Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ

Kontrolluesi i domenit në rrjetin lokal. Pika e vetme e menaxhimit të politikave

17.04.2019 Në kontakt me

Elementi kryesor i efektivit rrjeti i korporatësështë kontrolluesi Domeni aktiv Drejtori që menaxhon shumë shërbime dhe ofron shumë përfitime.

Ka dy mënyra për të ndërtuar një infrastrukturë IT - standarde dhe të rastësishme, kur bëhen përpjekje minimale të mjaftueshme për të zgjidhur problemet e shfaqura, pa ndërtuar një infrastrukturë të qartë dhe të besueshme. Për shembull, ndërtimi i një rrjeti peer-to-peer në të gjithë organizatën dhe hapja akses publik të gjithëve dosjet e nevojshme dhe dosjet, pa aftësinë për të kontrolluar veprimet e përdoruesit.

Natyrisht, kjo rrugë nuk është e dëshirueshme, sepse në fund do t'ju duhet të çmontoni dhe organizoni siç duhet një grumbull sistemesh kaotike, përndryshe nuk do të jetë në gjendje të funksionojë - dhe së bashku me të edhe biznesi juaj. Pra, sa më shpejt të pranoni të vetmen zgjidhje e saktë ndërtimi i një rrjeti korporativ me një kontrollues domeni - aq më mirë për biznesin tuaj në planin afatgjatë. Dhe kjo është arsyeja pse.

“Domeni është njësia bazë e infrastrukturës së TI-së e bazuar në OS Familjet Windows, lidhjen logjike dhe fizike të serverëve, kompjuterëve, harduerit dhe llogarive të përdoruesve.”

Kontrolluesi i domenit (DC) - një server i veçantë me sistemin operativ Windows Server, i cili funksionon Shërbime aktive Krijimi i drejtorive punë e mundshme një numër i madh Softuer që kërkon një CD për administrim. Shembuj të softuerëve të tillë janë serveri i postës Shkëmbim, re Paketa e zyrës 365 dhe të tjerët mjedise softuerike niveli i korporatës nga Microsoft.

Përveç ofrimit funksionimin e duhur nga këto platforma, CD u ofron bizneseve dhe organizatave përfitimet e mëposhtme:

  • Vendosja server terminal . ju lejon të kurseni ndjeshëm burimet dhe përpjekjet duke zëvendësuar përditësim i vazhdueshëm PC-të e zyrës si një investim një herë në pritje " klientët e hollë” për t'u lidhur me një server të fuqishëm cloud.
  • Siguri e zgjeruar. CD-ja ju lejon të vendosni politikat e fjalëkalimit dhe t'i detyroni përdoruesit të përdorin më shumë fjalëkalime komplekse se data juaj e lindjes, qwerty ose 12345.
  • Kontroll i centralizuar i të drejtave të aksesit. Në vend të përditësim manual fjalëkalimet në secilin kompjuter veç e veç, administratori i CD-së mund të ndryshojë në mënyrë qendrore të gjitha fjalëkalimet në një veprim nga një kompjuter.
  • Menaxhimi i centralizuar i politikave të grupit. Objektet Active Directory ju lejon të krijoni politika grupi dhe të vendosni të drejta aksesi në skedarë, dosje dhe burime të tjera të rrjetit për grupe të caktuara përdoruesish. Kjo e bën shumë më të lehtë konfigurimin e llogarive të reja të përdoruesve ose ndryshimin e cilësimeve për profilet ekzistuese.
  • përmes hyrjes. Active Directory mbështet hyrjen përmes kalimit, ku kur futni emrin e përdoruesit dhe fjalëkalimin për domenin, përdoruesi lidhet automatikisht me të gjitha shërbimet e tjera si posta dhe Office 365.
  • Krijoni modele të konfigurimit të kompjuterit. Vendosja e secilit kompjuter të veçantë kur shtohet në një rrjet të korporatës, ai mund të automatizohet duke përdorur shabllone. Për shembull, me ndihmën e rregullave të veçanta, disqet CD ose portat USB mund të çaktivizohen nga qendra, me siguri portet e rrjetit etj. Kështu, në vend të vendosje manuale i ri stacioni i punës, administratori thjesht e përfshin atë në një grup specifik dhe të gjitha rregullat për këtë grup do të zbatohen automatikisht.

Siç mund ta shihni, konfigurimi i një kontrolluesi të domenit Active Directory sjell lehtësi dhe përfitime të shumta për bizneset dhe organizatat e të gjitha madhësive.

Kur të vendoset një kontrollues domeni Active Directory në një rrjet të korporatës?

Ne ju rekomandojmë që të konsideroni të vendosni një kontrollues domeni për kompaninë tuaj tashmë kur keni më shumë se 10 kompjuterë të lidhur në rrjet, pasi është shumë më e lehtë të vendosni politikat e nevojshme për 10 makina sesa për 50. Përveç kësaj, meqenëse ky server bën duke mos kryer detyra veçanërisht me burime intensive, një kompjuter i fuqishëm desktop mund të jetë i përshtatshëm për këtë rol.

Megjithatë, është e rëndësishme të mbani mend se ky server do të ruajë fjalëkalimet për të hyrë në burimet e rrjetit dhe një bazë të dhënash të përdoruesve të domenit, një skemë të të drejtave dhe politikat e grupit përdoruesit. Duhet të vendoset server rezervë me kopjim të vazhdueshëm të të dhënave për të siguruar vazhdimësinë e kontrolluesit të domenit, dhe kjo është shumë më e shpejtë, më e lehtë dhe më e besueshme duke përdorur virtualizimi i serverit ofrohet kur pret një rrjet korporativ në re. Kjo shmang problemet e mëposhtme:

  • Cilësimet e gabuara të serverit DNS, e cila çon në gabime në vendndodhjen e burimeve në rrjetin e korporatës dhe në internet
  • Grupe sigurie të konfiguruara gabimisht, duke çuar në gabime në të drejtat e aksesit të përdoruesit në burimet e rrjetit
  • Versione të pasakta të OS. Secili version aktiv Direktoria mbështet versione të caktuara Windows desktop OS për klientët e hollë
  • Mungesa ose vendosje e gabuar kopje automatike të dhëna te kontrolluesi i domenit rezervë.

Një kontrollues domeni është një kompjuter server që menaxhon një domen dhe ruan një kopje të drejtorisë së domenit (një bazë të dhënash domeni lokal). Meqenëse mund të ketë kontrollues të shumëfishtë domeni në një domen, ata të gjithë ruajnë kopje e plotë pjesa e drejtorisë që i përket tyre.

Më poshtë janë veçoritë e kontrolluesve të domenit.

  • Çdo kontrollues domeni ruan një kopje të plotë të të gjithë informacionit të Active Directory në lidhje me domenin e tij dhe menaxhon dhe përsërit ndryshimet në atë informacion tek kontrollorët e tjerë të domenit në të njëjtin domen.
  • Të gjithë kontrollorët në një domen replikojnë automatikisht të gjitha objektet në domen ndërmjet tyre. Çdo ndryshim që bëhet në Active Directory bëhet në të vërtetë në një nga kontrolluesit e domenit. Ky kontrollues i domenit më pas përsërit ndryshimet në pjesën tjetër të kontrolluesve të domenit brenda domenit të tij. Duke vendosur frekuencën e përsëritjes dhe sasinë e të dhënave që Windows do të transferojë me çdo përsëritje, ju mund të kontrolloni trafiku i rrjetit ndërmjet kontrolluesve të domenit.
  • Përditësime të rëndësishme, të tilla si çaktivizimi i një llogarie përdoruesi, kontrollorët e domenit përsëriten menjëherë.
  • Active Directory përdor replikimin multimaster, në të cilin asnjë nga kontrolluesit e domenit nuk është master. Të gjithë kontrollorët janë të barabartë dhe secili përmban një kopje të bazës së të dhënave të katalogut që lejohet të modifikohet. Në periudha të shkurtra kohore, informacioni në këto kopje mund të ndryshojë derisa të gjithë kontrollorët të sinkronizohen me njëri-tjetrin.
  • Pasja e shumë kontrollorëve në një domen siguron tolerancë ndaj gabimeve. Nëse një nga kontrolluesit e domenit nuk është i disponueshëm, tjetri do të bëjë gjithçka operacionet e nevojshme, të tilla si shkrimi i ndryshimeve në Active Directory.
  • Kontrollorët e domenit menaxhojnë ndërveprimet midis përdoruesve dhe domenit, si p.sh. gjetja Objektet aktive Regjistroni dhe njihni përpjekjet për hyrje në rrjet.

Ekzistojnë dy role kryesore të operacioneve që mund t'i caktohen një kontrolluesi të vetëm domeni në një pyll (rolet në të gjithë pyllin):

  • Master i skemës. Kontrolluesi i parë i domenit në pyll merr rolin kryesor të skemës dhe është përgjegjës për mirëmbajtjen dhe përhapjen e skemës në pjesën tjetër të pyllit. Ai mban një listë të të gjitha klasave dhe atributeve të mundshme të objekteve që përcaktojnë objektet që janë në Active Directory. Nëse skema duhet të përditësohet ose modifikohet, Skema Master është një domosdoshmëri.
  • Master i emërtimit të domenit. Regjistron shtimin dhe heqjen e domeneve në pyll dhe është jetik për ruajtjen e integritetit të domeneve. Masteri i emërtimit të domenit kërkohet kur domenet e reja shtohen në pyll. Nëse Domain Naming Master nuk është i disponueshëm, atëherë shtimi i domeneve të reja nuk është i mundur; megjithatë, nëse është e nevojshme, ky rol mund të transferohet te një kontrollues tjetër.

Ekzistojnë tre role kryesore të operacioneve që mund t'i caktohen njërit prej kontrolluesve në çdo domen (rolet në të gjithë domenin).


  • RID Master (Relative Identifier (RID) Master). Përgjegjës për alokimin e diapazoneve të identifikuesit relativ (RID) për të gjithë kontrollorët në domen. SID në Windows Server 2003 ka dy pjesë. Pjesa e parë është e përbashkët për të gjitha objektet në domen; për të krijuar një SID unik, kësaj pjese i shtohet një RID unik. Së bashku ata identifikojnë në mënyrë unike një objekt dhe tregojnë se ku është krijuar.
  • Emulatori i Kontrolluesit Primar të Domenit (PDC). Përgjegjës për Emulimi i Windows NT 4.0 PDC për makineritë e klientëve që nuk janë migruar ende në Windows 2000, Windows Server 2003 ose Windows XP dhe nuk kanë të instaluar klientin e shërbimeve të drejtorisë. Një nga detyrat kryesore të emulatorit PDC është regjistrimi i klientëve të trashëguar. Përveç kësaj, emulatori PDC thirret nëse vërtetimi i klientit dështon. Kjo i lejon emulatorit PDC të vërtetojë fjalëkalimet e ndryshuara së fundi për klientët e vjetër në domen përpara se të refuzojë një kërkesë për hyrje.
  • Master i Infrastrukturës. Regjistron ndryshimet e bëra në objektet e kontrolluara në domen. Të gjitha ndryshimet raportohen fillimisht te Masteri i Infrastrukturës përpara se të përsëriten te kontrollorët e tjerë të domenit. Infrastructure Master trajton informacionin e grupit dhe anëtarësimit për të gjitha objektet në domen. Një detyrë tjetër e Masterit të Infrastrukturës është të komunikojë informacione rreth ndryshimeve të bëra në objekte në domene të tjera.

Oriz. 3.4. Caktimi i parazgjedhur i roleve kryesore të operacioneve pyjore

Roli "Global Catalog Server" (GC - Global Catalog) mund të kryhet nga çdo kontrollues individual i domenit në një domen - një nga funksionet e serverit që mund t'i caktohet një kontrolluesi domeni. Serverët e katalogut global kryejnë dy detyra të rëndësishme. Ato u mundësojnë përdoruesve të kyçen në rrjet dhe të gjejnë objekte kudo në pyll. Katalogu global përmban një nëngrup informacioni nga çdo ndarje domeni dhe kopjohet ndërmjet serverëve të katalogut global në domen. Kur një përdorues përpiqet të kyçet në rrjet ose të hyjë në disa burimi i rrjetit nga kudo në pyll, kërkesa përkatëse zgjidhet përmes katalogut global. Një qëllim tjetër i katalogut global, i dobishëm pavarësisht se sa domene keni në rrjetin tuaj, është të marrë pjesë në procesin e vërtetimit kur një përdorues hyn në rrjet. Kur një përdorues hyn në rrjet, emri i tij së pari kontrollohet me përmbajtjen e katalogut global. Kjo ju lejon të identifikoheni në rrjet nga kompjuterët në domene të ndryshme nga vendi ku ruhet emri i dëshiruar i përdoruesit. Llogaria.

Në këtë shënim, ne do të shqyrtojmë në detaje procesin e futjes së kontrolluesit të parë të domenit në ndërmarrje. Dhe do të jenë tre prej tyre:

1) Kontrolluesi kryesor i domenit, OS - Windows Server 2012 R2 me GUI, emri i rrjetit: dc1.

Zgjidhni opsionin e paracaktuar, klikoni Next. Pastaj zgjidhni protokollin e paracaktuar IPv4 dhe klikoni përsëri Next.

Në ekranin tjetër, vendosni ID-në e rrjetit (ID-në e rrjetit). Në rastin tonë, 192.168.0. Në fushën Reverse Lookup Zone Name, do të shohim se si zëvendësohet automatikisht adresa e zonës së kërkimit të kundërt. Klikoni Next.

Në ekranin e Përditësimit Dinamik, zgjidhni një nga tre opsione përditësim dinamik.

Lejo vetëm përditësime të sigurta dinamike. Ky opsion është i disponueshëm vetëm nëse zona është e integruar në Active Directory.

Lejo përditësime dinamike të pasigurta dhe të sigurta. Ky ndërprerës lejon çdo klient të përditësojë të dhënat e tij të burimeve DNS kur ka ndryshime.

Refuzoni përditësimet dinamike (Mos lejoni përditësimet dinamike). Ky opsion çaktivizon dinamikën Përditësimet e DNS. Duhet të përdoret vetëm nëse zona nuk është e integruar me Active Directory.

Zgjidhni opsionin e parë, klikoni Next dhe përfundoni konfigurimin duke klikuar Finish.

Nje me shume opsion i dobishëm, i cili zakonisht konfigurohet në DNS, janë përcjellës ose përcjellës, qëllimi kryesor i të cilave është të ruajnë memorien dhe të ridrejtojnë kërkesat DNS nga një server lokal DNS në një server të jashtëm DNS në internet, për shembull, ai që ndodhet në ISP. Për shembull, ne duam kompjuterët lokalë në rrjetin tonë të domenit, në cilësimet e rrjetit të cilët kanë një server të regjistruar DNS (192.168.0.3) ishin në gjendje të hynin në internet, është e nevojshme që server lokal dns ishte konfiguruar për të lejuar kërkesat dns nga serveri në rrjedhën e sipërme. Për të konfiguruar përcjellësit (Forwarders), shkoni te tastiera e menaxherit DNS. Më pas, në vetitë e serverit, shkoni te skeda Përcjellësit dhe klikoni "Modifiko" atje.

Specifikoni të paktën një adresë IP. Disa janë të dëshirueshme. Shtypim OK.

Tani le të konfigurojmë shërbimin DHCP. Le të fillojmë mjetin.

Së pari, le të vendosim gamën e plotë të funksionimit të adresave nga të cilat adresat do të merren për t'u dhënë klientëve. Zgjidhni Veprim\Qëllimi i ri. Fillon magjistari i shtimit të zonës. Vendosni emrin e zonës.

Më pas, specifikoni adresën e fillimit dhe të përfundimit të gamës së rrjetit.

Më pas, shtoni adresat që duam të përjashtojmë nga lëshimi i klientëve. Klikoni Next.

Në ekranin Kohëzgjatja e Qirasë, specifikoni një kohë qiraje jo të paracaktuar, nëse kërkohet. Klikoni Next.

Pastaj ne biem dakord që duam të konfigurojmë opsionet DHCP: Po, unë dua t'i konfiguroj këto opsione tani.

Specifikoni në mënyrë sekuenciale portën, Emri i domenit, Adresat DNS, ne kapërcejmë WINS dhe në fund pajtohemi me aktivizimin e fushës duke klikuar: Po, dua ta aktivizoj këtë fushë tani. Përfundo.


Për punë e sigurt Shërbimet DHCP, duhet të konfiguroni një llogari të veçantë për përditësime dinamike Regjistrimet DNS. Kjo duhet bërë, nga njëra anë, për të parandaluar regjistrimin dinamik të klientëve në DNS duke përdorur llogarinë administrative të domenit dhe abuzimin e mundshëm të saj, nga ana tjetër, në rast të një rezervimi të shërbimit DHCP dhe një dështimi të serverit kryesor. , do të jetë i mundur transferimi rezervë zonat në serverin e dytë, dhe kjo kërkon llogarinë e serverit të parë. Për të përmbushur këto kushte, në skedarin "Përdoruesit dhe kompjuterët e Active Directory", ne do të krijojmë një llogari të quajtur dhcp dhe do të caktojmë një fjalëkalim të pacaktuar duke zgjedhur opsionin: Fjalëkalimi nuk skadon kurrë.

Cakto përdoruesin fjalëkalim i fortë dhe shtoni atë në grupin DnsUpdateProxy. Më pas e heqim përdoruesin nga grupi Domain Users, pasi i caktojmë përdoruesit primar grupin DnsUpdateProxy. Kjo llogari do të jetë e vetmja përgjegjëse për përditësim dinamik të dhënat dhe të mos kenë akses në ndonjë burim tjetër ku të drejtat bazë të domenit janë të mjaftueshme.

Klikoni Apliko dhe më pas OK. Hapni përsëri konsolën DHCP. Shkoni te vetitë e protokollit IPv4 në skedën Advanced.

Klikoni Kredencialet dhe specifikoni përdoruesin tonë DHCP atje.

Klikoni OK dhe rinisni shërbimin.

Më vonë do të kthehemi në konfigurimi i DHCP, kur konfigurojmë rezervimin e shërbimit DHCP, por për këtë duhet të ngremë të paktën kontrolluesit e domenit.

Kontrolluesit e domenit janë serverë që mbështesin Active Directory. Çdo kontrollues domeni ka kopjen e vet të bazës së të dhënave Të dhënat aktive Drejtori që është e shkruajtshme. Kontrollorët e domenit veprojnë si komponenti qendror i sigurisë në një domen.

Të gjitha operacionet e sigurisë dhe verifikimit të llogarisë kryhen në kontrolluesin e domenit. Çdo domen duhet të ketë të paktën një kontrollues domeni. Për tolerancën e gabimeve, ju rekomandojmë të instaloni të paktën dy kontrollues domeni për domen.

Në sistemin operativ Windows NT, vetëm një kontrollues domeni mbështeti shkrimin në bazën e të dhënave, domethënë kërkohej një lidhje me një kontrollues domeni për të krijuar dhe ndryshuar cilësimet e llogarisë së përdoruesit.

Ky kontrollues quhet kontrolluesi kryesor i domenit (Kontrolluesi kryesor i domenit - PDC). Duke filluar me sistemi operativ Në Windows 2000, arkitektura e kontrolluesve të domenit u ndryshua për të lejuar përditësimin e bazës së të dhënave Active Directory në çdo kontrollues domeni. Pas përditësimit të bazës së të dhënave në një kontrollues domeni, ndryshimet u përsëritën në të gjithë kontrolluesit e tjerë të domenit.

Megjithëse të gjithë kontrolluesit e domenit mbështesin shkrimin në bazën e të dhënave, ata nuk janë identikë. Në domenet dhe pyjet e Active Directory, ka detyra që kryhen nga kontrollues specifikë të domenit. Kontrolluesit e domenit me përgjegjësi shtesë njihen si mjeshtrat e operimit. Disa materiale të Microsoft-it i referohen këtyre sistemeve si Operacionet Flexible Single-Master (FSMO). Shumë njerëz besojnë se termi FSMO është përdorur për kaq shumë kohë vetëm sepse shkurtesa tingëllon shumë qesharake.

Ekzistojnë pesë role kryesore të operacioneve. Si parazgjedhje, të pesë rolet i caktohen kontrolluesit të parë të domenit në Forest Active Drejtoria. Të tre rolet kryesore të operacioneve përdoren në nivelin e domenit dhe i caktohen kontrolluesit të parë të domenit në domenin e krijuar. Shërbimet e Active Directory të diskutuara më pas ju lejojnë të transferoni rolet kryesore të operacioneve nga një kontrollues domeni në një kontrollues tjetër domeni. Përveç kësaj, ju mund ta detyroni kontrolluesin e domenit të marrë një rol specifik si master operacioni.

Ekzistojnë dy role kryesore të operacioneve që funksionojnë në nivelin e pyllit.

  • Master i emërtimit të domenit- Këta mjeshtër operacionesh duhet të kontaktohen sa herë që bëhen ndryshime të emrit brenda hierarkisë së domenit të pyllit. Detyra e masterit të emërtimit të domenit është të sigurojë që emrat e domenit të jenë unikë brenda pyllit. Ky rol kryesor i operacioneve duhet të jetë i disponueshëm kur krijoni domene të reja, fshini domenet ose riemërtoni domenet
  • mjeshtër i skemës ( mjeshtër i skemës) - Roli kryesor i skemës i përket të vetmit kontrollues të domenit brenda pyllit ku mund të bëhen ndryshime në skemë. Pasi të bëhen ndryshimet, ato përsëriten te të gjithë kontrolluesit e tjerë të domenit brenda pyllit. Si shembull i nevojës për të bërë ndryshime në qark, merrni parasysh instalimin e një softueri Produkt i Microsoft Exchange Server. Kjo ndryshon skemën për të lejuar një administrator të menaxhojë të dy llogaritë e përdoruesve dhe kutitë postare në të njëjtën kohë.

Secili prej roleve të nivelit të pyllit mund t'i përkasë vetëm një kontrolluesi të domenit brenda pyllit. Kjo do të thotë, ju mund të përdorni një kontrollues si master të emërtimit të domenit dhe një kontrollues të dytë si master të skemës. Për më tepër, të dy rolet mund t'i caktohen të njëjtit kontrollues domeni. Kjo shpërndarje rolesh përdoret si parazgjedhje.

Çdo domen brenda pyllit ka një kontrollues domeni që kryen secilin prej roleve të nivelit të domenit.

  • Master i ID-së relative (master RID)- Masteri i identifikuesve relativ është përgjegjës për caktimin e identifikuesve relativë. Identifikuesit relativë janë pjesa unike e një identifikuesi sigurie (Security ID - SID) që përdoret për të identifikuar një objekt sigurie (përdorues, kompjuter, grup, etj.) brenda një domeni. Një nga detyrat kryesore të një masteri identifikues relativ është heqja e një objekti nga një domen dhe shtimi i një objekti në një domen tjetër kur lëvizin objektet midis domeneve.
  • Mjeshtër i infrastrukturës- Detyra e masterit të infrastrukturës është të sinkronizojë anëtarësimet në grup. Kur bëhen ndryshime në anëtarësimin në grup, masteri i infrastrukturës ua komunikon ndryshimet të gjithë kontrolluesve të tjerë të domenit.
  • Emuluesi kryesor i kontrolluesit të domenit (emulatori PDC)- Ky rol përdoret për të imituar një kontrollues primar të domenit të Windows NT 4 për të mbështetur kontrolluesit e domenit rezervë të Windows NT 4. Një detyrë tjetër e Emulatorit të Kontrolluesit Primar të Domenit është të sigurojë një pikë qendrore administrimi për ndryshimet e fjalëkalimit të përdoruesit dhe politikat e bllokimit të përdoruesit.

Fjala "politika" përdoret mjaft shpesh në këtë seksion për t'iu referuar objekteve të politikave të grupit (GPO). Objektet e Politikës së Grupit janë një nga veçoritë kryesore të dobishme të Active Directory dhe diskutohen në artikullin përkatës, lidhja për të cilën është dhënë më poshtë.

Artikujt kryesorë të lidhur

Menaxher i përmbajtjes së profesionit: kush është ai dhe çfarë bën
Menaxher i përmbajtjes së profesionit: kush është ai dhe çfarë bën
Si të shkarkoni lojëra dhe aplikacione me pagesë falas Luaj market për të shkarkuar lojëra
Si të shkarkoni lojëra dhe aplikacione me pagesë falas Luaj market për të shkarkuar lojëra
Shembull i aktit të heqjes së yndyrës së manometrave të oksigjenit
Shembull i aktit të heqjes së yndyrës së manometrave të oksigjenit
Kategoritë:
© 2022 bumotors.ru. Si të konfiguroni telefonat inteligjentë dhe PC. Portali informativ.