marketing -company TestDomain -title Marketer -hmdir \\ dc \ profiles \ Alexey.Smirnov -hmdrv X -mustchpwd da -dezactivat nu

    Orez. 6. Crearea unui cont de utilizator utilizând utilitarul Dsadd

    Creați utilizatori utilizând comanda CSVDE

    Un alt utilitar de linie de comandă CSVDE vă permite să importați sau să exportați obiecte Active Direcoty prezentate ca fișier cvd - un fișier text separat prin virgulă care poate fi creat folosind o foaie de calcul Microsoft Excel sau cel mai simplu editor de text Notepad. În acest fișier, fiecare obiect este reprezentat de o linie și trebuie să conțină atributele care sunt listate pe prima linie. Merită să acordați atenție faptului că folosind această comandă nu puteți importa parolele de utilizator, adică imediat după finalizarea operațiunii de import, conturile de utilizator vor fi dezactivate. Un exemplu de astfel de fișier este următorul:

    Orez. 7. Prezentarea fisierului CSV

    Sintaxa comenzii este următoarea:

    Csvde –i –f nume fișier.csv –k

    • -i... Parametrul care este responsabil pentru modul de import. Dacă nu specificați acest parametru, atunci această comandă va folosi modul implicit de export;
    • -f
    • -k
    • -v
    • -j
    • -u... O opțiune de utilizare a modului Unicode.

    Un exemplu de utilizare a comenzii:

    Csvde -i -f d: \ testdomainusers.csv -k

    Orez. 8. Importarea conturilor de utilizator dintr-un fișier CSV

    Importarea utilizatorilor utilizând LDIFDE

    Utilitarul de linie de comandă Ldifde vă permite, de asemenea, să importați sau să exportați obiecte Active Directory utilizând formatul de fișier LDIF (Lightweight Directory Access Protocol Data Interchange File). Acest format de fișier constă dintr-un bloc de linii care formează o operațiune specifică. Spre deosebire de fișierele CSV, în acest format de fișier, fiecare linie individuală este un set de atribute, urmate de două puncte și valoarea reală a atributului curent. Ca și în fișierul CSV, prima linie trebuie să fie atributul DN. Este urmată de un șir changeType care indică tipul de operație (adăugare, modificare sau ștergere). Pentru a învăța să înțelegeți acest format de fișier, trebuie să învățați cel puțin atributele cheie ale principalilor de securitate. Un exemplu este oferit mai jos:

    Orez. 9. Exemplu de fișier LDF

    Sintaxa comenzii este următoarea:

    Ldifde -i -f numefișier.csv -k

    • -i... Parametrul care este responsabil pentru modul de import. Dacă nu specificați acest parametru, atunci această comandă va folosi modul implicit de export;
    • -f... Un parametru care identifică numele fișierului care urmează să fie importat sau exportat;
    • -k... Parametrul destinat să continue importul, omitând toate erorile posibile;
    • -v... Un parametru cu ajutorul căruia puteți afișa informații detaliate;
    • -j... Parametrul responsabil pentru locația fișierului jurnal;
    • -d... Un parametru care specifică rădăcina căutării LDAP;
    • -f... Parametru pentru filtrul de căutare LDAP;
    • -p... Reprezintă zona sau adâncimea căutării;
    • -l... Conceput pentru a specifica o listă de atribute separate prin virgulă care vor fi incluse în exportul obiectelor rezultate;

    Crearea de utilizatori cu VBScript

    VBScript este unul dintre cele mai puternice instrumente pentru automatizarea sarcinilor administrative. Acest instrument vă permite să creați scripturi concepute pentru a automatiza majoritatea acțiunilor care pot fi efectuate prin interfața cu utilizatorul. Scripturile VBScript sunt fișiere text pe care utilizatorii le pot edita de obicei cu editori de text obișnuiți (cum ar fi Notepad). Și pentru a executa scripturi, trebuie doar să faceți dublu clic pe pictograma scriptului în sine, care se va deschide folosind comanda Wscript. Nu există o comandă specifică pentru a crea un cont de utilizator în VBScript, așa că mai întâi trebuie să vă conectați la container, apoi să utilizați biblioteca adaptorului Active Directory Services Interface (ADSI) folosind instrucțiunea Get-Object, în care este executat un șir de interogare LDAP care furnizează numele de protocol LDAP: // cu numele DN al obiectului. De exemplu, Set objOU = GetObject („LDAP: // OU = Marketing, OU = Users, dc = testdomain, dc = com”). A doua linie de cod activează metoda Create a departamentului pentru a crea un obiect dintr-o anumită clasă cu un nume distinctiv specific, de exemplu, Set objUser = objOU.Create (“utilizator”, ”CN = Yuri Soloviev”). A treia linie este metoda Put, unde trebuie să specificați numele atributului și valoarea acestuia. Ultima linie a acestui script confirmă modificările făcute, adică objUser.SetInfo ().

    Exemplu de utilizare:

    Set objOU = GetObject (“LDAP: // OU = Marketing, OU = Users, dc = testdomain, dc = com” Set objUser = objOU.Create (“utilizator”, ”CN = Yuri Soloviev”) objUser.Put “sAMAccountName” , „Yuriy.Soloviev” objUser.Put „UserPrincipalName” [email protected]"ObjUser.Put" givenName "," Yuri "objUser.Put" sn "Soloviev" objUser.SetInfo ()

    Crearea de utilizatori cu PowerShell

    Windows Server 2008 R2 introduce capacitatea de a gestiona obiecte Active Directory folosind Windows PowerShell. PowerShell este considerat cel mai puternic shell de linie de comandă dezvoltat pe baza .Net Framework și conceput pentru a gestiona și automatiza administrarea sistemelor de operare Windows și a aplicațiilor care rulează pe aceste sisteme de operare. PowerShell include peste 150 de instrumente de linie de comandă, numite cmdlet-uri, care oferă posibilitatea de a gestiona computerele din întreprinderea dvs. din linia de comandă. Acest shell este o componentă a sistemului de operare.

    Pentru a crea un utilizator nou în domeniul Active Directory, utilizați cmdletul New-ADUser, ale cărui valori de proprietate pot fi adăugate majoritatea utilizând parametrii acestui cmdlet. Parametrul –Path este utilizat pentru a afișa numele LDAP. Acest parametru specifică containerul sau unitatea organizațională (OU) pentru noul utilizator. Dacă parametrul Path nu este specificat, cmdletul creează un obiect utilizator în containerul implicit pentru obiectele utilizator din acest domeniu, adică în containerul Utilizatori. Pentru a specifica parola, utilizați parametrul –AccountPassword cu valoarea (Read-Host -AsSecureString „Parola pentru contul dumneavoastră”). De asemenea, asigurați-vă că acordați atenție faptului că valoarea parametrului –Country este exact codul țării sau regiunii limbii selectate de utilizator. Sintaxa pentru cmdlet este următoarea:

    Nou-ADUser [-Nume] [-AccountExpirationDate ] [-AccountNotDelegated ] [-Parola contului ] [-AllowReversiblePasswordEncryption ] [-AuthType (Negociare | De bază)] [-CannotChangePassword ] [-Certificate ] [-ChangePasswordAtLogon ] [-Oraș ] [-Companie ] [-Țară ] [-Credential ] [-Departament ] [-Descriere ] [-Numele afisat ] [-Divizia ] [-Adresa de email ] [-Card de identitate al angajatului ] [-Numar de angajati ] [-Activat ] [-Fax ] [-Prenume ] [-HomeDirectory ] [-HomeDrive ] [-Pagina principala ] [-Telefon fix ] [-Inițiale ] [-Instanță ] [-LogonWorkstations ] [-Administrator ] [-Telefon mobil ] [-Birou ] [-Telefon de birou ] [-Organizare ] [-AlteAtribute ] [-Alt nume ] [-Trece prin ] [-Parola nu expira niciodata ] [-PasswordNotRequired ] [-Cale ] [-Casuta postala ] [-Cod poștal ] [-ProfilePath ] [-SamAccountName ] [-ScriptPath ] [-Server ] [-ServicePrincipalNames ] [-SmartcardLogonRequired ] [-Stat ] [-Adresa străzii ] [-Nume de familie ] [-Titlu ] [-TrustedForDelegation ] [-Tip ] [-UserPrincipalName ] [-Confirmare] [-WhatIf] [ ]

    După cum puteți vedea din această sintaxă, nu are sens să descriem toți parametrii, deoarece aceștia sunt identici cu atributele principalului de securitate și nu au nevoie de explicații. Să ne uităm la un exemplu de utilizare:

    New-ADUser -SamAccountName "Evgeniy.Romanov" -Name "Evgeniy Romanov" -GivenName "Evgeniy" -Surname "Romanov" -DisplayName "Evgeniy Romanov" -Path "OU = Marketing, OU = Users, DC = testdomain, DC = com „-CannotChangePassword $ false -ChangePasswordAtLogon $ true -City” Kherson „-State” Kherson „-Country UA -Department” Marketing „-Title” (! LANG: Marketer" -UserPrincipalName "!} [email protected]"-Adresa de email" [email protected]"-Activat $ true -AccountPassword (Read-Host -AsSecureString" AccountPassword ")

    Orez. 10. Crearea unui cont de utilizator utilizând Windows PowerShell

    Concluzie

    În acest articol, ați aflat despre conceptul de principal de securitate și despre rolul conturilor de utilizator într-un mediu de domeniu. Scenariile principale pentru crearea conturilor de utilizator într-un domeniu Active Directory au fost discutate în detaliu. Ați învățat cum să creați conturi personalizate folosind snap-in-ul Utilizatori și computere Active Directory folosind șabloane, utilitare de linie de comandă Dsadd, CSVDE și LDIFDE. Ați învățat, de asemenea, despre limbajul de scriptare VBScript și despre metoda liniei de comandă Windows PowerShell pentru crearea conturilor de utilizator.

    Politica de grup este o infrastructură ierarhică care permite administratorului de rețea responsabil de Active Directory Microsoft să implementeze configurații specifice pentru utilizatori și computere. Politica de grup poate fi folosită și pentru a defini politicile de utilizator, securitate și rețea la nivel de mașină.

    Definiție

    Grupurile Active Directory ajută administratorii să definească setările pentru ceea ce utilizatorii pot face în rețea, inclusiv fișierele, folderele și aplicațiile pe care le pot accesa. Colecțiile de setări ale utilizatorului și ale computerului sunt numite GPO și sunt administrate de la o interfață centrală numită Consola de operații. Politica de grup poate fi controlată și folosind instrumente de linie de comandă, cum ar fi gpresult și gpupdate.

    Active Directory este nou pentru Windows 2000 Server și a fost îmbunătățit în 2003 pentru a-l face o parte și mai importantă a sistemului de operare. Windows Server 2003 AD oferă o singură legătură, numită serviciu de director, pentru toate obiectele din rețea, inclusiv utilizatori, grupuri, computere, imprimante, politici și permisiuni.

    Pentru un utilizator sau administrator, configurarea Active Directory oferă o singură vizualizare ierarhică din care pot fi gestionate toate resursele de rețea.

    De ce să implementați Active Directory

    Există multe motive pentru implementarea acestui sistem. În primul rând, Microsoft Active Directory este în general considerat o îmbunătățire semnificativă față de domeniile Windows NT Server 4.0 sau chiar rețelele de servere autonome. AD are un mecanism de administrare centralizat în întreaga rețea. De asemenea, oferă redundanță și toleranță la erori atunci când implementați două sau mai multe controlere de domeniu într-un domeniu.

    Serviciul gestionează automat comunicarea între controlorii de domeniu pentru a menține rețeaua viabilă. Utilizatorii au acces la toate resursele din rețea pentru care sunt autorizați utilizând autentificarea unică. Toate resursele din rețea sunt protejate de un mecanism de securitate robust care verifică identitatea utilizatorului și autoritatea resurselor pentru fiecare acces.

    Chiar și cu securitatea și controlul îmbunătățit al Active Directory, cea mai mare parte a funcționalității sale este invizibilă pentru utilizatorii finali. Ca atare, migrarea utilizatorilor la rețeaua AD necesită o mică reinstruire. Serviciul oferă un mijloc de a promova rapid și de-a clasifica controlerele de domeniu și serverele membre. Sistemul poate fi gestionat și protejat folosind Politicile de grup Active Directory. Este un model organizațional ierarhic flexibil care vă permite să gestionați și să detaliați cu ușurință delegarea specifică a responsabilităților administrative. AD este capabil să gestioneze milioane de obiecte într-un singur domeniu.

    Secțiunile principale

    Cărțile de politici de grup Active Directory sunt organizate folosind patru tipuri de partiții sau structuri de containere. Aceste patru OU sunt păduri, domenii, unități organizaționale și site-uri:

      O pădure este o colecție a fiecărui obiect, atributele și sintaxa acestuia.

      Domeniul este un set de computere care au în comun un set comun de politici, numele și baza de date a membrilor lor.

      Unitățile organizaționale sunt containere în care domeniile pot fi grupate. Ei creează o ierarhie pentru domeniu și creează structura companiei într-un cadru geografic sau organizațional.

      Site-urile sunt grupări fizice care sunt independente de domeniul și structura unităților organizaționale. Site-urile fac distincție între locațiile conectate prin conexiuni de viteză mică și mare și sunt identificate prin una sau mai multe subrețele IP.

    Pădurile nu sunt limitate de geografie sau topologia rețelei. O singură pădure poate conține mai multe domenii, fiecare având o schemă comună. Membrii domeniului din aceeași pădure nici măcar nu au nevoie de o conexiune LAN sau WAN dedicată. O singură rețea poate găzdui, de asemenea, mai multe păduri independente. În general, ar trebui utilizată o pădure pentru fiecare entitate juridică. Cu toate acestea, schele suplimentare pot fi de dorit în scopuri de testare și cercetare în afara pădurii de producție.

    Domenii

    Domeniile Active Directory servesc ca containere pentru politicile de securitate și atribuțiile administrative. În mod implicit, toate obiectele din ele sunt supuse politicii de grup. De asemenea, orice administrator poate gestiona toate obiectele dintr-un domeniu. În plus, fiecare domeniu are propria sa bază de date unică. Astfel, autentificarea se face pe baza domeniului. Odată ce un cont de utilizator este autentificat, acel cont primește acces la resurse.

    Unul sau mai multe domenii sunt necesare pentru a configura politica de grup în Active Directory. După cum am menționat mai devreme, un domeniu AD este o colecție de computere care au în comun un set comun de politici, un nume și o bază de date a membrilor lor. Un domeniu trebuie să aibă unul sau mai multe servere care să servească drept controlori de domeniu (DC) și să stocheze baza de date, să mențină politici și să ofere autentificare pentru autentificare.

    Controlere de domeniu

    În Windows NT, Basic Domain Controller (PDC) și Backup Domain Controller (BDC) erau roluri care puteau fi atribuite unui server dintr-o rețea de computere care rulau sistemul de operare Windows. Windows a folosit ideea unui domeniu pentru a controla accesul la un set de resurse de rețea (aplicații, imprimante etc.) pentru un grup de utilizatori. Utilizatorul trebuie doar să se conecteze la domeniu pentru a accesa resurse care pot fi localizate pe mai multe servere diferite din rețea.

    Un server, cunoscut drept controlerul de domeniu principal, gestiona baza de date a utilizatorilor primari pentru domeniu. Unul sau mai multe servere au fost desemnate ca controlere de domeniu de rezervă. Controlerul primar a trimis periodic copii ale bazei de date controlerelor de domeniu de rezervă. Controlerul de domeniu de așteptare se poate conecta ca controler de domeniu principal în cazul în care serverul PDC eșuează și poate ajuta, de asemenea, să echilibreze volumul de lucru dacă rețeaua este suficient de ocupată.

    Delegarea și configurarea Active Directory

    În Windows 2000 Server, în timp ce controlerele de domeniu au fost păstrate, rolurile de server PDC și BDC au fost în mare parte înlocuite de Active Directory. Nu mai este necesar să se creeze domenii separate pentru a separa privilegiile administrative. În cadrul AD, puteți delega privilegii administrative în funcție de unitățile organizaționale. Domeniile nu mai sunt limitate la 40.000 de utilizatori. Domeniile AD pot gestiona milioane de obiecte. Deoarece nu mai există PDC-uri și BDC-uri, configurația Politicii de grup Active Directory aplică replicarea multi-master și toate controlerele de domeniu sunt peer-to-peer.

    Structura organizationala

    Unitățile organizaționale sunt mult mai flexibile și mai ușor de gestionat decât domeniile. Unitățile organizaționale vă oferă o flexibilitate aproape nelimitată, deoarece puteți muta, șterge și crea unități noi după cum este necesar. Cu toate acestea, domeniile sunt mult mai restrictive în setările lor de structură. Domeniile pot fi șterse și recreate, dar acest proces destabiliza mediul și ar trebui evitat ori de câte ori este posibil.

    Site-urile sunt colecții de subrețele IP care au o comunicare rapidă și fiabilă între toate gazdele. O altă modalitate de a crea un site este cu o conexiune LAN, dar nu o conexiune WAN, deoarece conexiunile WAN sunt semnificativ mai lente și mai puțin fiabile decât conexiunile LAN. Prin utilizarea site-urilor, puteți controla și reduce cantitatea de trafic care trece prin legăturile dvs. WAN lente. Acest lucru poate duce la un flux de trafic mai eficient pentru sarcinile de performanță. De asemenea, poate reduce costurile WAN pentru serviciile pay-per-bit.

    Expertul pentru infrastructură și Catalogul global

    Alte componente cheie ale Windows Server din Active Directory includ Infrastructure Wizard (IM), care este un serviciu complet funcțional FSMO (Flexible Single Operations Wizard) responsabil pentru un proces automat care captează legături învechite, cunoscute sub numele de fantome, în baza de date Active Directory.

    Fantomele sunt create pe DC-uri care necesită referințe încrucișate între un obiect din propria bază de date și un obiect dintr-un alt domeniu din pădure. Acest lucru se întâmplă, de exemplu, când adăugați un utilizator dintr-un domeniu la un grup din alt domeniu din aceeași pădure. Fantomele sunt considerate învechite atunci când nu mai conțin date actualizate care rezultă din modificările aduse obiectului străin pe care îl reprezintă fantoma. De exemplu, când ținta este redenumită, mutată, transferată între domenii sau ștearsă. Maestrul de infrastructură este singurul responsabil pentru găsirea și remedierea fantomelor învechite. Orice modificare făcută ca urmare a procesului de „remediere” trebuie apoi replicată altor controlere de domeniu.

    Expertul de infrastructură este uneori confundat cu catalogul global (GC), care menține o copie parțială, numai în citire, a fiecărui domeniu din pădure și, printre altele, este folosit pentru stocarea în grup de uz general și procesarea autentificărilor. Deoarece GC-urile stochează o copie parțială a tuturor obiectelor, pot crea referințe între domenii fără a fi nevoie de fantome.

    Active Directory și LDAP

    Microsoft include LDAP (Lightweight Directory Access Protocol) ca componentă integrală a Active Directory. LDAP este un protocol software care permite oricui să găsească organizații, persoane fizice și alte resurse, cum ar fi fișiere și dispozitive dintr-o rețea, fie pe internetul public, fie pe un intranet corporativ.

    Pe rețelele TCP/IP (inclusiv Internetul), Sistemul de nume de domeniu (DNS) este un sistem de directoare utilizat pentru a mapa un nume de domeniu la o anumită adresă de rețea (locație unică într-o rețea). Cu toate acestea, este posibil să nu știți numele de domeniu. LDAP vă permite să căutați oameni fără să știți unde se află (deși mai multe informații vă vor ajuta în căutarea).

    Directorul LDAP este organizat într-o ierarhie ierarhică simplă cu următoarele niveluri:

      Directorul rădăcină (locația sursei sau sursa arborelui).

    • Organizații.

      Unități organizatorice (departamente).

      Persoane fizice (inclusiv persoane, fișiere și resurse partajate, cum ar fi imprimante).

    Directorul LDAP poate fi distribuit pe mai multe servere. Fiecare server poate avea o versiune replicată a unui director partajat care este sincronizat periodic.

    Este important ca fiecare administrator să înțeleagă ce este LDAP. Deoarece găsirea de informații în Active Directory și capacitatea de a crea interogări LDAP sunt deosebit de utile atunci când găsiți informații stocate într-o bază de date AD. Din acest motiv, mulți administratori pun foarte mult accent pe stăpânirea filtrului de căutare LDAP.

    Politica de grup și managementul Active Directory

    Este greu să discutăm despre AD fără a menționa Politica de grup. Administratorii pot folosi Politica de grup în Microsoft Active Directory pentru a defini setările pentru utilizatori și computerele din rețea. Aceste setări sunt configurate și stocate în așa-numitele obiecte de politică de grup (GPO), care sunt apoi legate la obiecte Active Directory, inclusiv domenii și site-uri. Acesta este mecanismul principal pentru aplicarea modificărilor computerelor utilizatorilor dintr-un mediu Windows.

    Datorită managementului politicii de grup, administratorii pot configura global setările desktop pe computerele utilizatorilor, pot restricționa/permite accesul la anumite fișiere și foldere din rețea.

    Aplicarea politicilor de grup

    Este important să înțelegeți cum sunt utilizate și aplicate GPO-urile. Pentru ei, următoarea ordine este acceptabilă: în primul rând, se aplică politicile locale de mașini, apoi politicile site-ului, apoi politicile de domeniu și apoi politicile aplicate unităților organizaționale individuale. Un utilizator sau un obiect computer poate aparține doar unui site și unui domeniu odată, așa că vor primi numai GPO-uri asociate cu acel site sau domeniu.

    Structura obiectului

    GPO-urile sunt împărțite în două părți distincte: șablonul de politici de grup (GPT) și containerul de politici de grup (GPC). Un șablon GPO este responsabil pentru stocarea anumitor setări create într-un GPO și este esențial pentru succesul acestuia. Stochează aceste setări într-o structură mare de foldere și fișiere. Pentru ca setările să fie aplicate cu succes tuturor obiectelor utilizator și computer, GPT trebuie să fie replicat tuturor controlerelor din domeniu.

    Containerul de politică de grup face parte dintr-un GPO stocat în Active Directory care se află pe fiecare controler de domeniu dintr-un domeniu. GPC este responsabil pentru menținerea legăturilor către extensiile client (CSE), calea GPT, căile către pachetele de instalare a software-ului și alte aspecte la care se face referire ale GPO. GPC-ul nu conține multe informații legate de GPO-ul corespunzător, dar este necesar pentru funcționalitatea GPO-ului. Când politicile de instalare a software-ului sunt configurate, GPC ajută la menținerea legăturilor asociate cu GPO și stochează alte legături și căi relaționale stocate în atributele obiectului. Cunoașterea structurii GPC și a modului de accesare a informațiilor ascunse stocate în atribute va da roade atunci când trebuie să identificați o problemă de politică de grup.

    În Windows Server 2003, Microsoft a lansat soluția sa Group Policy Management ca instrument de federare a datelor sub forma unui snap-in cunoscut sub numele de Group Policy Management Console (GPMC). GPMC oferă o interfață de management centrată pe GPO, care simplifică foarte mult administrarea, gestionarea și locația GPO-urilor. Prin GPMC, puteți crea noi GPO, modifica și edita obiecte, tăia / copia / lipi GPO, face backup pentru obiecte și executa setul de politici rezultat.

    Optimizare

    Pe măsură ce numărul de GPO-uri controlate crește, performanța afectează mașinile din rețea. Sfat: Dacă performanța scade, limitați setările de rețea ale obiectului. Timpul de procesare crește direct proporțional cu numărul de setări individuale. Configurațiile relativ simple, cum ar fi setările desktopului sau politicile Internet Explorer, ar putea să nu dureze mult, în timp ce redirecționările folderelor software pot solicita puternic rețeaua, mai ales în perioadele de vârf.

    Împărțiți GPO-urile personalizate și apoi dezactivați porțiunea neutilizată. Una dintre cele mai bune practici atât pentru îmbunătățirea productivității, cât și pentru reducerea confuziei de management este crearea de obiecte separate pentru parametrii care se vor aplica computerelor și separate pentru utilizatori.

    Administratorii rețelelor Windows nu pot evita să se familiarizeze cu. Acest articol de prezentare generală se va concentra pe ce este Active Directory și cu ce se mănâncă.

    Deci, Active Directory este implementarea de către Microsoft a unui serviciu de directoare. Serviciul de director în acest caz înseamnă un pachet software care ajută un administrator de sistem să lucreze cu resurse de rețea precum foldere partajate, servere, stații de lucru, imprimante, utilizatori și grupuri.

    Active Directory are o structură ierarhică de obiecte. Toate proprietățile sunt împărțite în trei categorii principale.

    • Conturi de utilizator și computer;
    • Resurse (cum ar fi imprimante);
    • Servicii (cum ar fi e-mailul).

    Fiecare obiect are un nume unic și o serie de caracteristici. Obiectele pot fi grupate.

    Proprietățile utilizatorului

    Active Directory are o structură de pădure. Pădurea are mai mulți copaci care conțin domenii. Domeniile, la rândul lor, conțin obiectele menționate mai sus.


    Structura Active Directory

    De obicei, obiectele dintr-un domeniu sunt grupate în unități organizaționale. Subdiviziunile sunt folosite pentru a construi o ierarhie în cadrul unui domeniu (organizații, subdiviziuni teritoriale, departamente etc.). Acest lucru este deosebit de important pentru organizațiile dispersate geografic. La construirea structurii, se recomandă crearea cât mai puține domenii, creând, dacă este necesar, diviziuni separate. Este logic să se aplice politicile de grup asupra lor.

    Proprietățile stației de lucru

    O altă modalitate de a vă structura Active Directory este site-uri... Site-urile sunt o modalitate de a le grupa fizic, nu logic, pe baza segmentelor de rețea.

    După cum am menționat, fiecare obiect din Active Directory are un nume unic. De exemplu, o imprimantă HPLaserJet4350dtn care se află în subdiviziune Avocați si in domeniu primer.ru va avea un nume CN = HPLaserJet4350dtn, OU = Avocați, DC = primer, DC = ru. CN Este un nume comun, OU- compartimentare, DC- clasa obiectului domeniu. Un nume de obiect poate avea mult mai multe părți decât în ​​acest exemplu.

    O altă formă de scriere a numelui unui obiect arată astfel: primer.ru/Lawyers/HPLaserJet4350dtn... De asemenea, fiecare obiect are un identificator unic la nivel global ( GUID) este un șir unic și neschimbător de 128 de biți care este utilizat în Active Directory pentru căutare și replicare. Unele obiecte au și un UPN ( UPN) în format obiect @ domeniu.

    Iată o prezentare generală a ce este Active Directory și pentru ce sunt acestea pe rețelele LAN bazate pe Windows. În cele din urmă, este logic să spunem că administratorul are capacitatea de a lucra cu Active Directory de la distanță Instrumente de administrare la distanță a serverului pentru Windows 7 (KB958830)(Descarca) și Instrumente de administrare la distanță a serverului pentru Windows 8.1 (KB2693643) (Descarca).

    Top articole similare

    Mișcare diferită a mouse-ului pe verticală și pe orizontală
    Mișcare diferită a mouse-ului pe verticală și pe orizontală
    Cum să comprimați texturile în Fallout 4
    Cum să comprimați texturile în Fallout 4
    Rămâne doar să înțelegem nivelul cerut
    Rămâne doar să înțelegem nivelul cerut
    Categorii:
    © 2021 bumotors.ru. Cum se configurează smartphone-uri și PC-uri. Portal informativ.