Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ
  • në shtëpi
  • Windows Phone
  • Çfarë është Active Directory - si të instaloni dhe konfiguroni. Praktikat më të mira të Active Directory

Çfarë është Active Directory - si të instaloni dhe konfiguroni. Praktikat më të mira të Active Directory

18.08.2019 Windows Phone

Active Directory është një shërbim i menaxhimit të sistemit. Ato janë një alternativë shumë më e mirë për grupet lokale dhe ju lejojnë të krijoni rrjete kompjuterike me menaxhim efikas dhe mbrojtje të besueshme të të dhënave.

Nëse nuk e keni hasur më parë konceptin e Active Directory dhe nuk e dini se si funksionojnë shërbime të tilla, ky artikull është për ju. Le të kuptojmë se çfarë do të thotë ky koncept, cilat janë avantazhet e bazave të të dhënave të tilla dhe si t'i krijojmë dhe konfigurojmë ato për përdorim fillestar.

Active Directory është një metodë shumë e përshtatshme për menaxhimin e sistemit. Me Active Directory, ju mund të menaxhoni me efikasitet të dhënat tuaja.

Këto shërbime ju lejojnë të krijoni një bazë të dhënash të vetme të menaxhuar nga kontrollorët e domenit. Nëse zotëroni një ndërmarrje, drejtoni një zyrë, në përgjithësi, kontrolloni aktivitetet e shumë njerëzve që duhet të bashkohen, një domen i tillë do t'ju vijë në ndihmë.

Ai përfshin të gjitha objektet - kompjuterët, printerët, fakset, llogaritë e përdoruesve dhe më shumë. Shuma e domeneve në të cilat ndodhen të dhënat quhet "pyll". Baza e Active Directory është një mjedis i bazuar në domen, ku numri i objekteve mund të jetë deri në 2 miliardë. A mund ta imagjinoni këtë shkallë?

Kjo do të thotë, me ndihmën e një "pylli" ose të dhënash të tillë, është e mundur të lidhni një numër të madh punonjësish dhe pajisjesh në zyrë, dhe pa iu referuar vendit - mund të lidhen edhe përdorues të tjerë në shërbime, për shembull. , nga zyra e nje kompanie ne nje qytet tjeter.

Përveç kësaj, disa domene krijohen dhe bashkohen brenda kornizës së Active Directory - sa më e madhe të jetë kompania, aq më shumë mjete nevojiten për të kontrolluar teknologjinë e saj brenda bazës së të dhënave.

Më tej, kur krijoni një rrjet të tillë, përcaktohet një domen kontrollues, dhe madje edhe me praninë e mëvonshme të domeneve të tjera, ai origjinal mbetet ende "prindi" - domethënë, vetëm ai ka akses të plotë në menaxhimin e informacionit.

Ku ruhen këto të dhëna dhe si ekzistojnë domenet? Kontrollorët përdoren për të krijuar Active Directory. Zakonisht ka dy prej tyre - nëse diçka i ndodh njërit, informacioni do të ruhet në kontrolluesin e dytë.

Një tjetër mundësi për përdorimin e bazës së të dhënave është nëse, për shembull, kompania juaj po bashkëpunon me një tjetër dhe ju duhet të përfundoni një projekt të përbashkët. Në këtë rast, mund të kërkohet qasja e personave të paautorizuar në skedarët e domenit, dhe këtu mund të krijoni një lloj "marrëdhënieje" midis dy "pyjeve" të ndryshëm, të hapni aksesin në informacionin e kërkuar pa rrezikuar sigurinë e pjesës tjetër. të dhëna.

Në përgjithësi, Active Directory është një mjet për të krijuar një bazë të dhënash brenda një strukture të caktuar, pavarësisht nga madhësia e saj. Përdoruesit dhe të gjitha pajisjet janë bashkuar në një "pyll", krijohen domene, të cilat janë të vendosura në kontrollues.

Këshillohet gjithashtu të sqarohet se shërbimet mund të funksionojnë vetëm në pajisjet me sisteme serveri Windows. Përveç kësaj, 3-4 serverë DNS krijohen në kontrollues. Ato i shërbejnë zonës kryesore të domenit dhe në rast se njëri prej tyre dështon, serverët e tjerë e zëvendësojnë atë.

Pas një përmbledhjeje të shkurtër të Active Directory për dummies, natyrisht ju intereson pyetja - pse të ndryshoni një grup lokal në një bazë të dhënash të tërë? Natyrisht, këtu fusha e mundësive është shumë herë më e gjerë, dhe për të zbuluar dallime të tjera midis këtyre shërbimeve për menaxhimin e sistemit, le të hedhim një vështrim më të afërt në avantazhet e tyre.

Përfitimet e Active Directory

Përparësitë e Active Directory janë si më poshtë:

  1. Përdorimi i një burimi për vërtetim. Në këtë situatë, duhet të shtoni të gjitha llogaritë në çdo kompjuter që kërkojnë qasje në informacione të përgjithshme. Sa më shumë përdorues dhe teknikë, aq më e vështirë është sinkronizimi i këtyre të dhënave ndërmjet tyre.

Dhe kështu, kur përdorni shërbime me një bazë të dhënash, llogaritë ruhen në një pikë dhe ndryshimet hyjnë në fuqi menjëherë në të gjithë kompjuterët.

Si punon? Çdo punonjës që mbërrin në zyrë nis sistemin dhe hyn në llogarinë e tij. Kërkesa për hyrje do të dorëzohet automatikisht në server dhe vërtetimi do të bëhet përmes tij.

Sa i përket një rendi të caktuar në mbajtjen e të dhënave, gjithmonë mund t'i ndani përdoruesit në grupe - "Burimet njerëzore" ose "Kontabiliteti".

Është edhe më e lehtë në këtë rast të sigurohet akses në informacion - nëse keni nevojë të hapni një dosje për punonjësit nga një departament, ju e bëni atë përmes bazës së të dhënave. Së bashku ata marrin akses në dosjen e kërkuar të të dhënave, ndërsa pjesa tjetër e dokumenteve mbeten të mbyllura.

  1. Kontroll mbi çdo anëtar të bazës së të dhënave.

Nëse në një grup lokal çdo anëtar është i pavarur, është e vështirë ta kontrollosh atë nga një kompjuter tjetër, atëherë mund të vendosen rregulla të caktuara në domene në përputhje me politikën e kompanisë.

Si administrator i sistemit, mund të konfiguroni cilësimet e aksesit dhe cilësimet e sigurisë dhe më pas t'i zbatoni ato për çdo grup përdoruesish. Natyrisht, në varësi të hierarkisë, një grup mund të përcaktojë cilësime më të rrepta, ndërsa të tjerëve mund t'u jepet akses në skedarë dhe veprime të tjera në sistem.

Përveç kësaj, kur një person i ri bashkohet me kompaninë, kompjuteri i tij do të marrë menjëherë grupin e nevojshëm të cilësimeve, ku përfshihen komponentët për punë.

  1. Shkathtësi në instalimin e softuerit.

Nga rruga, në lidhje me komponentët - me ndihmën e Active Directory mund të caktoni printera, të instaloni programet e nevojshme për të gjithë punonjësit menjëherë, të vendosni parametrat e privatësisë. Në përgjithësi, krijimi i një baze të dhënash do të optimizojë ndjeshëm punën, do të monitorojë sigurinë dhe do të bashkojë përdoruesit për efikasitet maksimal.

Dhe nëse një kompani operon një shërbim të veçantë ose shërbime speciale, ato mund të sinkronizohen me domenet dhe aksesi i thjeshtuar në to. Si? Nëse kombinoni të gjitha produktet e përdorura në kompani, punonjësi nuk do të duhet të fusë hyrje dhe fjalëkalime të ndryshme për t'u identifikuar në secilin program - ky informacion do të ndahet.

Tani që i kuptoni përfitimet dhe implikimet e përdorimit të Active Directory, le të kalojmë në procesin e instalimit të këtyre shërbimeve.

Duke përdorur një bazë të dhënash në Windows Server 2012

Instalimi dhe konfigurimi i Active Directory nuk është i vështirë dhe është gjithashtu më i lehtë se sa duket në shikim të parë.

Për të ngarkuar shërbimet, së pari duhet të bëni sa më poshtë:

  1. Ndryshoni emrin e kompjuterit: klikoni në "Start", hapni Panelin e Kontrollit, artikullin "System". Zgjidhni "Ndrysho parametrat" ​​dhe në Properties përballë rreshtit "Emri i kompjuterit" kliko "Ndrysho", fut një vlerë të re për kompjuterin pritës.
  2. Rinisni me kërkesë të kompjuterit.
  3. Vendosni cilësimet e rrjetit tuaj si kjo:
    • Nga paneli i kontrollit, hapni menynë Rrjetet dhe Ndarja.
    • Cilësimet e sakta të përshtatësit. Klikoni me të djathtën mbi Properties dhe klikoni në skedën Networking.
    • Në dritaren nga lista, klikoni në protokollin e Internetit në numrin 4, përsëri klikoni në "Properties".
    • Futni cilësimet e kërkuara, për shembull: adresa IP - 192.168.10.252, maskë e nënrrjetit - 255.255.255.0, nënporta kryesore - 192.168.10.1.
    • Në rreshtin "Serveri i preferuar DNS" specifikoni adresën e serverit lokal, në "Alternative ..." - adresat e tjera të serverëve DNS.
    • Ruani ndryshimet dhe mbyllni dritaret.

Instaloni rolet e Active Directory si kjo:

  1. Hapni "Menaxherin e Serverit" në fillim.
  2. Nga menyja, zgjidhni Shto role dhe veçori.
  3. Magjistari do të fillojë, por ju mund të kapërceni dritaren e parë të përshkrimit.
  4. Kontrolloni rreshtin "Instalimi i roleve dhe veçorive", vazhdoni.
  5. Zgjidhni kompjuterin tuaj për të instaluar Active Directory në të.
  6. Nga lista, shënoni rolin që dëshironi të ngarkoni - për rastin tuaj, ky është "Shërbimet e Domenit të Drejtorisë Aktive".
  7. Do të shfaqet një dritare e vogël që ju kërkon të shkarkoni komponentët e nevojshëm për shërbimet - pranoni atë.
  8. Pastaj do t'ju kërkohet të instaloni komponentë të tjerë - nëse nuk ju nevojiten, thjesht kaloni këtë hap duke klikuar "Next".
  9. Magjistari i konfigurimit do të shfaqë një dritare me përshkrime të shërbimeve që po instaloni - lexoni dhe vazhdoni.
  10. Do të shfaqet një listë e komponentëve që do të instalojmë - kontrolloni nëse gjithçka është e saktë dhe nëse po, shtypni butonin e duhur.
  11. Mbyllni dritaren kur procesi të përfundojë.
  12. Kjo është e gjitha - shërbimet ngarkohen në kompjuterin tuaj.

Konfigurimi i Active Directory

Për të konfiguruar një shërbim domeni, duhet të bëni sa më poshtë:

  • Ekzekutoni magjistarin e konfigurimit me të njëjtin emër.
  • Klikoni në treguesin e verdhë në krye të dritares dhe zgjidhni Promote Role Server to Domain Controller.
  • Klikoni mbi shtoni një "pyll" të ri dhe krijoni një emër për domenin rrënjë, pastaj kliko "Next".
  • Specifikoni nivelet funksionale të pyllit dhe domenit - më shpesh ato janë të njëjta.
  • Dilni me një fjalëkalim, por sigurohuni që ta mbani mend atë. Vazhdoni më tej.
  • Pas kësaj, mund të shihni një paralajmërim se domeni nuk është deleguar dhe një propozim për të kontrolluar emrin e domenit - mund t'i kaloni këto hapa.
  • Në dritaren tjetër, mund të ndryshoni shtegun drejt drejtorive të bazës së të dhënave - bëjeni këtë nëse nuk ju përshtaten.
  • Tani do të shihni të gjithë parametrat që do të vendosni - shikoni nëse i keni zgjedhur saktë dhe vazhdoni.
  • Aplikacioni do të kontrollojë nëse plotësohen kushtet paraprake dhe nëse nuk ka komente, ose nuk janë kritike, klikoni "Instalo".
  • Pas përfundimit të instalimit, kompjuteri do të rindizet vetë.

Ju gjithashtu mund të pyesni veten se si të shtoni një përdorues në bazën e të dhënave. Për ta bërë këtë, përdorni menunë "Active Directory Users or Computers", të cilën do ta gjeni në seksionin "Administration" të panelit të kontrollit, ose përdorni menunë e cilësimeve të bazës së të dhënave.

Për të shtuar një përdorues të ri, klikoni me të djathtën mbi emrin e domenit, zgjidhni "Krijo", pas "Nënndarjes". Do të shihni një dritare ku duhet të vendosni emrin e departamentit të ri - ai shërben si një dosje ku mund të grumbulloni përdorues nga departamente të ndryshme. Në të njëjtën mënyrë, më vonë do të krijoni disa divizione të tjera dhe do t'i vendosni saktë të gjithë punonjësit.

Më pas, kur të keni krijuar emrin e departamentit, klikoni me të djathtën mbi të dhe zgjidhni "New", pas - "Përdorues". Tani mbetet vetëm të futni të dhënat e nevojshme dhe të vendosni cilësimet e hyrjes për përdoruesin.

Kur krijohet një profil i ri, klikoni mbi të duke zgjedhur menunë e kontekstit dhe hapni "Properties". Në skedën "Llogaria", hiqni shenjën e kontrollit pranë "Blloko ...". Kjo eshte e gjitha.

Përfundimi i përgjithshëm është se Active Directory është një mjet i fuqishëm dhe i dobishëm për menaxhimin e sistemit që do të ndihmojë në bashkimin e të gjithë kompjuterëve të punonjësve në një ekip. Me ndihmën e shërbimeve, ju mund të krijoni një bazë të dhënash të sigurt dhe të optimizoni ndjeshëm punën dhe sinkronizimin e informacionit midis të gjithë përdoruesve. Nëse kompania juaj dhe çdo vend tjetër i punës është i lidhur me kompjuterë dhe rrjet, ju duhet të kombinoni llogaritë dhe të monitoroni punën dhe privatësinë, instalimi i një baze të dhënash të bazuar në Active Directory do të jetë një zgjidhje e shkëlqyer.

Çdo përdorues fillestar, i përballur me akronimin AD, pyet veten se çfarë është Active Directory? Active Directory është një shërbim drejtorie i zhvilluar nga Microsoft për rrjetet e domenit Windows. Ai përfshihet në shumicën e sistemeve operative Windows Server si një grup procesesh dhe shërbimesh. Fillimisht, shërbimi merrej vetëm me domenet. Megjithatë, që nga Windows Server 2008, AD është bërë emri për një gamë të gjerë shërbimesh identiteti të bazuara në drejtori. Kjo e bën Active Directory një vend më të mirë për të mësuar për fillestarët.

Përkufizimi bazë

Serveri që po ekzekuton Shërbimet e Domainit të Active Directory quhet kontrollues domeni. Ai vërteton dhe autorizon të gjithë përdoruesit dhe kompjuterët në domenin e rrjetit Windows, duke caktuar dhe zbatuar politikat e sigurisë për të gjithë PC-të dhe instalimin ose përditësimin e softuerit. Për shembull, kur një përdorues hyn në një kompjuter që përfshihet në një domen të Windows, Active Directory vërteton fjalëkalimin e dhënë dhe përcakton nëse objekti është një administrator i sistemit apo një përdorues standard. Gjithashtu ju lejon të menaxhoni dhe ruani informacionin, ofron mekanizma vërtetimi dhe autorizimi dhe krijon një kornizë për vendosjen e shërbimeve të tjera të lidhura: shërbimet e certifikatave, shërbimet e drejtorive të federuara dhe të lehta dhe menaxhimin e të drejtave.

Active Directory përdor versionet 2 dhe 3 LDAP, versionin e Microsoft-it të Kerberos dhe DNS.

Çfarë është Active Directory? Me fjalë të thjeshta për kompleksin

Ndjekja e të dhënave të rrjetit është një detyrë e lodhshme. Edhe në rrjetet e vogla, përdoruesit priren të kenë vështirësi në gjetjen e skedarëve dhe printerëve të rrjetit. Pa një lloj drejtorie, rrjetet e mesme dhe të mëdha nuk mund të menaxhohen dhe shpesh kanë vështirësi në gjetjen e burimeve.

Versionet e mëparshme të Microsoft Windows përfshinin shërbime për të ndihmuar përdoruesit dhe administratorët të gjenin të dhëna. Rrjeti është i dobishëm në shumë mjedise, por disavantazhi i dukshëm është ndërfaqja e vështirë dhe paparashikueshmëria e saj. WINS Manager dhe Server Manager mund të përdoren për të parë listën e sistemeve, por ato nuk ishin të disponueshme për përdoruesit fundorë. Administratorët përdorën Menaxherin e Përdoruesit për të shtuar dhe hequr të dhënat e një objekti rrjeti krejtësisht të ndryshëm. Këto aplikacione rezultuan të paefektshme për punë në rrjete të mëdha dhe ngritën pyetjen, pse në kompaninë Active Directory?

Një direktori, në kuptimin e tij më të përgjithshëm, është një listë e plotë e objekteve. Libri telefonik është një lloj drejtorie që ruan informacione rreth njerëzve, bizneseve dhe organizatave qeveritare dheato zakonisht përmbajnë emra, adresa dhe numra telefoni. Duke bërë pyetjen Active Directory - çfarë është, në terma të thjeshtë, mund të themi se kjo teknologji është e ngjashme me një direktori, por është shumë më fleksibël. AD ruan informacione rreth organizatave, sajteve, sistemeve, përdoruesve, aksioneve dhe çdo objekti tjetër të rrjetit.

Hyrje në konceptet bazë të Active Directory

Pse një organizatë ka nevojë për Active Directory? Siç u përmend në hyrje të Active Directory, një shërbim ruan informacione rreth komponentëve të rrjetit. Tutoriali Active Directory For Beginners thotë se është i lejon klientët të gjejnë objekte në hapësirën e tyre të emrave. Kjo t Një term (i quajtur edhe një pemë konsole) i referohet zonës në të cilën mund të vendoset një komponent i rrjetit. Për shembull, tabela e përmbajtjes për një libër krijon një hapësirë ​​emri në të cilën kapitujt mund të krahasohen me numrat e faqeve.

DNS është një pemë konsole që zgjidh emrat e hosteve në adresat IP si kjoLibrat e telefonit ofrojnë një hapësirë ​​emri për zgjidhjen e emrave për numrat e telefonit. Si funksionon kjo në Active Directory? AD ofron një pemë konsole për zgjidhjen e emrave të objekteve të rrjetit për vetë objektet dhemund të zgjidhë një shumëllojshmëri të gjerë objektesh, duke përfshirë përdoruesit, sistemet dhe shërbimet në rrjet.

Objektet dhe Atributet

Çdo gjë që monitoron Active Directory konsiderohet objekt. Mund të themi me fjalë të thjeshta se kjo në Active Directory është çdo përdorues, sistem, burim ose shërbim. Termi i zakonshëm objekt përdoret sepse AD është në gjendje të mbajë gjurmët e shumë elementeve dhe shumë objekte mund të ndajnë atribute të përbashkëta. Çfarë do të thotë?

Atributet përshkruajnë objektet në drejtorinë aktive të Active Directory, për shembull, të gjitha objektet e personalizuara ndajnë atribute për të ruajtur emrin e përdoruesit. Kjo vlen edhe për përshkrimin e tyre. Sistemet janë gjithashtu objekte, por ato kanë një grup të veçantë atributesh që përfshijnë emrin e hostit, adresën IP dhe vendndodhjen.

Grupi i atributeve të disponueshme për çdo lloj objekti të caktuar quhet skemë. I bën klasat e objekteve të ndryshme nga njëra-tjetra. Informacioni i skemës ruhet në fakt në Active Directory. Që kjo sjellje e protokollit të sigurisë është shumë e rëndësishme tregohet nga fakti se skema i lejon administratorët të shtojnë atribute në klasat e objekteve dhe t'i shpërndajnë ato në të gjithë rrjetin në të gjitha cepat e domenit pa rifilluar asnjë kontrollues domeni.

Kontejneri dhe emri LDAP

Një kontejner është një lloj i veçantë objekti që përdoret për të organizuar funksionimin e një shërbimi. Ai nuk përfaqëson një ent fizik si një përdorues ose një sistem. Në vend të kësaj, përdoret për të grupuar artikuj të tjerë së bashku. Objektet e kontejnerëve mund të futen brenda kontejnerëve të tjerë.

Çdo artikull në AD ka një emër. Këto nuk janë ato me të cilat jeni mësuar, për shembull, Ivan ose Olga. Këta janë emra të dalluar nga LDAP. Emrat e dalluar LDAP janë komplekse, por ato lejojnë që çdo objekt brenda një drejtorie të identifikohet në mënyrë unike, pavarësisht nga lloji i tij.

Pema e termave dhe vendi

Një pemë termi përdoret për të përshkruar një grup objektesh në Active Directory. Çfarë është kjo? Me fjalë të thjeshta, kjo mund të shpjegohet duke përdorur një lidhje peme. Kur kontejnerët dhe objektet kombinohen në mënyrë hierarkike, ato priren të formojnë degë - prandaj emri. Një term i lidhur është një nënpemë e ngjitur, e cila i referohet trungut kryesor të pathyeshëm të një peme.

Duke vazhduar me metaforën, termi pyll përshkruan një koleksion që nuk është pjesë e së njëjtës hapësirë ​​emri, por ka një skemë, konfigurim dhe katalog global të përbashkët. Objektet në këto struktura janë të disponueshme për të gjithë përdoruesit nëse e lejon siguria. Organizatat me domene të shumta duhet të grupojnë pemët në një pyll.

Një sajt është një vendndodhje gjeografike siç përcaktohet në Active Directory. Faqet korrespondojnë me nënrrjetat logjike IP dhe, si të tilla, mund të përdoren nga aplikacionet për të gjetur serverin më të afërt në rrjet. Përdorimi i informacionit të faqes nga Active Directory mund të reduktojë ndjeshëm trafikun WAN.

Menaxhimi i Drejtorisë Aktive

Komponenti i snap-in Active Directory - Përdoruesit. Është mjeti më i përshtatshëm për administrimin e Active Directory. Mund të aksesohet drejtpërdrejt nga grupi i programit Administrativ Tools në menynë Start. Ai zëvendëson dhe përmirëson Menaxherin e Serverit dhe Menaxherin e Përdoruesit nga Windows NT 4.0.


Siguria

Active Directory luan një rol të rëndësishëm në të ardhmen e rrjeteve të Windows. Administratorët duhet të jenë në gjendje të mbrojnë drejtorinë e tyre nga ndërhyrës dhe përdoruesit ndërsa delegojnë detyra tek administratorët e tjerë. E gjithë kjo është e mundur duke përdorur modelin e sigurisë Active Directory, i cili lidh një listë të kontrollit të aksesit (ACL) me çdo atribut kontejner dhe objekti në drejtori.

Niveli i lartë i kontrollit i lejon administratorit t'u japë përdoruesve dhe grupeve individuale nivele të ndryshme lejesh për objektet dhe vetitë e tyre. Ata madje mund të shtojnë atribute në objekte dhe t'i fshehin ato atribute nga grupe të caktuara përdoruesish. Për shembull, mund të vendosni një ACL në mënyrë që vetëm menaxherët të mund të shikojnë telefonat e shtëpisë të përdoruesve të tjerë.

Administrata e deleguar

Një koncept i ri për Windows 2000 Server është administrimi i deleguar. Kjo ju lejon të caktoni detyra për përdoruesit e tjerë pa dhënë të drejta shtesë aksesi. Administrimi i deleguar mund të caktohet përmes objekteve të veçanta ose nënpemëve të direktorive të afërta. Kjo është një metodë shumë më efikase për dhënien e autoritetit mbi rrjetet.

V duke i caktuar dikujt të gjitha të drejtat e administratorit të domenit global, një përdoruesi mund t'i jepen lejet vetëm brenda një nënpeme specifike. Active Directory mbështet trashëgiminë, kështu që çdo objekt i ri trashëgon ACL nga kontejneri i tyre.

Termi "marrëdhënie besimi"

Termi "besim" përdoret ende, por ka funksionalitet të ndryshëm. Nuk ka dallim ndërmjet besimeve të njëanshme dhe dypalëshe. Të gjitha besimet e Active Directory janë dydrejtimëshe. Për më tepër, ato janë të gjitha kalimtare. Pra, nëse domeni A i beson domenit B dhe B i beson C, atëherë ekziston një marrëdhënie automatike e nënkuptuar besimi midis domenit A dhe domenit C.

Auditimi në Active Directory - çfarë është në terma të thjeshtë? Ky është një veçori sigurie që ju lejon të përcaktoni se kush po përpiqet të hyjë në objekte, si dhe sa e suksesshme është ajo përpjekje.

Duke përdorur DNS (Sistemi i emrave të domenit)

Një sistem i ndryshëm DNS është thelbësor për çdo organizatë të lidhur në internet. DNS siguron zgjidhjen e emrave midis emrave të zakonshëm si mspress.microsoft.com dhe adresave IP të papërpunuara që komponentët e shtresës së rrjetit përdorin për të komunikuar.

Active Directory përdor gjerësisht teknologjinë DNS për të gjetur objekte. Ky është një ndryshim i rëndësishëm nga sistemet e mëparshme operative Windows që kërkojnë që emrat NetBIOS të zgjidhen nga adresat IP dhe të mbështeten në WINS ose teknika të tjera të zgjidhjes së emrave NetBIOS.

Active Directory funksionon më mirë kur përdoret me serverët DNS të Windows 2000. Microsoft e ka bërë të lehtë për administratorët migrimin në serverët DNS të Windows 2000 duke ofruar magjistarë të migrimit që udhëheqin administratorin gjatë procesit.

Mund të përdoren serverë të tjerë DNS. Megjithatë, në këtë rast, administratorët do të duhet të shpenzojnë më shumë kohë për të menaxhuar bazat e të dhënave DNS. Cilat janë nuancat? Nëse zgjidhni të mos përdorni serverët DNS të Windows 2000, duhet të siguroheni që serverët tuaj DNS të përputhen me protokollin e ri të përditësimit dinamik DNS. Serverët mbështeten në përditësimin dinamik të të dhënave të tyre për të gjetur kontrolluesit e domenit. Nuk është komode. Në fund të fundit, eNëse përditësimi dinamik nuk mbështetet, duhet të përditësoni manualisht bazat e të dhënave.

Domenet e Windows dhe domenet e internetit tani janë plotësisht të pajtueshme. Për shembull, një emër si mspress.microsoft.com do të identifikojë kontrolluesit e domenit Active Directory përgjegjës për domenin, kështu që çdo klient me akses DNS mund të gjejë kontrolluesin e domenit.Klientët mund të përdorin rezolucionin DNS për të kërkuar çdo numër shërbimesh sepse serverët e Active Directory publikojnë listën e adresave në DNS duke përdorur funksionalitetin e ri të përditësimit dinamik. Këto të dhëna identifikohen si një domen dhe publikohen përmes regjistrave të burimeve të shërbimit. SRV RR-të ndjekin formatin shërbimi.protokolli.domeni.

Serverët Active Directory ofrojnë shërbim LDAP për të pritur objektin dhe LDAP përdor TCP si protokollin themelor të transportit. Prandaj, një klient që kërkon një server Active Directory në domenin mspress.microsoft.com do të kërkojë rekordin DNS për ldap.tcp.mspress.microsoft.com.

Katalogu global

Active Directory ofron një katalog global (GC) dheofron një burim të vetëm për gjetjen e çdo objekti në rrjetin e organizatës.

Katalogu Global është një shërbim në Windows 2000 Server që i lejon përdoruesit të gjejnë çdo objekt të cilit i është dhënë akses. Ky funksionalitet është shumë më i lartë se ai i aplikacionit Find Computer i përfshirë me versionet e mëparshme të Windows. Në fund të fundit, përdoruesit mund të kërkojnë për çdo objekt në Active Directory: serverë, printera, përdorues dhe aplikacione.

Një komponent themelor i Shërbimeve të Domenit në çdo organizatë janë Parimet e Sigurisë (fillimisht të quajtura Principale e Sigurisë), të cilat ofrojnë përdoruesve, grupeve ose kompjuterëve që kanë nevojë për qasje në burime të caktuara në rrjet. Është e objekteve të tilla si parimet e sigurisë që ju mund të jepni leje për të hyrë në burimet në rrjet, ku secilit principal i caktohet një identifikues unik sigurie (SID) gjatë krijimit të objektit, i cili përbëhet nga dy pjesë. ID-ja e sigurisë SID quhet një paraqitje numerike që identifikon në mënyrë unike një kryesor sigurie. Pjesa e parë e një identifikuesi të tillë është ID e domenit... Për shkak se parimet e sigurisë janë të vendosura në të njëjtin domen, të gjithë objekteve të tillë u caktohet i njëjti identifikues i domenit. Pjesa e dytë e SID është identifikuesi relativ (RID) i cili përdoret për të identifikuar në mënyrë unike drejtorin e sigurisë në lidhje me agjencinë që lëshon SID.

Megjithëse shumica e organizatave planifikojnë dhe vendosin një infrastrukturë të Shërbimeve të Domainit vetëm një herë dhe rrallë bëjnë ndryshime në shumicën e objekteve, një përjashtim i rëndësishëm nga ky rregull janë parimet e sigurisë që duhet të shtohen, ndryshohen dhe hiqen periodikisht. Llogaritë e përdoruesve janë një nga komponentët themelorë të identifikimit. Në thelb, llogaritë e përdoruesve janë subjekte fizike, kryesisht njerëz, të cilët janë punonjës të organizatës suaj, por ka përjashtime kur llogaritë e përdoruesve krijohen për disa aplikacione si shërbime. Llogaritë e përdoruesve luajnë një rol kritik në administrimin e ndërmarrjes. Këto role përfshijnë:

  • Identiteti i përdoruesve, meqenëse llogaria e krijuar ju lejon të identifikoheni në kompjuterë dhe domene me saktësisht të dhënat, autenticiteti i të cilave verifikohet nga domeni;
  • Lejet e hyrjes në burimet e domenit që i janë caktuar një përdoruesi për të dhënë akses në burimet e domenit bazuar në lejet e qarta.

Objektet e llogarisë së përdoruesit janë ndër objektet më të zakonshëm në Active Directory. Janë llogaritë e përdoruesve që administratorët duhet t'u kushtojnë vëmendje të veçantë, pasi përdoruesit kanë tendencë të vijnë për të punuar në një organizatë, të lëvizin ndërmjet departamenteve dhe zyrave, të martohen, të martohen, të divorcohen dhe madje të largohen nga kompania. Objekte të tilla janë një grup atributesh dhe vetëm një llogari përdoruesi mund të përmbajë mbi 250 atribute të ndryshme, që është disa herë më shumë se numri i atributeve në stacionet e punës dhe kompjuterët që përdorin Linux. Kur krijoni një llogari përdoruesi, krijohet një grup i kufizuar atributesh dhe vetëm atëherë mund të shtoni kredencialet e përdoruesit, si informacionet e organizatës, adresat e përdoruesve, numrat e telefonit dhe më shumë. Prandaj, është e rëndësishme të theksohet se disa atribute janë të detyrueshme dhe te tjerët - opsionale... Në këtë artikull, unë do të flas për metodat kryesore për krijimin e llogarive të përdoruesve, disa atribute opsionale dhe gjithashtu do të përshkruaj mjetet për të automatizuar veprimet rutinë që lidhen me krijimin e llogarive të përdoruesve.

Krijoni përdorues duke përdorur përdoruesit dhe kompjuterët e Active Directory

Në shumicën dërrmuese të rasteve, administratorët e sistemit preferojnë të përdorin snap-in, i cili shtohet në dosje "Administrata" menjëherë pas instalimit të rolit Shërbimet e Domenit të Drejtorisë Aktive dhe promovimi i serverit në një kontrollues domeni. Kjo metodë është më e përshtatshme sepse përdor një ndërfaqe grafike të përdoruesit për të krijuar parime sigurie dhe magjistari i krijimit të llogarisë së përdoruesit është shumë i lehtë për t'u përdorur. Disavantazhi i kësaj metode është se kur krijoni një llogari përdoruesi, nuk mund të vendosni menjëherë shumicën e atributeve dhe do t'ju duhet të shtoni atributet e nevojshme duke redaktuar llogarinë. Për të krijuar një llogari të personalizuar, ndiqni këto hapa:

  • Në fushë "Emri" shkruani emrin tuaj të përdoruesit;
  • Në fushë "Inicialet" shkruani inicialet e tij (më shpesh, inicialet nuk përdoren);
  • Në fushë "Mbiemri" shkruani mbiemrin e përdoruesit që po krijohet;
  • Fusha "Emri i plotë" përdoret për të krijuar atribute të objektit të krijuar siç është Emri i Përbashkët CN dhe shfaqja e vetive të emrit. Kjo fushë duhet të jetë unike në të gjithë domenin dhe plotësohet automatikisht dhe duhet ta ndryshoni vetëm nëse është e nevojshme;
  • Fusha "Emri i hyrjes së përdoruesit" kërkohet dhe synohet për hyrjen në domenin e përdoruesit. Këtu duhet të futni emrin e përdoruesit dhe nga lista rënëse zgjidhni prapashtesën UPN, e cila do të vendoset pas simbolit @;
  • Fusha Emri i hyrjes së përdoruesit (Para-Windows 2000) i destinuar për emrin e hyrjes për sistemet më të hershme se sistemi operativ Windows 2000. Vitet e fundit, organizatat kanë gjithnjë e më pak pronarë të sistemeve të tilla, por kjo fushë kërkohet, pasi disa softuer përdorin këtë atribut për të identifikuar përdoruesit;

Pasi të keni plotësuar të gjitha fushat e kërkuara, klikoni në butonin "Me tutje":

Oriz. 2. Kutia e dialogut për krijimin e një llogarie përdoruesi

  • Në faqen tjetër të magjistarit për krijimin e një llogarie përdoruesi, do të duhet të vendosni fjalëkalimin fillestar të përdoruesit në fushë "Fjalëkalimi" dhe konfirmojeni në terren "Konfirmim"... Përveç kësaj, ju mund të zgjidhni një atribut që tregon se herën e parë që një përdorues hyn në sistem, përdoruesi duhet të ndryshojë në mënyrë të pavarur fjalëkalimin për llogarinë e tij. Është më mirë ta përdorni këtë opsion në lidhje me politikat lokale të sigurisë. "Politika e fjalëkalimit" për të krijuar fjalëkalime të forta për përdoruesit tuaj. Gjithashtu duke kontrolluar kutinë në opsion "Parandaloni përdoruesin të ndryshojë fjalëkalimin" ju i jepni përdoruesit fjalëkalimin tuaj dhe e parandaloni ndryshimin e tij. Kur zgjidhni një opsion "Fjalëkalimi nuk skadon" fjalëkalimi për llogarinë e përdoruesit nuk do të skadojë kurrë dhe nuk do të duhet të ndryshohet periodikisht. Nëse kontrolloni kutinë "Çaktivizo llogarinë", atëherë kjo llogari nuk do të synohet për punë të mëtejshme dhe një përdorues me një llogari të tillë nuk do të jetë në gjendje të identifikohet derisa të aktivizohet. Ky opsion, si shumica e atributeve, do të diskutohet në pjesën tjetër të këtij artikulli. Pasi të keni zgjedhur të gjitha atributet, klikoni në butonin "Me tutje"... Kjo faqe e magjistarit është paraqitur në ilustrimin e mëposhtëm:

    • Oriz. 3. Krijimi i një fjalëkalimi për llogarinë e krijuar

  • Në faqen e fundit të magjistarit, do të shihni një përmbledhje të parametrave që keni futur. Nëse informacioni është futur saktë, klikoni në butonin "Gati" për të krijuar një llogari përdoruesi dhe për të përfunduar magjistarin.

    • Krijimi i përdoruesve nga shabllonet

    Organizatat zakonisht kanë shumë divizione ose departamente që përfshijnë përdoruesit tuaj. Në këto departamente, përdoruesit kanë karakteristika të ngjashme (për shembull, emri i departamentit, pozicioni, numri i zyrës, etj.). Për menaxhimin më efikas të llogarive të përdoruesve nga një departament, për shembull, duke përdorur politikat e grupit, këshillohet krijimi i tyre brenda domenit në departamente të veçanta (me fjalë të tjera, kontejnerë) bazuar në shabllone. Modeli i llogarisëështë një llogari që u shfaq për herë të parë në ditët e sistemeve operative Windows NT, në të cilën atributet e zakonshme për të gjithë përdoruesit e krijuar janë të parapopulluara. Për të krijuar një shabllon të llogarisë së përdoruesit, ndiqni këto hapa:

    • Janë të zakonshme... Kjo skedë është menduar për plotësimin e atributeve individuale të përcaktuara nga përdoruesi. Këto atribute përfshijnë emrin dhe mbiemrin e përdoruesit, një përshkrim të shkurtër për llogarinë, numrin e telefonit të kontaktit të përdoruesit, numrin e dhomës, llogarinë e tij të emailit dhe faqen e internetit. Për shkak të faktit se ky informacion është individual për çdo përdorues individual, të dhënat e plotësuara në këtë skedë nuk kopjohen;
    • Adresa... Në skedën aktuale, mund të plotësoni kutinë postare, qytetin, shtetin, kodin postar dhe shtetin e banimit të përdoruesve që do të krijohen bazuar në këtë shabllon. Meqenëse çdo përdorues zakonisht nuk ka të njëjtat emra rrugësh, të dhënat nga kjo fushë nuk mund të kopjohen;
    • Llogaria... Në këtë skedë, mund të specifikoni kohën e saktë të hyrjes së përdoruesit, kompjuterët që përdoruesit do të kenë mundësi të përdorin, parametrat e llogarisë si ruajtja e fjalëkalimeve, llojet e enkriptimit, etj., si dhe datën e skadimit të llogarisë;
    • Profili... Skeda aktuale ju lejon të specifikoni shtegun për në profilin, skriptin e hyrjes, shtegun lokal për në dosjen kryesore, si dhe disqet e rrjetit ku do të vendoset dosja kryesore e llogarisë;
    • Organizimi... Në këtë skedë, mund të specifikoni pozicionin e punonjësve, departamentin në të cilin ata punojnë, emrin e organizatës, si dhe emrin e drejtuesit të departamentit;
    • Anëtarët e grupit... Anëtarësimet e grupit dhe grupit kryesor janë renditur këtu.

    Këto janë skedat kryesore që plotësohen kur krijoni shabllone llogarie. Përveç këtyre gjashtë skedave, mund të plotësoni informacion edhe në 13 skeda. Shumica e këtyre skedave do të mbulohen në artikujt vijues të kësaj serie.

  • Hapi tjetër është krijimi i një llogarie përdoruesi bazuar në shabllonin aktual. Për ta bërë këtë, klikoni me të djathtën në shabllonin e llogarisë dhe zgjidhni komandën nga menyja e kontekstit "Kopje";
  • Në kutinë e dialogut "Kopjo objektin - përdorues" shkruani emrin, mbiemrin dhe emrin e hyrjes së përdoruesit. Në faqen tjetër, futni fjalëkalimin dhe konfirmimin tuaj dhe zgjidhni opsionin "Çaktivizo llogarinë"... Plotësoni magjistarin;

    • Oriz. 5. Kutia e dialogut për kopjimin e llogarisë së përdoruesit

  • Pas krijimit të llogarisë, shkoni te vetitë e llogarisë së krijuar dhe shikoni vetitë që shtoni në shabllon. Atributet e konfiguruara do të kopjohen në llogarinë e re.

    • Krijimi i përdoruesve duke përdorur mjetet e linjës së komandës

    Ashtu si me shumicën e gjërave, sistemi operativ Windows ka shërbime të linjës së komandës me funksione të ngjashme me ndërfaqen grafike të përdoruesit snap-in Përdoruesit dhe Kompjuterët e Directory Active... Komanda të tilla quhen komanda DS sepse fillojnë me shkronjat DS. Për të krijuar parime sigurie, përdorni komandën Dsadd... Pas vetë komandës, ka modifikues që përcaktojnë llojin dhe DN-në e objektit. Në rastin e krijimit të llogarive të përdoruesve, duhet të specifikoni modifikuesin përdorues cili është lloji i objektit. Pas llojit të objektit, duhet të futni emrin DN të vetë objektit. Emri i dalluar (DN) i një objekti është një grup rezultatesh që përmban emrin e dalluar. DN zakonisht pasohet nga emri i përdoruesit UPN ose emri i hyrjes së versioneve të mëparshme të Windows. Nëse emri DN përmban hapësira, atëherë emri duhet të vendoset në thonjëza. Sintaksa e komandës është si më poshtë:

    Përdoruesi Dsadd DN_name –samid account_name –UPN_name –fjalëkalimi pwd –parametra shtesë

    Me këtë komandë mund të përdoren 41 parametra. Le të shqyrtojmë më të zakonshmet:

    -sami- emri i llogarisë së përdoruesit;

    -lart- emrin e hyrjes së përdoruesit para Windows 2000;

    -fn- emri i përdoruesit, i cili plotësohet në fushën në ndërfaqen grafike "Emri";

    -mi- inicialin e përdoruesit;

    -Në- mbiemri i përdoruesit, i specifikuar në fushën "Mbiemri" të magjistarit për krijimin e një llogarie përdoruesi;

    -ekrani- specifikon emrin e plotë të përdoruesit, i cili gjenerohet automatikisht në ndërfaqen e përdoruesit;

    -i zbehtë- kodi i punonjësit që krijohet për përdoruesin;

    -pwd- një parametër që përcakton një fjalëkalim të përdoruesit. Në rast se specifikoni një yll (*), do t'ju kërkohet të vendosni fjalëkalimin e përdoruesit në modalitetin e mbrojtur nga shikimi;

    -përshk- një përshkrim i shkurtër për llogarinë e përdoruesit;

    -antare i- një parametër që përcakton anëtarësimin e përdoruesit në një ose më shumë grupe;

    -zyrë- vendndodhjen e zyrës ku punon përdoruesi. Në vetitë e llogarisë, ky cilësim mund të gjendet nën skedën "Organizata";

    -tel- numrin e telefonit të kontaktit të përdoruesit aktual;

    -email- adresa e emailit të përdoruesit, e cila mund të gjendet në skedën "Janë të zakonshme";

    -hometel- parametri që tregon numrin e telefonit të shtëpisë së përdoruesit;

    - celular- numrin e telefonit të përdoruesit celular;

    -faks- numrin e faksit që përdor përdoruesi aktual;

    -titull- pozicioni i përdoruesit në organizatën e caktuar;

    -deg- ky parametër ju lejon të specifikoni emrin e departamentit në të cilin punon ky përdorues;

    -kompania- emrin e kompanisë në të cilën punon përdoruesi i krijuar;

    -hmdir- drejtoria kryesore e përdoruesit, në të cilën do të ndodhen dokumentet e tij;

    -hmdrv- shtegu për në diskun e rrjetit ku do të vendoset dosja kryesore e llogarisë

    - profili- shtegu i profilit të përdoruesit;

    -mustchpwd- ky parametër tregon se herën tjetër që përdoruesi të hyjë në sistem, ai është i detyruar të ndryshojë fjalëkalimin e tij;

    -canchpwd- një parametër që përcakton nëse përdoruesi duhet të ndryshojë fjalëkalimin e tij. Nëse vlera e parametrit specifikon "Po", atëherë përdoruesi do të ketë mundësinë të ndryshojë fjalëkalimin;

    -i kthyeshëmpwd- parametri aktual përcakton ruajtjen e fjalëkalimit të përdoruesit duke përdorur enkriptimin e kundërt;

    -pwdnuk skadonËshtë një parametër që tregon se fjalëkalimi nuk do të skadojë kurrë. Në të katër këto parametra, vetëm "Po" ose "Jo";

    -skadon- një parametër që përcakton pas sa ditësh do të skadojë llogaria. Një vlerë pozitive përfaqëson numrin e ditëve pas të cilave llogaria do të skadojë, ndërsa një vlerë negative do të thotë se ajo tashmë ka skaduar;

    - me aftësi të kufizuara- tregon që llogaria tashmë është çaktivizuar. Vlerat për këtë parametër janë gjithashtu "Po" ose "Jo";

    -q- tregues i mënyrës së qetë për përpunimin e komandave.

    Shembull përdorimi:

    Përdoruesi Dsadd "cn = Alexey Smirnov, OU = Marketing, OU = Përdoruesit, DC = test domain, DC = com" -samid Alexey.Smirnov -upn Alexey.Smirnov -pwd * -fn Alexey -ln Smirnov -ekran "Alexey Smirnov" - tel “743-49-62” -email [email i mbrojtur]-dept Marketing -kompani TestDomain -titulli Marketer -hmdir \\ dc \ profiles \ Alexey.Smirnov -hmdrv X -mustchpwd po -çaktivizuar jo

    Oriz. 6. Krijimi i një llogarie përdoruesi duke përdorur programin Dsadd

    Krijoni përdorues duke përdorur komandën CSVDE

    Një tjetër mjet i linjës së komandës CSVDE ju lejon të importoni ose eksportoni objekte Active Direcoty të paraqitura si një skedar cvd - një skedar teksti i kufizuar me presje që mund të krijohet duke përdorur një procesor të fletëllogaritjes Microsoft Excel ose redaktuesin më të thjeshtë të tekstit Notepad. Në këtë skedar, çdo objekt përfaqësohet nga një rresht dhe duhet të përmbajë atributet që janë të renditura në rreshtin e parë. Vlen t'i kushtohet vëmendje faktit që duke përdorur këtë komandë nuk mund të importoni fjalëkalime të përdoruesve, domethënë, menjëherë pasi të përfundojë operacioni i importit, llogaritë e përdoruesve do të çaktivizohen. Një shembull i një skedari të tillë është si më poshtë:

    Oriz. 7. Prezantimi i skedarit CSV

    Sintaksa e komandës është si më poshtë:

    Csvde –i –f emri i skedarit.csv –k

    • -i... Parametri që është përgjegjës për mënyrën e importit. Nëse nuk e specifikoni këtë parametër, atëherë kjo komandë do të përdorë mënyrën e paracaktuar të eksportit;
    • -f
    • -k
    • -v
    • -j
    • -u... Një opsion për të përdorur modalitetin Unicode.

    Një shembull i përdorimit të komandës:

    Csvde -i -f d: \ testdomainusers.csv -k

    Oriz. 8. Importimi i llogarive të përdoruesve nga një skedar CSV

    Importimi i përdoruesve duke përdorur LDIFDE

    Ndihma e linjës së komandës Ldifde ju lejon gjithashtu të importoni ose eksportoni objekte të Active Directory duke përdorur formatin e skedarit të skedarit të shkëmbimit të të dhënave të protokollit të qasjes së lehtë në drejtori (LDIF). Ky format skedari përbëhet nga një bllok rreshtash që formojnë një operacion specifik. Ndryshe nga skedarët CSV, në këtë format skedari, çdo rresht individual është një grup atributesh, i ndjekur nga një dy pika dhe vlera aktuale e atributit aktual. Ashtu si në skedarin CSV, rreshti i parë duhet të jetë atributi DN. Pasohet nga një varg changeType që tregon llojin e veprimit (shtoni, ndryshoni ose fshini). Në mënyrë që të mësoni të kuptoni këtë format skedari, duhet të mësoni të paktën atributet kryesore të parimeve të sigurisë. Një shembull është dhënë më poshtë:

    Oriz. 9. Shembull i skedarit LDF

    Sintaksa e komandës është si më poshtë:

    LDifde -i -f emri i skedarit.csv -k

    • -i... Parametri që është përgjegjës për mënyrën e importit. Nëse nuk e specifikoni këtë parametër, atëherë kjo komandë do të përdorë mënyrën e paracaktuar të eksportit;
    • -f... Një parametër që identifikon emrin e skedarit që do të importohet ose eksportohet;
    • -k... Parametri që synon të vazhdojë importin, duke anashkaluar të gjitha gabimet e mundshme;
    • -v... Një parametër me të cilin mund të shfaqni informacion të detajuar;
    • -j... Parametri përgjegjës për vendndodhjen e skedarit të regjistrit;
    • -d... Një parametër që specifikon rrënjën e kërkimit LDAP;
    • -f... Parametri për filtrin e kërkimit LDAP;
    • -fq... Përfaqëson zonën ose thellësinë e kërkimit;
    • -l... Projektuar për të specifikuar një listë të veçuar me presje të atributeve që do të përfshihen në eksportimin e objekteve që rezultojnë;

    Krijimi i përdoruesve me VBScript

    VBScript është një nga mjetet më të fuqishme për automatizimin e detyrave administrative. Ky mjet ju lejon të krijoni skripte të dizajnuara për të automatizuar shumicën e veprimeve që mund të kryhen përmes ndërfaqes së përdoruesit. Skriptet VBScript janë skedarë teksti që përdoruesit zakonisht mund t'i modifikojnë me redaktues të zakonshëm teksti (si p.sh. Notepad). Dhe për të ekzekutuar skriptet, thjesht duhet të klikoni dy herë në ikonën e vetë skriptit, i cili do të hapet duke përdorur komandën Wscript. Nuk ka asnjë komandë specifike për të krijuar një llogari përdoruesi në VBScript, kështu që së pari duhet të lidheni me kontejnerin, më pas të përdorni bibliotekën e përshtatësve të Ndërfaqes së Shërbimeve të Drejtorisë Active Directory (ADSI) duke përdorur deklaratën Get-Object, ku ekzekutohet një varg pyetjesh LDAP që siguron emrin e protokollit LDAP: // me emrin DN të objektit. Për shembull, Set objOU = GetObject (“LDAP: // OU = Marketing, OU = Përdoruesit, dc = testdomain, dc = com”). Rreshti i dytë i kodit aktivizon metodën Create të njësisë për të krijuar një objekt të një klase specifike me një emër të veçantë të veçantë, për shembull, Set objUser = objOU.Create ("përdorues", "CN = Yuri Soloviev"). Rreshti i tretë është metoda Put, ku duhet të specifikoni emrin e atributit dhe vlerën e tij. Rreshti i fundit i këtij skripti konfirmon ndryshimet e bëra, domethënë objUser.SetInfo ().

    Shembull përdorimi:

    Set objOU = GetObject (“LDAP: // OU = Marketing, OU = Përdoruesit, dc = test domain, dc = com” Vendos objUser = objOU. Krijo (“përdorues”, ”CN = Yuri Soloviev”) objUser. Vendos “sAMAccountName” , "Yuriy.Soloviev" objUser.Vendos "UserPrincipalName" [email i mbrojtur]"ObjUser.Put" Emri i dhënë "," Yuri "objUser.Put" sn "Soloviev" objUser.SetInfo ()

    Krijimi i përdoruesve me PowerShell

    Windows Server 2008 R2 prezanton aftësinë për të menaxhuar objektet e Active Directory duke përdorur Windows PowerShell. PowerShell konsiderohet si guaska më e fuqishme e linjës komanduese e zhvilluar në bazë të .Net Framework dhe e krijuar për të menaxhuar dhe automatizuar administrimin e sistemeve operative Windows dhe aplikacioneve që funksionojnë në këto sisteme operative. PowerShell përfshin mbi 150 mjete të linjës së komandës, të quajtur cmdlet, që ofrojnë aftësinë për të menaxhuar kompjuterët në ndërmarrjen tuaj nga linja e komandës. Kjo guaskë është një komponent i sistemit operativ.

    Për të krijuar një përdorues të ri në domenin Active Directory, përdorni cmdlet New-ADUser, shumica e vlerave të vetive të të cilit mund të shtohen duke përdorur parametrat e këtij cmdlet. Parametri –Path përdoret për të shfaqur emrin LDAP. Ky parametër specifikon kontejnerin ose njësinë organizative (OU) për përdoruesin e ri. Nëse parametri Path nuk është specifikuar, cmdlet krijon një objekt përdoruesi në kontejnerin e paracaktuar për objektet e përdoruesit në këtë domen, domethënë në kontejnerin Users. Për të specifikuar fjalëkalimin, përdorni parametrin –AccountPassword me vlerën (Read-Host -AsSecureString "Fjalëkalimi për llogarinë tuaj"). Gjithashtu, sigurohuni t'i kushtoni vëmendje faktit që vlera e parametrit –Country është saktësisht kodi i vendit ose rajonit të gjuhës së zgjedhur nga përdoruesi. Sintaksa për cmdlet është si më poshtë:

    New-ADUser [-Emri] [-Data e skadimit të llogarisë ] [-Llogaria nuk është e deleguar ] [-Fjalëkalimi i llogarisë ] [-AllowReversiblePasswordEncryption ] [-AuthType (Negocio | Bazë)] [-CannotChangePassword ] [-Certifikata ] [-ChangePasswordAtLogon ] [-Qytet ] [-Kompania ] [-Vend ] [-Kredenciale ] [-Departament ] [-Përshkrim ] [-DisplayName ] [-Ndarja ] [-Adresa Email ] [-ID e punonjësit ] [-Numri i punonjësit ] [-Aktivizuar ] [-Faks ] [-Emri i dhënë ] [-HomeDirectory ] [-HomeDrive ] [-Faqja kryesore ] [-HomePhone ] [-Inicialet ] [-Shembull ] [-LogonWorkstations ] [-Menaxheri ] [-Celular ] [-Zyrë ] [-Telefoni i zyres ] [-Organizata ] [-Atribute të tjera ] [-Emri tjetër ] [-PassThru ] [-Fjalëkalimi nuk skadon ] [-Fjalëkalimi nuk kërkohet ] [-Rrugë ] [-Kuti postare ] [-Kodi Postar ] [-ProfilePath ] [-SamAccountName ] [-ScriptPath ] [-Server ] [-ServicePrincipalNames ] [-Kërkohet SmartcardLogon ] [-Shteti ] [-Adresa e rrugës ] [-Mbiemër ] [-Titulli ] [-TrustedFor Delegation ] [-Lloji ] [-UserPrincipalName ] [-Konfirmo] [-Po sikur] [ ]

    Siç mund ta shihni nga kjo sintaksë, nuk ka kuptim të përshkruhen të gjithë parametrat, pasi ato janë identike me atributet e principalit të sigurisë dhe nuk kanë nevojë për shpjegim. Le të shohim një shembull përdorimi:

    New-ADUser -SamAccountName "Evgeniy.Romanov" -Emri "Evgeniy Romanov" -GivenEmri "Evgeniy" -Mbiemri "Romanov" -DisplayName "Evgeniy Romanov" -Rruga "OU = Marketing, OU = Përdoruesit, DC = testdomain, DC = testdomain, "-CannotChangePassword $ false -ChangePasswordAtLogon $ true -City" Kherson "-State" Kherson "-Country UA -Department" Marketing "-Title" (! LANG: Marketer" -UserPrincipalName "!} [email i mbrojtur]"-Adresa e emailit" [email i mbrojtur]"-Aktivizuar $ true -AccountPassword (Read-Host -AsSecureString" AccountPassword ")

    Oriz. 10. Krijimi i një llogarie përdoruesi duke përdorur Windows PowerShell

    konkluzioni

    Në këtë artikull, mësuat për konceptin e një parimi sigurie dhe rolin e llogarive të përdoruesve në një mjedis domeni. U diskutuan në detaje skenarët kryesorë për krijimin e llogarive të përdoruesve në një domen Active Directory. Ju keni mësuar se si të krijoni llogari të personalizuara duke përdorur snap-in Përdoruesit dhe Kompjuterët e Directory Active duke përdorur shabllone, shërbimet e linjës së komandës Dsadd, CSVDE dhe LDIFDE. Ju gjithashtu mësuat për gjuhën e skriptimit VBScript dhe metodën e linjës së komandës Windows PowerShell për krijimin e llogarive të përdoruesve.

    Politika e grupit është një infrastrukturë hierarkike që lejon administratorin e rrjetit përgjegjës për Drejtorinë aktive të Microsoft-it të zbatojë konfigurime specifike për përdoruesit dhe kompjuterët. Politika e grupit mund të përdoret gjithashtu për të përcaktuar politikat e përdoruesit, sigurisë dhe rrjetit në nivelin e makinës.

    Përkufizimi

    Grupet Active Directory ndihmojnë administratorët të përcaktojnë cilësimet për atë që përdoruesit mund të bëjnë në rrjet, duke përfshirë skedarët, dosjet dhe aplikacionet që mund të kenë qasje. Koleksionet e cilësimeve të përdoruesit dhe kompjuterit quhen GPO dhe administrohen nga një ndërfaqe qendrore e quajtur Operations Console. Politika e grupit mund të kontrollohet gjithashtu duke përdorur mjetet e linjës së komandës si gpresult dhe gpupdate.

    Active Directory është i ri për Windows 2000 Server dhe është përmirësuar në 2003 për ta bërë atë një pjesë edhe më të rëndësishme të sistemit operativ. Windows Server 2003 AD ofron një lidhje të vetme, të quajtur shërbim drejtorie, për të gjitha objektet në rrjet, duke përfshirë përdoruesit, grupet, kompjuterët, printerët, politikat dhe lejet.

    Për një përdorues ose administrator, konfigurimi i Active Directory ofron një pamje të vetme hierarkike nga e cila mund të menaxhohen të gjitha burimet e rrjetit.

    Pse të zbatoni Active Directory

    Ka shumë arsye për zbatimin e këtij sistemi. Para së gjithash, Microsoft Active Directory konsiderohet përgjithësisht një përmirësim i rëndësishëm mbi domenet Windows NT Server 4.0 apo edhe rrjetet e serverëve të pavarur. AD ka një mekanizëm të centralizuar të administrimit në të gjithë rrjetin. Ai gjithashtu siguron tepricë dhe tolerancë ndaj gabimeve kur vendosen dy ose më shumë kontrollues domenesh në një domen.

    Shërbimi menaxhon automatikisht komunikimin midis kontrolluesve të domenit për ta mbajtur rrjetin të zbatueshëm. Përdoruesit kanë akses në të gjitha burimet në rrjet për të cilat janë të autorizuar duke përdorur një hyrje të vetme. Të gjitha burimet në rrjet mbrohen nga një mekanizëm i fortë sigurie që verifikon identitetin e përdoruesit dhe autoritetin e burimit për çdo akses.

    Edhe me sigurinë dhe kontrollin e përmirësuar të Active Directory, shumica e funksionalitetit të tij është e padukshme për përdoruesit fundorë. Si i tillë, migrimi i përdoruesve në rrjetin AD kërkon pak rikualifikim. Shërbimi ofron një mjet për të promovuar dhe hequr me shpejtësi kontrolluesit e domenit dhe serverët anëtarë. Sistemi mund të menaxhohet dhe mbrohet duke përdorur Politikat e Grupit Active Directory. Është një model organizativ fleksibël hierarkik që ju lejon të menaxhoni dhe detajoni lehtësisht delegimin specifik të përgjegjësive administrative. AD është në gjendje të menaxhojë miliona objekte brenda një domeni të vetëm.

    Seksionet kryesore

    Librat e politikave të grupit Active Directory organizohen duke përdorur katër lloje ndarjesh ose strukturash kontejnerësh. Këto katër OU janë pyje, domene, njësi organizative dhe vende:

      Një pyll është një koleksion i çdo objekti, atributeve dhe sintaksës së tij.

      Domain është një grup kompjuterësh që ndajnë një grup të përbashkët politikash, emrin dhe bazën e të dhënave të anëtarëve të tyre.

      Njësitë organizative janë kontejnerë në të cilët mund të grupohen domenet. Ata krijojnë një hierarki për domenin dhe krijojnë strukturën e kompanisë në një mjedis gjeografik ose organizativ.

      Vendet janë grupime fizike që janë të pavarura nga qëllimi dhe struktura e njësive organizative. Sajtet bëjnë dallimin midis vendndodhjeve të lidhura me lidhje me shpejtësi të ulët dhe të lartë dhe identifikohen nga një ose më shumë nënrrjeta IP.

    Pyjet nuk kufizohen nga gjeografia apo topologjia e rrjetit. Një pyll i vetëm mund të përmbajë domene të shumta, secila me një skemë të përbashkët. Anëtarët e domenit në të njëjtin pyll nuk kanë nevojë as për një lidhje të dedikuar LAN ose WAN. Një rrjet i vetëm mund të jetë gjithashtu shtëpia e disa pyjeve të pavarura. Në përgjithësi, për çdo person juridik duhet të përdoret një pyll. Megjithatë, skelat shtesë mund të jenë të dëshirueshme për qëllime testimi dhe kërkimi jashtë pyllit të prodhimit.

    Domenet

    Domenet e Active Directory shërbejnë si kontejnerë për politikat e sigurisë dhe detyrat administrative. Si parazgjedhje, të gjitha objektet në to i nënshtrohen Politikës së Grupit. Po kështu, çdo administrator mund të menaxhojë të gjitha objektet brenda një domeni. Për më tepër, çdo domen ka bazën e të dhënave të tij unike. Kështu, vërtetimi bëhet në bazë të domenit. Pasi një llogari përdoruesi të vërtetohet, asaj llogarie i jepet akses në burime.

    Një ose më shumë domene kërkohen për të konfiguruar Politikën e Grupit në Active Directory. Siç u përmend më herët, një domen AD është një koleksion kompjuterësh që ndajnë një grup të përbashkët politikash, një emër dhe një bazë të dhënash të anëtarëve të tyre. Një domen duhet të ketë një ose më shumë serverë që shërbejnë si kontrollues domenesh (DC) dhe ruajnë bazën e të dhënave, ruajnë politikat dhe sigurojnë vërtetim për hyrjet.

    Kontrolluesit e domenit

    Në Windows NT, Basic Domain Controller (PDC) dhe Backup Domain Controller (BDC) ishin role që mund t'i caktoheshin një serveri në një rrjet kompjuterash që përdornin sistemin operativ Windows. Windows përdori idenë e një domeni për të kontrolluar aksesin në një grup burimesh rrjeti (aplikacione, printera, etj.) për një grup përdoruesish. Përdoruesi duhet vetëm të identifikohet në domen për të hyrë në burimet që mund të ndodhen në disa serverë të ndryshëm në rrjet.

    Një server, i njohur si kontrolluesi kryesor i domenit, menaxhoi bazën e të dhënave kryesore të përdoruesit për domenin. Një ose më shumë serverë janë caktuar si kontrollues të domenit rezervë. Kontrolluesi kryesor dërgoi periodikisht kopje të bazës së të dhënave tek kontrollorët e domenit rezervë. Kontrolluesi i domenit në pritje mund të identifikohet si kontrolluesi kryesor i domenit në rast se serveri PDC dështon dhe gjithashtu mund të ndihmojë në balancimin e ngarkesës së punës nëse rrjeti është mjaft i zënë.

    Delegimi dhe konfigurimi i Active Directory

    Në Windows 2000 Server, ndërkohë që kontrolluesit e domenit u ruajtën, rolet e serverit PDC dhe BDC u zëvendësuan kryesisht nga Active Directory. Nuk është më e nevojshme të krijohen domene të veçanta për të ndarë privilegjet administrative. Brenda AD, ju mund të delegoni privilegje administrative bazuar në njësitë organizative. Domenet nuk janë më të kufizuara në 40,000 përdorues. Domenet AD mund të menaxhojnë miliona objekte. Meqenëse nuk ka më PDC dhe BDC, konfigurimi i politikës së grupit të Active Directory zbaton përsëritjen e shumëfishtë dhe të gjithë kontrolluesit e domenit janë peer-to-peer.

    Struktura organizative

    Njësitë organizative janë shumë më fleksibël dhe më të lehta për t'u menaxhuar sesa domenet. Njësitë organizative ju japin fleksibilitet pothuajse të pakufizuar pasi mund të lëvizni, fshini dhe krijoni njësi të reja sipas nevojës. Sidoqoftë, domenet janë shumë më kufizuese në cilësimet e strukturës së tyre. Domenet mund të fshihen dhe rikrijohen, por ky proces destabilizon mjedisin dhe duhet të shmanget sa herë që është e mundur.

    Faqet janë koleksione nën-rrjetash IP që kanë komunikim të shpejtë dhe të besueshëm midis të gjithë hosteve. Një mënyrë tjetër për të krijuar një faqe është me një lidhje LAN, por jo një lidhje WAN, pasi lidhjet WAN janë dukshëm më të ngadalta dhe më pak të besueshme se lidhjet LAN. Duke përdorur faqet, ju mund të kontrolloni dhe zvogëloni sasinë e trafikut që kalon nëpër lidhjet tuaja të ngadalta WAN. Kjo mund të rezultojë në qarkullim më efikas të trafikut për detyrat e performancës. Mund të zvogëlojë gjithashtu kostot WAN për shërbimet me pagesë për bit.

    Infrastructure Wizard dhe Global Katalog

    Komponentët e tjerë kyç të Windows Server në Active Directory përfshijnë Infrastructure Wizard (IM), i cili është një shërbim plotësisht funksional FSMO (Flexible Single Operations Wizard) përgjegjës për një proces automatik që kap lidhjet e vjetruara, të njohura si fantazma, në bazën e të dhënave të Active Directory.

    Fantazmat krijohen në DC që kërkojnë referencë të kryqëzuar midis një objekti brenda bazës së të dhënave të tij dhe një objekti nga një domen tjetër në pyll. Kjo ndodh, për shembull, kur shtoni një përdorues nga një domen në një grup në një domen tjetër në të njëjtin pyll. Fantazmat konsiderohen të vjetruara kur nuk përmbajnë më të dhëna të përditësuara që vijnë nga ndryshimet e bëra në objektin e huaj të përfaqësuar nga fantazma. Për shembull, kur objektivi riemërohet, zhvendoset, transferohet midis domeneve ose fshihet. Masteri i Infrastrukturës është i vetmi përgjegjës për gjetjen dhe rregullimin e fantazmave të vjetruara. Çdo ndryshim i bërë si rezultat i procesit të "rregullimit" duhet të kopjohet më pas te kontrollorët e tjerë të domenit.

    Magjistari i Infrastrukturës ndonjëherë ngatërrohet me katalogun global (GC), i cili ruan një kopje të pjesshme, vetëm për lexim të çdo domeni në pyll dhe, ndër të tjera, përdoret për ruajtjen e grupeve për qëllime të përgjithshme dhe përpunimin e hyrjes. Meqenëse GC-të ruajnë një kopje të pjesshme të të gjitha objekteve, ato mund të krijojnë referenca ndërdomenale pa pasur nevojë për fantazma.

    Active Directory dhe LDAP

    Microsoft përfshin LDAP (Lightweight Directory Access Protocol) si një komponent integral i Active Directory. LDAP është një protokoll softuerësh që lejon këdo të gjejë organizata, individë dhe burime të tjera si skedarë dhe pajisje në një rrjet, qoftë në internet publik ose në një intranet të korporatës.

    Në rrjetet TCP / IP (përfshirë internetin), Sistemi i Emrave të Domainit (DNS) është një sistem direktorie që përdoret për të hartuar një emër domeni në një adresë rrjeti të caktuar (vendndodhja unike në një rrjet). Megjithatë, ju mund të mos e dini emrin e domenit. LDAP ju lejon të kërkoni për njerëz pa e ditur se ku janë (edhe pse më shumë informacion do t'ju ndihmojë në kërkimin tuaj).

    Drejtoria LDAP është e organizuar në një hierarki të thjeshtë hierarkike me nivelet e mëposhtme:

      Drejtoria rrënjësore (vendndodhja e burimit ose burimi i pemës).

    • Organizatat.

      Njësitë organizative (departamentet).

      Individë (përfshirë njerëz, skedarë dhe burime të përbashkëta si printerët).

    Drejtoria LDAP mund të shpërndahet në shumë serverë. Çdo server mund të ketë një version të përsëritur të një drejtorie të përbashkët që sinkronizohet periodikisht.

    Është e rëndësishme që çdo administrator të kuptojë se çfarë është LDAP. Sepse gjetja e informacionit në Active Directory dhe aftësia për të krijuar pyetje LDAP është veçanërisht e dobishme kur gjeni informacionin e ruajtur në një bazë të dhënash AD. Për këtë arsye, shumë administratorë i kushtojnë shumë rëndësi zotërimit të filtrit të kërkimit LDAP.

    Politika e Grupit dhe Menaxhimi i Drejtorisë Aktive

    Është e vështirë të diskutosh AD pa përmendur Politikën e Grupit. Administratorët mund të përdorin Politikën e Grupit në Microsoft Active Directory për të përcaktuar cilësimet për përdoruesit dhe kompjuterët në rrjet. Këto cilësime konfigurohen dhe ruhen në të ashtuquajturat Objekte të Politikës së Grupit (GPO), të cilat më pas lidhen me objektet e Drejtorisë Active, duke përfshirë domenet dhe sajtet. Ky është mekanizmi kryesor për aplikimin e ndryshimeve në kompjuterë tek përdoruesit në një mjedis Windows.

    Falë Menaxhimit të Politikave të Grupit, administratorët mund të konfigurojnë globalisht cilësimet e desktopit në kompjuterët e përdoruesve, të kufizojnë / lejojnë hyrjen në skedarë dhe dosje të caktuara në rrjet.

    Zbatimi i politikave të grupit

    Është e rëndësishme të kuptohet se si përdoren dhe aplikohen GPO-të. Për ta, rendi i mëposhtëm është i pranueshëm: së pari, aplikohen politikat lokale të makinës, më pas politikat e faqes, më pas politikat e domenit dhe më pas politikat që aplikohen për njësitë individuale organizative. Një përdorues ose objekt kompjuteri mund t'i përkasë vetëm një sajti dhe një domeni në të njëjtën kohë, kështu që ata do të marrin vetëm GPO që janë të lidhura me atë sajt ose domen.

    Struktura e objektit

    GPO-të ndahen në dy pjesë të dallueshme: Modeli i Politikës së Grupit (GPT) dhe Kontejneri i Politikave të Grupit (GPC). Një shabllon GPO është përgjegjës për ruajtjen e disa cilësimeve të krijuara në një GPO dhe është thelbësor për suksesin e tij. Ai i ruan këto cilësime në një strukturë të madhe dosjesh dhe skedari. Që cilësimet të zbatohen me sukses për të gjithë përdoruesit dhe objektet e kompjuterit, GPT duhet të kopjohet në të gjithë kontrollorët në domen.

    Kontejneri i Politikës së Grupit është pjesë e një GPO të ruajtur në Active Directory që ndodhet në çdo kontrollues domeni në një domen. GPC është përgjegjës për ruajtjen e lidhjeve me shtesat e klientit (CSE), shtegun GPT, shtigjet drejt paketave të instalimit të softuerit dhe aspekte të tjera të referuara të GPO. GPC nuk përmban shumë informacion në lidhje me GPO-në përkatëse, por kërkohet për funksionalitetin e GPO-së. Kur konfigurohen politikat e instalimit të softuerit, GPC ndihmon në ruajtjen e lidhjeve të lidhura me GPO dhe ruan lidhje dhe shtigje të tjera relacionale të ruajtura në atributet e objektit. Njohja e strukturës së GPC-së dhe mënyrave për të hyrë në informacionin e fshehur të ruajtur në atribute do të shpërblehet kur ju duhet të identifikoni një problem të Politikës së Grupit.

    Në Windows Server 2003, Microsoft lëshoi ​​​​zgjidhjen e tij të Menaxhimit të Politikave të Grupit si një mjet për federimin e të dhënave në formën e një skedari shtesë të njohur si Paneli i Menaxhimit të Politikave të Grupit (GPMC). GPMC ofron një ndërfaqe menaxhimi me qendër GPO që thjeshton shumë administrimin, menaxhimin dhe vendndodhjen e GPO-ve. Nëpërmjet GPMC, ju mund të krijoni GPO të reja, të modifikoni dhe modifikoni objektet, të prisni / kopjoni / ngjisni GPO, të bëni kopje rezervë të objekteve dhe të ekzekutoni grupin e politikave që rezultojnë.

    Optimizimi

    Ndërsa numri i GPO-ve të kontrolluara rritet, performanca ndikon në makinat në rrjet. Këshillë: Nëse performanca bie, kufizoni cilësimet e rrjetit të objektit. Koha e përpunimit rritet në përpjesëtim të drejtë me numrin e cilësimeve individuale. Konfigurimet relativisht të thjeshta, të tilla si cilësimet e desktopit ose politikat e Internet Explorer, mund të mos zgjasin shumë, ndërsa ridrejtimet e dosjeve të softuerit mund të tendosin rëndë rrjetin, veçanërisht gjatë periudhave të pikut.

    Ndani GPO-të e personalizuara dhe më pas çaktivizoni pjesën e papërdorur. Një nga praktikat më të mira si për përmirësimin e produktivitetit ashtu edhe për reduktimin e konfuzionit të menaxhimit është krijimi i objekteve të veçanta për parametrat që do të zbatohen për kompjuterët dhe të ndara për përdoruesit.

    Administratorët e rrjeteve Windows nuk mund të shmangin njohjen. Ky artikull përmbledhës do të fokusohet në atë që është Active Directory dhe me çfarë hahet.

    Pra, Active Directory është zbatimi i Microsoft i një shërbimi drejtorie. Shërbimi i drejtorisë në këtë rast nënkupton një paketë softuerike që ndihmon një administrator të sistemit të punojë me burime të tilla rrjeti si dosjet e përbashkëta, serverët, stacionet e punës, printerët, përdoruesit dhe grupet.

    Active Directory ka një strukturë hierarkike të objekteve. Të gjitha pronat ndahen në tre kategori kryesore.

    • Llogaritë e përdoruesve dhe kompjuterëve;
    • Burimet (si printerët);
    • Shërbime (të tilla si email).

    Çdo objekt ka një emër unik dhe një numër karakteristikash. Objektet mund të grupohen.

    Karakteristikat e përdoruesit

    Active Directory ka një strukturë pyjore. Pylli ka disa pemë që përmbajnë domene. Domenet, nga ana tjetër, përmbajnë objektet e lartpërmendura.


    Struktura e Active Directory

    Në mënyrë tipike, objektet në një domen grupohen në njësi organizative. Nënndarjet përdoren për të ndërtuar një hierarki brenda një domeni (organizata, nënndarje territoriale, departamente, etj.). Kjo është veçanërisht e rëndësishme për organizatat gjeografikisht të shpërndara. Gjatë ndërtimit të strukturës, rekomandohet të krijohen sa më pak domene, duke krijuar, nëse është e nevojshme, ndarje të veçanta. Është mbi to që ka kuptim të zbatohen politikat e grupit.

    Karakteristikat e stacionit të punës

    Një mënyrë tjetër për të strukturuar Active Directory është faqet... Faqet janë një mënyrë për t'i grupuar fizikisht së bashku, jo logjikisht, bazuar në segmentet e rrjetit.

    Siç u përmend, çdo objekt në Active Directory ka një emër unik. Për shembull një printer HPLaserJet4350dtn që është në nënndarje avokatët dhe në domen primer.ru do të ketë një emër CN = HPLaserJet4350dtn, OU = Avokatët, DC = primer, DC = ru. CNËshtë një emër i zakonshëm, OU- nënndarje, DC- klasa e objektit të domenit. Emri i një objekti mund të ketë shumë më tepër pjesë sesa në këtë shembull.

    Një formë tjetër e shkrimit të emrit të një objekti duket si kjo: primer.ru/Lawyers/HPLaserJet4350dtn... Gjithashtu, çdo objekt ka një identifikues unik globalisht ( GUID) është një varg unik dhe i pandryshueshëm 128-bit që përdoret në Active Directory për kërkim dhe riprodhim. Disa objekte kanë gjithashtu një UPN ( UPN) në format objekti @ domain.

    Këtu është një përmbledhje e asaj që është Active Directory dhe për çfarë shërbejnë në rrjetet LAN të bazuara në Windows. Së fundi, ka kuptim të thuhet se administratori ka aftësinë të punojë me Active Directory nga distanca përmes Mjetet e administrimit të serverit në distancë për Windows 7 (KB958830)(Shkarko) dhe Mjetet e administrimit të serverit në distancë për Windows 8.1 (KB2693643) (Shkarko).

    Artikujt kryesorë të lidhur

    Programet më të mira për krijimin e muzikës bazë dhe elektronike
    Programet më të mira për krijimin e muzikës bazë dhe elektronike
    Struktura e përgjithshme e skedarëve me temë
    Struktura e përgjithshme e skedarëve me temë
    Parimet themelore të përdorimit të ngjyrave në web design
    Parimet themelore të përdorimit të ngjyrave në web design
    Kategoritë:
    © 2021 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.