Acest articol va oferi instrucțiuni detaliate pas cu pas pentru instalarea și configurarea de la zero a rolului Active Directory bazat pe Windows Server 2012. Instrucțiunile se vor baza pe ediția în limba engleză. Uneori, numele parametrilor și comenzilor vor fi similare cu ediția rusă a Windows Server 2012.
Pregătirea
Înainte de a configura rolul Active Directory, trebuie să configurați Windows Server 2012 - set adresa IP staticași redenumiți un calculator.
Pentru a seta o adresă IP statică, trebuie să faceți clic dreapta pe pictograma Rețea din bara de activități și să selectați Deschideți Centrul de partajare a rețelei -> Schimbă setările adaptorului... Selectați un adaptor care se adresează rețelei interne. Proprietăți -> Internet Protocol Version 4 (TCP / IPv4) și setați o adresă IP similară cu cea afișată în imagine.
192.168.0.11 - adresa IP a serverului curent - primul controler de domeniu.
192.168.0.254 - adresa IP gateway.
Acum trebuie să redenumiți numele serverului și să-l reporniți. Start -> Sistem -> Modificare setări -> Nume computer -> Modificare. Introduceți numele computerului. În exemplu, serverul va fi numit DC1.
Instalarea rolului Active Directory pe Windows Server 2012
Deci, după preconfigurarea serverului, să trecem la instalarea rolului de serviciu director.
Start -> Manager server(Start -> Manager server).
Adăugați roluri și funcții -> Următorul
Selectați Instalare bazată pe roluri sau pe funcții(Instalarea rolurilor și caracteristicilor) -> Următorul
Selectați serverul pe care este instalat rolul AD și faceți clic pe Următorul. Selectați un server din pool-ul de servere-> Următorul
Alegerea unui rol Servicii de domeniu Active Directory(Active Directory Domain Services), după care apare o fereastră care vă solicită să adăugați roluri și caracteristici necesare pentru a instala rolul AD. Faceți clic pe butonul Adăugați caracteristici.
De asemenea, puteți selecta rolul Server DNS. Dacă uitați să bifați caseta pentru a adăuga rolul Server DNS, nu trebuie să vă faceți prea multe griji, deoarece poate fi adăugat ulterior în timpul etapei de configurare a rolului AD.
După aceea, apăsăm butonul Următorul de fiecare dată și setăm rolul.
Configurarea serviciilor de domeniu Active Directory
După instalarea rolului, închideți fereastra - Închideți. Acum trebuie să treceți la configurarea rolului AD.
În fereastra Server Manager, faceți clic pe pictograma semnalizator de notificare și faceți clic Promovați acest server la un controler de domeniu(Promovați acest server la un controler de domeniu) pe placa de configurare post-deploiment.
Selectați Adăugați o nouă pădure(Adăugați o pădure nouă), introduceți numele domeniului și faceți clic pe Următorul.
Puteți alege compatibilitatea dintre nivelul funcțional al pădurii și domeniul rădăcină. Windows Server 2012 este instalat implicit.
În această filă, puteți dezactiva rolul Server DNS. Dar, în cazul nostru, lăsăm un bif.
În pasul următor, expertul avertizează că nu a fost creată nicio delegație pentru acest server DNS ( O delegație pentru acest server DNS nu poate fi creată deoarece zona părinte autorizată nu poate fi găsită sau nu rulează serverul DNS Windows .. În caz contrar, nu este necesară nicio acțiune.).
Faceți clic pe Următorul.
În pasul următor, puteți schimba numele NetBIOS care a fost atribuit domeniului. Nu vom face asta. Doar faceți clic pe Următorul.
În pasul următor, puteți modifica căile către directoarele bazei de date AD DS (Active Directory Domain Services), fișierele jurnal și folderul SYSVOL. Nu vom schimba nimic. Faceți clic pe butonul Următorul.
Următorul pas afișează un rezumat al configurației. Făcând clic pe butonul Vizualizare script, puteți vizualiza scriptul Powershell care va configura serviciile de domeniu Active Directory.
# Script Windows PowerShell pentru implementarea AD DS
Import-Module ADDSDeployment Instalare-ADDSForest `-CreateDnsDelegation: $ false` -DatabasePath "C: \ Windows \ NTDS" `-DomainMode" Win2012 "` -DomainName "site" `-DomainNetbiosName" ITME "` -ForestMode "Win202" InstallDns: $ true `-LogPath" C: \ Windows \ NTDS "` -NoRebootOnCompletion: $ false `-SysvolPath" C: \ Windows \ SYSVOL "` -Force: $ true
După ce v-ați asigurat că totul este corect, faceți clic pe butonul Următorul.
Următorul pas este să verificați dacă sunt îndeplinite toate cerințele preliminare. Apoi ne va arăta un raport. Una dintre cerințele prealabile este o parolă de administrator local setată. În partea de jos, puteți citi un avertisment că după apăsarea butonului Instalare, nivelul serverului va fi ridicat la un controler de domeniu și va fi efectuată o repornire automată.
Ar trebui să apară o inscripție Toate verificările prealabile sunt trecute cu succes. Faceți clic pe „instalați” pentru a începe instalarea.
Faceți clic pe butonul Instalare.
După finalizarea tuturor setărilor, serverul se va reporni și veți face prima intrare a computerului în domeniul dvs. Pentru a face acest lucru, trebuie să introduceți numele de utilizator și parola administratorului de domeniu.
Aceasta completează configurația de bază a Active Directory. Desigur, mai este încă o cantitate imensă de muncă de făcut pentru crearea diviziilor, crearea de noi utilizatori, stabilirea politicilor de securitate de grup, ...
Informații suplimentare despre articol
La revedere dcpromo, salut Powershell
Toată lumea știe deja din anunțuri că utilitarul dcpromo este depășit. Dacă rulați dcpromo pe linia de comandă, apare o fereastră de avertizare, care vă solicită să utilizați Server Manager.
Expertul de instalare a serviciilor Active Directory este mutat în Server Manager.
Cu toate acestea, această comandă poate fi utilizată prin specificarea parametrului de configurare automată - dcpromo / unattend... Când serverul rulează în modul Core, nu va exista niciun avertisment, iar pe linia de comandă vor apărea informații despre utilizarea utilitarului dcpromo.
Toate aceste modificări se datorează faptului că în Windows Server 2012 au pus accent pe administrare folosind Powershell.
Componentele legate de Active Directory au fost eliminate din Windows Server 2012
Servicii de federație Active Directory (AD FS)
- Aplicațiile care folosesc agenți web „NT token mode” nu mai sunt acceptate. Aceste aplicații trebuie să fie portate la Windows Identity Foundation și să utilizeze serviciul Claims to Windows Token pentru a converti UPN dintr-un jeton SAML într-un jeton Windows pentru utilizare în aplicație.
- Grupurile de resurse nu mai sunt acceptate (consultați http://technet.microsoft.com/library/cc753670(WS.10).aspx pentru o descriere a grupurilor de resurse)
- Capacitatea de a utiliza Active Directory Lightweight Directory Services (AD LDS) ca depozit pentru rezultatele autentificării nu mai este acceptată.
- Necesită migrarea la AD FS pe Windows Server 2012. Nu este acceptată upgrade la loc de la AD FS 1.0 sau de la versiunea „standard” a AD FS 2.0.
În această postare, vom arunca o privire mai atentă asupra procesului de implementare a primului controler de domeniu într-o întreprindere. Și vor fi trei în total:
1) Controler de domeniu primar, OS - Windows Server 2012 R2 cu GUI, numele rețelei: dc1.
Selectați opțiunea implicită, faceți clic pe Următorul. Apoi selectați protocolul IPv4 implicit și faceți clic din nou pe Următorul.
Pe ecranul următor, vom seta ID-ul rețelei. În cazul nostru 192.168.0. În câmpul Nume zonă de căutare inversă, vom vedea cum va fi înlocuită automat adresa zonei de căutare inversă. Faceți clic pe Următorul.
Pe ecranul Actualizare dinamică, selectați una dintre cele trei opțiuni de actualizare dinamică.
Permiteți numai actualizări dinamice securizate. Această opțiune este disponibilă numai dacă zona este integrată în Active Directory.
Permite actualizări dinamice atât nesecurizate, cât și securizate. Acest comutator permite oricărui client să-și actualizeze înregistrările de resurse DNS atunci când apar modificări.
Nu permiteți actualizări dinamice. Această opțiune dezactivează actualizările DNS dinamice. Ar trebui utilizat numai dacă zona nu este integrată cu Active Directory.
Selectăm prima opțiune, facem clic pe Următorul și completăm configurarea făcând clic pe Terminare.
O altă opțiune utilă care este de obicei configurată în DNS este Forwarderii sau Forwarderii, al căror scop principal este să memoreze și să redirecționeze cererile DNS de la un server DNS local către un server DNS extern de pe Internet, de exemplu, cel situat la ISP. De exemplu, dorim ca computere locale din rețeaua noastră de domeniu cu un server DNS (192.168.0.3) înregistrat în setările rețelei să poată accesa Internetul, este necesar ca serverul nostru local dns să fie configurat pentru a rezolva cererile dns din amonte. server... Pentru a configura redirecționare, accesați consola managerului DNS. Apoi, în proprietățile serverului, accesați fila Forwarders și faceți clic pe Editare acolo.
Vom indica cel puțin o adresă IP. Mai multe sunt de dorit. Faceți clic pe OK.
Acum să configuram serviciul DHCP. Lansăm snap-in-ul.
Mai întâi, să setăm gama completă de adrese de la care vor fi luate adresele pentru emiterea clienților. Alegeți Acțiune \ Domeniu nou. Pornește Expertul Adăugare regiune. Să setăm numele zonei.
În continuare, vom indica adresa de început și de sfârșit a intervalului de rețea.
În continuare, să adăugăm adresele pe care dorim să le excludem din emiterea de clienți. Faceți clic pe Următorul.
Pe ecranul Durată de închiriere, specificați un timp de închiriere diferit de cel implicit, dacă este necesar. Faceți clic pe Următorul.
Apoi suntem de acord că vrem să configuram aceste opțiuni DHCP: Da, vreau să configurez aceste opțiuni acum.
Vom indica secvenţial gateway-ul, numele de domeniu, adresele DNS, WINS, iar la final vom fi de acord cu activarea domeniului de aplicare făcând clic pe: Da, vreau să activez acest domeniu acum. Finalizarea.
Pentru funcționarea în siguranță a serviciului DHCP, trebuie să configurați un cont special pentru a actualiza în mod dinamic înregistrările DNS. Acest lucru trebuie făcut, pe de o parte, pentru a preveni înregistrarea dinamică a clienților în DNS folosind un cont administrativ de domeniu și posibila abuz de acesta, pe de altă parte, în cazul unei rezervări a serviciului DHCP și a unei eșecuri a principalului server, va fi posibil să transferați o copie de rezervă a zonei pe un al doilea server, iar acest lucru va necesita contul primului server. Pentru a îndeplini aceste condiții, în snap-in-ul Active Directory Users and Computers, creați un cont numit dhcp și atribuiți o parolă nelimitată selectând opțiunea: Password Never Expires.
Atribuiți o parolă puternică utilizatorului și adăugați-o la grupul DnsUpdateProxy. Apoi vom elimina utilizatorul din grupul de Utilizatori de domeniu, alocand anterior grupul „DnsUpdateProxy” utilizatorului principal. Acest cont va fi responsabil exclusiv pentru actualizarea dinamică a înregistrărilor și nu va avea acces la alte resurse în care drepturile de bază ale domeniului sunt suficiente.
Faceți clic pe Aplicare și apoi pe OK. Deschideți din nou consola DHCP. Accesați proprietățile protocolului IPv4 din fila Avansat.
Faceți clic pe Acreditări și specificați acolo utilizatorul nostru DHCP.
Faceți clic pe OK, reporniți serviciul.
Mai târziu vom reveni la configurația DHCP când vom configura rezervarea serviciului DHCP, dar pentru aceasta trebuie să ridicăm măcar controlerele de domeniu.
În articolul nostru, am analizat minimul de material teoretic pe care trebuie să-l cunoașteți înainte de a implementa Active Directory Domain Services. Astăzi vom începe partea practică a ciclului, în care vom arunca o privire mai atentă asupra creării și trecerii la structura de domeniu a rețelei. Să începem, ca întotdeauna, mai întâi - în acest articol vă vom arăta cum să implementați corect controlerele de domeniu.
Înainte de a trece la implementarea practică a tuturor planurilor tale, ia o pauză și verifică din nou câteva dintre lucrurile mărunte. De foarte multe ori aceste lucruri ocolesc privirile administratorului, aducand dificultati destul de serioase in viitor, mai ales incepatorilor.
- Dați viitorului controler de domeniu un nume care poate fi citit de om, cum ar fi SRV-DC01, nu WIN-VAGNTE3N62T.
- Setați adaptorul de rețea la o adresă IP statică.
- Redenumiți contul de administrator încorporat, utilizați numai litere și simboluri latine.
Instalarea acestui rol nu va face încă din acest server un controler de domeniu, pentru aceasta trebuie să rulați Expertul de instalare a serviciilor de domeniu, care va fi solicitat să facă acest lucru la sfârșitul instalării, puteți face acest lucru mai târziu rulând dcpromo.exe.
Nu vom analiza în detaliu toate setările vrăjitorului, concentrându-ne doar pe cele cheie, în plus, este de remarcat faptul că în timpul procesului de instalare va fi afișată o cantitate destul de mare de informații de referință și vă recomandăm să le citiți cu atenție .
Deoarece acesta este primul nostru controler de domeniu, selectăm Creați un domeniu nou într-o pădure nouă.
Următorul pas este să vă introduceți numele domeniului. Nu este recomandat să dați domeniului Internet numele unui domeniu extern; de asemenea, nu este recomandat să dați un nume în zonele de prim nivel inexistente, cum ar fi .local sau .Test etc. Cea mai bună opțiune pentru un domeniu AD ar fi un subdomeniu în spațiul de nume al domeniului extern de internet, de exemplu corp.example.com... Deoarece domeniul nostru este folosit exclusiv în scopuri de testare în laborator, l-am numit interfata31.lab, deși corect ar fi să-l numim lab.site.
Apoi indicăm modul de funcționare al pădurii, ne-am oprit deja pe această problemă în partea anterioară a articolului și nu vom intra în detalii.
Un punct foarte important - specificați și notați într-un loc sigur parola de administrator pentru modul de recuperare a serviciilor de director, într-un scenariu bun nu ar trebui să aveți nevoie de ea, dar mult mai rău dacă nu vă amintiți.
În fereastra următoare, verificați de două ori toate datele introduse și puteți începe procesul de configurare a serviciilor de domeniu. Ține minte, din acest moment nimic nu poate fi schimbat sau corectat, iar dacă te înșeli undeva, va trebui să o iei de la capăt. Între timp, vrăjitorul configurează serviciile de domeniu, poți să mergi și să-ți torni o ceașcă de cafea.
După finalizarea expertului, reporniți serverul și, dacă totul a fost făcut corect, aveți la dispoziție primul controler de domeniu, care va acționa și ca server DNS pentru rețeaua dvs. Aici apare un alt punct subtil, acest server va conține înregistrări ale tuturor obiectelor domeniului dvs., la solicitarea înregistrărilor legate de alte domenii pe care nu le poate rezolva, acestea vor fi transferate pe servere superioare, așa-numitele. servere de redirecționare.
În mod implicit, adresa serverului DNS din proprietățile conexiunii la rețea este specificată ca redirecționare; pentru a evita ulterior diferite tipuri de defecțiuni ale rețelei, ar trebui să specificați în mod explicit serverele disponibile pe rețeaua externă. Pentru a face acest lucru, deschideți snap-in-ul DNS v Manager serverși alegeți Expeditorii pentru serverul dvs. Specificați cel puțin două servere externe disponibile, acestea pot fi atât serverele furnizorului, cât și serviciile DNS publice.
De asemenea, rețineți că în proprietățile conexiunii de rețea a controlerului de domeniu care este serverul DNS, trebuie specificată adresa DNS. 127.0.0.1 , orice alte opțiuni de scriere sunt greșite.
După ce ați creat primul controler de domeniu, fără a amâna problema pe termen nelimitat, continuați cu implementarea celui de-al doilea; fără aceasta, structura dvs. AD nu poate fi considerată completă și tolerantă la erori. De asemenea, asigurați-vă că serverul are un nume care poate fi citit de om și o adresă IP statică, specificați adresa primului controler ca server DNS și introduceți mașina în domeniu.
După repornire, conectați-vă ca administrator de domeniu și instalați rolul Servicii de domeniu Active Directoryși apoi rulați și vrăjitorul. Nu există diferențe fundamentale în configurarea celui de-al doilea controler, cu excepția faptului că va trebui să răspundeți la mai puține întrebări. Mai întâi de toate, indicați că adăugați un nou controler la un domeniu existent.
După cum am spus, vă recomandăm să faceți din acest server un server DNS și un catalog global. Amintiți-vă că, dacă nu aveți un catalog global, domeniul dvs. s-ar putea să nu funcționeze, așa că este o idee bună să aveți cel puțin două cataloage globale și, în plus, să adăugați GC-uri la fiecare domeniu nou sau site AD.
Restul setărilor sunt complet identice și, după ce ați verificat totul din nou, treceți la implementarea celui de-al doilea controler, timp în care serviciile corespunzătoare vor fi configurate și replicate cu primul controler.
După terminarea instalării celui de-al doilea controler, puteți trece la setările serviciilor de domeniu: creați utilizatori, atribuiți-i grupurilor și departamentelor, configurați politicile de grup etc. etc. Acest lucru se poate face pe orice controler de domeniu, pentru aceasta utilizați elementele de meniu corespunzătoare Administrare.
Următorul pas va fi introducerea PC-urilor utilizatorilor și a serverelor membre în domeniu, precum și migrarea mediului de utilizator către conturile de domeniu, despre asta vom vorbi în următoarea parte.
După cum știți, Active Directory Domain Services (AD DS) este instalat pe un server numit controler de domeniu (DC). Zeci de controlere suplimentare pot fi adăugate la directorul activ al unui domeniu AD pentru echilibrarea sarcinii, toleranța la erori, reducerea încărcării pe legăturile WAN și multe altele. Toți controlorii de domeniu trebuie să mențină aceeași bază de conturi de utilizator, conturi de computer, grupuri și alte obiecte de director LDAP.
Pentru o funcționare corectă, toți controlorii de domeniu trebuie să sincronizeze și să copieze informații între ei. Când adăugați un nou controler de domeniu la un domeniu existent, controlerele de domeniu ar trebui să sincronizeze automat datele între ele. Dacă noul controler de domeniu și DC existent se află pe același site, pot replica cu ușurință datele între ele. Dacă noul DC este situat la un site la distanță, atunci replicarea automată nu este la fel de eficientă. Deoarece replicarea va trece lent (legături WAN), care, de regulă, sunt scumpe și viteza de transfer de date peste ele nu este mare.
În acest articol, vă vom arăta cum să adăugați un controler de domeniu suplimentar la un domeniu Active Directory existent ().
Adăugați un controler de domeniu suplimentar la un domeniu AD existent
În primul rând, trebuie să instalăm rolul Active Directory Domain Services pe serverul care va fi noul DC.
Instalarea rolului ADDS
Mai întâi de toate, deschideți consola Server Manager. Când se deschide Server Manager, faceți clic pe Adăugați roluri și caracteristici pentru a deschide Consola de instalare a rolurilor de server.
Sari peste pagina „Înainte de a începe”. Selectați „Instalare bazată pe roluri sau pe funcții” și faceți clic pe butonul „Următorul”. Pe pagina Server Selection, faceți clic din nou pe Următorul.
Alegeți un rol Servicii de domeniu Active Directory... În fereastra care se deschide, faceți clic pe butonul Adăugare caracteristici pentru a adăuga instrumentele de gestionare Active Directory necesare.
Când procesul de instalare este finalizat, reporniți serverul, conectați-vă la sistem ca administrator și urmați acești pași.
Configurarea unui controler de domeniu suplimentar
Acum, în Role Installation Wizard, faceți clic pe linkul „ Promovați acest server la un controler de domeniu».
Selectați „Adăugați un controler de domeniu la un domeniu existent”, mai jos specificați numele domeniului dvs. AD. Dacă sunteți autentificat ca utilizator obișnuit, puteți schimba acreditările unui administrator de domeniu. Faceți clic pe butonul „Selectați”, se va deschide o nouă fereastră, selectați numele domeniului dvs. și faceți clic pe „Ok”, apoi „Următorul”.
Pe pagina Opțiuni pentru controlerul de domeniu, puteți alege să instalați rolul serverului DNS pe DC. Selectați, de asemenea, rolul Catalog global. Introduceți și confirmați parola de administrator pentru modul DSRM, apoi faceți clic pe Următorul.
Pe pagina Opțiuni suplimentare, specificați serverul cu care doriți să efectuați replicarea inițială a bazei de date Active Directory (schema și toate obiectele directorului AD vor fi copiate de pe serverul specificat). Puteți face un instantaneu al stării curente a Active Directory pe unul dintre controlerele de domeniu și îl puteți aplica pe noua mașină. După aceea, baza de date AD a acestui server va fi o copie exactă a controlerului de domeniu existent. Aflați mai multe despre funcția Instalare din media (IFM) - instalarea unui nou DC din media într-unul dintre următoarele articole ():
Nu trebuie să configuram nimic în paginile Opțiuni Căi și Revizuire, săriți peste ele făcând clic pe Următorul. Pe pagina Cerințe preliminare, dacă vedeți vreo eroare, verificați și îndepliniți toate cerințele, apoi faceți clic pe butonul Instalare.
Configurarea replicării între controlerul de domeniu nou și existent
Aproape am terminat, acum să verificăm și să rulăm replicarea între DC primar (DC01..site). Când copiați informații între aceste două controlere de domeniu, datele bazei de date Active Directory vor fi copiate de pe site-ul DC01... După finalizarea procesului, toate datele pentru controlerul de domeniu rădăcină vor apărea pe noul controler de domeniu.
În Server Manager, selectați fila Instrumente, apoi site-uri și servicii Active Directory.
În panoul din stânga, extindeți fila Site-uri -> Default-First-Site-Name -> Servere. Ambele DC-uri noi se află în același site AD (acest lucru implică faptul că se află în aceeași subrețea sau în rețele conectate printr-o legătură de mare viteză). Apoi selectați numele serverului curent la care lucrați în prezent, apoi faceți clic pe Setări NTDS. În cazul meu, DC01 este controlerul de domeniu rădăcină, în prezent consola rulează pe DC02, care va fi un controler de domeniu suplimentar.
Faceți clic dreapta pe elementul numit „generat automat”. Faceți clic pe Replicare acum. Apare un avertisment că începe replicarea între controlerul de domeniu rădăcină și noul controler de domeniu.
Faceți același lucru pentru DC01. Extindeți fila DC01 și faceți clic pe Setări NTDS. Faceți clic dreapta pe „generat automat”, apoi faceți clic pe „Replicați acum”. Ambele servere se reproduc unul cu celălalt, iar tot conținutul de la DC01 va fi copiat în DC02.
Inima unei rețele corporative eficiente este un controler de domeniu Active Directory care gestionează multe servicii și oferă multe beneficii.
Există două modalități de a construi o infrastructură IT - standard și casual, atunci când se depun efort minim suficient pentru a rezolva problemele emergente, fără a construi o infrastructură clară și fiabilă. De exemplu, construirea unei rețele peer-to-peer în întreaga organizație și partajarea tuturor fișierelor și folderelor necesare, fără posibilitatea de a controla acțiunile utilizatorului.
Evident, această cale este nedorită, deoarece în cele din urmă va trebui să dezasamblați și să organizați corect un amestec haotic de sisteme, altfel nu va putea funcționa - și afacerea dvs. împreună cu ea. Prin urmare, cu cât iei mai devreme singura decizie corectă de a construi o rețea corporativă cu un controler de domeniu, cu atât este mai bine pentru afacerea ta pe termen lung. Si de aceea.
„Un domeniu este o unitate de bază a infrastructurii IT bazată pe sistemul de operare Windows, o asociere logică și fizică de servere, computere, echipamente și conturi de utilizator”.
Un controler de domeniu (DC) este un server separat care rulează Windows Server OS care rulează servicii Active Directory, ceea ce face posibilă rularea unui număr mare de software care necesită un DC pentru administrare. Exemple de astfel de software includ serverul de e-mail Exchange, suita cloud Office 365 și alte medii software de nivel enterprise de la Microsoft.
Pe lângă asigurarea funcționării corecte a acestor platforme, CA oferă companiilor și organizațiilor următoarele beneficii:
- Implementarea Terminal Server... economisește resurse și efort semnificativ prin înlocuirea actualizărilor constante ale computerelor de birou cu o investiție unică în găzduirea „clienților subțiri” pentru a se conecta la un server cloud puternic.
- Securitate sporită... CA vă permite să setați politici de creare a parolelor și să forțați utilizatorii să folosească parole mai complexe decât data nașterii, qwerty sau 12345.
- Controlul accesului centralizat... În loc să actualizeze manual parolele pe fiecare computer separat, administratorul CD-ului poate schimba la nivel central toate parolele într-o singură operațiune de pe un computer.
- Management centralizat al politicii de grup... Instrumentele Active Directory vă permit să creați politici de grup și să setați drepturi de acces la fișiere, foldere și alte resurse de rețea pentru anumite grupuri de utilizatori. Acest lucru simplifică foarte mult configurarea de noi conturi de utilizator sau modificarea setărilor pentru profilurile existente.
- Intrare de trecere... Active Directory acceptă pass-through, atunci când, atunci când introduce numele de utilizator și parola pentru domeniu, utilizatorul se conectează automat la toate celelalte servicii, cum ar fi e-mail și Office 365.
- Creați șabloane de configurare a computerului... Configurarea fiecărui computer individual atunci când este adăugat la rețeaua corporativă poate fi automatizată folosind șabloane. De exemplu, reguli speciale pot fi folosite pentru a dezactiva central unitățile CD sau porturile USB, pentru a închide anumite porturi de rețea și așa mai departe. Astfel, în loc să configureze manual o nouă stație de lucru, administratorul o adaugă pur și simplu la un anumit grup, iar toate regulile pentru acest grup vor fi aplicate automat.
După cum puteți vedea, configurarea unui controler de domeniu Active Directory aduce numeroase beneficii și beneficii întreprinderilor și organizațiilor de toate dimensiunile.
Când să implementați un controler de domeniu Active Directory într-o rețea corporativă?
Vă recomandăm să luați în considerare configurarea unui controler de domeniu pentru compania dvs. atunci când mai mult de 10 computere sunt conectate la rețea, deoarece este mult mai ușor să setați politicile necesare pentru 10 computere decât pentru 50. În plus, deoarece acest server nu funcționează deosebit de sarcini care necesită mult resurse, un computer desktop puternic poate fi potrivit pentru acest rol.
Cu toate acestea, este important de reținut că acest server va stoca parole pentru accesarea resurselor de rețea și a bazei de date a utilizatorilor domeniului, schema drepturilor utilizatorului și politicile de grup. Este necesară implementarea unui server de rezervă cu copiere continuă a datelor pentru a asigura continuitatea controlerului de domeniu, iar acest lucru se poate face mult mai rapid, mai ușor și mai fiabil folosind virtualizarea serverului oferită atunci când rețeaua corporativă este găzduită în cloud. Acest lucru evită următoarele probleme:
- Setări greșite ale serverului DNS, ceea ce duce la erori în localizarea resurselor în rețeaua corporativă și pe Internet
- Grupuri de securitate configurate incorect conducând la erori în drepturile de acces ale utilizatorilor la resursele de rețea
- Versiuni incorecte ale sistemului de operare... Fiecare versiune de Active Directory acceptă versiuni specifice de client subțire ale sistemelor de operare desktop Windows
- Absența sau setare greșită copierea automată a datelor la controlerul de domeniu de rezervă.
