Ajo që është drejtoria aktive është e thjeshtë. Krijimi i një marrëdhënie besimi

Shënim: Ky leksion përshkruan konceptet bazë të shërbimeve të drejtorisë Active Directory. Janë dhënë shembuj praktikë të menaxhimit të sistemit të sigurisë së rrjetit. Është përshkruar mekanizmi i politikave të grupit. Ofron një kuptim të detyrave të një administratori të rrjetit kur menaxhon një infrastrukturë shërbimi të drejtorisë

Rrjetet e sotme shpesh përbëhen nga shumë platforma të ndryshme softuerësh dhe një shumëllojshmëri të gjerë harduerësh dhe softuerësh. Përdoruesit shpesh detyrohen të mbajnë mend një numër të madh fjalëkalimesh për të hyrë në burime të ndryshme të rrjetit. Të drejtat e aksesit mund të jenë të ndryshme për të njëjtin punonjës, në varësi të burimeve me të cilat ai punon. I gjithë ky grup ndërlidhjesh kërkon një kohë të madhe nga administratori dhe përdoruesi për analiza, memorizim dhe trajnim.

Një zgjidhje për problemin e menaxhimit të një rrjeti të tillë heterogjen u gjet me zhvillimin e një shërbimi drejtorie. Shërbimet e Drejtorisë ofrojnë mundësinë për të menaxhuar çdo burim dhe shërbim nga kudo, pavarësisht nga madhësia e rrjetit, sistemet operative ose kompleksiteti i harduerit. Informacioni i përdoruesit futet një herë në shërbimin e drejtorisë dhe më pas bëhet i disponueshëm në të gjithë rrjetin. Adresat e emailit, anëtarësimi në grup, të drejtat e nevojshme të aksesit dhe llogaritë për të punuar me sisteme të ndryshme operative - e gjithë kjo krijohet automatikisht dhe mbahet e përditësuar. Çdo ndryshim i bërë në shërbimin e drejtorisë nga një administrator përditësohet menjëherë në të gjithë rrjetin. Administratorët nuk kanë më nevojë të shqetësohen për punonjësit e pushuar - thjesht duke hequr një llogari përdoruesi nga shërbimi i drejtorisë, ata mund të sigurojnë që të gjitha të drejtat e aksesit në rrjet të dhëna më parë atij punonjësi të hiqen automatikisht.

Aktualisht, shumica e shërbimeve të drejtorive të kompanive të ndryshme bazohen në standard X.500... Për të aksesuar informacionin e ruajtur në shërbimet e drejtorisë, zakonisht përdoret protokolli (LDAP). Me zhvillimin e shpejtë të rrjeteve TCP/IP, LDAP po bëhet standardi për shërbimet e direktoriumit dhe aplikacionet e orientuara nga shërbimi i drejtorisë.

Shërbimi i drejtorisë Active Directory është shtylla kurrizore e strukturës logjike të rrjeteve të korporatave të bazuara në sistemin Windows. Termi " Katalogu"në kuptimin më të gjerë do të thotë" Drejtoria", a shërbimi i drejtorisë rrjeti i korporatës është një direktori e centralizuar e korporatës. Drejtoria e korporatës mund të përmbajë informacione rreth llojeve të ndryshme të objekteve. Shërbimi i drejtorisë Active Directory përmban kryesisht objektet mbi të cilat bazohet sistemi i sigurisë së rrjetit Windows - llogaritë e përdoruesve, grupeve dhe kompjuterëve. Llogaritë janë të organizuara në struktura logjike: domain, pemë, pyll, njësi organizative.

Nga pikëpamja e studimit të materialit të lëndës “Rrjeti administrata"Kursi i mëposhtëm i studimit është mjaft i mundshëm: së pari studioni pjesën e parë të këtij seksioni (nga konceptet bazë te instalimi i kontrolluesve të domenit), më pas shkoni te" Shërbimi i Skedarit dhe Printimit ", dhe pasi të keni studiuar" Shërbimi i skedarëve dhe printimit "kthehuni te" Active Directory Service Directory "për koncepte më të avancuara të shërbimeve të drejtorisë.

6.1 Termat dhe konceptet bazë (pyll, pemë, fushë, njësi organizative). Planifikimi i hapësirës së emrave të AD. Instalimi i kontrolluesve të domenit

Modelet e Menaxhimit të Sigurisë: Modeli i Grupit të Punës dhe i Domenit të Përqendruar

Siç u diskutua më lart, qëllimi kryesor i shërbimeve të direktoriumit është të menaxhojë sigurinë e rrjetit. Baza e sigurisë së rrjetit është një bazë të dhënash e llogarive të përdoruesve, grupeve të përdoruesve dhe kompjuterëve, e cila përdoret për të kontrolluar aksesin në burimet e rrjetit. Para se të flasim për Active Directory, le të krahasojmë dy modelet për ndërtimin e një baze të dhënash të shërbimeve të drejtorisë dhe kontrollin e aksesit në burime.

Modeli i grupit të punës

Ky model i menaxhimit të sigurisë së rrjetit të korporatës është më primitiv. Është menduar për përdorim në të vogla rrjetet peer-to-peer(3-10 kompjuterë) dhe bazohet në faktin se çdo kompjuter në një rrjet me sisteme operative Windows NT / 2000 / XP / 2003 ka bazën e tij lokale të të dhënave të llogarive dhe me ndihmën e kësaj bazë të dhënash lokale qasje në burimet e këtij kompjuteri është i kontrolluar. Baza e të dhënave lokale e llogarive quhet bazë e të dhënave SAM (Menaxheri i llogarisë së sigurisë) dhe ruhet në regjistrin e sistemit operativ. Bazat e të dhënave të kompjuterëve individualë janë plotësisht të izoluara nga njëri-tjetri dhe nuk janë të lidhura në asnjë mënyrë me njëri-tjetrin.

Një shembull i kontrollit të aksesit duke përdorur një model të tillë është paraqitur në Fig. 6.1.

Oriz. 6.1.

Ky shembull tregon dy serverë (SRV-1 dhe SRV-2) dhe dy stacione pune (WS-1 dhe WS-2). Bazat e tyre të të dhënave SAM emërtohen përkatësisht SAM-1, SAM-2, SAM-3 dhe SAM-4 (bazat e të dhënave SAM tregohen si ovale në figurë). Çdo bazë të dhënash ka llogaritë e përdoruesve User1 dhe User2. Emri i përdoruesit plotësisht i kualifikuar User1 në serverin SRV-1 do të jetë "SRV-1 \ User1" dhe emri i përdoruesit plotësisht i kualifikuar User1 në stacionin e punës WS-1 do të jetë "WS-1 \ User1". Imagjinoni që në serverin SRV-1 krijohet një dosje Folder, tek e cila përdoruesve User1 u jepet akses në rrjet për lexim (R), User2 për lexim dhe shkrim (RW). Gjëja kryesore në këtë model është se kompjuteri SRV-1 nuk "di" asgjë për llogaritë e kompjuterëve SRV-2, WS-1, WS-2, si dhe të gjithë kompjuterëve të tjerë në rrjet. Nëse një përdorues i quajtur User1 hyn në nivel lokal në sistemin në një kompjuter, për shembull, WS-2 (ose, siç thonë ata, "logohet në sistem me emrin lokal User1 në kompjuterin WS-2"), atëherë kur provoni për të hyrë nga ky kompjuter përmes rrjetit në Folder në serverin SRV-1, serveri do t'i kërkojë përdoruesit të fusë një emër përdoruesi dhe fjalëkalim (përveç nëse përdoruesit me të njëjtin emër kanë të njëjtin fjalëkalim).

Modeli Workgroup është më i lehtë për t'u mësuar dhe nuk ka nevojë të mësojë konceptet komplekse të Active Directory. Por kur përdoret në një rrjet me një numër të madh kompjuterësh dhe burimesh rrjeti, bëhet shumë e vështirë të menaxhosh emrat e përdoruesve dhe fjalëkalimet e tyre - duhet të krijosh manualisht të njëjtat llogari me të njëjtat fjalëkalime në secilin kompjuter (i cili ndan burimet e tij në rrjet ), gjë që kërkon shumë kohë, ose për të krijuar një llogari për të gjithë përdoruesit me një fjalëkalim për të gjithë (ose pa fjalëkalim fare), gjë që ul ndjeshëm nivelin e mbrojtjes së informacionit. Prandaj, modeli "Workgroup" rekomandohet vetëm për rrjetet me numrin e kompjuterëve nga 3 në 10 (ose edhe më mirë - jo më shumë se 5), me kusht që midis të gjithë kompjuterëve të mos ketë asnjë me Windows Server.

Modeli i domenit

Në modelin e domenit, ekziston një bazë e të dhënave e shërbimeve të drejtorisë së vetme që është e aksesueshme për të gjithë kompjuterët në rrjet. Për ta bërë këtë, serverë të specializuar janë instaluar në rrjet, të quajtur kontrolluesit e domenit që ruajnë këtë bazë të dhënash në hard disqet e tyre. Në fig. 6.2. tregohet diagrami i modelit të domenit. Serverët DC-1 dhe DC-2 janë kontrollues domenesh, ata ruajnë një bazë të dhënash të llogarive të domenit (çdo kontrollues ruan kopjen e tij të bazës së të dhënave, por të gjitha ndryshimet e bëra në bazën e të dhënave në një nga serverët replikohen te kontrollorët e tjerë).

Oriz. 6.2.

Në një model të tillë, nëse, për shembull, në serverin SRV-1, i cili është anëtar i domenit, dosja Folder ndahet, atëherë të drejtat e hyrjes në këtë burim mund t'i caktohen jo vetëm llogarive të SAM lokale bazën e të dhënave të këtij serveri, por, më e rëndësishmja, në të dhënat e llogarisë të ruajtura në bazën e të dhënave të domenit. Në figurë, aksesit në dosjen Folder i jepen të drejtat e aksesit të një llogarie lokale kompjuteri SRV-1 dhe disa llogarive të domenit (grupet e përdoruesve dhe përdoruesve). Në modelin e menaxhimit të sigurisë së domenit, një përdorues hyn në një kompjuter ("login") me të llogaria e domenit dhe, pavarësisht nga kompjuteri në të cilin është kryer regjistrimi, fiton akses në burimet e nevojshme të rrjetit. Dhe nuk ka nevojë të krijoni një numër të madh llogarish lokale në secilin kompjuter, të gjitha regjistrimet krijohen një herë në bazën e të dhënave të domenit... Dhe me ndihmën e një baze të dhënash domeni, kontroll i centralizuar i aksesit te burimet e rrjetit pavarësisht nga numri i kompjuterëve në rrjet.

Qëllimi i shërbimit të drejtorisë Active Directory

Një direktori (referencë) mund të ruajë një sërë informacionesh në lidhje me përdoruesit, grupet, kompjuterët, printerët e rrjetit, ndarjet e skedarëve, etj. - ne do t'i quajmë të gjitha këto objekte. Drejtori ruan gjithashtu informacione për vetë objektin, ose vetitë e tij, të quajtura atribute. Për shembull, atributet e ruajtura në drejtorinë e një përdoruesi mund të jenë emri i menaxherit, numri i telefonit, adresa, emri i hyrjes, fjalëkalimi, grupet ku ata bëjnë pjesë dhe më shumë. Për ta bërë dyqanin e drejtorive të dobishme për përdoruesit, duhet të ekzistojnë shërbime që do të ndërveprojnë me drejtorinë. Për shembull, mund ta përdorni direktorinë si një depo informacioni me anë të së cilës mund të vërtetoni një përdorues, ose si një vend ku mund të dërgoni një kërkesë për të gjetur informacion rreth një objekti.

Active Directory nuk është vetëm përgjegjës për krijimin dhe organizimin e këtyre objekteve të vogla, por edhe për objekte të mëdha si domenet, OU (njësi organizative) dhe sajte.

Lexoni më poshtë për termat bazë të përdorur në kontekstin e Active Directory.

Shërbimi i drejtorisë Active Directory (shkurt AD) mundëson që një mjedis kompleks korporativ të funksionojë në mënyrë efikase duke ofruar aftësitë e mëposhtme:

• Hyrja e vetme në internet; Përdoruesit mund të kyçen në rrjet me një emër përdoruesi dhe fjalëkalim të vetëm dhe në të njëjtën kohë të kenë akses në të gjitha burimet dhe shërbimet e rrjetit (shërbimet e infrastrukturës së rrjetit, shërbimet e skedarëve dhe printimeve, serverët e aplikacioneve dhe të bazës së të dhënave, etj.);
• Siguria e informacionit... Autentifikimi dhe kontrollet e aksesit të burimeve të integruara në Active Directory ofrojnë mbrojtje të centralizuar të rrjetit;
• Menaxhimi i centralizuar... Administratorët mund të menaxhojnë në mënyrë qendrore të gjitha burimet e korporatës;
• Administrimi duke përdorur politikat e grupit... Kur kompjuteri niset ose një përdorues hyn në sistem, kërkesat e politikave të grupit plotësohen; cilësimet e tyre ruhen në grupi i objekteve të politikës(GPO) dhe zbatohet për të gjitha llogaritë e përdoruesve dhe kompjuterëve të vendosur në sajte, domene ose njësi organizative;
• Integrimi DNS... Shërbimet e drejtorisë varen plotësisht nga DNS për të funksionuar. Nga ana tjetër, serverët DNS mund të ruajnë informacionin e zonës në një bazë të dhënash Active Directory;
• Zgjerimi i drejtorisë... Administratorët mund të shtojnë klasa të reja objektesh në skemën e katalogut ose të shtojnë atribute të reja në klasat ekzistuese;
• Shkallëzueshmëria... Active Directory mund të përfshijë një domen të vetëm ose domene të shumta të kombinuara në një pemë domeni, dhe pemë të shumta domenesh mund të përdoren për të ndërtuar një pyll;
• Replikimi i informacionit... Active Directory përdor përsëritjen e sipërme në një multi-master ( multi-mjeshtër), i cili ju lejon të modifikoni bazën e të dhënave Active Directory në çdo kontrollues domeni. Kontrollues të shumëfishtë domenesh ofrojnë tolerancë ndaj gabimeve dhe balancim të ngarkesës në rrjet;
• Fleksibiliteti i kërkesave të katalogut... Baza e të dhënave Active Directory mund të përdoret për të gjetur shpejt çdo objekt AD duke përdorur veçoritë e tij (për shembull, emrin e përdoruesit ose adresën e emailit, llojin ose vendndodhjen e printerit, etj.);
• Ndërfaqet standarde të programimit... Për zhvilluesit e programeve kompjuterike, shërbimi i direktoriumit ofron akses në të gjitha aftësitë (mjetet) e drejtorisë dhe mbështet standardet e pranuara dhe ndërfaqet programuese (API).

Një shumëllojshmëri e gjerë e objekteve të ndryshme mund të krijohen në Active Directory. Një objekt është një entitet unik brenda Drejtorisë dhe zakonisht ka shumë atribute që ndihmojnë në përshkrimin dhe njohjen e tij. Llogaria e përdoruesit është një shembull i një objekti. Ky lloj objekti mund të ketë shumë atribute si emri, mbiemri, fjalëkalimi, numri i telefonit, adresa dhe shumë të tjera. Në të njëjtën mënyrë, një printer i përbashkët mund të jetë gjithashtu një objekt në Active Directory dhe atributet e tij janë emri, vendndodhja, etj. Atributet e objektit jo vetëm që ju ndihmojnë të përcaktoni një objekt, por gjithashtu ju lejojnë të kërkoni për objekte brenda Katalogut.

Terminologjia

Shërbimi i drejtorisë Sistemet Windows Server janë ndërtuar mbi standarde teknologjike të pranuara përgjithësisht. Fillimisht, u zhvillua një standard për shërbimet e drejtorisë X.500, i cili ishte menduar për ndërtimin e fjalorëve të shkallëzuar hierarkik të ngjashëm me pemën me mundësinë e zgjerimit të dy klasave të objekteve dhe grupeve të atributeve (vetive) të secilës klasë individuale. Megjithatë, zbatimi praktik i këtij standardi është dëshmuar të jetë joefektiv për sa i përket performancës. Më pas, në bazë të standardit X.500, u zhvillua një version i thjeshtuar (i lehtë) i standardit të ndërtimit të drejtorive, i quajtur LDAP (Protokolli i lehtë i hyrjes në drejtori). Protokolli LDAP ruan të gjitha vetitë themelore të X.500 (sistemi i ndërtimit të drejtorive hierarkike, shkallëzueshmëria, shtrirje), por në të njëjtën kohë lejon zbatimin efektiv të këtij standardi në praktikë. Termi " peshë e lehtë " (" peshë e lehtë") në emër të LDAP pasqyron qëllimin kryesor të zhvillimit të protokollit: të krijojë një paketë veglash për ndërtimin e një shërbimi direktoriumi që ka fuqi të mjaftueshme funksionale për të zgjidhur problemet themelore, por nuk është i mbingarkuar me teknologji komplekse që e bëjnë zbatimin e shërbimeve të drejtorive joefektiv. LDAP është aktualisht metoda standarde e aksesit në drejtoritë e rrjeteve të informacionit dhe shërben si bazë në shumë produkte si p.sh. sistemet e vërtetimit, programet e postës elektronike dhe aplikacionet e tregtisë elektronike. Ekzistojnë mbi 60 serverë komercialë LDAP në treg sot, me rreth 90% të tyre që janë serverë të pavarur të drejtorive LDAP, ndërsa pjesa tjetër ofrohet si përbërës të aplikacioneve të tjera.

LDAP përcakton qartë gamën e operacioneve të drejtorisë që mund të kryejë një aplikacion klienti. Këto operacione ndahen në pesë grupe:

• vendosja e lidhjes me drejtorinë;
• kërkoni informacion në të;
• modifikimi i përmbajtjes së tij;
• shtimi i një objekti;
• fshirja e një objekti.

Përveç protokollit LDAP shërbimi i drejtorisë Active Directory përdor gjithashtu protokollin e vërtetimit Kerberos dhe DNS për komponentët e kërkimit të rrjetit të shërbimeve të drejtorisë (kontrolluesit e domenit, serverët e katalogut global, shërbimi Kerberos, etj.).

Domeni

Njësia kryesore e sistemit të sigurisë Active Directory është domain... Domeni formon fushën e përgjegjësisë administrative. Baza e të dhënave të domenit përmban llogari përdoruesit, grupe dhe kompjuterët... Shumica e funksioneve të menaxhimit të shërbimit të drejtorive funksionojnë në nivelin e domenit (autentifikimi i përdoruesit, kontrolli i aksesit të burimeve, menaxhimi i shërbimit, menaxhimi i replikimit, politikat e sigurisë).

Emrat e domain-it Active Directory gjenerohen në të njëjtën mënyrë si emrat në hapësirën e emrave DNS. Dhe kjo nuk është rastësi. DNS është një motor kërkimi për komponentët e domenit - kryesisht kontrolluesit e domenit.

Kontrolluesit e domenit- serverë të veçantë që ruajnë pjesën e bazës së të dhënave Active Directory që korrespondon me një domen të caktuar. Karakteristikat kryesore të kontrolluesve të domenit:

• ruajtja e bazës së të dhënave Active Directory(organizimi i aksesit në informacionin e përfshirë në katalog, duke përfshirë menaxhimin e këtij informacioni dhe modifikimin e tij);
• sinkronizimi i ndryshimeve në AD(ndryshimet në bazën e të dhënave AD mund të bëhen në cilindo nga kontrolluesit e domenit, çdo ndryshim i bërë në njërin nga kontrollorët do të sinkronizohet me kopjet e ruajtura në kontrollorët e tjerë);
• vërtetimi i përdoruesit(çdo nga kontrollorët e domenit kontrollon kredencialet e përdoruesve që hyjnë në sistemet e klientëve).

Rekomandohet fuqimisht instalimi i të paktën dy kontrolluesve të domenit në çdo domen - së pari, për t'u mbrojtur nga humbja e bazës së të dhënave Active Directory në rast të një dështimi të kontrolluesit dhe së dyti, për të shpërndarë ngarkesën midis controllers.it.company. ru ekziston një nëndomain dev.it.company.ru, i krijuar për departamentin e zhvillimit të softuerit të shërbimit IT.

• për të decentralizuar administrimin e shërbimeve të drejtorisë (për shembull, në rastin kur një kompani ka degë gjeografikisht të largëta nga njëra-tjetra, dhe menaxhimi i centralizuar është i vështirë për arsye teknike);
• për të përmirësuar produktivitetin (për kompanitë me një numër të madh përdoruesish dhe serverësh, çështja e përmirësimit të performancës së kontrolluesve të domenit është e rëndësishme);
• për menaxhim më efikas të replikimit (nëse kontrollorët e domenit janë të largët nga njëri-tjetri, atëherë riprodhimi në një mund të marrë më shumë kohë dhe të krijojë probleme me përdorimin e të dhënave të pasinkronizuara);
domeni i rrënjës së pyllit ( domeni i rrënjës së pyllit), ky domen nuk mund të fshihet (ruan informacion në lidhje me konfigurimin e pyllit dhe pemët e domeneve që e formojnë atë).

Njësitë organizative (OP).

Njësitë organizative (Njësitë Organizative, OU) - kontejnerë brenda AD, të cilat janë krijuar për të kombinuar objekte për delegimi i të drejtave administrative dhe duke aplikuar politikat e grupit në domen. OP ekziston vetëm brenda domeneve dhe mund të kombinohen vetëm objekte nga domeni i tyre... OP-të mund të vendosen brenda njëri-tjetrit, gjë që lejon ndërtimin e një hierarkie komplekse të kontejnerëve të ngjashëm me pemën brenda një domeni dhe ofrimin e kontrollit administrativ më fleksibël. Përveç kësaj, OP-të mund të krijohen për të pasqyruar hierarkinë administrative dhe strukturën organizative të një kompanie.

Katalogu global

Katalogu globalështë një listë të gjitha objektet që ekzistojnë në pyllin e Active Directory. Si parazgjedhje, kontrollorët e domenit përmbajnë vetëm informacione rreth objekteve në domenin e tyre. Serveri i Katalogut Globalështë një kontrollues domeni që përmban informacion për çdo objekt (edhe pse jo të gjitha atributet e atyre objekteve) në një pyll të caktuar.

Konceptet bazë të Active Directory

Shërbimi Active Directory

Shërbimi i drejtorisë i zgjerueshëm dhe i shkallëzueshëm Aktiv Drejtoria ju lejon të menaxhoni në mënyrë efektive burimet e rrjetit.

Aktiv Drejtori është një depo e organizuar në mënyrë hierarkike e të dhënave për objektet e rrjetit që ofron mjete të përshtatshme për gjetjen dhe përdorimin e këtyre të dhënave.... Kompjuteri që funksionon aktiv Drejtoria, e thirrur kontrolluesi i domenit . ME Active Directorypothuajse të gjitha detyrat administrative janë të lidhura.

Teknologjia Active Directory bazohet në standarde Protokollet e internetit dhe ndihmon për të përcaktuar qartë strukturën e rrjetit.

Active Directory dhe DNS

V Aktiv drejtorypërdoret sistemi i emrave të domenit.

DomenEmri Sistemi, (DNS) është një shërbim standard interneti që organizon grupe kompjuterësh në domene.Domenet DNS kanë një strukturë hierarkike që formon bazën e internetit. Nivelet e ndryshme të kësaj hierarkie identifikojnë kompjuterët, domenet organizative dhe domenet e nivelit të lartë. DNS përdoret gjithashtu për të zgjidhur emrat e hosteve, për shembull z eta.webatwork.com, në adresat IP numerike të tilla si 192.168.19.2. Duke përdorur mjetet DNS, hierarkia e domenit të Active Directory mund të integrohet në hapësirën e internetit ose të lihet e pavarur dhe e izoluar nga aksesi i jashtëm.

Për të hyrë në burime në domain, përdoret emri plotësisht i kualifikuar i hostit, si p.sh. zeta.webatwork.com. Këtuzdheështë emri i kompjuterit individual, webwork është domeni i organizatës dhe com është domeni i nivelit të lartë. Domenet e nivelit të lartë formojnë themelin e hierarkisë DNS dhe për këtë arsye quhen domenet rrënjë (domenet rrënjë). Ato janë të organizuara gjeografikisht, me emra të bazuar në kodet e shteteve me dy shkronja (rupër Rusinë), sipas llojit të organizatës (huall mjalti për organizatat tregtare) dhe me takim ( mil për organizatat ushtarake).

Domenet e rregullta si microsoft.com, quhen prindërore (domeni prind) pasi ato formojnë shtyllën kurrizore të strukturës organizative. Domenet mëmë mund të ndahen në nëndomanë për departamente të ndryshme ose degë të largëta. Për shembull, emri i plotë i kompjuterit të zyrës së Microsoft Seattle mund të jetë jacob.seattle.microsoft.com , ku jacob- emri i kompjuterit, sealtle - subdomain dhe microsoft.com është domeni prind. Një emër tjetër për nëndomain është domeni fëmijë (domeni fëmijë).

Komponentët Aktiv Drejtoria

Active Directory bashkon strukturën fizike dhe logjike për komponentët e rrjetit. Strukturat logjike të Active Directory ju ndihmojnë të organizoni objektet e direktoriumit dhe të menaxhoni llogaritë dhe ndarjet e rrjetit. Struktura logjike përfshin elementët e mëposhtëm:

njësi organizative - një nëngrup kompjuterësh, që zakonisht pasqyrojnë strukturën e kompanisë;

domeni ( domain) - një grup kompjuterësh që ndajnë një bazë të dhënash të përbashkët të katalogut;

pema e domenit (domain pemë) - një ose më shumë domene që ndajnë një hapësirë ​​emri të afërt;

pyll domeni - një ose më shumë pemë që ndajnë informacionin e drejtorisë.

Elementet fizike ndihmojnë në planifikimin e strukturës aktuale të rrjetit. Në bazë të strukturave fizike, formohen lidhjet e rrjetit dhe kufijtë fizikë të burimeve të rrjetit. Struktura fizike përfshin elementët e mëposhtëm:

nënrrjet ( nënrrjet) - një grup rrjeti me një gamë të caktuar adresash IP dhe një maskë rrjeti;

faqe ( faqe) - një ose më shumë nënrrjeta. Sajti përdoret për të konfiguruar aksesin dhe replikimin e drejtorisë.

Njësitë organizative

Njësitë organizative (OU) janë nëngrupe brenda fushave që shpesh pasqyrojnë strukturën funksionale të një organizate. OP-të janë një lloj kontejnerësh logjikë që presin llogari, aksione dhe OP të tjera. Për shembull, mund të krijoni në domen mikrosoft. com nënndarjet Burimet, TI, Marketingu... Kjo skemë më pas mund të zgjerohet për të përfshirë ndarjet e fëmijëve.

OP lejohet të vendosë vetëm objekte nga domeni prind. Për shembull, OP nga domeni Seattle.microsoft.com përmbajnë vetëm objekte nga ai domen. Shtoni objekte atje ngamy. microsoft.com nuk lejohet. OP janë shumë të përshtatshëm kur formojnë një funksional ose strukturat e biznesit organizatave. Por kjo nuk është arsyeja e vetme e përdorimit të tyre.

OP-të ju lejojnë të përcaktoni Politikën e Grupit për një grup të vogël burimesh në një domen pa e aplikuar atë në të gjithë domenin. OP krijon pamje më të pakta dhe më të menaxhueshme të objekteve të drejtorisë në domen për t'ju ndihmuar të menaxhoni burimet në mënyrë më efikase.

OP-të ju lejojnë të delegoni autoritet dhe të kontrolloni aksesin administrativ në burimet e domenit, gjë që ndihmon për të vendosur kufijtë e autoritetit të administratorëve në domen. Është e mundur të delegohen privilegjet administrative të përdoruesit A ​​për vetëm një PO dhe në të njëjtën kohë të transferohen te përdoruesi B privilegje administrative për të gjitha PO në domen.

Domenet

Domeni Active Directory është një grup kompjuterësh që ndajnë një bazë të dhënash të përbashkët të katalogut. Emrat e domain-it të Active Directory duhet të jenë unikë. Për shembull, nuk mund të ketë dy domene microsoft.com, por mund të jetë një domen prind i microsoft.com me domene fëmijësh seattle.microsoft.com dhe my.microsoft.com. Nëse domeni është pjesë e një rrjeti të mbyllur, emri i caktuar për domenin e ri nuk duhet të jetë në konflikt me asnjë nga emrat ekzistues të domenit në atë rrjet. Nëse domeni është pjesë e Internetit global, atëherë emri i tij nuk duhet të jetë në konflikt me asnjë nga emrat ekzistues të domenit në internet. Për të siguruar që emrat janë unikë në internet, emri i domenit mëmë duhet të regjistrohet përmes çdo organizate të autorizuar regjistrimi.

Çdo domen ka politikat e veta të sigurisë dhe beson me domenet e tjera. Domenet shpesh shpërndahen nëpër vende të shumta fizike, domethënë, ato përbëhen nga shumë site dhe faqet përfshijnë nënrrjeta të shumta. Baza e të dhënave të direktoriumit të domenit ruan objekte që përcaktojnë llogaritë për përdoruesit, grupet dhe kompjuterët, si dhe burime të përbashkëta si printerët dhe dosjet.

Funksionet e domenit janë të kufizuara dhe të rregulluara nga mënyra e funksionimit të tij. Ekzistojnë katër mënyra funksionale të domeneve:

Modaliteti i përzier Windows 2000 - mbështet kontrolluesit e domenit që funksionojnë Windows NT 4.0, Wi ndows 2000 dhe Dritaret Serveri 2003;

Modaliteti origjinal i Windows 2000 - mbështet kontrolluesit e domenit që ekzekutojnë Windows 2000 dhe Dritaret Serveri 2003;

modaliteti i ndërmjetëm Dritaret Serveri 2003 ( e përkohshme modaliteti) - mbështet kontrolluesit e domenit që funksionojnë Dritaret NT 4.0 dhe Dritaret Serveri 2003;

modaliteti Windows Server 2003 - Mbështet kontrolluesit e domenit që ekzekutojnë Windows Server 2003.

Pyjet dhe pemët

Çdo domen Aktiv Drejtoria zotëron DNS- shkruani emrin microsoft.com. Domenet që ndajnë të dhënat e drejtorisë formojnë një pyll. Emrat e domenit të pyllit në hierarkinë e emrave të DNS janë jo të lidhura(të shkëputur) ose ngjitur(i ngjitur).

Domenet që kanë një strukturë emërtimi të njëpasnjëshëm quhen pemë domeni. Nëse domenet në një pyll kanë emra DNS jo të lidhur, ato formojnë pemë të veçanta domeni në pyll. Një ose më shumë pemë mund të përfshihen në një pyll. Për të hyrë në strukturat e domenit, përdorni tastierënAktiv Drejtoria- domenet dhe besimi (AktivDrejtoria Domenetdhe Trustet).

Funksionet e pyjeve janë të kufizuara dhe të rregulluara nga regjimi funksional i pyllit. Ekzistojnë tre mënyra të tilla:

Windows 2000 - Mbështet kontrolluesit e domenit që përdorin Windows NT 4.0, Windows 2000 dhe Windows Serveri 2003;

e ndërmjetme ( e përkohshme) Dritaret Serveri 2003 - Mbështet kontrolluesit e domenit që ekzekutojnë Windows NT 4.0 dhe Windows Server 2003;

Windows Server 2003 - Mbështet kontrolluesit e domenit që ekzekutojnë Windows Server 2003.

Veçoritë më të avancuara të Active Directory janë të disponueshme në modalitetin Windows Server 2003. Nëse të gjitha domenet në pyll funksionojnë në këtë modalitet, mund të përfitoni nga riprodhimi (përsëritja) i përmirësuar i katalogut global dhe riprodhimi më efikas i të dhënave të Active Directory. Ju gjithashtu mund të çaktivizoni klasat dhe atributet e skemës, të përdorni klasa ndihmëse dinamike, të riemërtoni domenet dhe të krijoni besime të njëanshme, të dyanshme dhe kalimtare në pyll.

Faqet e internetit dhe nënrrjetet

Faqe është një grup kompjuterësh në një ose më shumë nënrrjeta IP që përdoren për të planifikuar strukturën fizike të një rrjeti. Planifikimi i faqes ndodh pavarësisht nga struktura logjike e domenit. Active Directory ju lejon të krijoni faqe të shumta në një domen të vetëm, ose një sajt të vetëm që përfshin domene të shumta.

Ndryshe nga faqet që mund të përfshijnë zona të shumta adresash IP, nënrrjetat kanë një zonë specifike të adresës IP dhe një maskë rrjeti. Emrat e nënrrjetit janë në format neto / bitmask, për shembull 192.168.19.0/24 ku adresa e rrjetit 192.168.19.0 dhe maska ​​e rrjetit 255.255.255.0 kombinohen në emrin e nënrrjetit 192.168.19.0/24.

Kompjuterët u caktohen sajteve bazuar në vendndodhjen e tyre në një nënrrjet ose në një grup nënrrjetash. Nëse kompjuterët në nënrrjeta janë në gjendje të komunikojnë me shpejtësi mjaft të lartë, ata thirren i lidhur mirë (i lidhur mirë).

Idealisht, sajtet përbëhen nga nënrrjeta dhe kompjuterë të lidhur mirë. Nëse shpejtësia e komunikimit ndërmjet nënrrjetave dhe kompjuterëve është e ngadaltë, mund të jetë e nevojshme të krijohen shumë site. Një lidhje e mirë u jep faqeve të internetit disa avantazhe.

Kur një klient bashkohet me një domen, procesi i vërtetimit fillimisht kërkon një kontrollues të domenit lokal në faqen e klientit, domethënë, kontrollorët lokalë anketohen së pari nëse është e mundur, gjë që kufizon trafikun e rrjetit dhe përshpejton vërtetimin.

Informacioni i drejtorisë përsëritet më shpesh brenda faqet se sa ndërmjet faqet. Kjo redukton trafikun ndër-rrjetor të shkaktuar nga riprodhimi dhe siguron që kontrollorët e domenit lokal të marrin informacion të përditësuar shpejt.

Ju mund të personalizoni rendin në të cilin të dhënat e drejtorisë replikohen duke përdorur lidhjet e faqes (lidhjet e faqes). Për shembull, përcaktoni serveri i urës (majë urë) për riprodhim midis vendeve.

Pjesa më e madhe e ngarkesës së replikimit midis sajteve do të bjerë në këtë server të dedikuar dhe jo në ndonjë server të disponueshëm të sajtit. Faqet e internetit dhe nënrrjetat janë konfiguruar në tastierë Drejtoria aktive - faqet dhe shërbimet(Sajtet dhe shërbimet e drejtorisë aktive).

Puna me domene Active Directory

Online Dritaret Serveri Shërbimi i vitit 2003 AktivDrejtoriakonfiguruar njëkohësisht meDNS... Sidoqoftë, domenet e Active Directory dhe domenet DNS kanë qëllime të ndryshme. Domenet e Active Directory ju ndihmojnë të menaxhoni llogaritë, burimet dhe sigurinë.

Hierarkia e domenit DNS është kryesisht për zgjidhjen e emrit.

Kompjuterët që përdorin Windows XP Professional dhe Windows 2000 janë në gjendje të përfitojnë plotësisht nga Active Directory. Ata operojnë në rrjet si klientë të Active Directory dhe kanë akses në trustet kalimtare që ekzistojnë në pemën e domenit ose pyllin. Këto marrëdhënie lejojnë përdoruesit e autorizuar të aksesojnë burimet në çdo domen në pyll.

Sistemi Windows Server 2003 funksionon si një kontrollues domeni ose server anëtar. Serverët e anëtarëve bëhen kontrollues pasi të instalohet Active Directory; kontrollorët zbriten në serverë anëtarë pasi të hiqet Active Directory.

Të dy proceset kryhen Magjistari i instalimit të drejtorisë aktive. Një domen mund të ketë kontrollues të shumtë. Ata replikojnë të dhënat e direktoriumit ndërmjet tyre në një model riprodhimi shumë-master që lejon çdo kontrollues të përpunojë ndryshimet e direktoriumit dhe më pas t'i përhapë ato te kontrollorët e tjerë. Me një strukturë multi-master, të gjithë kontrollorët kanë përgjegjësi të barabarta si parazgjedhje. Megjithatë, ju mund t'u jepni disa kontrolluesve të domenit përparësi ndaj të tjerëve për detyra specifike, si p.sh. krijimi i një serveri kryetar që ka përparësi kur riprodhoni të dhënat e drejtorisë në sajte të tjera.

Përveç kësaj, disa detyra kryhen më së miri në një server të dedikuar. Serveri që trajton një lloj të caktuar detyre quhet mjeshtër i operacioneve (mjeshtri i operacioneve).

Llogaritë janë krijuar për të gjithë kompjuterët që përdorin Windows 2000, Windows XP Professional dhe Windows Server 2003, të cilët janë bashkuar me një domen dhe ruhen, si burime të tjera, si objekte të Active Directory. Llogaritë kompjuterike përdoren për të kontrolluar aksesin në rrjet dhe burimet e tij. Përpara se një kompjuter të fitojë akses në një domen duke përdorur llogarinë e tij, ai duhet të vërtetohet.

Struktura e drejtorisë

Të dhënat e katalogut u ofrohen përdoruesve dhe kompjuterëve nëpërmjet ruajtja e të dhënave (magazinat e të dhënave) dhe katalogë globalë (globalekatalogë). Ndërsa shumica e funksioneveAktivDrejtoriandikojnë në magazinën e të dhënave, katalogët globalë (GC) janë po aq të rëndësishëm pasi ato përdoren për të hyrë dhe gjetur informacion. Nëse GL nuk është i disponueshëm, përdoruesit e rregullt nuk do të mund të identifikohen në domen. Mënyra e vetme për të kapërcyer këtë kusht është duke ruajtur memorien e anëtarësimit në nivel lokal. grupe universale.

Qasja dhe shpërndarja e të dhënave të Active Directory sigurohet me mjete protokollet e hyrjes në drejtori (drejtori aksesprotokollet) dhe përsëritje (përsëritje).

Replikimi është i nevojshëm për të shpërndarë të dhënat e përditësuara tek kontrollorët. Metoda kryesore për shpërndarjen e përditësimeve është përsëritja e shumëfishtë, por disa ndryshime trajtohen vetëm nga kontrollues të specializuar - mjeshtra të operacioneve (mjeshtra të operacioneve).

Mënyra e kryerjes së replikimit multi-master në Windows Server 2003 ka ndryshuar gjithashtu me prezantimin e seksionet e drejtorisë aplikacionet (aplikaciondrejtoriandarjet). Nëpërmjet tyre, administratorët e sistemit mund të krijojnë ndarje riprodhimi në një pyll domeni, të cilat janë struktura logjike të përdorura për të menaxhuar replikimin brenda një pylli domeni. Për shembull, mund të krijoni një ndarje që përsërit informacionin DNS brenda një domeni. Replikimi i informacionit DNS është i ndaluar në sisteme të tjera në domen.

Ndarjet e drejtorisë së aplikacionit mund të jenë një fëmijë i një domeni, një fëmijë i një ndarje tjetër aplikacioni ose një pemë e re në një pyll domeni. Replikat e ndarjeve mund të strehohen në çdo kontrollues domeni Active Directory, duke përfshirë katalogët globalë. Ndërsa ndarjet e katalogut të aplikacioneve janë të dobishme në domene dhe pyje të mëdha, ato shtojnë shpenzimet e planifikimit, administrimit dhe mirëmbajtjes.

Ruajtja e të dhënave

Dyqani përmban informacione për objektet më të rëndësishme në shërbimin e drejtorisë Active Directory - llogaritë, aksionet, OS dhe politikat e grupit. Depoja e të dhënave nganjëherë quhet thjesht si katalogu (drejtori). Në kontrolluesin e domenit, drejtoria ruhet në skedarin NTDS.DIT, vendndodhja e të cilit përcaktohet gjatë instalimit të Active Directory (kjo duhet të jetë një disk NTFS). Disa të dhëna direktorie mund të mbahen gjithashtu të ndara nga ruajtja kryesore, të tilla si politikat e grupit, skriptet dhe informacione të tjera të shkruara në ndarjen e sistemit SYSVOL.

Ndarja e informacionit të drejtorisë quhet duke botuar (publikoj). Për shembull, kur hapet një printer për përdorim në një rrjet, ai publikohet; publikohet informacion rreth një dosjeje të përbashkët, e kështu me radhë.Kontrolluesit e domenit përsërisin shumicën e ndryshimeve në depo në një skemë multi-master. Një administrator në një organizatë të vogël dhe të mesme rrallë menaxhon replikimin e ruajtjes sepse është automatik, por mund të konfigurohet sipas specifikave të arkitekturës së rrjetit.

Jo të gjitha të dhënat e katalogut përsëriten, por vetëm:

Të dhënat e domenit - informacione për objektet në domen, duke përfshirë objektet e llogarive, burimet e përbashkëta, OS dhe politikat e grupit;

Të dhënat e konfigurimit - Informacion në lidhje me topologjinë e drejtorisë: një listë e të gjitha domeneve, pemëve dhe pyjeve, dhe vendndodhjen e kontrolluesve dhe serverëve kryesorë;

Të dhënat e skemës - informacion për të gjitha objektet dhe llojet e të dhënave që mund të ruhen në drejtori; Skema standarde e Windows Server 2003 përshkruan objektet e llogarisë, objektet e përbashkëta dhe më shumë dhe mund të zgjerohet duke përcaktuar objekte dhe atribute të reja ose duke shtuar atribute objekteve ekzistuese.

Katalogu global

Nëse memoria lokale e anëtarësimit në nuk ka grupe universale, identifikimi në rrjet bazohet në informacionin universal të anëtarësimit në grup të ofruar nga GC.

Ai gjithashtu ofron kërkime në direktori në të gjitha domenet në pyll. Kontrolluesi, rolin e aktrimit libri i serverit, ruan një kopje të plotë të të gjitha objekteve në drejtorinë e domenit të tij dhe një kopje të pjesshme të objekteve të domeneve të tjera në pyll.

Vetëm disa veçori të objektit nevojiten për hyrje dhe kërkim, kështu që mund të përdoren kopje të pjesshme. Replikimi kërkon më pak transferim të të dhënave për të formuar një kopje të pjesshme, e cila redukton trafikun e rrjetit.

Si parazgjedhje, kontrolluesi i parë i domenit bëhet serveri GC. Prandaj, nëse ka vetëm një kontrollues domeni në domen, atëherë serveri GC dhe kontrolluesi i domenit janë i njëjti server. Ju mund ta vendosni GL në një kontrollues tjetër për të shkurtuar kohën e hyrjes dhe për të shpejtuar kërkimin. Rekomandohet krijimi i një libri në çdo faqe të domenit.

Ka disa mënyra për të zgjidhur këtë problem. Sigurisht, mund të krijoni një server GC në një nga kontrollorët e domenit në zyrën e largët. Disavantazhi i kësaj metode është një rritje e ngarkesës në serverin GC, e cila mund të kërkojë burime shtesë dhe planifikim të kujdesshëm të kohës së funksionimit të këtij serveri.

Një tjetër rrugëdalje është që anëtarësimi në grup universal të ruhet në memorie lokale. Sidoqoftë, çdo kontrollues domeni mund të shërbejë kërkesat e hyrjes në nivel lokal pa shkuar te serveri GC. Kjo përshpejton procedurën e hyrjes dhe lehtëson situatën në rast të një ndërprerjeje të serverit GK. Ai gjithashtu redukton trafikun e riprodhimit.

Në vend që të përditësoni periodikisht të gjithë librin në të gjithë rrjetin, mjafton të përditësoni cache-në e anëtarësimit në grup universal. Si parazgjedhje, përditësimet ndodhin çdo tetë orë në çdo kontrollues domeni që përdor memorien lokale të anëtarësimit në grup universal.

Anëtarësimi në një grup universal individualisht për çdo vend. Kujtoni që një sajt është një strukturë fizike e përbërë nga një ose më shumë nënrrjeta me një grup individual adresash IP dhe një maskë rrjeti. Kontrolluesit e domenit Dritaret Serveri 2003 dhe libri në të cilin po aksesojnë duhet të jenë në të njëjtin sajt. Nëse ka shumë sajte, do t'ju duhet të konfiguroni memorien lokale në çdo sajt. Për më tepër, përdoruesit që hyjnë në sajt duhet të jenë pjesë e një domeni të Windows Server 2003 që funksionon në modalitetin pyll të Windows Server 2003.

Replikimi në Active Directory

Drejtoria ruan tre lloje informacioni: të dhënat e domenit, të dhënat e skemës dhe të dhënat e konfigurimit. Të dhënat e domenit kopjohen te të gjithë kontrolluesit e domenit. Të gjithë kontrolluesit e domenit janë të barabartë, d.m.th. çdo ndryshim i bërë nga çdo kontrollues domeni do të kopjohet në të gjithë kontrolluesit e tjerë të domenit. Skema dhe të dhënat e konfigurimit replikohen në të gjitha domenet në pemë ose pyll. Për më tepër, të gjitha objektet e një domeni individual dhe disa nga vetitë e objekteve pyjore janë përsëritur në librin kryesor. Kjo do të thotë që kontrolluesi i domenit ruan dhe përsërit skemën për pemën ose pyllin, informacionin e konfigurimit për të gjitha domenet në pemën ose pyllin dhe të gjitha objektet dhe vetitë e drejtorisë për domenin e vet.

Kontrolluesi i domenit që pret librin përmban dhe përsërit informacionin e skemës për pyllin, informacionin e konfigurimit për të gjitha domenet në pyll dhe një grup të kufizuar vetive për të gjitha objektet e drejtorisë në pyll (ai përsëritet vetëm midis serverëve të librit), gjithashtu. si të gjitha objektet dhe vetitë e drejtorisë për domenin tuaj.

Për të kuptuar thelbin e përsëritjes, merrni parasysh këtë skenar për ngritjen e një rrjeti të ri.

1. Në domen Dhe kontrolluesi i parë është instaluar. Ky server është i vetmi kontrollues i domenit. Ai është gjithashtu serveri i GC. Replikimi në një rrjet të tillë nuk ndodh sepse nuk ka kontrollues të tjerë.

2. Në domen Instalohet një kontrollues i dytë dhe fillon riprodhimi. Ju mund të caktoni një kontrollues si master të infrastrukturës dhe tjetrin si server kryesor. Pronari i Infrastrukturës monitoron përditësimet e librit dhe i kërkon ato për objekte të ndryshuara. Të dy këta kontrollues përsërisin gjithashtu të dhënat e skemës dhe konfigurimit.

3. Në domen Dhe është instaluar një kontrollues i tretë, në të cilin nuk ka GK. Masteri i infrastrukturës monitoron përditësimet e GL-së, i kërkon ato për objekte të ndryshuara dhe më pas i përsërit ndryshimet në një kontrollues të tretë domeni. Të tre kontrollorët përsërisin gjithashtu të dhënat e skemës dhe konfigurimit.

4. Krijohet një domen i ri B, i shtohen kontrolluesit. Serverët e librit në domenin A dhe domenin B riprodhojnë të gjitha të dhënat e skemës dhe konfigurimit, si dhe një nëngrup të të dhënave të domenit nga çdo domen. Përsëritja në domenin A vazhdon siç përshkruhet më sipër, plus përsëritja brenda domenit B fillon.

AktivDrejtoria dhe LDAP

Protokolli i lehtë i hyrjes në drejtori (LDAP) është një protokoll standard i Internetit për rrjetet TCP / IP. LDAP është projektuar posaçërisht për të aksesuar shërbimet e drejtorisë me shpenzime minimale. LDAP gjithashtu përcakton operacionet e përdorura për të kërkuar dhe modifikuar informacionin e drejtorisë.

Klientët Active Directory përdor LDAP për të komunikuar me kompjuterët që funksionojnë Active Directory sa herë që hyjnë në rrjet ose kërkojnë burime të përbashkëta. LDAP thjeshton ndërlidhjen e drejtorive dhe migrimin në Active Directory nga shërbimet e tjera të drejtorive. Për të përmirësuar përputhshmërinë, mund të përdorni Ndërfaqet e Shërbimit Active Directory (AktivDrejtoria Shërbimi- Ndërfaqet, ADSI).

Rolet kryesore të operacioneve

Masteri i operacioneve zgjidh detyrat që janë të papërshtatshme në një model replikimi me shumë master. Ekzistojnë pesë role kryesore të operacioneve që mund t'i caktoni një ose më shumë kontrollues të domenit. Disa role duhet të jenë unike në nivelin e pyllit; për të tjerët, niveli i domenit është i mjaftueshëm. Rolet e mëposhtme duhet të ekzistojnë në çdo pyll Active Directory:

Mjeshtër i skemës) - Menaxhon përditësimet dhe ndryshimet në skemën e drejtorisë. Për të përditësuar skemën e katalogut, ju nevojitet akses te masteri i skemës. Për të përcaktuar se cili server është aktualisht mjeshtri i skemës në domen, thjesht hapni një dritare të linjës së komandës dhe shkruani: serveri dsquery -kafsmo skema.

Master i emërtimit të domenit - menaxhon shtimin dhe heqjen e domeneve në pyll. Për të shtuar ose hequr një domen, ju nevojitet akses në masterin e emërtimit të domenit. Për të përcaktuar se cili server është aktualisht masteri i emërtimit të domenit, thjesht futni serverin dsquery në dritaren e vijës së komandës:kafsmo emri.

Këto role, të cilat janë të përbashkëta për të gjithë pyllin në tërësi, duhet të jenë unike brenda pyllit.

Rolet e mëposhtme duhet të ekzistojnë në çdo domen të Active Directory.

Master i ID-së relative - shpërndan identifikues relativ për kontrolluesit e domenit. Sa herë që krijoni një objekt, grup përdoruesi ose kompjuterit, kontrollorët i caktojnë një SID unik objektit, i cili përbëhet nga një SID domeni dhe një identifikues unik që është caktuar nga masteri relativ i ID-së. Për të përcaktuar se cili server është aktualisht masteri i identifikuesve relativë në domen, thjesht futni në dritaren e linjës së komandës: dsqueryserver -kafsmoshpëtoj.

Emulator PDC (emulator PDC) - Në modalitetin e domenit të përzier ose në skenë, vepron si një kontrollues kryesor i domenit të Windows NT. Ai vërteton hyrjet në Windows NT, trajton ndryshimet e fjalëkalimit dhe përsërit përditësimet në P DC. Për të përcaktuar se cili server është aktualisht emulatori PDC në domen, thjesht futni dsquery server - hasfsmo pdc.

Mjeshtër i infrastrukturës mjeshtër ) - përditëson lidhjet e objekteve, duke krahasuar të dhënat e katalogut të tij me të dhënat e librit. Nëse të dhënat janë të vjetruara, ai kërkon përditësime nga GC dhe i përsërit ato te kontrollorët e tjerë në domen. Për të përcaktuar se cili server është aktualisht mjeshtri i infrastrukturës në domen, thjesht në dritaren e linjës së komandës dhe futni dsqueryserver -hasfsmo infr.

Këto role, të cilat janë të përbashkëta për të gjithë domenin, duhet të jenë unike brenda domenit. Me fjalë të tjera, ju mund të konfiguroni vetëm një master relativ ID, një emulator PDC dhe një master infrastrukture për çdo domen.

Rolet kryesore të operacioneve zakonisht caktohen automatikisht, por ju mund t'i ricaktoni ato. Kur instalohet një rrjet i ri, kontrolluesi i parë në domenin e parë merr përsipër të gjitha rolet kryesore të operacioneve. Nëse një domen i ri fëmijë ose domeni rrënjë krijohet më vonë në pemën e re, rolet kryesore të operacioneve i caktohen automatikisht edhe kontrolluesit të parë të domenit. Në pyllin e ri të domenit, kontrolluesit të domenit i janë caktuar të gjitha rolet kryesore të operacioneve. Nëse një domen i ri krijohet në të njëjtin pyll, kontrolluesit të tij i caktohet roli i masterit të identifikuesve relativë, emulatori PDC dhe pronarin e infrastrukturës. Rolet master të skemës dhe master të emërtimit të domenit mbeten me domenin e parë në pyll.

Nëse ka vetëm një kontrollues domeni në domen, ai merr përsipër të gjitha rolet kryesore të operacioneve. Nëse ka një vend të vetëm në rrjet, vendndodhja e paracaktuar për masterat e operacioneve është optimale. Megjithatë, ndërsa shtoni kontrollues dhe domene domenesh, ndonjëherë ju duhet të zhvendosni rolet kryesore të operacioneve te kontrollorët e tjerë të domenit.

Nëse ka dy ose më shumë kontrollues domeni në një domen, ju rekomandojmë që të konfiguroni dy kontrolluesit e domenit për të marrë rolet kryesore të operacioneve. Për shembull, caktoni një kontrollues domeni si master të operacioneve kryesore dhe tjetrin si rezervë, i cili do të nevojitet nëse primari dështon.

Administrata Active Directory

CActive Directory krijon llogaritë kompjuterike, i lidh ato me domenin dhe menaxhon kompjuterët, kontrolluesit e domenit dhe njësitë organizative (OU).

Mjetet e administrimit dhe mbështetjes ofrohen për menaxhimin e Active Directory. Mjetet e listuara më poshtë janë implementuar në formën e skedarëve snap-in të konzollës MMC (Microsoft MenaxhimiKonsolë):

Përdoruesit dhe kompjuterët e drejtorisë aktive (Active Directory Përdoruesit dhe Kompjuterët) ju lejon të menaxhoni përdoruesit, grupet, kompjuterët dhe njësitë organizative (OP);

Aktiv Drejtoria- domenet dhe besimi ( Aktiv Drejtoria Domenetdhe Trustet ) shërben për të punuar me domenet, pemët e domenit dhe pyjet e domenit;

Drejtoria aktive - faqet dheshërbimi (Sajtet dhe shërbimet e drejtorisë aktive) ju lejon të menaxhoni faqet dhe nënrrjetet;

Rezultati politikë (Grupi i politikave që rezulton) përdoret për të parë politikën aktuale të përdoruesit ose të sistemit dhe për të planifikuar ndryshimet në politikë.

V Serveri i Microsoft Windows 2003 mund t'i qaset këtyre skedarëve skedarë direkt nga menyja Administrative Tools.

Një tjetër mjet administrimi është snap-in Skema AktivDrejtoria (Aktiv Drejtoria Skema) - ju lejon të menaxhoni dhe modifikoni skemën e drejtorisë.

Shërbimet e linjës së komandës Aktiv Drejtoria

Për të menaxhuar objektet Aktiv Drejtoria Ekzistojnë mjete të linjës së komandës që ju lejojnë të kryeni një gamë të gjerë detyrash administrative:

DSADD - shton në Aktiv Drejtoria kompjuterë, kontakte, grupe, PO dhe përdorues.

DSGET - shfaq vetitë e kompjuterëve, kontakteve, grupeve, OS, përdoruesve, faqeve, nënrrjetave dhe serverëve të regjistruar në Aktiv Drejtoria.

DSMOD - ndryshon vetitë e kompjuterëve, kontakteve, grupeve, OP-ve, përdoruesve dhe serverëve të regjistruar në Aktiv Drejtoria.

DSMOVE - zhvendos një objekt të vetëm në një vendndodhje të re brenda domenit, ose riemëron një objekt pa lëvizur.

DSQXJERY - kërkon për kompjuterë, kontakte, grupe, OP, përdorues, sajte, nënrrjeta dhe serverë në Aktiv Drejtoria sipas kritereve të përcaktuara.

DSRM - heq një objekt nga Aktiv Drejtoria.

NTDSUTIL - ju lejon të shikoni informacione në lidhje me një sajt, domen ose server, të menaxhoni mjeshtra të operacioneve (operacionet mjeshtra) dhe mirëmbajnë bazën e të dhënaveAktiv Drejtoria.

Çdo përdorues fillestar, i përballur me akronimin AD, pyet veten se çfarë është Active Directory? Active Directory është një shërbim drejtorie i zhvilluar nga Microsoft për rrjetet e domenit Windows. Ai përfshihet në shumicën e sistemeve operative Windows Server si një grup procesesh dhe shërbimesh. Fillimisht, shërbimi merrej vetëm me domenet. Megjithatë, që nga Windows Server 2008, AD është bërë emri për një gamë të gjerë shërbimesh identiteti të bazuara në drejtori. Kjo e bën Active Directory një vend më të mirë për të mësuar për fillestarët.

Përkufizimi bazë

Serveri që po ekzekuton Shërbimet e Domainit të Active Directory quhet kontrollues domeni. Ai vërteton dhe autorizon të gjithë përdoruesit dhe kompjuterët në domenin e rrjetit Windows, duke caktuar dhe zbatuar politikat e sigurisë për të gjithë PC-të dhe instalimin ose përditësimin e softuerit. Për shembull, kur një përdorues hyn në një kompjuter që përfshihet në një domen të Windows, Active Directory vërteton fjalëkalimin e dhënë dhe përcakton nëse objekti është një administrator i sistemit apo një përdorues standard. Gjithashtu ju lejon të menaxhoni dhe ruani informacionin, ofron mekanizma vërtetimi dhe autorizimi, dhe krijon një kornizë për vendosjen e shërbimeve të tjera të lidhura: shërbimet e certifikatave, shërbimet e drejtorive të federuara dhe të lehta dhe menaxhimin e të drejtave.

Active Directory përdor versionet 2 dhe 3 LDAP, versionin e Microsoft-it të Kerberos dhe DNS.

Çfarë është Active Directory? Me fjalë të thjeshta për kompleksin

Ndjekja e të dhënave të rrjetit është një detyrë e lodhshme. Edhe në rrjetet e vogla, përdoruesit priren të kenë vështirësi në gjetjen e skedarëve dhe printerëve të rrjetit. Pa një lloj drejtorie, rrjetet e mesme dhe të mëdha nuk mund të menaxhohen dhe shpesh kanë vështirësi në gjetjen e burimeve.

Versionet e mëparshme të Microsoft Windows përfshinin shërbime për të ndihmuar përdoruesit dhe administratorët të gjenin të dhëna. Rrjeti është i dobishëm në shumë mjedise, por disavantazhi i dukshëm është ndërfaqja e vështirë dhe paparashikueshmëria e saj. WINS Manager dhe Server Manager mund të përdoren për të parë listën e sistemeve, por ato nuk ishin të disponueshme për përdoruesit fundorë. Administratorët përdorën Menaxherin e Përdoruesit për të shtuar dhe hequr të dhënat e një objekti rrjeti krejtësisht të ndryshëm. Këto aplikacione rezultuan të paefektshme për punë në rrjete të mëdha dhe ngritën pyetjen, pse në kompaninë Active Directory?

Një direktori, në kuptimin e tij më të përgjithshëm, është një listë e plotë e objekteve. Libri telefonik është një lloj drejtorie që ruan informacione rreth njerëzve, bizneseve dhe organizatave qeveritare dheato zakonisht përmbajnë emra, adresa dhe numra telefoni. Duke bërë pyetjen Active Directory - çfarë është, në terma të thjeshtë, mund të themi se kjo teknologji është e ngjashme me një direktori, por është shumë më fleksibël. AD ruan informacione rreth organizatave, sajteve, sistemeve, përdoruesve, aksioneve dhe çdo objekti tjetër të rrjetit.

Hyrje në konceptet bazë të Active Directory

Pse një organizatë ka nevojë për Active Directory? Siç u përmend në hyrje të Active Directory, një shërbim ruan informacione rreth komponentëve të rrjetit. Tutoriali Active Directory For Beginners thotë se është i lejon klientët të gjejnë objekte në hapësirën e tyre të emrave. Kjo t Një term (i quajtur edhe një pemë konsole) i referohet zonës në të cilën mund të vendoset një komponent i rrjetit. Për shembull, tabela e përmbajtjes për një libër krijon një hapësirë ​​emri në të cilën kapitujt mund të krahasohen me numrat e faqeve.

DNS është një pemë konsole që zgjidh emrat e hosteve në adresat IP si kjoLibrat e telefonit ofrojnë një hapësirë ​​emri për zgjidhjen e emrave për numrat e telefonit. Si funksionon kjo në Active Directory? AD ofron një pemë konsole për zgjidhjen e emrave të objekteve të rrjetit për vetë objektet dhemund të zgjidhë një shumëllojshmëri të gjerë objektesh, duke përfshirë përdoruesit, sistemet dhe shërbimet në rrjet.

Objektet dhe Atributet

Çdo gjë që monitoron Active Directory konsiderohet objekt. Mund të themi me fjalë të thjeshta se kjo në Active Directory është çdo përdorues, sistem, burim ose shërbim. Termi i zakonshëm objekt përdoret sepse AD është në gjendje të mbajë gjurmët e shumë elementeve dhe shumë objekte mund të ndajnë atribute të përbashkëta. Çfarë do të thotë?

Atributet përshkruajnë objektet në drejtorinë aktive të Active Directory, për shembull, të gjitha objektet e personalizuara ndajnë atribute për të ruajtur emrin e përdoruesit. Kjo vlen edhe për përshkrimin e tyre. Sistemet janë gjithashtu objekte, por ato kanë një grup të veçantë atributesh që përfshijnë emrin e hostit, adresën IP dhe vendndodhjen.

Grupi i atributeve të disponueshme për çdo lloj objekti të caktuar quhet skemë. I bën klasat e objekteve të ndryshme nga njëra-tjetra. Informacioni i skemës ruhet në fakt në Active Directory. Që kjo sjellje e protokollit të sigurisë është shumë e rëndësishme tregohet nga fakti që skema i lejon administratorët të shtojnë atribute në klasat e objekteve dhe t'i shpërndajnë ato në të gjithë rrjetin në të gjitha cepat e domenit pa rifilluar asnjë kontrollues domeni.

Kontejneri dhe emri LDAP

Një kontejner është një lloj i veçantë objekti që përdoret për të organizuar funksionimin e një shërbimi. Ai nuk përfaqëson një ent fizik si një përdorues ose një sistem. Në vend të kësaj, përdoret për të grupuar artikuj të tjerë së bashku. Objektet e kontejnerëve mund të futen brenda kontejnerëve të tjerë.

Çdo artikull në AD ka një emër. Këto nuk janë ato me të cilat jeni mësuar, për shembull, Ivan ose Olga. Këta janë emra të dalluar nga LDAP. Emrat e dalluar LDAP janë komplekse, por ato lejojnë që çdo objekt brenda një drejtorie të identifikohet në mënyrë unike, pavarësisht nga lloji i tij.

Pema e termave dhe vendi

Një pemë termi përdoret për të përshkruar një grup objektesh në Active Directory. Çfarë është kjo? Me fjalë të thjeshta, kjo mund të shpjegohet duke përdorur një lidhje peme. Kur kontejnerët dhe objektet kombinohen në mënyrë hierarkike, ato priren të formojnë degë - prandaj emri. Një term i lidhur është një nënpemë e ngjitur, e cila i referohet trungut kryesor të pathyeshëm të një peme.

Duke vazhduar me metaforën, termi pyll përshkruan një koleksion që nuk është pjesë e së njëjtës hapësirë ​​emri, por ka një skemë, konfigurim dhe katalog global të përbashkët. Objektet në këto struktura janë të disponueshme për të gjithë përdoruesit nëse e lejon siguria. Organizatat me domene të shumta duhet të grupojnë pemët në një pyll.

Një sajt është një vendndodhje gjeografike siç përcaktohet në Active Directory. Faqet korrespondojnë me nënrrjetat logjike IP dhe, si të tilla, mund të përdoren nga aplikacionet për të gjetur serverin më të afërt në rrjet. Përdorimi i informacionit të faqes nga Active Directory mund të reduktojë ndjeshëm trafikun WAN.

Menaxhimi i Drejtorisë Aktive

Komponenti i snap-in Active Directory - Përdoruesit. Është mjeti më i përshtatshëm për administrimin e Active Directory. Mund të aksesohet drejtpërdrejt nga grupi i programit Administrativ Tools në menynë Start. Ai zëvendëson dhe përmirëson Menaxherin e Serverit dhe Menaxherin e Përdoruesit nga Windows NT 4.0.

Siguria

Active Directory luan një rol të rëndësishëm në të ardhmen e rrjeteve të Windows. Administratorët duhet të jenë në gjendje të mbrojnë drejtorinë e tyre nga ndërhyrës dhe përdoruesit ndërsa delegojnë detyra tek administratorët e tjerë. E gjithë kjo është e mundur duke përdorur modelin e sigurisë Active Directory, i cili lidh një listë të kontrollit të aksesit (ACL) me çdo atribut kontejner dhe objekti në drejtori.

Niveli i lartë i kontrollit i lejon administratorit t'u japë përdoruesve dhe grupeve individuale nivele të ndryshme lejesh për objektet dhe vetitë e tyre. Ata madje mund të shtojnë atribute në objekte dhe t'i fshehin ato atribute nga grupe të caktuara përdoruesish. Për shembull, mund të vendosni një ACL në mënyrë që vetëm menaxherët të mund të shikojnë telefonat e shtëpisë të përdoruesve të tjerë.

Administrata e deleguar

Një koncept i ri për Windows 2000 Server është administrimi i deleguar. Kjo ju lejon të caktoni detyra për përdoruesit e tjerë pa dhënë të drejta shtesë aksesi. Administrimi i deleguar mund të caktohet përmes objekteve të veçanta ose nënpemëve të direktorive të afërta. Kjo është një metodë shumë më efikase për dhënien e autoritetit mbi rrjetet.

V duke i caktuar dikujt të gjitha të drejtat e administratorit të domenit global, një përdoruesi mund t'i jepen lejet vetëm brenda një nënpeme specifike. Active Directory mbështet trashëgiminë, kështu që çdo objekt i ri trashëgon ACL nga kontejneri i tyre.

Termi "marrëdhënie besimi"

Termi "besim" përdoret ende, por ka funksionalitet të ndryshëm. Nuk ka dallim ndërmjet besimeve të njëanshme dhe dypalëshe. Të gjitha besimet e Active Directory janë dydrejtimëshe. Për më tepër, ato janë të gjitha kalimtare. Pra, nëse domeni A i beson domenit B dhe B i beson C, atëherë ekziston një marrëdhënie automatike e nënkuptuar besimi midis domenit A dhe domenit C.

Auditimi në Active Directory - çfarë është në terma të thjeshtë? Ky është një veçori sigurie që ju lejon të përcaktoni se kush po përpiqet të hyjë në objekte, si dhe sa e suksesshme është ajo përpjekje.

Duke përdorur DNS (Sistemi i emrave të domenit)

Një sistem i ndryshëm DNS është thelbësor për çdo organizatë të lidhur në internet. DNS siguron zgjidhjen e emrave midis emrave të zakonshëm si mspress.microsoft.com dhe adresave IP të papërpunuara që komponentët e shtresës së rrjetit përdorin për të komunikuar.

Active Directory përdor gjerësisht teknologjinë DNS për të gjetur objekte. Ky është një ndryshim i rëndësishëm nga sistemet e mëparshme operative Windows që kërkojnë që emrat NetBIOS të zgjidhen nga adresat IP dhe të mbështeten në WINS ose teknika të tjera të zgjidhjes së emrave NetBIOS.

Active Directory funksionon më mirë kur përdoret me serverët DNS të Windows 2000. Microsoft e ka bërë të lehtë për administratorët migrimin në serverët DNS të Windows 2000 duke ofruar magjistarë të migrimit që udhëheqin administratorin gjatë procesit.

Mund të përdoren serverë të tjerë DNS. Megjithatë, në këtë rast, administratorët do të duhet të shpenzojnë më shumë kohë për të menaxhuar bazat e të dhënave DNS. Cilat janë nuancat? Nëse zgjidhni të mos përdorni serverët DNS të Windows 2000, duhet të siguroheni që serverët tuaj DNS të përputhen me protokollin e ri të përditësimit dinamik DNS. Serverët mbështeten në përditësimin dinamik të të dhënave të tyre për të gjetur kontrolluesit e domenit. Nuk është komode. Në fund të fundit, eNëse përditësimi dinamik nuk mbështetet, duhet të përditësoni manualisht bazat e të dhënave.

Domenet e Windows dhe domenet e internetit tani janë plotësisht të pajtueshme. Për shembull, një emër si mspress.microsoft.com do të identifikojë kontrolluesit e domenit Active Directory përgjegjës për domenin, kështu që çdo klient me akses DNS mund të gjejë kontrolluesin e domenit.Klientët mund të përdorin rezolucionin DNS për të kërkuar çdo numër shërbimesh sepse serverët e Active Directory publikojnë listën e adresave në DNS duke përdorur funksionalitetin e ri të përditësimit dinamik. Këto të dhëna identifikohen si një domen dhe publikohen përmes regjistrave të burimeve të shërbimit. SRV RR-të ndjekin formatin shërbimi.protokolli.domeni.

Serverët Active Directory ofrojnë shërbim LDAP për të pritur objektin dhe LDAP përdor TCP si protokollin themelor të transportit. Prandaj, një klient që kërkon një server Active Directory në domenin mspress.microsoft.com do të kërkojë rekordin DNS për ldap.tcp.mspress.microsoft.com.

Katalogu global

Active Directory ofron një katalog global (GC) dheofron një burim të vetëm për gjetjen e çdo objekti në rrjetin e organizatës.

Katalogu Global është një shërbim në Windows 2000 Server që i lejon përdoruesit të gjejnë çdo objekt të cilit i është dhënë akses. Ky funksionalitet është shumë më i lartë se ai i aplikacionit Find Computer i përfshirë me versionet e mëparshme të Windows. Në fund të fundit, përdoruesit mund të kërkojnë për çdo objekt në Active Directory: serverë, printera, përdorues dhe aplikacione.

Si do të ndihmojë Active Directory specialistët?

Unë do të jap një listë të vogël të "të mirave" që mund të merren duke vendosur Active Directory:

• një bazë të dhënash të unifikuar të regjistrimit të përdoruesve, e cila ruhet në mënyrë qendrore në një ose disa serverë; kështu, kur një punonjës i ri shfaqet në zyrë, do t'ju duhet vetëm të krijoni një llogari për të në server dhe të tregoni se cilat stacione pune mund të hyjë;
• meqenëse të gjitha burimet e domenit janë të indeksuara, kjo e bën të lehtë dhe të shpejtë kërkimin e përdoruesve; për shembull, nëse keni nevojë të gjeni një printer me ngjyra në një departament;
• kombinimi i aplikimit të lejeve NTFS, politikave të grupit dhe delegimit të kontrollit do t'ju lejojë të rregulloni dhe shpërndani të drejtat midis anëtarëve të domenit;
• profilet e përdoruesve në roaming bëjnë të mundur ruajtjen e informacionit të rëndësishëm dhe cilësimet e konfigurimit në server; në fakt, nëse një përdorues me një profil roaming në domen ulet në një kompjuter tjetër dhe fut emrin e përdoruesit dhe fjalëkalimin e tij, ai do të shohë desktopin e tij me cilësimet e tij të zakonshme;
• duke përdorur politikat e grupit, mund të ndryshoni cilësimet e sistemeve operative të përdoruesve, nga lejimi i përdoruesit për të vendosur sfond në desktop te cilësimet e sigurisë, si dhe shpërndarja e softuerit në rrjet, për shembull, klienti i kopjimit të hijes së vëllimit, etj .;
• shumë programe (proxy servers, servers database, etj.) jo vetëm të krijuara nga Microsoft kanë mësuar të përdorin vërtetimin e domenit sot, kështu që nuk keni nevojë të krijoni një bazë të dhënash tjetër përdoruesi, por mund të përdorni një ekzistuese;
• përdorimi i Shërbimeve të Instalimit në distancë e bën më të lehtë vendosjen e sistemeve në stacionet e punës, por nga ana tjetër funksionon vetëm kur vendoset një shërbim drejtorie.

Dhe kjo nuk është një listë e plotë e veçorive, por më shumë për këtë më vonë. Tani do të përpiqem t'ju tregoj vetë logjikën e ndërtimit Active Directory, por sërish ia vlen të kuptojmë se nga përbëhen djemtë tanë. Active Directory- Këto janë Domenet, Pemët, Pyjet, Njësitë Organizative, Grupet e Përdoruesve dhe Kompjuterët.

Domenet -Është njësia bazë e ndërtimit logjik. Krahasuar me grupet e punës domenet AD Janë grupet e sigurisë që kanë një bazë të vetme regjistrimi, ndërsa grupet e punës janë vetëm një grupim logjik i makinerive. AD përdor Serverin e Emrave të Domenit (DNS) për shërbimet e tij të emërtimit dhe kërkimit, në vend të Shërbimit të Emrit të Internetit të Windows (WINS) siç bënte në versionet e mëparshme të NT. Kështu, emrat e kompjuterëve në domenin janë të formës, për shembull, buh.work.com, ku buh është emri i kompjuterit në domenin work.com (edhe pse nuk është gjithmonë kështu).

Grupet e punës përdorin emra NetBIOS. Për të pritur strukturën e domenit pas Krishtit ndoshta duke përdorur një server DNS jo-Microsoft. Por duhet të jetë në përputhje me BIND 8.1.2 ose më të lartë dhe të mbështesë të dhënat SRV () si dhe protokollin dinamik të regjistrimit (RFC 2136). Çdo domen ka të paktën një kontrollues domeni që pret bazën e të dhënave qendrore.

Pemë - Këto janë struktura me shumë domene. Rrënja e kësaj strukture është domeni kryesor për të cilin krijoni fëmijët. Në fakt, Active Directory përdor një strukturë hierarkike të ngjashme me strukturën e domenit në DNS.

Nëse kemi një domen work.com (domain i nivelit të parë) dhe krijojmë dy domene fëmijë për të first.work.com dhe second.work.com (këtu i pari dhe i dyti janë domene të nivelit të dytë, dhe jo një kompjuter në domen , si në rastin e përshkruar më sipër), ne përfundojmë me një pemë domain.

Pemët përdoren si një strukturë logjike kur ju duhet të ndani degët e një kompanie, për shembull, sipas gjeografisë ose për disa arsye të tjera organizative.

pas Krishtit ndihmon për të krijuar automatikisht marrëdhënie besimi midis secilit domen dhe domeneve të tij fëmijë.

Kështu, krijimi i domain-it first.work.com çon në vendosjen automatike të një marrëdhënie besimi të dyanshme midis prindit work.com dhe fëmijës first.work.com (në mënyrë të ngjashme për second.work.com). Prandaj, lejet e domenit të fëmijëve mund të aplikohen nga domeni prind dhe anasjelltas. Nuk është e vështirë të supozohet se marrëdhëniet e besimit do të ekzistojnë edhe për domenet e fëmijëve.

Një veçori tjetër e marrëdhënieve të besimit është kalueshmëria. Ne marrim - një marrëdhënie besimi me domenin work.com është krijuar për domenin net.first.work.com.

pyll - Ashtu si pemët, ato janë struktura me shumë domene. Por PyllËshtë një bashkim pemësh me domene të ndryshme rrënjësh.

Supozoni se vendosni të keni disa domene me emrat work.com dhe home.net dhe krijoni domene fëmijë për to, por për shkak se tld (domeni i nivelit të lartë) nuk është në kontrollin tuaj, në këtë rast mund të organizoni pyllin duke zgjedhur një. të domeneve rrënjë të nivelit të parë. E bukura e krijimit të një pylli në këtë rast është marrëdhënia e dyanshme e besimit midis dy domeneve dhe domeneve të tyre fëmijë.

Sidoqoftë, kur punoni me pyje dhe pemë, mbani parasysh sa vijon:

• ju nuk mund të shtoni një domen ekzistues në pemë
• një pemë ekzistuese nuk mund të përfshihet në pyll
• nëse domenet vendosen në një pyll, ato nuk mund të zhvendosen në një pyll tjetër
• nuk mund të fshish një domen që ka domene fëmijë

Njësitë organizative - në parim mund të quhen nënfusha. ju lejon të gruponi llogaritë e përdoruesve, grupet e përdoruesve, kompjuterët, burimet e përbashkëta, printerët dhe OU (njësi organizative) të tjera në një domen. Përfitimi praktik i përdorimit të tyre është aftësia për të deleguar të drejtat për administrimin e këtyre njësive.

Me fjalë të thjeshta, mund të caktoni një administrator në domen, i cili mund të menaxhojë OU, por të mos ketë të drejta për të administruar të gjithë domenin.

Një tipar i rëndësishëm i OU-ve, ndryshe nga grupet, është aftësia për të aplikuar politikat e grupit ndaj tyre. "Pse nuk mund ta ndani domenin origjinal në domene të shumta në vend që të përdorni një OU?" - ju pyesni.

Shumë ekspertë këshillojnë të keni një domen kur është e mundur. Arsyeja për këtë është decentralizimi i administrimit kur krijoni një domen shtesë, pasi administratorët e secilit domen të tillë marrin kontroll të pakufizuar (mos harroni se kur delegoni të drejtat te administratorët e OU, mund të kufizoni funksionalitetin e tyre).

Përveç kësaj, do t'ju duhet një kontrollues tjetër për të krijuar një domen të ri (madje edhe një domen fëmijë). Nëse keni dy ndarje të veçanta të lidhura me një lidhje të ngadaltë, mund të shfaqen probleme me riprodhimin. Në këtë rast, do të ishte më e përshtatshme të kishim dy domene.

Ekziston edhe një nuancë tjetër e aplikimit të politikave të grupit: politikat që përcaktojnë fjalëkalimin dhe cilësimet e bllokimit të llogarisë mund të aplikohen vetëm për domenet. Për OU, këto cilësime politikash injorohen.

Faqet - Kjo është një mënyrë për të ndarë fizikisht shërbimin e drejtorisë. Sipas përkufizimit, një sajt është një grup kompjuterësh të lidhur me kanale të shpejta të transmetimit të të dhënave.

Nëse keni disa degë në pjesë të ndryshme të vendit, të lidhura me linja komunikimi me shpejtësi të ulët, atëherë për secilën degë mund të krijoni faqen tuaj të internetit. Kjo është bërë për të përmirësuar besueshmërinë e replikimit të drejtorisë.

Kjo ndarje e AD nuk ndikon në parimet e ndërtimit logjik, prandaj, pasi një sajt mund të përmbajë disa domene, dhe anasjelltas, një domen mund të përmbajë disa sajte. Por kjo topologji e shërbimit të drejtorisë është e mbushur me një kapje. Në mënyrë tipike, interneti përdoret për të komunikuar me degët - një mjedis shumë i pasigurt. Shumë kompani përdorin veçori të sigurisë si muret e zjarrit. Shërbimi i drejtorisë në punën e tij përdor rreth një duzinë porte dhe shërbime, hapja e të cilave që trafiku AD të kalojë përmes murit të zjarrit do ta ekspozojë atë "jashtë". Zgjidhja është të përdoret teknologjia e tunelit dhe të ketë një kontrollues domeni në çdo faqe për të shpejtuar përpunimin e kërkesave të klientëve AD.

Është paraqitur logjika e futjes së komponentëve të një shërbimi direktoriumi. Mund të shihet se pylli përmban dy pemë domenesh, në të cilat domeni rrënjë i pemës, nga ana tjetër, mund të përmbajë OU dhe grupe objektesh, si dhe të ketë domene fëmijë (në këtë rast, secili ka një prej tyre). Domenet fëmijë mund të përmbajnë gjithashtu grupe objektesh dhe OU dhe të kenë domene fëmijë (ato nuk janë paraqitur në figurë). etj. Më lejoni t'ju kujtoj se OU mund të përmbajnë OU, objekte dhe grupe objektesh, dhe grupet mund të përmbajnë grupe të tjera.

Grupet e përdoruesve dhe kompjuterëve - përdoren për qëllime administrative dhe kanë të njëjtin kuptim si kur përdoren në makinat lokale në një rrjet. Ndryshe nga OU, ju nuk mund të aplikoni Politikën e Grupit për grupet, por mund t'u delegoni kontrollin atyre. Në kuadrin e skemës Active Directory, dallohen dy lloje grupesh: grupet e sigurisë (përdoren për të diferencuar të drejtat e hyrjes në objektet e rrjetit) dhe grupet e shpërndarjes (përdoren kryesisht për dërgimin e mesazheve të postës, për shembull, në Microsoft Exchange Server).

Ato klasifikohen sipas fushëveprimit të tyre:

• grupe universale mund të përfshijë përdoruesit brenda pyllit si dhe grupe të tjera universale ose grupe globale të çdo domeni në pyll
• grupet globale të domenit mund të përfshijë përdoruesit e domenit dhe grupe të tjera globale në të njëjtin domen
• grupet lokale të domenit përdoren për të diferencuar të drejtat e aksesit, mund të përfshijnë përdoruesit e domenit, si dhe grupet universale dhe grupet globale të çdo domeni në pyll
• grupe kompjuterike lokale- grupet që përmban SAM (menaxheri i llogarisë së sigurisë) i makinës lokale. Ato janë të kufizuara vetëm në një makinë të caktuar, por ato mund të përfshijnë grupe lokale për domenin në të cilin ndodhet kompjuteri, si dhe grupe universale dhe globale për domenin e tyre ose një tjetër të cilit i besojnë. Për shembull, mund të përfshini një përdorues nga grupi lokal i domenit Përdoruesit në grupin Administratorët e makinës lokale, duke i dhënë kështu të drejta administratori, por vetëm për këtë kompjuter.

Alexander Emelyanov

Parimet e ndërtimit të domeneve të drejtorisë aktive

Active Directory është përfshirë prej kohësh në kategorinë e parimeve konservatore të ndërtimit logjik të infrastrukturës së rrjetit. Por shumë administratorë vazhdojnë të përdorin grupet e punës dhe domenet e Windows NT në punën e tyre. Zbatimi i një shërbimi drejtorie do të jetë interesant dhe i dobishëm si për administratorët fillestarë ashtu edhe për ata me përvojë, për të centralizuar menaxhimin e rrjetit dhe për të siguruar një nivel të përshtatshëm sigurie.

Active Directory, një teknologji që u shfaq në linjën e sistemeve Win2K gjashtë vjet më parë, mund të përshkruhet si revolucionare. Ai i tejkalon domenet NT 4 sipas rendit të madhësisë në fleksibilitet dhe shkallëzueshmëri, për të mos përmendur rrjetet e grupeve të punës.

Që nga publikimi i AD, një numër i madh librash dhe botimesh janë botuar mbi temat e planifikimit, dizajnit të topologjisë, mbështetjes së domenit, sigurisë dhe më shumë.

Kurset e certifikimit të Microsoft premtojnë se në 40 orë mund të mësoni se si të vendosni dhe të administroni me sukses domenin tuaj.

Nuk e besoj. Administrimi është një proces që përfshin përvojë shumëvjeçare me "gunga të mëdha", një sasi të madhe dokumentacioni të lexuar (kryesisht në anglisht) dhe biseda "intime" me shefat dhe përdoruesit.

Ekziston edhe një nuancë tjetër - përpara se të ndiqni kursin për zbatimin e Active Directory, duhet të keni kaluar me sukses kursin për administrimin e infrastrukturës së rrjetit bazuar në Windows Server 2003, i cili gjithashtu kërkon disa kosto financiare nga ana e studentit. Edhe një herë jemi të bindur se Microsoft-it nuk do t'i mungojë të tijat. Por kjo nuk ka të bëjë me atë ...

Mësimi rreth zbatimit të AD nuk përshtatet në qëllimin e një kursi javor, aq më pak një publikimi. Sidoqoftë, të armatosur me përvojën e artikujve të mëparshëm, ne do të përpiqemi të kuptojmë se çfarë është një shërbim drejtorie, në thelb, cilat janë hollësitë kryesore të instalimit të tij dhe si mund ta bëjë më të lehtë jetën e një administratori të sistemit.

Le të hedhim një vështrim edhe në atë që ka të re në Active Directory me lëshimin e Windows Server 2003.

Vlen të përmendet se Microsoft lëshoi ​​​​Windows Vista në tremujorin e fundit të vitit të kaluar, dhe bashkë me të një shërbim të përditësuar të drejtorive. Sidoqoftë, teknologjitë e vjetra nuk e kanë humbur rëndësinë e tyre deri më sot.

Në këtë artikull, ne do të ecim në rrugën nga të kuptuarit e thelbit të AD deri në krijimin e domenit tonë. Konfigurimi i tij i mëtejshëm dhe mjetet e menaxhimit dhe diagnostikimit do të trajtohen në çështjet e mëposhtme.

Si mund të ndihmojë Active Directory

Këtu është një listë jo e plotë e të gjitha të mirave që merrni duke vendosur një shërbim drejtorie:

• një bazë të dhënash të unifikuar të regjistrimit të përdoruesve, e cila ruhet në mënyrë qendrore në një ose disa serverë; kështu, kur një punonjës i ri shfaqet në zyrë, do t'ju duhet vetëm të krijoni një llogari për të në server dhe të tregoni se cilat stacione pune mund të hyjë;
• meqenëse të gjitha burimet e domenit janë të indeksuara, kjo e bën të lehtë dhe të shpejtë kërkimin e përdoruesve; për shembull, nëse keni nevojë të gjeni një printer me ngjyra në departamentin e automatizimit;
• kombinimi i aplikimit të lejeve NTFS, politikave të grupit dhe delegimit të kontrollit do t'ju lejojë të rregulloni dhe shpërndani të drejtat midis anëtarëve të domenit;
• profilet e përdoruesve në roaming bëjnë të mundur ruajtjen e informacionit të rëndësishëm dhe cilësimet e konfigurimit në server; në fakt, nëse një përdorues me një profil roaming në domen ulet në një kompjuter tjetër dhe fut emrin e përdoruesit dhe fjalëkalimin e tij, ai do të shohë desktopin e tij me cilësimet e tij të zakonshme;
• duke përdorur politikat e grupit, mund të ndryshoni cilësimet e sistemeve operative të përdoruesve, nga lejimi i përdoruesit për të vendosur sfond në desktop te cilësimet e sigurisë, si dhe shpërndarja e softuerit në rrjet, për shembull, klienti i kopjimit të hijes së vëllimit, etj .;
• shumë programe (proxy servers, servers database, etj.) jo vetëm të krijuara nga Microsoft kanë mësuar të përdorin vërtetimin e domenit sot, kështu që nuk keni nevojë të krijoni një bazë të dhënash tjetër përdoruesi, por mund të përdorni një ekzistuese;
• përdorimi i Shërbimeve të Instalimit në distancë e bën më të lehtë vendosjen e sistemeve në stacionet e punës, por nga ana tjetër funksionon vetëm kur vendoset një shërbim drejtorie.

Disavantazhet e kësaj teknologjie shfaqen në procesin e punës ose nga mosnjohja e bazave, ose nga mosgatishmëria për të hyrë në ndërlikimet e përbërësve të AD. Mësoni të zgjidhni problemet që lindin në mënyrë korrekte dhe çdo negativitet do të zhduket.

Unë thjesht do të tërheq vëmendjen tuaj për faktin se të gjitha sa më sipër do të jenë të vlefshme nëse ekziston një rrjet homogjen i bazuar në sistemet operative Windows 2000 dhe më të larta.

Ndërtoni logjikën

Le të hedhim një vështrim në përbërësit kryesorë të një shërbimi direktoriumi.

Domenet

Është njësia bazë e ndërtimit logjik. Krahasuar me grupet e punës, domenet AD janë grupe sigurie me një bazë të vetme regjistrimi, ndërsa grupet e punës janë vetëm një grupim logjik i makinave. AD përdor Serverin e Emrave të Domenit (DNS) për shërbimet e tij të emërtimit dhe kërkimit, në vend të Shërbimit të Emrit të Internetit të Windows (WINS) siç bënte në versionet e mëparshme të NT. Kështu, emrat e kompjuterëve në domen kanë formën, për shembull, buh.work.com, ku buh është emri i kompjuterit në domenin work.com (edhe pse nuk është gjithmonë kështu, lexoni më poshtë) .

Grupet e punës përdorin emra NetBIOS. Është e mundur të përdoret një server DNS jo-Microsoft për të pritur strukturën e domenit AD. Por duhet të jetë në përputhje me BIND 8.1.2 ose më të lartë dhe të mbështesë regjistrimet SRV (RFC 2052) si dhe protokollin dinamik të regjistrimit (RFC 2136). Çdo domen ka të paktën një kontrollues domeni që pret bazën e të dhënave qendrore.

Pemët

Këto janë struktura me shumë domene. Rrënja e kësaj strukture është domeni kryesor për të cilin krijoni fëmijët. Në fakt, Active Directory përdor një strukturë hierarkike të ngjashme me strukturën e domenit në DNS.

Për shembull, nëse kemi një domen work.com (domain i nivelit të parë) dhe krijojmë dy domene fëmijë për të first.work.com dhe second.work.com (këtu i pari dhe i dyti janë domene të nivelit të dytë, dhe jo një kompjuter në domen, si në rastin e përshkruar më sipër), atëherë si rezultat marrim një pemë domenesh (shih Fig. 1).

Pemët përdoren si një strukturë logjike kur ju duhet të ndani degët e një kompanie, për shembull, sipas gjeografisë ose për disa arsye të tjera organizative.

AD ndihmon për të krijuar automatikisht marrëdhënie besimi midis secilit domen dhe domeneve të tij fëmijë.

Kështu, krijimi i domain-it first.work.com çon në vendosjen automatike të një marrëdhënie besimi të dyanshme midis prindit work.com dhe fëmijës first.work.com (në mënyrë të ngjashme për second.work.com). Prandaj, lejet e domenit të fëmijëve mund të aplikohen nga domeni prind dhe anasjelltas. Nuk është e vështirë të supozohet se marrëdhëniet e besimit do të ekzistojnë edhe për domenet e fëmijëve.

Një veçori tjetër e marrëdhënieve të besimit është kalueshmëria. Ne marrim - një marrëdhënie besimi me domenin work.com është krijuar për domenin net.first.work.com.

Pyjet

Ashtu si pemët, ato janë struktura me shumë domene. Por një pyll është një bashkim pemësh me domene të ndryshme rrënjësh.

Supozoni se keni vendosur të keni disa domene me emrat work.com dhe home.net dhe të krijoni domene fëmijë për to, por për faktin se tld (domeni i nivelit të lartë) nuk është në kontrollin tuaj, në këtë rast mund të organizoni një forest (shih Fig. 2), duke zgjedhur një nga domenet e nivelit të parë si rrënjë. E bukura e krijimit të një pylli në këtë rast është marrëdhënia e dyanshme e besimit midis dy domeneve dhe domeneve të tyre fëmijë.

Sidoqoftë, kur punoni me pyje dhe pemë, mbani parasysh sa vijon:

• ju nuk mund të shtoni një domen ekzistues në pemë;
• një pemë ekzistuese nuk mund të përfshihet në pyll;
• nëse domenet vendosen në një pyll, ato nuk mund të zhvendosen në një pyll tjetër;
• nuk mund të fshish një domen që ka domene fëmijë.

Për më shumë informacion të thelluar mbi ndërlikimet e përdorimit dhe konfigurimit të pemëve dhe pyjeve, mund të vizitoni bazën e njohurive të Microsoft TechNet dhe ne do të shkojmë më tej.

Njësitë Organizative (OU)

Ato mund të quhen nënfusha. OU-të lejojnë që llogaritë e përdoruesve, grupet e përdoruesve, kompjuterët, aksionet, printerët dhe OU të tjera të grupohen në një domen. Përfitimi praktik i përdorimit të tyre është aftësia për të deleguar të drejtat për administrimin e këtyre njësive.

Me fjalë të thjeshta, mund të caktoni një administrator në domen, i cili mund të menaxhojë OU, por të mos ketë të drejta për të administruar të gjithë domenin.

Një tipar i rëndësishëm i OU-ve, ndryshe nga grupet (le të dalim pak më përpara), është aftësia për të zbatuar politikat e grupit ndaj tyre. "Pse nuk mund ta ndani domenin origjinal në domene të shumta në vend që të përdorni një OU?" - ju pyesni.

Shumë ekspertë këshillojnë të keni një domen kur është e mundur. Arsyeja për këtë është decentralizimi i administrimit kur krijoni një domen shtesë, pasi administratorët e secilit domen të tillë marrin kontroll të pakufizuar (mos harroni se kur delegoni të drejtat te administratorët e OU, mund të kufizoni funksionalitetin e tyre).

Përveç kësaj, do t'ju duhet një kontrollues tjetër për të krijuar një domen të ri (madje edhe një domen fëmijë). Nëse keni dy ndarje të veçanta të lidhura me një lidhje të ngadaltë, mund të shfaqen probleme me riprodhimin. Në këtë rast, do të ishte më e përshtatshme të kishim dy domene.

Ekziston edhe një nuancë tjetër e aplikimit të politikave të grupit: politikat që përcaktojnë fjalëkalimin dhe cilësimet e bllokimit të llogarisë mund të aplikohen vetëm për domenet. Për OU, këto cilësime politikash injorohen.

Grupet e përdoruesve dhe kompjuterëve

Ato përdoren për qëllime administrative dhe kanë të njëjtin kuptim si kur përdoren në makinat lokale në një rrjet. Ndryshe nga OU, ju nuk mund të aplikoni Politikën e Grupit për grupet, por mund t'u delegoni kontrollin atyre. Në kuadrin e skemës Active Directory, dallohen dy lloje grupesh: grupet e sigurisë (përdoren për të diferencuar të drejtat e hyrjes në objektet e rrjetit) dhe grupet e shpërndarjes (përdoren kryesisht për dërgimin e mesazheve të postës, për shembull, në Microsoft Exchange Server).

Ato klasifikohen sipas fushëveprimit të tyre:

• grupe universale Mund të përfshijë përdoruesit brenda pyllit, si dhe grupe të tjera universale ose grupe globale të çdo domeni në pyll;
• grupet globale të domenit mund të përfshijë përdoruesit e domenit dhe grupe të tjera globale në të njëjtin domen;
• grupet lokale të domenit përdoren për të diferencuar të drejtat e aksesit, mund të përfshijnë përdoruesit e domenit, si dhe grupet universale dhe grupet globale të çdo domeni në pyll;
• grupe kompjuterike lokale- grupet që përmban SAM (menaxheri i llogarisë së sigurisë) i makinës lokale. Ato janë të kufizuara vetëm në një makinë të caktuar, por ato mund të përfshijnë grupe lokale për domenin në të cilin ndodhet kompjuteri, si dhe grupe universale dhe globale për domenin e tyre ose një tjetër të cilit i besojnë. Për shembull, mund të shtoni një përdorues nga grupi lokal i domenit Përdoruesit në grupin Administratorët e makinës lokale, duke i dhënë kështu të drejta administratori, por vetëm për këtë kompjuter.

Faqet e internetit

Kjo është një mënyrë për të ndarë fizikisht shërbimin e drejtorisë. Sipas përkufizimit, një sajt është një grup kompjuterësh të lidhur me kanale të shpejta të transmetimit të të dhënave.

Për shembull, nëse keni disa degë në pjesë të ndryshme të vendit të lidhura me linja komunikimi me shpejtësi të ulët, atëherë për secilën degë mund të krijoni uebsajtin tuaj. Kjo është bërë për të përmirësuar besueshmërinë e replikimit të drejtorisë.

Kjo ndarje e AD nuk ndikon në parimet e ndërtimit logjik, prandaj, pasi një sajt mund të përmbajë disa domene, dhe anasjelltas, një domen mund të përmbajë disa sajte. Por kjo topologji e shërbimit të drejtorisë është e mbushur me një kapje. Në mënyrë tipike, interneti përdoret për të komunikuar me degët - një mjedis shumë i pasigurt. Shumë kompani përdorin veçori të sigurisë si muret e zjarrit. Shërbimi i drejtorisë në punën e tij përdor rreth një duzinë porte dhe shërbime, hapja e të cilave që trafiku AD të kalojë përmes murit të zjarrit do ta ekspozojë atë "jashtë". Zgjidhja është të përdoret teknologjia e tunelit dhe të ketë një kontrollues domeni në çdo faqe për të shpejtuar përpunimin e kërkesave të klientëve AD.

Në fig. 3 tregon logjikën e futjes së përbërësve të një shërbimi direktoriumi. Mund të shihet se pylli përmban dy pemë domenesh, në të cilat domeni rrënjë i pemës, nga ana tjetër, mund të përmbajë OU dhe grupe objektesh, si dhe të ketë domene fëmijë (në këtë rast, secili ka një prej tyre). Domenet fëmijë mund të përmbajnë gjithashtu grupe objektesh dhe OU dhe të kenë domene fëmijë (ato nuk janë paraqitur në figurë). etj. Më lejoni t'ju kujtoj se OU mund të përmbajnë OU, objekte dhe grupe objektesh, dhe grupet mund të përmbajnë grupe të tjera. Lexoni më shumë rreth grupeve të foleve dhe përbërësve të tyre në artikullin vijues.

Entiteti i Shërbimit të Drejtorisë

Për të ofruar një nivel sigurie, çdo sistem operativ duhet të ketë skedarë që përmbajnë një bazë të dhënash të përdoruesit. Versionet e mëparshme të Windows NT përdorën një skedar SAM (Security Accounts Manager) për këtë. Ai përmbante kredencialet e përdoruesit dhe ishte i koduar. SAM përdoret gjithashtu sot në familjen e sistemeve operative NT 5 (Windows 2000 dhe më vonë).

Kur promovoni një server anëtar në një kontrollues domeni duke përdorur komandën DCPROMO (e cila në fakt nis Magjistarin e Instalimit të Shërbimit të Drejtorisë), motori i sigurisë Windows Server 2000/2003 fillon të përdorë bazën e të dhënave të centralizuar të AD. Mund ta kontrolloni lehtësisht këtë - pasi të krijoni domenin, provoni të hapni skedarin "Menaxhimi i Kompjuterit" në kontrollues dhe gjeni "Përdoruesit dhe Grupet Lokale" atje. Për më tepër, provoni të regjistroheni në këtë server me një llogari lokale. Nuk ka gjasa që të keni sukses.

Shumica e të dhënave të përdoruesit ruhen në skedarin NTDS.DIT ​​(Directory Information Tree). NTDS.DIT ​​është një bazë të dhënash e modifikuar. Ajo u krijua duke përdorur të njëjtën teknologji si baza e të dhënave Microsoft Access. Algoritmet e kontrolluesit të domenit përmbajnë një variant të motorit JET të bazës së të dhënave Access të quajtur ESE (Extensible Storage Engine). NTDS.DIT ​​dhe shërbimet që ndërveprojnë me këtë skedar janë, në fakt, një shërbim drejtorie.

Struktura e ndërveprimit midis klientëve AD dhe ruajtjes kryesore të të dhënave, e ngjashme me hapësirën e emrave të shërbimit të drejtorisë, është paraqitur në artikull. Për plotësi, duhet përmendur përdorimin e identifikuesve globalë. Identifikuesi unik global (GUID) është një numër 128-bitësh që i caktohet çdo objekti kur krijohet për të siguruar unike. Emri i objektit AD mund të ndryshohet, por GUID mbetet i pandryshuar.

Katalogu global

Ju ndoshta e keni vënë re tashmë se struktura e AD mund të jetë shumë komplekse dhe të përmbajë një numër të madh objektesh. Merrni faktin që një domen AD mund të përfshijë deri në 1.5 milion objekte. Megjithatë, kjo mund të shkaktojë probleme të performancës gjatë kryerjes së operacioneve. Ky problem trajtohet nga Katalogu Global (GC). Ai përmban një version të zvogëluar të të gjithë pyllit AD për të ndihmuar në përshpejtimin e kërkimeve të objekteve. Një katalog global mund të jetë në pronësi të kontrolluesve të domain-it të caktuar posaçërisht.

Rolet e FSMO

Në AD, ekziston një listë e caktuar e operacioneve, ekzekutimi i të cilave mund t'i caktohet vetëm një kontrolluesi. Këto quhen role Flexible Single-Master Operations (FSMOs). Ka 5 role FSMO në AD. Le t'i shqyrtojmë ato në më shumë detaje.

Brenda pyllit, duhet të ketë një garanci për veçantinë e emrave të domeneve kur shtoni një domen të ri në pyllin e domeneve. Kjo siguri ofrohet nga Masteri i Emërtimeve të Domenit. Masteri i skemës i bën të gjitha ndryshimet në skemën e drejtorisë. Rolet e pronarit të emrit të domenit dhe pronarit të skemës duhet të jenë unike brenda pyllit të domenit.

Siç thashë edhe më parë, kur krijohet një objekt, atij i caktohet një identifikues global, i cili garanton veçantinë e tij. Kjo është arsyeja pse kontrolluesi përgjegjës për gjenerimin e GUID dhe për të luajtur rolin e pronarit të identifikuesve përkatës (Relative ID Master) duhet të jetë i vetmi brenda domenit.

Ndryshe nga domenet NT, AD nuk ka koncept të PDC dhe BDC (kontrolluesit kryesorë dhe rezervë të domenit). Një nga rolet e FSMO është Emulatori PDC (Emulatori Primar i Kontrolluesit të Domenit). Një server që ekzekuton Windows NT Server mund të veprojë si një kontrollues i domenit rezervë në AD. Megjithatë, dihet se vetëm një kontrollues primar mund të përdoret në domenet NT. Kjo është arsyeja pse Microsoft e ka bërë atë që brenda një domeni AD të mund të caktojmë një server të vetëm - bartësin e rolit PDC Emulator. Kështu, duke devijuar nga terminologjia, mund të flasim për praninë e kontrolluesve të domenit kryesor dhe rezervë, që do të thotë pronari i rolit të FSMO.

Gjatë fshirjes dhe lëvizjes së objekteve, një nga kontrollorët duhet të mbajë një referencë për atë objekt derisa të përfundojë riprodhimi. Këtë rol e luan pronari i infrastrukturës së drejtorisë (Infrastructure Master).

Tre rolet e fundit kërkojnë veçantinë e interpretuesit brenda domenit. Të gjitha rolet i caktohen kontrolluesit të parë të krijuar në pyll. Kur krijoni një infrastrukturë AD të dendur, mund t'ia delegoni këto role kontrollorëve të tjerë. Situatat mund të lindin gjithashtu kur zotëruesi i njërit prej roleve është i padisponueshëm (serveri është i dëmtuar). Në këtë rast, është e nevojshme të kryhet operacioni i kapjes së rolit FSMO duke përdorur mjetin NTDSUTIL (ne do të flasim për përdorimin e tij në artikujt vijues). Kini kujdes, megjithatë, sepse shërbimi i drejtorisë supozon se pronari i mëparshëm nuk ekziston dhe nuk i referohet fare kur merr një rol. Kthimi në rrjet i interpretuesit të mëparshëm të rolit mund të çojë në ndërprerje të funksionimit të tij. Kjo është veçanërisht kritike për pronarin e skemës, pronarin e emrit të domenit dhe pronarin e identifikuesit.

Sa i përket performancës: roli i emulatorit kryesor të kontrolluesit të domenit është më i kërkuari për burimin e burimeve të kompjuterit, kështu që mund t'i caktohet një kontrolluesi tjetër. Pjesa tjetër e roleve nuk janë aq kërkuese, kështu që kur i ndani ato, mund të udhëhiqeni nga nuancat e ndërtimit logjik të skemës tuaj AD.

Hapi i fundit i teoricienit

Leximi i artikullit nuk duhet t'ju transferojë aspak nga teoricienët në praktikë. Sepse derisa të keni marrë parasysh të gjithë faktorët nga vendosja fizike e hosteve deri te ndërtimi logjik i të gjithë drejtorisë, nuk duhet të filloni biznesin dhe të ndërtoni një domen me përgjigje të thjeshta për pyetjet e magjistarit të konfigurimit të AD. Mendoni se si do të quhet domeni juaj dhe, nëse do të krijoni domene fëmijë për të, si do të emërtohen. Nëse keni disa segmente në rrjetin tuaj që janë të lidhur me lidhje jo të besueshme, merrni parasysh përdorimin e sajteve.

Si një udhëzues për instalimin e AD, unë mund t'ju këshilloj të përdorni artikuj dhe, si dhe bazën e njohurive të Microsoft.

Së fundi, disa këshilla:

• Mundohuni të mos kombinoni rolet e Emulatorit PDC dhe serverit proxy në të njëjtën makinë nëse është e mundur. Së pari, me një numër të madh makinash në rrjet dhe përdorues të Internetit, ngarkesa në server rritet, dhe së dyti, me një sulm të suksesshëm ndaj përfaqësuesit tuaj, jo vetëm interneti, por edhe kontrolluesi kryesor i domenit do të "bie" dhe kjo është e mbushur me funksionim jo korrekt të të gjithë rrjetit.
• Nëse e administroni rrjetin tuaj lokal në baza ditore dhe nuk po kërkoni të zbatoni Active Directory për klientët tuaj, shtoni makineritë në domen gradualisht, le të themi katër deri në pesë në ditë. Meqenëse nëse keni një numër të madh makinerish në rrjet (50 ose më shumë) dhe i menaxhoni vetëm, atëherë nuk ka gjasa të menaxhoni edhe gjatë fundjavës, dhe nëse e keni, atëherë nuk dihet se sa e saktë do të jetë gjithçka. Përveç kësaj, ju mund të përdorni një skedar ose server të brendshëm të postës për të shkëmbyer dokumentacion brenda rrjetit (kjo u përshkrua nga unë në # 11, 2006). E vetmja gjë në këtë rast është të kuptoni saktë se si të konfiguroni të drejtat e përdoruesit për të hyrë në serverin e skedarëve. Sepse nëse, për shembull, nuk përfshihet në domen, vërtetimi i përdoruesit do të kryhet bazuar në të dhënat e bazës së të dhënave lokale SAM. Nuk ka të dhëna për përdoruesit e domenit. Megjithatë, nëse serveri juaj i skedarëve është ndër makineritë e para të përfshira në AD dhe nuk është një kontrollues domeni, atëherë do të jetë e mundur të vërtetohet duke përdorur llogarinë lokale SAM dhe AD. Por për opsionin e fundit, do t'ju duhet të lejoni (nëse nuk është bërë tashmë) akses në serverin e skedarëve përmes rrjetit si për anëtarët e domenit ashtu edhe për llogaritë lokale në cilësimet lokale të sigurisë.

Lexoni rreth konfigurimit të mëtejshëm të shërbimit të drejtorisë (krijimi dhe menaxhimi i llogarive, caktimi i politikave të grupit, etj.) në artikullin vijues.

Shtojca

Çfarë ka të re në Active Directory në Windows Server 2003

Me lëshimin e Windows Server 2003, ndryshimet e mëposhtme u shfaqën në Active Directory:

• U bë e mundur riemërtimi i një domeni pas krijimit të tij.
• Ndërfaqja e përdoruesit të menaxhimit është përmirësuar. Për shembull, ju mund të ndryshoni atributet e disa objekteve në të njëjtën kohë.
• Është shfaqur një mjet i mirë për menaxhimin e politikave të grupit - Paneli i Menaxhimit të Politikave të Grupit (gpmc.msc, duhet ta shkarkoni nga faqja e internetit e Microsoft).
• Nivelet funksionale të domenit dhe pyllit kanë ndryshuar.

Ndryshimi i fundit duhet thënë më në detaje. Një domen AD në Windows Server 2003 mund të jetë në një nga nivelet e mëposhtme, të renditur sipas rendit të rritjes së funksionalitetit:

• Windows 2000 Mixed (i përzier Windows 2000)... Lejohet të ketë kontrollues të versioneve të ndryshme - si Windows NT ashtu edhe Windows 2000/2003. Për më tepër, nëse serverët Windows 2000/2003 janë të barabartë, atëherë serveri NT, siç u përmend tashmë, mund të veprojë vetëm si një kontrollues i domenit rezervë.
• Windows 2000 Native (Native Windows 2000)... Lejohet të ketë kontrollues që ekzekutojnë Windows Server 2000/2003. Ky nivel është më funksional, por ka kufizimet e veta. Për shembull, nuk do të mund të riemërtoni kontrollorët e domenit.
• Windows Server 2003 Interim (i ndërmjetëm Windows Server 2003)... Lejohet të ketë kontrollues që ekzekutojnë Windows NT si dhe Windows Server 2003. Përdoret, për shembull, kur një kontrollues master domain që drejton një server Windows NT është përmirësuar në W2K3. Niveli ka pak më shumë funksionalitet sesa niveli i Windows 2000 Native.
• Windows Server 2003... Në domen lejohen vetëm kontrollorët e Windows Server 2003. Në këtë nivel, mund të përfitoni plotësisht nga shërbimi i drejtorisë Windows Server 2003.

Nivelet funksionale pyjore të domeneve janë pothuajse të njëjta si për domenet. Përjashtimi i vetëm është se ekziston vetëm një nivel i Windows 2000 në të cilin kontrollorët Windows NT dhe Windows Server 2000/2003 mund të përdoren në një pyll.

Duhet të theksohet se ndryshimi i nivelit funksional të domenit dhe pyllit është një operacion i pakthyeshëm. Kjo do të thotë, nuk ka pajtueshmëri të prapambetur.

1. Korobko I. Active Directory - teoria e ndërtimit. // "Administratori i Sistemit", Nr. 1, 2004 - C. 90-94. ().
2. R. Markov Windows 2000/2003 Domains - Refuzimi i Grupit të Punës. // "Administratori i Sistemit", Nr. 9, 2005 - C. 8-11. ().
3. Markov R. Instalimi dhe konfigurimi i serverit Windows 2K. // "Administratori i Sistemit", Nr. 10, 2004 - C. 88-94. ().