Ce este Active Directory. Cele mai bune practici Active Directory

12.08.2019 Erori

Active Directory este un serviciu de management de sistem. Sunt o alternativă mult mai bună la grupurile locale și vă permit să creați rețele de calculatoare cu un management eficient și o protecție fiabilă a datelor.

Dacă nu ați întâlnit anterior conceptul de Active Directory și nu știți cum funcționează astfel de servicii, acest articol este pentru dvs. Să ne dăm seama ce înseamnă acest concept, care sunt avantajele unor astfel de baze de date și cum să le creăm și să le configurați pentru utilizarea inițială.

Active Directory este o metodă foarte convenabilă de gestionare a sistemului. Cu Active Directory, vă puteți gestiona eficient datele.

Aceste servicii vă permit să creați o singură bază de date gestionată de controlori de domeniu. Dacă dețineți o întreprindere, conduceți un birou, în general, controlați activitățile multor oameni care trebuie să fie uniți, un astfel de domeniu vă va fi la îndemână.

Include toate obiectele - computere, imprimante, faxuri, conturi de utilizator și multe altele. Suma domeniilor pe care se află datele se numește „pădure”. Baza Active Directory este un mediu bazat pe domeniu în care numărul de obiecte poate fi de până la 2 miliarde. Vă puteți imagina această scară?

Adică, cu ajutorul unei astfel de „păduri” sau baze de date, este posibil să se conecteze un număr mare de angajați și echipamente în birou și fără referire la loc - în servicii pot fi conectați și alți utilizatori, de exemplu , de la sediul companiei din alt oraș.

În plus, mai multe domenii sunt create și fuzionate în cadrul Active Directory - cu cât compania este mai mare, cu atât sunt necesare mai multe instrumente pentru a-și controla tehnologia în baza de date.

În plus, atunci când se creează o astfel de rețea, se determină un domeniu de control și, chiar și cu prezența ulterioară a altor domenii, cel inițial rămâne în continuare „părintele” - adică doar el are acces deplin la gestionarea informațiilor.

Unde sunt stocate aceste date și cum există domeniile? Controllerele sunt folosite pentru a crea Active Directory. De obicei, sunt două dintre ele - dacă se întâmplă ceva cu unul, informațiile vor fi salvate pe al doilea controler.

O altă opțiune de utilizare a bazei de date este dacă, de exemplu, compania dvs. colaborează cu alta și trebuie să finalizați un proiect comun. În acest caz, poate fi necesar accesul persoanelor neautorizate la fișierele domeniului, iar aici puteți stabili un fel de „relație” între două „păduri” diferite, accesul deschis la informațiile solicitate fără a risca securitatea restului date.

În general, Active Directory este un instrument de creare a unei baze de date în cadrul unei anumite structuri, indiferent de dimensiunea acesteia. Utilizatorii și toate echipamentele sunt unite într-o singură „pădure”, sunt create domenii, care sunt situate pe controlere.

De asemenea, este recomandabil să clarificați că serviciile pot funcționa numai pe dispozitive cu sisteme server Windows. În plus, pe controlere sunt create 3-4 servere DNS. Acestea deservesc zona principală a domeniului, iar în cazul în care unul dintre ele eșuează, alte servere îl înlocuiesc.

După o scurtă prezentare generală a Active Directory pentru manechin, sunteți în mod natural interesat de întrebarea - de ce să schimbați un grup local într-o bază de date întreagă? Desigur, aici câmpul de posibilități este de multe ori mai larg, iar pentru a afla și alte diferențe între aceste servicii pentru managementul sistemului, să aruncăm o privire mai atentă asupra avantajelor acestora.

Beneficii Active Directory

Avantajele Active Directory sunt următoarele:

Utilizarea unei singure resurse pentru autentificare. În această situație, trebuie să adăugați toate conturile pe fiecare computer care necesită acces la informații generale. Cu cât sunt mai mulți utilizatori și tehnicieni, cu atât este mai dificilă sincronizarea acestor date între ei.

Și astfel, atunci când utilizați servicii cu o bază de date, conturile sunt stocate la un moment dat, iar modificările intră în vigoare imediat pe toate computerele.

Cum functioneaza? Fiecare angajat care sosește la birou pornește sistemul și se conectează la contul său. Cererea de autentificare va fi transmisă automat la server și autentificarea va avea loc prin intermediul acestuia.

În ceea ce privește o anumită ordine în ținerea evidenței, puteți oricând împărți utilizatorii în grupuri - „Resurse umane” sau „Contabilitate”.

Este și mai ușor în acest caz să oferiți acces la informații - dacă trebuie să deschideți un folder pentru angajații dintr-un departament, o faceți prin baza de date. Împreună au acces la folderul de date solicitat, în timp ce restul documentelor rămân închise.

Control asupra fiecărui membru al bazei de date.

Dacă într-un grup local fiecare membru este independent, este dificil să îl controlezi de pe alt computer, atunci anumite reguli pot fi stabilite în domenii în conformitate cu politica companiei.

În calitate de administrator de sistem, puteți configura setările de acces și setările de securitate și apoi le puteți aplica pentru fiecare grup de utilizatori. Desigur, în funcție de ierarhie, un grup poate defini setări mai stricte, în timp ce altora li se poate da acces la alte fișiere și acțiuni din sistem.

În plus, atunci când o persoană nouă se alătură companiei, computerul său va primi imediat setul necesar de setări, unde sunt incluse componente pentru lucru.

Versatilitate în instalarea software-ului.

Apropo, despre componente - cu ajutorul Active Directory puteți aloca imprimante, puteți instala simultan programele necesare pentru toți angajații, puteți seta parametrii de confidențialitate. În general, crearea unei baze de date va optimiza semnificativ munca, va monitoriza siguranța și va uni utilizatorii pentru o eficiență maximă.

Iar dacă o companie operează o utilitate separată sau servicii speciale, acestea pot fi sincronizate cu domeniile și accesul simplificat la acestea. Cum? Dacă combinați toate produsele utilizate în companie, angajatul nu va trebui să introducă diferite date de conectare și parole pentru a se conecta la fiecare program - aceste informații vor fi partajate.

Acum că înțelegeți beneficiile și implicațiile utilizării Active Directory, să parcurgem procesul de instalare a acestor servicii.

Utilizarea unei baze de date pe Windows Server 2012

Instalarea și configurarea Active Directory nu este dificilă și este, de asemenea, mai ușoară decât pare la prima vedere.

Pentru a încărca serviciile, mai întâi trebuie să faceți următoarele:

Schimbați numele computerului: faceți clic pe „Start”, deschideți Panoul de control, elementul „Sistem”. Selectați „Modificați parametrii” și în Proprietăți vizavi de linia „Nume computer” faceți clic pe „Modificați”, introduceți o nouă valoare pentru computerul gazdă.
Reporniți la cererea computerului.
Setați setările de rețea astfel:
- Din panoul de control, deschideți meniul Rețele și partajare.
- Setări corecte ale adaptorului. Faceți clic dreapta pe Proprietăți și faceți clic pe fila Rețea.
- În fereastra din listă, faceți clic pe protocolul Internet la numărul 4, faceți din nou clic pe „Proprietăți”.
- Introduceți setările necesare, de exemplu: adresa IP - 192.168.10.252, masca de subrețea - 255.255.255.0, subgateway principal - 192.168.10.1.
- În linia „Server DNS preferat” specificați adresa serverului local, în „Alternative...” - alte adrese ale serverelor DNS.
- Salvați modificările și închideți ferestrele.

Instalați rolurile Active Directory astfel:

Deschideți „Managerul serverului” de la început.
Din meniu, selectați Adăugați roluri și funcții.
Vrăjitorul va porni, dar puteți sări peste prima fereastră de descriere.
Verificați linia „Instalarea rolurilor și funcțiilor”, continuați.
Selectați computerul pentru a instala Active Directory pe el.
Din listă, marcați rolul pe care doriți să îl încărcați - pentru cazul dvs., acesta este „Active Directory Domain Services”.
Va apărea o mică fereastră care vă va cere să descărcați componentele necesare pentru servicii - acceptați-o.
Apoi vi se va solicita să instalați alte componente - dacă nu aveți nevoie de ele, săriți peste acest pas făcând clic pe „Următorul”.
Expertul de configurare va afișa o fereastră cu descrieri ale serviciilor pe care le instalați - citiți mai departe și continuați.
Va apărea o listă de componente pe care urmează să le instalăm - verificați dacă totul este corect și, dacă da, apăsați butonul corespunzător.
Închideți fereastra când procesul este finalizat.
Asta este - serviciile sunt încărcate pe computer.

Configurarea Active Directory

Pentru a configura un serviciu de domeniu, trebuie să faceți următoarele:

Rulați vrăjitorul de configurare cu același nume.
Faceți clic pe indicatorul galben din partea de sus a ferestrei și selectați Promovare rol server la controler de domeniu.
Faceți clic pe adăugați o nouă „pădure” și creați un nume pentru domeniul rădăcină, apoi faceți clic pe „Următorul”.
Specificați nivelurile funcționale ale pădurii și ale domeniului - cel mai adesea sunt aceleași.
Veniți cu o parolă, dar asigurați-vă că o amintiți. Continuați mai departe.
După aceea, este posibil să vedeți un avertisment că domeniul nu este delegat și o propunere de verificare a numelui domeniului - puteți sări peste acești pași.
În fereastra următoare, puteți schimba calea către directoarele bazei de date - faceți acest lucru dacă acestea nu vă convin.
Acum veți vedea toți parametrii pe care urmează să îi setați - vedeți dacă i-ați ales corect și continuați.
Aplicația va verifica dacă sunt îndeplinite condițiile preliminare, iar dacă nu există comentarii sau nu sunt critice, faceți clic pe „Instalare”.
După finalizarea instalării, computerul se va reporni singur.

S-ar putea să vă întrebați, de asemenea, cum să adăugați un utilizator la baza de date. Pentru a face acest lucru, utilizați meniul „Utilizatori sau computere Active Directory”, pe care îl veți găsi în secțiunea „Administrare” a panoului de control, sau utilizați meniul de setări a bazei de date.

Pentru a adăuga un utilizator nou, faceți clic dreapta pe numele domeniului, selectați „Creare”, după „Subdiviziune”. Veți vedea o fereastră în care trebuie să introduceți numele noului departament - servește ca un folder în care puteți colecta utilizatori din diferite departamente. În același mod, mai târziu vei mai crea câteva divizii și vei plasa corect toți angajații.

Apoi, când ați creat numele departamentului, faceți clic dreapta pe el și selectați „Nou”, după - „Utilizator”. Acum nu mai rămâne decât să introduceți datele necesare și să setați setările de acces pentru utilizator.

Când este creat un profil nou, faceți clic pe el selectând meniul contextual și deschideți „Proprietăți”. În fila „Cont”, eliminați bifa de lângă „Blocați...”. Asta e tot.

Concluzia generală este că Active Directory este un instrument puternic și util de gestionare a sistemului, care va ajuta la unirea tuturor computerelor angajaților într-o singură echipă. Cu ajutorul serviciilor, puteți crea o bază de date securizată și puteți optimiza semnificativ munca și sincronizarea informațiilor între toți utilizatorii. Dacă compania dvs. și orice alt loc de muncă este legat de computere și rețea, trebuie să combinați conturile și să monitorizați munca și confidențialitatea, instalarea unei baze de date bazată pe Active Directory va fi o soluție excelentă.

Director activ

Director activ(„Directoare active”, ANUNȚ) - LDAP-implementarea compatibilă a serviciului de directoare corporative Microsoft pentru sistemele de operare ale familiei Windows NT. Director activ Permite administratorilor să folosească Politica de grup pentru a menține o experiență de utilizator consecventă, pentru a implementa software pe mai multe computere prin Politica de grup sau Manager de configurare System Center(anterior Microsoft Systems Management Server), instalați actualizări ale sistemului de operare, aplicației și software-ului server pe toate computerele din rețea care utilizează Serviciul de actualizare Windows Server . Director activ stochează datele și setările de mediu într-o bază de date centralizată. Rețele Director activ pot fi de diferite dimensiuni: de la câteva zeci la câteva milioane de obiecte.

Reprezentare Director activ a avut loc în 1999, produsul a fost lansat pentru prima dată cu Windows 2000 Serverși a fost ulterior modificat și îmbunătățit la lansare Windows Server 2003... Ulterior Director activ a fost îmbunătățită în Windows Server 2003 R2, Windows Server 2008și Windows Server 2008 R2și redenumit în Servicii de domeniu Active Directory... Anterior, era apelat serviciul de directoare Serviciul de director NT (NTDS), acest nume mai poate fi găsit în unele fișiere executabile.

Spre deosebire de versiuni Windows inainte de Windows 2000 care au folosit în principal protocolul NetBIOS pentru networking, service Director activ integrat cu DNSși TCP/IP... Protocolul de autentificare implicit este Kerberos... Dacă clientul sau aplicația nu acceptă autentificare Kerberos, se folosește protocolul NTLM .

Dispozitiv

Obiecte

Director activ are o structură ierarhică formată din obiecte. Obiectele se împart în trei categorii principale: resurse (cum ar fi imprimante), servicii (cum ar fi e-mail) și conturi de utilizator și computer. Director activ oferă informații despre obiecte, vă permite să organizați obiecte, să controlați accesul la acestea și, de asemenea, stabilește reguli de securitate.

Obiectele pot fi recipiente pentru alte obiecte (grupuri de securitate și distribuție). Un obiect este definit în mod unic prin numele său și are un set de atribute - caracteristici și date pe care le poate conține; acestea din urmă, la rândul lor, depind de tipul de obiect. Atributele sunt baza constitutivă a structurii obiectului și sunt definite în schemă. Schema determină ce tipuri de obiecte pot exista.

Schema în sine constă din două tipuri de obiecte: obiecte de clasă de schemă și obiecte de atribute de schemă. Un obiect de clasă de schemă definește un tip de obiect Director activ(de exemplu, un obiect User) și un obiect atribut schemă definește atributul pe care îl poate avea obiectul.

Fiecare obiect atribut poate fi utilizat în mai multe obiecte diferite ale clasei de schemă. Aceste obiecte sunt numite obiecte de schemă (sau metadate) și vă permit să modificați și să completați schema după cum este necesar. Cu toate acestea, fiecare obiect de schemă face parte din definițiile obiectului Director activ, prin urmare, dezactivarea sau schimbarea acestor obiecte poate avea consecințe grave, deoarece în urma acestor acțiuni, structura va fi modificată Director activ... Modificarea obiectului de schemă este propagată automat către Director activ... Odată creat, un obiect de schemă nu poate fi șters, poate fi doar dezactivat. De obicei, toate modificările schemei sunt planificate cu atenție.

Container asemănătoare obiectîn sensul că are și atribute și este spațial de nume, dar spre deosebire de un obiect, un container nu înseamnă nimic anume: poate conține un grup de obiecte sau alte containere.

Structura

Nivelul superior al structurii este pădurea - colecția tuturor obiectelor, atributelor și regulilor (sintaxa atributelor) în Director activ... Pădurea conține unul sau mai mulți copaci legați prin tranzitiv relații de încredere ... Arborele conține unul sau mai multe domenii, care sunt, de asemenea, legate ierarhic prin trusturi tranzitive. Domeniile sunt identificate prin structurile lor de nume DNS - spații de nume.

Obiectele dintr-un domeniu pot fi grupate în containere - unități organizatorice. Subdiviziunile vă permit să creați o ierarhie în cadrul unui domeniu, să simplificați administrarea acestuia și să modelați structura organizatorică și/sau geografică a unei companii în Director activ... Subdiviziunile pot conține și alte subdiviziuni. corporație Microsoft recomandă utilizarea a cât mai puține domenii posibil în Director activși folosiți diviziunile pentru structurare și politici. Adesea, politicile de grup sunt aplicate în mod specific unităților organizaționale. Politicile de grup sunt ele însele obiecte. O unitate organizatorică este cel mai de jos nivel la care poate fi delegată autoritatea administrativă.

Un alt mod de a împărți Director activ sunt site-uri , care sunt o modalitate de grupare fizică (mai degrabă decât logică) bazată pe segmente de rețea. Site-urile sunt împărțite în cele care au conexiuni prin canale de viteză mică (de exemplu, prin rețele de zonă largă, folosind rețele private virtuale) și pe canale de mare viteză (de exemplu, printr-o rețea locală). Un site poate conține unul sau mai multe domenii, iar un domeniu poate conține unul sau mai multe site-uri. La proiectare Director activ este important să se ia în considerare traficul de rețea generat de sincronizarea datelor între site-uri.

O decizie cheie de proiectare Director activ este decizia de a împărți infrastructura informațională în domenii ierarhice și diviziuni de nivel superior. Modelele tipice utilizate pentru această separare sunt modelele de separare pe diviziunea funcțională a companiei, după localizarea geografică și pe rol în infrastructura informațională a companiei. Combinațiile acestor modele sunt adesea folosite.

Structura fizică și replicare

Din punct de vedere fizic, informațiile sunt stocate pe unul sau mai multe controlere de domeniu echivalente care le-au înlocuit pe cele utilizate în Windows NT controlere de domeniu primare și de rezervă, deși pentru unele operațiuni este păstrat un așa-numit server de „operațiuni master unice”, care poate emula controlerul de domeniu principal. Fiecare controler de domeniu păstrează o copie de citire-scriere a datelor. Modificările efectuate pe un controler de domeniu sunt sincronizate cu toate controlerele de domeniu în timpul replicării. Servere pe care serviciul în sine Director activ nu sunt instalate, dar care sunt incluse în domeniu Director activ sunt numite servere membre.

Replicare Director activ efectuate la cerere. Serviciu Verificator de consistență a cunoștințelor creează o topologie de replicare care utilizează site-uri definite în sistem pentru a genera trafic. Replicarea intrasite este efectuată frecvent și automat utilizând verificatorul de consistență (notificând partenerii de replicare cu privire la modificări). Replicarea între site-uri poate fi configurată pentru fiecare canal de site (în funcție de calitatea canalului) - un „scor” (sau „cost”) diferit poate fi atribuit fiecărui canal (de exemplu DS3, , ISDNși așa mai departe), iar traficul de replicare va fi limitat, programat și direcționat conform estimării legăturii atribuite. Datele de replicare pot fi transferate în mod tranzitiv pe mai multe site-uri prin punți de linkuri de site dacă „scorul” este scăzut, deși AD atribuie automat un scor mai mic pentru linkurile de la site la site decât pentru linkurile tranzitive. Replicarea de la site la site este efectuată de serverele cap de pod de la fiecare site, care apoi reproducă modificările la fiecare controler de domeniu din site-ul lor. Replicarea intra-domeniu urmează protocolul RPC prin protocol IP, cross-domain - poate folosi și protocolul SMTP.

Dacă structura Director activ conţine mai multe domenii, pentru a rezolva problema căutării obiectelor se foloseşte catalogul global: Un controler de domeniu care conține toate obiectele din pădure, dar cu un set limitat de atribute (replică parțială). Catalogul este stocat pe serverele de catalog globale specificate și servește solicitări între domenii.

Capacitatea de o singură gazdă vă permite să gestionați solicitările atunci când replicarea cu mai multe gazdă este inacceptabilă. Există cinci tipuri de astfel de operațiuni: PDC Emulation, Relative ID Master (Relative ID Master sau RID Master), Infrastructure Master (Infrastructure Master), Schema Master (Schema Master) și Domain Naming Master (Domain Naming Wizard). Primele trei roluri sunt unice într-un domeniu, ultimele două sunt unice în întreaga pădure.

Baza Director activ poate fi împărțit în trei depozite logice sau „partiții”. Schema este un șablon pentru Director activși definește toate tipurile de obiecte, clasele și atributele acestora, sintaxa atributelor (toți arborii sunt în aceeași pădure, deoarece au aceeași schemă). Configurația este structura pădurii și a copacilor Director activ... Un domeniu stochează toate informațiile despre obiectele create în acest domeniu. Primele două magazine sunt replicate la toate controlerele de domeniu din pădure, a treia partiție este replicată complet între replicile controlerelor din fiecare domeniu și parțial pe serverele de catalog global.

Denumire

Director activ acceptă următoarele formate de denumire a obiectelor: nume de tip generic UNC, Urlși URL LDAP... Versiune LDAP Formatul de denumire X.500 utilizat intern Director activ.

Fiecare obiect are nume distins (ing. nume distins, DN). De exemplu, un obiect imprimantă numit HPLaser3în Marketing și în domeniul foo.org va avea următorul nume distinctiv: CN = HPLaser3, OU = Marketing, DC = foo, DC = org, unde CN este numele comun, OU este secțiunea și DC este clasa obiect de domeniu. Numele distinse pot avea mult mai multe părți decât cele patru părți din acest exemplu. Obiectele au, de asemenea, nume canonice. Acestea sunt nume distincte, scrise în ordine inversă, fără identificatori și folosind bare oblice drept separatoare: foo.org/Marketing/HPLaser3. Pentru a defini un obiect în interiorul containerului său, utilizați nume distinctiv relativ : CN = HPLaser3. Fiecare obiect are, de asemenea, un identificator unic la nivel global ( GUID) este un șir unic și neschimbător de 128 de biți care este utilizat în Director activ pentru căutare și replicare. Anumite obiecte au și un UPN ( UPN, in conformitate cu RFC 822) în formatul obiect @ domain.

Integrare cu UNIX

Niveluri diferite de interacțiune cu Director activ poate fi implementat în majoritatea UNIX-asemenea sistemelor de operare prin respectarea standardului LDAP clienții, dar astfel de sisteme, de regulă, nu percep majoritatea atributelor asociate componentelor Windows precum Politica de grup și sprijinul pentru împuterniciri unidirecționale.

Furnizorii terți oferă integrare Director activ pe platforme UNIX inclusiv UNIX, Linux, Mac OS Xși o serie de aplicații bazate pe Java, cu un pachet de produse:

Suplimente de schemă furnizate cu Windows Server 2003 R2 include atribute care sunt strâns legate de RFC 2307 pentru a fi utilizate în general. Implementări de bază RFC 2307, nss_ldap și pam_ldap, așa cum este sugerat PADL.com, susțin direct aceste atribute. Schema standard pentru apartenența la grup este în conformitate cu RFC 2307bis (propus). Windows Server 2003 R2 include Microsoft Management Console pentru crearea și editarea atributelor.

O alternativă este să utilizați un alt serviciu de director, cum ar fi 389 Directory Server(anterior Fedora Directory Server, FDS), eB2Bcom ViewDS v7.1 Director cu XML activat sau Sun Java System Directory Server din Microsisteme solare efectuând sincronizarea în două sensuri cu Director activ realizând astfel integrarea „oglindită” atunci când clienții UNIXși Linux autentificat FDS si clienti Windows autentificat Director activ... O altă opțiune este utilizarea OpenLDAP cu posibilitatea unei suprapuneri translucide, extinzând elementele serverului la distanță LDAP atribute suplimentare stocate în baza de date locală.

Director activ automatizat de Powershell .

Literatură

Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003... Ghid complet = Microsoft Exchange Server 2003 Unleashed... - M .: „Williams”, 2006. - S. 1024. - ISBN 0-672-32581-0

Vezi si

Legături

Note (editare)

Componente Microsoft Windows
Principalul
Servicii management
Aplicații	Contacte DVD Maker Fax și scanare Internet Explorer Revistă Lupa de ecran Centru media Windows Media Player Program de colaborare Centrul de dispozitive Windows Mobile Centrul de mobilitate Narator Paint Editor de simboluri personale Asistent de la distanță Recunoaștere a vorbirii WordPad Caiet Panou lateral Înregistrare sunet Calendarul Calculator Foarfece Poștă tabel de simboluri Istoric: Movie Maker NetMeeting Outlook Express Manager de program Manager de fișiere album foto
Jocuri
Nucleul OS
Servicii
Fişier sisteme
Server	Director activ Servicii de implementare Serviciul de replicare a fișierelor Domenii DNS Redirecționare folder Hyper-V IIS Media Services MSMQ Protecția accesului la rețea (NAP) Servicii de imprimare pentru UNIX Compresie diferențială de la distanță Servicii de instalare la distanță Serviciul de management al drepturilor Profiluri de utilizator în roaming SharePoint Manager de resurse de sistem Desktop la distanță WSUS Politica de grup Coordonator de tranzacții distribuite
Arhitectură
Siguranță
Compatibilitate

Microsoft
PE
Software de server
Tehnologii
Internet
Jocuri
Hardware Securitate
Educaţie
Licențiere
Subdiviziuni

Adnotare: Această prelegere descrie conceptele de bază ale serviciilor de directoare Active Directory. Sunt date exemple practice de management al sistemului de securitate al rețelei. Este descris mecanismul politicilor de grup. Oferă o înțelegere a sarcinilor unui administrator de rețea atunci când gestionează o infrastructură de servicii de director

Rețelele de astăzi sunt adesea formate din multe platforme software diferite și o mare varietate de hardware și software. Utilizatorii sunt adesea forțați să-și amintească un număr mare de parole pentru a accesa diverse resurse de rețea. Drepturile de acces pot fi diferite pentru același angajat, în funcție de resursele cu care lucrează. Tot acest set de interconexiuni necesită o cantitate enormă de timp de la administrator și utilizator pentru analiză, memorare și instruire.

O soluție la problema administrării unei astfel de rețele eterogene a fost găsită prin dezvoltarea unui serviciu de directoare. Serviciile de director oferă capacitatea de a gestiona orice resursă și serviciu de oriunde, indiferent de dimensiunea rețelei, sistemele de operare sau complexitatea hardware. Informațiile despre utilizator sunt introduse o dată în serviciul director și apoi devin disponibile în întreaga rețea. Adresele de e-mail, apartenența la grup, drepturile de acces și conturile necesare pentru a lucra cu diferite sisteme de operare - toate acestea sunt create automat și ținute la zi. Orice modificări aduse serviciului de director de către un administrator sunt actualizate imediat în întreaga rețea. Administratorii nu mai trebuie să-și facă griji cu privire la angajații concediați – pur și simplu prin eliminarea unui cont de utilizator din serviciul de director, se pot asigura că toate drepturile de acces la rețea acordate anterior acelui angajat sunt eliminate automat.

În prezent, majoritatea serviciilor de directoare ale diverselor companii se bazează pe standard X.500... Pentru a accesa informațiile stocate în serviciile directoare, se folosește de obicei protocolul (LDAP). Odată cu dezvoltarea rapidă a rețelelor TCP / IP, LDAP devine standardul pentru serviciile de directoare și aplicațiile orientate spre servicii de directoare.

Serviciul director Active Directory este coloana vertebrală a structurii logice a rețelelor corporative bazate pe sistemul Windows. Termenul " Catalog„în sensul cel mai larg înseamnă” Director", A serviciu de directoare rețeaua corporativă este un director corporativ centralizat. Directorul corporativ poate conține informații despre diferite tipuri de obiecte. Serviciul director Active Directory conține în primul rând obiectele pe care se bazează sistemul de securitate al rețelei Windows - conturi de utilizator, grup și computer. Conturile sunt organizate în structuri logice: domeniu, arbore, pădure, unități organizatorice.

Din punctul de vedere al studierii materialului cursului „Rețea administrare„următorul curs de studiu este destul de posibil: studiați mai întâi prima parte a acestei secțiuni (de la conceptele de bază până la instalarea controlerelor de domeniu), apoi accesați „Serviciul de fișiere și imprimare”, iar după ce ați studiat „Serviciul de fișiere și imprimare „reveniți la” Active Directory Service Directory „pentru concepte mai avansate de servicii de director.

6.1 Termeni și concepte de bază (pădure, arbore, domeniu, unitate organizațională). Planificarea spațiului de nume AD. Instalarea controlerelor de domeniu

Modele de management al securității: grup de lucru și model de domeniu centralizat

După cum sa discutat mai sus, scopul principal al serviciilor de director este de a gestiona securitatea rețelei. Baza securității rețelei este o bază de date de conturi de utilizatori, grupuri de utilizatori și computere, care este utilizată pentru a controla accesul la resursele rețelei. Înainte de a vorbi despre Active Directory, să comparăm cele două modele de construire a unei baze de date cu servicii de director și de control al accesului la resurse.

Model de grup de lucru

Acest model de management al securității rețelei corporative este cel mai primitiv. Este destinat utilizării la mici rețele peer-to-peer(3-10 calculatoare) și se bazează pe faptul că fiecare computer dintr-o rețea cu sisteme de operare Windows NT / 2000 / XP / 2003 are propria bază de date locală de conturi și cu ajutorul acestei baze de date locale accesul la resursele acestui computerul este controlat. Baza de date locală de conturi se numește bază de date SAM (Manager de cont de securitate) și este stocat în registrul sistemului de operare. Bazele de date ale calculatoarelor individuale sunt complet izolate unele de altele și nu sunt conectate în niciun fel între ele.

Un exemplu de control al accesului folosind un astfel de model este prezentat în Fig. 6.1.

Orez. 6.1.

Acest exemplu arată două servere (SRV-1 și SRV-2) și două stații de lucru (WS-1 și WS-2). Bazele lor de date SAM sunt desemnate SAM-1, SAM-2, SAM-3 și respectiv SAM-4 (bazele de date SAM sunt prezentate ca un oval în figură). Fiecare bază de date are conturi de utilizator User1 și User2. Numele de utilizator complet calificat User1 de pe serverul SRV-1 va fi „SRV-1 \ User1” iar numele de utilizator complet calificat User1 de pe stația de lucru WS-1 va fi „WS-1 \ User1”. Imaginați-vă că pe serverul SRV-1 este creat un folder Folder, la care utilizatorii User1 au acces prin rețea pentru citire (R), User2 pentru citire și scriere (RW). Principalul punct al acestui model este că computerul SRV-1 nu „știe” nimic despre conturile calculatoarelor SRV-2, WS-1, WS-2, precum și despre toate celelalte computere din rețea. Dacă un utilizator numit User1 se conectează local la sistemul de pe un computer, de exemplu, WS-2 (sau, după cum se spune, „se conectează la sistem cu numele local User1 pe computer WS-2”), atunci când încearcă pentru a accesa de pe acest computer prin rețea Folder de pe serverul SRV-1, serverul va cere utilizatorului să introducă un nume de utilizator și o parolă (cu excepția cazului în care utilizatorii cu același nume au aceeași parolă).

Modelul Workgroup este mai ușor de învățat și nu trebuie să învețe conceptele complexe ale Active Directory. Dar atunci când este folosit într-o rețea cu un număr mare de computere și resurse de rețea, devine foarte dificil să gestionați numele de utilizator și parolele acestora - trebuie să creați manual aceleași conturi cu aceleași parole pe fiecare computer (care își împarte resursele în rețea). ), care consumă foarte mult timp, sau pentru a crea un cont pentru toți utilizatorii cu o singură parolă pentru toți (sau fără parolă), ceea ce reduce foarte mult nivelul de protecție a informațiilor. Prin urmare, modelul „Grup de lucru” este recomandat doar pentru rețelele cu un număr de computere de la 3 la 10 (sau chiar mai bine - nu mai mult de 5), cu condiția ca printre toate computerele să nu existe niciunul cu Windows Server.

Model de domeniu

În modelul de domeniu, există o singură bază de date de servicii de director care este accesibilă tuturor computerelor din rețea. Pentru a face acest lucru, în rețea sunt instalate servere specializate, numite controlere de domeniu care stochează această bază de date pe hard disk-urile lor. În fig. 6.2. este prezentată diagrama modelului de domeniu. Serverele DC-1 și DC-2 sunt controlere de domeniu, ele stochează o bază de date de domeniu de conturi (fiecare controler își păstrează propria copie a bazei de date, dar toate modificările aduse bazei de date pe unul dintre servere sunt replicate celorlalți controlere).

Orez. 6.2.

Într-un astfel de model, dacă, de exemplu, pe serverul SRV-1, care este membru al domeniului, folderul Folder este partajat, atunci drepturile de acces la această resursă pot fi atribuite nu numai conturilor SAM local. baza de date a acestui server, dar, cel mai important, la înregistrările de cont stocate în baza de date a domeniului. În figură, accesul la folderul Folder are drepturi de acces pentru un cont local de computer SRV-1 și mai multe conturi de domeniu (utilizatori și grupuri de utilizatori). În modelul de gestionare a securității domeniului, un utilizator se conectează la un computer („se autentifică”) cu ajutorul lor cont de domeniuși, indiferent de computerul pe care a fost efectuată înregistrarea, obține acces la resursele de rețea necesare. Și nu este nevoie să creați un număr mare de conturi locale pe fiecare computer, toate înregistrările sunt create o dată în baza de date a domeniului... Și cu ajutorul unei baze de date de domeniu, controlul accesului centralizat la resursele rețelei indiferent de numărul de calculatoare din rețea.

Scopul serviciului de director Active Directory

Un director (referință) poate stoca o varietate de informații legate de utilizatori, grupuri, computere, imprimante de rețea, partajări de fișiere și așa mai departe - vom apela toate aceste obiecte. Directorul stochează, de asemenea, informații despre obiectul în sine sau despre proprietățile acestuia, numite atribute. De exemplu, atributele stocate în directorul despre un utilizator pot fi numele managerului, numărul de telefon, adresa, numele de conectare, parola, grupurile din care aparțin și multe altele. Pentru a face magazinul de directoare util utilizatorilor, trebuie să existe servicii care vor interacționa cu directorul. De exemplu, puteți utiliza directorul ca un depozit de informații prin care puteți autentifica un utilizator sau ca un loc unde puteți trimite o solicitare pentru a găsi informații despre un obiect.

Active Directory nu este responsabil doar pentru crearea și organizarea acestor obiecte mici, ci și pentru obiecte mari, cum ar fi domenii, OU (unități organizaționale) și site-uri.

Citiți mai jos despre termenii de bază utilizați în contextul Active Directory.

Serviciul director Active Directory (AD pe scurt) permite unui mediu corporativ complex să ruleze eficient, oferind următoarele capabilități:

Conectare unică online; Utilizatorii se pot autentifica în rețea cu un singur nume de utilizator și parolă și, în același timp, pot obține acces la toate resursele și serviciile rețelei (servicii de infrastructură de rețea, servicii de fișiere și imprimare, servere de aplicații și baze de date etc.);
Securitatea informațiilor... Controalele de autentificare și acces la resurse încorporate în Active Directory oferă protecție centralizată a rețelei;
Management centralizat... Administratorii pot gestiona central toate resursele corporative;
Administrare folosind politici de grup... Când computerul pornește sau un utilizator se conectează la sistem, cerințele politicilor de grup sunt îndeplinite; setările lor sunt stocate în obiectele politicii de grup(GPO) și se aplică tuturor conturilor de utilizator și computer situate în site-uri, domenii sau unități organizaționale;
Integrare DNS... Serviciile de director depind complet de DNS pentru a funcționa. La rândul lor, serverele DNS pot stoca informații de zonă într-o bază de date Active Directory;
Extensibilitatea directorului... Administratorii pot adăuga noi clase de obiecte la schema de catalog sau pot adăuga noi atribute la clasele existente;
Scalabilitate... Active Directory se poate întinde pe un singur domeniu sau mai multe domenii combinate într-un arbore de domenii, iar arbori de domenii multiple pot fi utilizați pentru a construi o pădure;
Replicarea informațiilor... Active Directory folosește replicarea overhead într-un sistem multi-master ( multi-master), care vă permite să modificați baza de date Active Directory pe orice controler de domeniu. Controlerele de domeniu multiple oferă toleranță la erori și echilibrare a sarcinii rețelei;
Flexibilitatea cererilor de catalog... Baza de date Active Directory poate fi folosită pentru a găsi rapid orice obiect AD folosind proprietățile acestuia (de exemplu, numele de utilizator sau adresa de e-mail, tipul sau locația imprimantei etc.);
Interfețe de programare standard... Pentru dezvoltatorii de software, serviciul de director oferă acces la toate capabilitățile (instrumentele) directorului și acceptă standardele acceptate și interfețele de programare (API).

O mare varietate de obiecte diferite pot fi create în Active Directory. Un obiect este o entitate unică în Director și are de obicei multe atribute care ajută la descrierea și recunoașterea acestuia. Contul de utilizator este un exemplu de obiect. Acest tip de obiect poate avea multe atribute precum prenume, prenume, parolă, număr de telefon, adresă și multe altele. În același mod, o imprimantă partajată poate fi, de asemenea, un obiect în Active Directory, iar atributele sale sunt numele, locația, etc. Atributele obiectului nu numai că vă ajută să definiți un obiect, ci vă permit și să căutați obiecte în Catalog.

Terminologie

Serviciul director Sistemele Windows Server sunt construite pe standarde tehnologice general acceptate. Inițial, a fost dezvoltat un standard pentru serviciile de directoare X.500, care a fost conceput pentru construirea de dicționare scalabile ierarhice de tip arbore cu posibilitatea de a extinde atât clasele de obiecte, cât și seturile de atribute (proprietăți) ale fiecărei clase individuale. Cu toate acestea, implementarea practică a acestui standard s-a dovedit a fi ineficientă în ceea ce privește performanța. Apoi, pe baza standardului X.500, a fost dezvoltată o versiune simplificată (ușoară) a standardului de construire a directoarelor, numită LDAP (Protocol schematic de acces la registru). Protocolul LDAP păstrează toate proprietățile de bază ale X.500 (sistem de creare a directoarelor ierarhice, scalabilitate, extensibilitate), dar în același timp permite implementarea eficientă a acestui standard în practică. Termenul " ușoară " (" ușoară„) în numele LDAP reflectă scopul principal al dezvoltării protocolului: crearea unui set de instrumente pentru construirea unui serviciu de director care să aibă suficientă putere funcțională pentru a rezolva problemele de bază, dar nu este supraîncărcat cu tehnologii complexe care fac implementarea serviciilor de director ineficientă. LDAP este în prezent metoda standard de accesare a directoarelor de rețea de informații și servește drept fundație în multe produse, cum ar fi sisteme de autentificare, programe de e-mail și aplicații de comerț electronic. Există peste 60 de servere LDAP comerciale pe piață astăzi, aproximativ 90% dintre acestea fiind servere de directoare LDAP autonome, restul fiind oferite ca componente ale altor aplicații.

LDAP definește în mod clar gama de operațiuni de director pe care o aplicație client le poate efectua. Aceste operațiuni se împart în cinci grupe:

stabilirea conexiunii cu directorul;
caută informații în ea;
modificarea conținutului acestuia;
adăugarea unui obiect;
ștergerea unui obiect.

Pe lângă protocolul LDAP serviciu de directoare Active Directory folosește și protocolul de autentificare Kerberosși DNS pentru componentele de căutare în rețea ale serviciilor de directoare (controlere de domeniu, servere de catalog globale, serviciul Kerberos etc.).

Domeniu

Unitatea principală a sistemului de securitate Active Directory este domeniu... Domeniul formează zona de responsabilitate administrativă. Baza de date de domenii conține conturi utilizatorii, grupuriși calculatoare... Majoritatea funcțiilor de gestionare a serviciilor de director operează la nivel de domeniu (autentificarea utilizatorilor, controlul accesului la resurse, managementul serviciilor, managementul replicării, politicile de securitate).

Numele de domenii Active Directory sunt generate în același mod ca și numele din spațiul de nume DNS. Și aceasta nu este o coincidență. DNS este un motor de căutare pentru componente de domeniu - în primul rând controlere de domeniu.

Controlere de domeniu- servere speciale care stochează partea din baza de date Active Directory corespunzătoare unui domeniu dat. Caracteristici cheie ale controlerelor de domeniu:

stocarea bazei de date Active Directory(organizarea accesului la informațiile conținute în catalog, inclusiv gestionarea acestor informații și modificarea acestora);
sincronizarea modificărilor în AD(modificările la baza de date AD pot fi făcute pe oricare dintre controlerele de domeniu, orice modificări efectuate pe unul dintre controlere vor fi sincronizate cu copiile stocate pe alte controlere);
autentificarea utilizatorului(oricare dintre controlorii de domeniu verifică acreditările utilizatorilor care se conectează la sistemele client).

Este recomandat să instalați cel puțin două controlere de domeniu în fiecare domeniu - în primul rând, pentru a proteja împotriva pierderii bazei de date Active Directory în cazul unei defecțiuni a controlerului și, în al doilea rând, pentru a distribui încărcarea între controllers.it.company. ru există un subdomeniu dev.it.company.ru, creat pentru departamentul de dezvoltare software al serviciului IT.

să descentralizeze administrarea serviciilor de agendă (de exemplu, în cazul în care o firmă are sucursale îndepărtate geografic unele de altele, iar gestionarea centralizată este dificilă din motive tehnice);
pentru a îmbunătăți productivitatea (pentru companiile cu un număr mare de utilizatori și servere, problema îmbunătățirii performanței controlerelor de domeniu este relevantă);
pentru o gestionare mai eficientă a replicării (dacă controlerele de domeniu sunt la distanță unul de celălalt, atunci replicarea într-unul poate dura mai mult timp și poate crea probleme cu utilizarea datelor nesincronizate);

domeniul rădăcinii pădurii

Unități organizaționale (OP).

Unități organizatorice (Unități organizaționale, OU) - containere din interiorul AD, care sunt create pentru a combina obiecte pt delegarea drepturilor administrativeși aplicarea politicilor de grupîn domeniu. OP există numai în cadrul domeniilorși se poate combina numai obiecte din domeniul lor... OP-urile pot fi imbricate unul în celălalt, ceea ce permite construirea unei ierarhii complexe, asemănătoare unui arbore, de containere într-un domeniu și oferind un control administrativ mai flexibil. În plus, PO pot fi create pentru a reflecta ierarhia administrativă și structura organizatorică a unei companii.

Catalog global

Catalog global este o listă toate obiectele care există în pădurea Active Directory. În mod implicit, controlerele de domeniu conțin doar informații despre obiectele din domeniul lor. Server de catalog global este un controler de domeniu care conține informații despre fiecare obiect (deși nu toate atributele acestor obiecte) dintr-o anumită pădure.

O componentă fundamentală a Serviciilor de Domeniu în fiecare organizație sunt Principalii de Securitate (numit inițial Principalul de Securitate), care oferă utilizatorilor, grupurilor sau computerelor care au nevoie de acces la anumite resurse din rețea. Obiectelor precum principalele de securitate le puteți acorda permisiuni pentru a accesa resursele din rețea, fiecărui principal fiindu-i atribuit un identificator de securitate unic (SID) în timpul creării obiectului, care constă din două părți. ID de securitate SID numită reprezentare numerică care identifică în mod unic un principal de securitate. Prima parte a unui astfel de identificator este id de domeniu... Deoarece principalii de securitate sunt localizați în același domeniu, tuturor acestor obiecte li se atribuie același identificator de domeniu. A doua parte a SID este identificator relativ (RID) care este utilizat pentru a identifica în mod unic principalul de securitate în raport cu agenția care emite SID.

Deși majoritatea organizațiilor planifică și implementează o infrastructură de servicii de domeniu o singură dată și rareori fac modificări la majoritatea obiectelor, o excepție importantă de la această regulă o reprezintă principiile de securitate care trebuie adăugate, modificate și eliminate periodic. Conturile de utilizator sunt una dintre componentele fundamentale ale identificării. Practic, conturile de utilizator sunt entități fizice, în mare parte persoane, care sunt angajați ai organizației dvs., dar există excepții în care conturile de utilizator sunt create pentru unele aplicații ca servicii. Conturile de utilizator joacă un rol critic în administrarea întreprinderii. Aceste roluri includ:

Identitatea utilizatorilor, deoarece contul creat vă permite să vă conectați la computere și domenii cu exact datele a căror autenticitate este verificată de domeniu;
Permisiuni de acces la resurse de domeniu care sunt atribuite unui utilizator pentru a acorda acces la resursele domeniului pe baza permisiunilor explicite.

Obiectele contului de utilizator sunt printre cele mai comune obiecte din Active Directory. Administratorii trebuie să le acorde o atenție deosebită conturilor de utilizator, deoarece utilizatorii tind să vină să lucreze într-o organizație, să se deplaseze între departamente și birouri, să se căsătorească, să se căsătorească, să divorțeze și chiar să părăsească compania. Astfel de obiecte sunt un set de atribute și un singur cont de utilizator poate conține peste 250 de atribute diferite, ceea ce este de câteva ori mai mare decât numărul de atribute de pe stațiile de lucru și computerele care rulează Linux. Când creați un cont de utilizator, este creat un set limitat de atribute și numai atunci puteți adăuga acreditări de utilizator, cum ar fi informații despre organizație, adrese de utilizator, numere de telefon și multe altele. Prin urmare, este important de reținut că unele atribute sunt obligatoriu si restul - opțional... În acest articol, voi vorbi despre metodele cheie pentru crearea conturilor de utilizator, despre unele atribute opționale și, de asemenea, voi descrie instrumentele de automatizare a acțiunilor de rutină asociate cu crearea conturilor de utilizator.

Creați utilizatori utilizând utilizatori și computere Active Directory

În majoritatea covârșitoare a cazurilor, administratorii de sistem preferă să folosească snap-in-ul, care este adăugat la folder "Administrare" imediat după instalarea rolului Servicii de domeniu Active Directoryși promovarea serverului la un controler de domeniu. Această metodă este cea mai convenabilă deoarece folosește o interfață grafică cu utilizatorul pentru a crea principii de securitate, iar Expertul Creare cont de utilizator este foarte ușor de utilizat. Dezavantajul acestei metode este că atunci când creați un cont de utilizator, nu puteți seta imediat majoritatea atributelor și va trebui să adăugați atributele necesare prin editarea contului. Pentru a crea un cont personalizat, urmați acești pași:

În câmp "Nume" Introduceți numele de utilizator;
În câmp „inițiale” introduceți inițialele sale (cel mai adesea, inițialele nu sunt folosite);
În câmp "Nume de familie" introduceți numele de familie al utilizatorului creat;
Camp "Numele complet" folosit pentru a crea atribute ale obiectului generat, cum ar fi numele comun CNși afișarea proprietăților numelui. Acest câmp trebuie să fie unic în întregul domeniu și este completat automat și trebuie să îl modificați doar dacă este necesar;
Camp „Nume de conectare al utilizatorului” este necesar și destinat pentru autentificarea domeniului utilizatorului. Aici trebuie să introduceți numele de utilizator și din lista derulantă selectați sufixul UPN, care va fi localizat după simbolul @;
Camp Nume de conectare utilizator (pre-Windows 2000) destinat numelui de autentificare pentru sistemele anterioare sistemului de operare Windows 2000. În ultimii ani, organizațiile au din ce în ce mai puțini proprietari ai unor astfel de sisteme, dar acest câmp este obligatoriu, deoarece unele software folosesc acest atribut pentru a identifica utilizatorii;

După completarea tuturor câmpurilor obligatorii, faceți clic pe butonul "Mai departe":

Orez. 2. Caseta de dialog pentru crearea unui cont de utilizator

Pe pagina următoare a expertului pentru crearea unui cont de utilizator, va trebui să introduceți parola inițială de utilizator în câmp "Parola"și confirmați-l pe teren "Confirmare"... În plus, puteți selecta un atribut care indică faptul că prima dată când un utilizator se conectează la sistem, utilizatorul trebuie să schimbe independent parola pentru contul său. Cel mai bine este să utilizați această opțiune împreună cu politicile locale de securitate. „Politica privind parolele” pentru a crea parole puternice pentru utilizatorii dvs. De asemenea, bifând caseta de pe opțiune „Preveniți utilizatorul să schimbe parola” oferiți utilizatorului parola și împiedicați schimbarea acesteia. La alegerea unei opțiuni „Parola nu expiră” parola pentru contul de utilizator nu va expira niciodată și nu va trebui schimbată periodic. Dacă bifați caseta "Dezactivați Account-ul", atunci acest cont nu va fi destinat lucrărilor ulterioare, iar un utilizator cu un astfel de cont nu se va putea conecta până când nu este pornit. Această opțiune, la fel ca majoritatea atributelor, va fi discutată în următoarea secțiune a acestui articol. După selectarea tuturor atributelor, faceți clic pe butonul "Mai departe"... Această pagină expert este descrisă în următoarea ilustrație:

Orez. 3. Crearea unei parole pentru contul creat

Pe ultima pagină a expertului, veți vedea un rezumat al parametrilor introduși. Dacă informațiile sunt introduse corect, faceți clic pe butonul "Gata" pentru a crea un cont de utilizator și a finaliza expertul.

Crearea utilizatorilor din șabloane

Organizațiile au de obicei multe divizii sau departamente care includ utilizatorii dvs. În aceste departamente, utilizatorii au proprietăți similare (de exemplu, numele departamentului, funcția, numărul biroului etc.). Pentru gestionarea cât mai eficientă a conturilor de utilizator dintr-un departament, de exemplu, folosind politici de grup, este indicat să le creați în cadrul domeniului în departamente speciale (cu alte cuvinte, containere) pe baza de șabloane. Șablon de cont este un cont care a apărut pentru prima dată pe vremea sistemelor de operare Windows NT, în care sunt pre-populate atributele comune tuturor utilizatorilor creați. Pentru a crea un șablon de cont de utilizator, urmați acești pași:

Sunt comune... Această filă este destinată completării atributelor individuale definite de utilizator. Aceste atribute includ numele și prenumele utilizatorului, o scurtă descriere a contului, numărul de telefon de contact al utilizatorului, numărul camerei, contul său de e-mail și site-ul web. Datorită faptului că aceste informații sunt individuale pentru fiecare utilizator în parte, datele completate în această filă nu sunt copiate;
Adresa... În fila curentă, puteți completa cutia poștală, orașul, statul, codul poștal și țara de reședință a utilizatorilor care vor fi creați pe baza acestui șablon. Deoarece fiecare utilizator nu are de obicei aceleași nume de străzi, datele din acest câmp nu pot fi copiate;
Cont... În această filă, puteți specifica ora exactă de conectare a utilizatorului, computerele pe care utilizatorii le vor putea accesa, parametrii contului precum stocarea parolelor, tipurile de criptare etc., precum și data de expirare a contului;
Profil... Fila curentă vă permite să specificați calea către profil, scriptul de conectare, calea locală către folderul de acasă, precum și unitățile de rețea în care va fi localizat folderul de acasă al contului;
Organizare... Pe această filă, puteți specifica funcția angajaților, departamentul în care lucrează, numele organizației, precum și numele șefului departamentului;
Membrii grupului... Grupul principal și apartenența la grup sunt listate aici.

Acestea sunt principalele file care sunt completate atunci când creați șabloane de cont. Pe lângă aceste șase file, puteți completa și informații în 13 file. Cele mai multe dintre aceste file vor fi acoperite în articolele ulterioare din această serie.

Următorul pas este să creați un cont de utilizator pe baza șablonului curent. Pentru a face acest lucru, faceți clic dreapta pe șablonul de cont și selectați comanda din meniul contextual "Copie";

În caseta de dialog „Copiați obiectul - Utilizator” introduceți prenumele, prenumele și numele de conectare ale utilizatorului. Pe pagina următoare, introduceți parola și confirmarea și debifați opțiunea "Dezactivați Account-ul"... Finalizați vrăjitorul;

Orez. 5. Caseta de dialog pentru copierea contului de utilizator

După crearea contului, accesați proprietățile contului creat și vizualizați proprietățile pe care le adăugați la șablon. Atributele configurate vor fi copiate în noul cont.

Crearea utilizatorilor folosind instrumente de linie de comandă

La fel ca în majoritatea lucrurilor, sistemul de operare Windows are utilitare de linie de comandă cu funcționalități similare cu interfața grafică de utilizator snap-in Utilizatori și computere Active Directory... Astfel de comenzi se numesc comenzi DS deoarece încep cu literele DS. Pentru a crea principii de securitate, utilizați comanda Dsadd... După comanda în sine, există modificatori care definesc tipul și DN-ul obiectului. În cazul creării conturilor de utilizator, trebuie să specificați modificatorul utilizator care este tipul obiectului. După tipul obiectului, trebuie să introduceți numele DN al obiectului însuși. Numele distinctiv (DN) al unui obiect este un set de rezultate care conține numele distinctiv. DN-ul este de obicei urmat de numele de utilizator UPN sau numele de conectare al versiunilor anterioare de Windows. Dacă numele DN conține spații, atunci numele trebuie să fie cuprins între ghilimele. Sintaxa comenzii este următoarea:

Dsadd user DN_name –samid account_name –UPN_name –pwd password –parametri suplimentari

Cu această comandă pot fi utilizați 41 de parametri. Să luăm în considerare cele mai comune:

-samid- numele contului de utilizator;

-upn- numele de conectare al utilizatorului pre-Windows 2000;

-fn- nume de utilizator, care este completat în câmpul din interfața grafică "Nume";

-mi- initiala utilizatorului;

-ln- numele de familie al utilizatorului, specificat în câmpul „Nume” al expertului pentru crearea unui cont de utilizator;

-afişa- specifică numele complet al utilizatorului, care este generat automat în interfața cu utilizatorul;

-empid- cod de angajat care este creat pentru utilizator;

-pwd- un parametru care definește o parolă de utilizator. În cazul în care specificați un asterisc (*), vi se va solicita să introduceți parola utilizatorului în modul protejat de vizualizare;

-desc- o scurtă descriere a contului de utilizator;

-membru al- un parametru care determină apartenența utilizatorului la unul sau mai multe grupuri;

-birou- locația biroului în care lucrează utilizatorul. În proprietățile contului, această setare poate fi găsită în fila "Organizare";

-tel- numărul de telefon de contact al utilizatorului actual;

-e-mail- adresa de e-mail a utilizatorului, care poate fi găsită în filă "Sunt comune";

-acasa- parametru care indică numărul de telefon de acasă al utilizatorului;

-mobil- numărul de telefon al utilizatorului mobil;

-fax- numărul aparatului de fax pe care îl folosește utilizatorul actual;

-titlu- pozitia utilizatorului in organizatia data;

-dept- acest parametru vă permite să specificați numele departamentului în care lucrează acest utilizator;

-companie- numele firmei în care lucrează utilizatorul creat;

-hmdir- directorul principal al utilizatorului, în care vor fi localizate documentele acestuia;

-hmdrv- calea către unitatea de rețea în care va fi localizat folderul de acasă al contului

-profil- calea profilului utilizatorului;

-mustchpwd- acest parametru indică faptul că data viitoare când utilizatorul se autentifică în sistem, acesta este obligat să-și schimbe parola;

-canchpwd- un parametru care determină dacă utilizatorul trebuie să-și schimbe parola. Dacă valoarea parametrului specifică "Da", atunci utilizatorul va avea opțiunea de a schimba parola;

-reversibilpwd- parametrul curent definește stocarea parolei utilizatorului folosind criptarea inversă;

-pwdnu expiră Este un parametru care indică faptul că parola nu va expira niciodată. În toți acești patru parametri, numai "Da" sau "Nu";

-acctexpires- un parametru care determină după câte zile va expira contul. O valoare pozitivă reprezintă numărul de zile după care contul va expira, în timp ce o valoare negativă înseamnă că acesta a expirat deja;

-dezactivat- indică faptul că contul a fost deja dezactivat. Valorile pentru acest parametru sunt de asemenea "Da" sau "Nu";

-q- indicarea modului silențios pentru procesarea comenzilor.

Exemplu de utilizare:

Adăugați utilizatorul „cn = Alexey Smirnov, OU = Marketing, OU = Users, DC = testdomain, DC = com” -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -afișează „Alexey Smirnov” - tel „743-49-62” -email [email protected]-dept Marketing -company TestDomain -title Marketer -hmdir \\ dc \ profiles \ Alexey.Smirnov -hmdrv X -mustchpwd da -dezactivat nu

Orez. 6. Crearea unui cont de utilizator utilizând utilitarul Dsadd

Creați utilizatori utilizând comanda CSVDE

Un alt utilitar de linie de comandă CSVDE vă permite să importați sau să exportați obiecte Active Direcoty prezentate ca fișier cvd - un fișier text delimitat prin virgulă care poate fi creat folosind un procesor de foi de calcul Microsoft Excel sau cel mai simplu editor de text Notepad. În acest fișier, fiecare obiect este reprezentat de o linie și trebuie să conțină atributele care sunt listate pe prima linie. Merită să acordați atenție faptului că folosind această comandă nu puteți importa parolele de utilizator, adică imediat după finalizarea operațiunii de import, conturile de utilizator vor fi dezactivate. Un exemplu de astfel de fișier este următorul:

Orez. 7. Prezentarea fisierului CSV

Sintaxa comenzii este următoarea:

Csvde –i –f nume fișier.csv –k

-i... Parametrul care este responsabil pentru modul de import. Dacă nu specificați acest parametru, atunci această comandă va folosi modul implicit de export;
-f
-k
-v
-j
-u... O opțiune de utilizare a modului Unicode.

Un exemplu de utilizare a comenzii:

Csvde -i -f d: \ testdomainusers.csv -k

Orez. 8. Importarea conturilor de utilizator dintr-un fișier CSV

Importarea utilizatorilor utilizând LDIFDE

Utilitarul de linie de comandă Ldifde vă permite, de asemenea, să importați sau să exportați obiecte Active Directory utilizând formatul de fișier LDIF (Lightweight Directory Access Protocol Data Interchange File). Acest format de fișier constă dintr-un bloc de linii care formează o operațiune specifică. Spre deosebire de fișierele CSV, în acest format de fișier, fiecare linie individuală este un set de atribute, urmate de două puncte și valoarea reală a atributului curent. Ca și în fișierul CSV, prima linie trebuie să fie atributul DN. Este urmată de un șir changeType care indică tipul de operație (adăugare, modificare sau ștergere). Pentru a învăța să înțelegeți acest format de fișier, trebuie să învățați cel puțin atributele cheie ale principalilor de securitate. Un exemplu este oferit mai jos:

Orez. 9. Exemplu de fișier LDF

Sintaxa comenzii este următoarea:

Ldifde -i -f numefișier.csv -k

-i... Parametrul care este responsabil pentru modul de import. Dacă nu specificați acest parametru, atunci această comandă va folosi modul implicit de export;
-f... Un parametru care identifică numele fișierului care urmează să fie importat sau exportat;
-k... Parametrul destinat să continue importul, omitând toate erorile posibile;
-v... Un parametru cu ajutorul căruia puteți afișa informații detaliate;
-j... Parametrul responsabil pentru locația fișierului jurnal;
-d... Un parametru care specifică rădăcina căutării LDAP;
-f... Parametru pentru filtrul de căutare LDAP;
-p... Reprezintă zona sau adâncimea căutării;
-l... Conceput pentru a specifica o listă de atribute separate prin virgulă care vor fi incluse în exportul obiectelor rezultate;

Crearea de utilizatori cu VBScript

VBScript este unul dintre cele mai puternice instrumente pentru automatizarea sarcinilor administrative. Acest instrument vă permite să creați scripturi concepute pentru a automatiza majoritatea acțiunilor care pot fi efectuate prin interfața cu utilizatorul. Scripturile VBScript sunt fișiere text pe care utilizatorii le pot edita de obicei cu editori de text obișnuiți (cum ar fi Notepad). Și pentru a executa scripturi, trebuie doar să faceți dublu clic pe pictograma scriptului în sine, care se va deschide folosind comanda Wscript. Nu există o comandă specifică pentru a crea un cont de utilizator în VBScript, așa că mai întâi trebuie să vă conectați la container, apoi să utilizați biblioteca adaptorului Active Directory Services Interface (ADSI) folosind instrucțiunea Get-Object, în care este executat un șir de interogare LDAP care furnizează numele de protocol LDAP: // cu numele DN al obiectului. De exemplu, Set objOU = GetObject („LDAP: // OU = Marketing, OU = Utilizatori, dc = testdomain, dc = com”). A doua linie de cod activează metoda Create a departamentului pentru a crea un obiect dintr-o anumită clasă cu un nume distinctiv specific, de exemplu, Set objUser = objOU.Create (“utilizator”, ”CN = Yuri Soloviev”). A treia linie este metoda Put, unde trebuie să specificați numele atributului și valoarea acestuia. Ultima linie a acestui script confirmă modificările făcute, adică objUser.SetInfo ().

Exemplu de utilizare:

Set objOU = GetObject (“LDAP: // OU = Marketing, OU = Users, dc = testdomain, dc = com” Set objUser = objOU.Create (“utilizator”, ”CN = Yuri Soloviev”) objUser.Put “sAMAccountName” , „Yuriy.Soloviev” objUser.Put „UserPrincipalName” [email protected]„ObjUser.Put” givenName "," Yuri „objUser.Put” sn „Soloviev” objUser.SetInfo ()

Crearea de utilizatori cu PowerShell

Windows Server 2008 R2 introduce capacitatea de a gestiona obiecte Active Directory folosind Windows PowerShell. PowerShell este considerat cel mai puternic shell de linie de comandă dezvoltat pe baza .Net Framework și conceput pentru a gestiona și automatiza administrarea sistemelor de operare Windows și a aplicațiilor care rulează pe aceste sisteme de operare. PowerShell include peste 150 de instrumente de linie de comandă, numite cmdlet-uri, care oferă posibilitatea de a gestiona computerele din întreprinderea dvs. din linia de comandă. Acest shell este o componentă a sistemului de operare.

Pentru a crea un utilizator nou în domeniul Active Directory, utilizați cmdletul New-ADUser, ale cărui valori de proprietate pot fi adăugate majoritatea utilizând parametrii acestui cmdlet. Parametrul –Path este utilizat pentru a afișa numele LDAP. Acest parametru specifică containerul sau unitatea organizațională (OU) pentru noul utilizator. Dacă parametrul Path nu este specificat, cmdletul creează un obiect utilizator în containerul implicit pentru obiectele utilizator din acest domeniu, adică în containerul Utilizatori. Pentru a specifica parola, utilizați parametrul –AccountPassword cu valoarea (Read-Host -AsSecureString „Parola pentru contul dumneavoastră”). De asemenea, asigurați-vă că acordați atenție faptului că valoarea parametrului –Country este exact codul țării sau regiunii limbii selectate de utilizator. Sintaxa pentru cmdlet este următoarea:

Nou-ADUser [-Nume] [-AccountExpirationDate ] [-AccountNotDelegated ] [-Parola contului ] [-AllowReversiblePasswordEncryption ] [-AuthType (Negociare | De bază)] [-CannotChangePassword ] [-Certificate ] [-ChangePasswordAtLogon ] [-Oraș ] [-Companie ] [-Țară ] [-Credential ] [-Departament ] [-Descriere ] [-Numele afisat ] [-Divizia ] [-Adresa de email ] [-Card de identitate al angajatului ] [-Numar de angajati ] [-Activat ] [-Fax ] [-Prenume ] [-HomeDirectory ] [-HomeDrive ] [-Pagina principala ] [-Telefon fix ] [-Inițiale ] [-Instanță ] [-LogonWorkstations ] [-Administrator ] [-Telefon mobil ] [-Birou ] [-Telefon de birou ] [-Organizare ] [-AlteAtribute ] [-Alt nume ] [-Trece prin ] [-Parola nu expira niciodata ] [-PasswordNotRequired ] [-Cale ] [-Casuta postala ] [-Cod poștal ] [-ProfilePath ] [-SamAccountName ] [-ScriptPath ] [-Server ] [-ServicePrincipalNames ] [-SmartcardLogonRequired ] [-Stat ] [-Adresa străzii ] [-Nume de familie ] [-Titlu ] [-TrustedForDelegation ] [-Tip ] [-UserPrincipalName ] [-Confirmare] [-WhatIf] [ ]

După cum puteți vedea din această sintaxă, nu are sens să descriem toți parametrii, deoarece aceștia sunt identici cu atributele principalului de securitate și nu au nevoie de explicații. Să ne uităm la un exemplu de utilizare:

New-ADUser -SamAccountName "Evgeniy.Romanov" -Name "Evgeniy Romanov" -GivenName "Evgeniy" -Surname "Romanov" -DisplayName "Evgeniy Romanov" -Path "OU = Marketing, OU = Users, DC = testdomain, DC = com „-CannotChangePassword $ false -ChangePasswordAtLogon $ true -City” Kherson „-State” Kherson „-Country UA -Department” Marketing „-Title” (! LANG: Marketer" -UserPrincipalName "!} [email protected]"-Adresa de email" [email protected]"-Activat $ true -AccountPassword (Read-Host -AsSecureString" AccountPassword ")

Orez. 10. Crearea unui cont de utilizator utilizând Windows PowerShell

Concluzie

În acest articol, ați aflat despre conceptul de principal de securitate și despre rolul conturilor de utilizator într-un mediu de domeniu. Scenariile principale pentru crearea conturilor de utilizator într-un domeniu Active Directory au fost discutate în detaliu. Ați învățat cum să creați conturi personalizate folosind snap-in-ul Utilizatori și computere Active Directory folosind șabloane, utilitare de linie de comandă Dsadd, CSVDE și LDIFDE. Ați învățat, de asemenea, despre limbajul de scriptare VBScript și despre metoda liniei de comandă Windows PowerShell pentru crearea conturilor de utilizator.