Crearea conturilor de utilizator în Active Directory. Principii de construire a domeniilor Active Directory

Active Directory este un serviciu de directoare Microsoft pentru familia de sisteme de operare Windows NT.

Acest serviciu permite administratorilor să utilizeze politicile de grup pentru a asigura uniformitatea setărilor mediului de lucru al utilizatorului, instalărilor de software, actualizărilor etc.

Care este esența Active Directory și ce probleme rezolvă? Citește mai departe.

Principiile organizării rețelelor peer-to-peer și multi-peer

Dar apare o altă problemă, ce se întâmplă dacă user2 pe PC2 decide să-și schimbe parola? Apoi, dacă user1 schimbă parola contului, user2 pe PC1 nu va putea accesa resursa.

Un alt exemplu: avem 20 de stații de lucru cu 20 de conturi la care dorim să le oferim acces la un anumit . Pentru a face acest lucru, trebuie să creăm 20 de conturi pe serverul de fișiere și să oferim acces la resursa necesară.

Dacă nu sunt 20, ci 200?

După cum înțelegeți, administrarea rețelei cu această abordare se transformă într-un iad absolut.

Prin urmare, abordarea grupului de lucru este potrivită pentru rețelele de birouri mici, cu cel mult 10 computere.

Dacă există mai mult de 10 stații de lucru în rețea, abordarea în care unui nod de rețea este delegat dreptul de a efectua autentificare și autorizare devine rațional justificată.

Acest nod este controlerul de domeniu - Active Directory.

Controlor de domeniu

Controlorul menține o bază de date de conturi, de ex. stochează conturi atât pentru PC1, cât și pentru PC2.

Acum toate conturile sunt înregistrate o dată pe controler, iar nevoia de conturi locale devine lipsită de sens.

Acum, când un utilizator se conectează la un PC, introducând numele de utilizator și parola, aceste date sunt transmise în formă privată controlorului de domeniu, care efectuează proceduri de autentificare și autorizare.

Ulterior, controlorul emite utilizatorului care s-a autentificat ceva de genul unui pașaport, cu care ulterior lucrează în rețea și pe care îl prezintă la solicitarea altor calculatoare din rețea, servere la ale căror resurse dorește să se conecteze.

Important! Un controler de domeniu este un computer care rulează Active Directory care controlează accesul utilizatorilor la resursele rețelei. Stochează resurse (de exemplu, imprimante, foldere partajate), servicii (de exemplu, e-mail), persoane (conturi de utilizator și grup de utilizatori), computere (conturi de computer).

Numărul acestor resurse stocate poate ajunge la milioane de obiecte.

Următoarele versiuni de MS Windows pot acționa ca un controler de domeniu: Windows Server 2000/2003/2008/2012, cu excepția ediției Web.

Controlerul de domeniu, pe lângă faptul că este centrul de autentificare pentru rețea, este și centrul de control pentru toate computerele.

Imediat după pornire, computerul începe să contacteze controlerul de domeniu, cu mult înainte ca fereastra de autentificare să apară.

Astfel, nu numai utilizatorul care introduce login și parola este autentificat, ci și computerul client.

Instalarea Active Directory

Să ne uităm la un exemplu de instalare a Active Directory pe Windows Server 2008 R2. Deci, pentru a instala rolul Active Directory, accesați „Manager server”:

Adăugați rolul „Adăugați roluri”:

Selectați rolul Serviciilor de domeniu Active Directory:

Și să începem instalarea:

După care primim o fereastră de notificare despre rolul instalat:

După instalarea rolului de controler de domeniu, să trecem la instalarea controlerului în sine.

Faceți clic pe „Start” în câmpul de căutare a programului, introduceți numele vrăjitorului DCPromo, lansați-l și bifați caseta pentru setări avansate de instalare:

Faceți clic pe „Următorul” și alegeți să creați un nou domeniu și pădure din opțiunile oferite.

Introduceți numele domeniului, de exemplu, example.net.

Scriem nume de domeniu NetBIOS, fără zonă:

Selectați nivelul funcțional al domeniului nostru:

Datorită particularităților funcționării controlerului de domeniu, instalăm și un server DNS.

Active Directory (AD) este un program utilitar conceput pentru sistemul de operare Microsoft Server. A fost creat inițial ca un algoritm ușor pentru accesarea directoarelor utilizatorilor. De la versiunea Windows Server 2008, a apărut integrarea cu serviciile de autorizare.

Face posibilă respectarea politicii de grup care aplică același tip de setări și software pe toate computerele controlate folosind System Center Configuration Manager.

Cu cuvinte simple pentru începători, acesta este un rol de server care vă permite să gestionați toate accesul și permisiunile pe rețeaua locală dintr-un singur loc

Funcții și scopuri

Microsoft Active Directory – (așa-numitul director) un pachet de instrumente care vă permite să manipulați utilizatorii și datele din rețea. obiectivul principal creare – facilitarea muncii administratorilor de sistem în rețele mari.

Directoarele conțin diverse informații legate de utilizatori, grupuri, dispozitive de rețea, resurse de fișiere - într-un cuvânt, obiecte. De exemplu, atributele utilizatorului care sunt stocate în director ar trebui să fie următoarele: adresă, autentificare, parolă, număr de telefon mobil etc. Directorul este folosit ca puncte de autentificare, cu ajutorul căruia puteți afla informațiile necesare despre utilizator.

Concepte de bază întâlnite în timpul lucrului

Există o serie de concepte specializate care sunt utilizate atunci când lucrați cu AD:

1. Serverul este un computer care conține toate datele.
2. Controlerul este un server cu rol AD ​​care procesează cererile de la persoanele care folosesc domeniul.
3. Un domeniu AD este o colecție de dispozitive unite sub un nume unic, folosind simultan o bază de date de directoare comună.
4. Magazinul de date este partea din director responsabilă cu stocarea și preluarea datelor de la orice controler de domeniu.

Cum funcționează directoarele active

Principalele principii de funcționare sunt:

• Autorizare, cu care vă puteți folosi computerul în rețea prin simpla introducere a parolei personale. În acest caz, toate informațiile din cont sunt transferate.
• Securitate. Active Directory conține funcții de recunoaștere a utilizatorilor. Pentru orice obiect de rețea, puteți seta de la distanță, de pe un singur dispozitiv, drepturile necesare, care vor depinde de categorii și utilizatori specifici.
• Administrarea rețelei dintr-un punct. Când lucrează cu Active Directory, administratorul de sistem nu trebuie să reconfigureze toate PC-urile dacă este necesar să schimbe drepturile de acces, de exemplu, la o imprimantă. Schimbările sunt efectuate de la distanță și la nivel global.
• Deplin Integrare DNS. Cu ajutorul acestuia, nu există confuzie în AD, toate dispozitivele sunt desemnate exact la fel ca pe World Wide Web.
• La scară largă. Un set de servere poate fi controlat de un Active Directory.
• Căutare efectuată în funcție de diferiți parametri, de exemplu, numele computerului, autentificare.

Obiecte și atribute

Un obiect este un set de atribute, unite sub propriul nume, reprezentând o resursă de rețea.

Atribut - caracteristicile unui obiect din catalog. De exemplu, acestea includ numele complet și datele de conectare ale utilizatorului. Dar atributele unui cont de PC pot fi numele acestui computer și descrierea acestuia.

„Angajat” este un obiect care are atributele „Nume”, „Poziție” și „TabN”.

Container LDAP și nume

Containerul este un tip de obiect care poate constau din alte obiecte. Un domeniu, de exemplu, poate include obiecte de cont.

Scopul lor principal este organizarea obiectelor după tipuri de semne. Cel mai adesea, containerele sunt folosite pentru a grupa obiecte cu aceleași atribute.

Aproape toate containerele mapează o colecție de obiecte, iar resursele sunt mapate la un obiect Active Directory unic. Unul dintre principalele tipuri de containere AD este modulul de organizare sau OU (unitatea organizațională). Obiectele care sunt plasate în acest container aparțin numai domeniului în care sunt create.

Protocolul ușor de acces la director (LDAP) este algoritmul de bază pentru conexiunile TCP/IP. Este conceput pentru a reduce cantitatea de nuanță atunci când accesați serviciile de directoare. LDAP definește, de asemenea, acțiunile utilizate pentru a interoga și edita datele directorului.

Arborele și site-ul

Un arbore de domenii este o structură, o colecție de domenii care au o schemă și o configurație comune, care formează un spațiu de nume comun și sunt legate prin relații de încredere.

O pădure de domeniu este o colecție de copaci interconectați.

Un site este o colecție de dispozitive în subrețele IP, reprezentând un model fizic al rețelei, a cărui planificare se realizează indiferent de reprezentarea logică a construcției acesteia. Active Directory are capacitatea de a crea un număr n de site-uri sau de a combina un număr n de domenii sub un singur site.

Instalarea și configurarea Active Directory

Acum să trecem direct la configurarea Active Directory folosind Windows Server 2008 ca exemplu (procedura este identică pentru alte versiuni):

Faceți clic pe butonul „OK”. Este de remarcat faptul că astfel de valori nu sunt necesare. Puteți utiliza adresa IP și DNS din rețeaua dvs.

• Apoi, trebuie să mergeți la meniul „Start”, selectați „Administrare” și „”.
  
• Accesați elementul „Roluri”, selectați „ Adăugați roluri”.
  
• Selectați „Active Directory Domain Services”, faceți clic pe „Next” de două ori, apoi pe „Install”.
  
• Așteptați finalizarea instalării.
  
• Deschideți meniul „Start”-“ A executa" Introduceți dcpromo.exe în câmp.
  
• Faceți clic pe „Următorul”.
  
• Selectați " Creați un domeniu nou într-o pădure nouă” și faceți clic din nou pe „Următorul”.
  
• În fereastra următoare, introduceți un nume și faceți clic pe „Următorul”.
  
• Alege Mod de compatibilitate(Windows Server 2008).
  
• În fereastra următoare, lăsați totul ca implicit.
  
• O sa inceapa fereastra de configurareDNS. Deoarece nu a mai fost folosit pe server, nu a fost creată nicio delegație.
  
• Selectați directorul de instalare.
  
• După acest pas trebuie să setați parola de administrare.

Pentru a fi sigură, parola trebuie să îndeplinească următoarele cerințe:

După ce AD ​​finalizează procesul de configurare a componentelor, trebuie să reporniți serverul.

Configurarea este completă, snap-in-ul și rolul sunt instalate pe sistem. Puteți instala AD numai pe versiunile obișnuite de Windows Server, de exemplu 7 sau 10, vă pot permite doar instalarea consolei de management.

Administrare în Active Directory

În mod implicit, în Windows Server, consola Active Directory Users and Computers funcționează cu domeniul căruia îi aparține computerul. Puteți accesa computer și obiecte utilizator din acest domeniu prin arborele consolei sau vă puteți conecta la un alt controler.

Instrumentele din aceeași consolă vă permit să vizualizați Opțiuni suplimentare obiecte și căutați-le, puteți crea utilizatori noi, grupuri și puteți modifica permisiunile.

Apropo, există 2 tipuri de grupuriîn Asset Directory - securitate și distribuție. Grupurile de securitate sunt responsabile pentru delimitarea drepturilor de acces la obiecte; acestea pot fi folosite ca grupuri de distribuție.

Grupurile de distribuție nu pot diferenția drepturile și sunt utilizate în principal pentru distribuirea mesajelor în rețea.

Ce este delegarea AD

Delegația în sine este transferul unei părți din permisiuni și control de la părinte la o altă parte responsabilă.

Se știe că fiecare organizație are mai mulți administratori de sistem la sediul său. Sarcini diferite ar trebui să fie atribuite umerilor diferiți. Pentru a aplica modificări, trebuie să aveți drepturi și permisiuni, care sunt împărțite în standard și speciale. Permisiunile specifice se aplică unui anumit obiect, în timp ce permisiunile standard sunt un set de permisiuni existente care fac anumite funcții disponibile sau indisponibile.

Stabilirea încrederii

Există două tipuri de relații de încredere în AD: „unidirecționale” și „bidirecționale”. În primul caz, un domeniu are încredere în celălalt, dar nu și invers, primul are acces la resursele celui de-al doilea, dar al doilea nu are acces; În al doilea tip, încrederea este „reciprocă”. Există, de asemenea, relații „de ieșire” și „de intrare”. În outgoing, primul domeniu are încredere în al doilea, permițând astfel utilizatorilor celui de-al doilea să utilizeze resursele primului.

În timpul instalării, trebuie urmate următoarele proceduri:

• Verifica conexiuni de rețea între controlere.
• Verificați setările.
• Ton rezoluție de nume pentru domenii externe.
• Creați o conexiune din domeniul de încredere.
• Creați o conexiune pe partea controlerului căreia îi este adresată încrederea.
• Verificați relațiile unidirecționale create.
• Dacă apare nevoiaîn stabilirea relaţiilor bilaterale – faceţi o instalaţie.

Catalog global

Acesta este un controler de domeniu care stochează copii ale tuturor obiectelor din pădure. Oferă utilizatorilor și programelor posibilitatea de a căuta obiecte în orice domeniu al pădurii curente instrumente de descoperire a atributelor incluse în catalogul global.

Catalogul global (GC) include un set limitat de atribute pentru fiecare obiect forestier din fiecare domeniu. Acesta primește date de la toate partițiile de director de domeniu din pădure și este copiat folosind procesul standard de replicare Active Directory.

Schema determină dacă atributul va fi copiat. Există o posibilitate configurați caracteristici suplimentare, care va fi re-creat în catalogul global folosind „Schema Active Directory”. Pentru a adăuga un atribut la catalogul global, trebuie să selectați atributul de replicare și să utilizați opțiunea „Copiere”. Aceasta va crea replicarea atributului în catalogul global. Valoarea parametrului atribut isMemberOfPartialAttributeSet va deveni adevărat.

Pentru a afla locatia catalog global, trebuie să introduceți pe linia de comandă:

Server Dsquery –isgc

Replicarea datelor în Active Directory

Replicarea este o procedură de copiere care se realizează atunci când este necesar să se stocheze informații la fel de actuale care există pe orice controler.

Este produs fără participarea operatorului. Există următoarele tipuri de conținut replicat:

• Replicile de date sunt create din toate domeniile existente.
• Replici ale schemelor de date. Deoarece schema de date este aceeași pentru toate obiectele din pădurea Active Directory, replici ale acesteia sunt menținute în toate domeniile.
• Date de configurare. Afișează construcția de copii între controlere. Informațiile sunt distribuite în toate domeniile din pădure.

Principalele tipuri de replici sunt intra-nod și inter-nod.

În primul caz, după modificări, sistemul așteaptă, apoi notifică partenerul să creeze o replică pentru a finaliza modificările. Chiar și în absența modificărilor, procesul de replicare are loc automat după o anumită perioadă de timp. După ce modificările de ruptură sunt aplicate directoarelor, replicarea are loc imediat.

Procedura de replicare între noduri se întâmplă între ele sarcină minimă în rețea, aceasta evită pierderea de informații.

Tehnologia Active Directory (AD) este un serviciu de directoare creat de Microsoft. Un serviciu de director conține date într-un format organizat și oferă acces organizat la acestea. Active Directory nu este o invenție a Microsoft, ci o implementare a unui model industrial existent (și anume X.500), a unui protocol de comunicații (LDAP - Lightweight Directory Access Protocol) și a tehnologiei de recuperare a datelor (servicii DNS).

Învățarea despre Active Directory ar trebui să înceapă prin înțelegerea scopului acestei tehnologii. În termeni generali, un director este un container pentru stocarea datelor.

Un agendă telefonică este un bun exemplu de serviciu de agendă deoarece conține un set de date și oferă posibilitatea de a obține informațiile necesare din director. Directorul conține diverse înregistrări, fiecare dintre ele având semnificația sa, de exemplu, numele și prenumele abonaților, adresa lor de domiciliu și, de fapt, numărul lor de telefon. Într-un director extins, intrările sunt grupate după locație geografică, tip sau ambele. În acest fel, se poate forma o ierarhie de tipuri de înregistrări pentru fiecare locație geografică. În plus, operatorul de telefonie îndeplinește și definiția unui serviciu de agendă pentru că are acces la date. Prin urmare, dacă dați o cerere de obținere a oricăror date din director, operatorul va emite răspunsul solicitat la cererea primită.

Serviciul de director Active Directory este conceput pentru a stoca informații despre toate resursele rețelei. Clienții au capacitatea de a interoga Active Directory pentru a obține informații despre orice obiect de rețea. Caracteristicile Active Directory includ următoarele:

• Stocare securizată a datelor. Fiecare obiect din Active Directory are propria listă de control al accesului (ACL), care conține o listă de resurse cărora li sa acordat acces la obiect, precum și un nivel predefinit de acces la acel obiect.
• Un motor de interogări bogat în funcții, bazat pe catalogul global (GC) creat de Active Directory. Toți clienții care acceptă Active Directory pot accesa acest director.
• Replicarea datelor de director la toate controlerele de domeniu simplifică accesul la informații, îmbunătățește disponibilitatea și îmbunătățește fiabilitatea întregului serviciu.
• Un concept de extensie modulară care vă permite să adăugați noi tipuri de obiecte sau să extindeți obiectele existente. De exemplu, puteți adăuga atributul „salariu” obiectului „utilizator”.
• Comunicare în rețea folosind mai multe protocoale. Active Directory se bazează pe modelul X.500, care acceptă diverse protocoale de rețea, cum ar fi LDAP 2, LDAP 3 și HTTP.
• Serviciul DNS este utilizat în locul NetBIOS pentru a implementa Serviciul de nume al controlerului de domeniu și pentru a căuta adresele de rețea.

Informațiile din director sunt distribuite pe întregul domeniu, evitând astfel duplicarea excesivă a datelor.

Deși Active Directory distribuie informații despre director în diferite magazine, utilizatorii au capacitatea de a interoga Active Directory pentru informații despre alte domenii. Catalog global conține informații despre toate obiectele dintr-o pădure de întreprindere, ajutându-vă să căutați date în întreaga pădure.

Când rulați utilitarul DCPROMO (Domain Controller Promotion Utility) pe un computer Windows pentru a crea un domeniu nou, utilitarul creează domeniul pe serverul DNS. Clientul contactează apoi serverul DNS pentru a obține informații despre domeniul său. Serverul DNS oferă informații nu numai despre domeniu, ci și despre cel mai apropiat controler de domeniu. Sistemul client, la rândul său, se conectează la baza de date a domeniului Active Directory de pe cel mai apropiat controler de domeniu pentru a găsi obiectele necesare (imprimante, servere de fișiere, utilizatori, grupuri, unități organizaționale) care fac parte din domeniu. Deoarece fiecare controler de domeniu stochează referințe la alte domenii în arbore, clientul poate căuta în întreg arborele de domeniu.

O variantă de Active Directory care listează toate obiectele dintr-o pădure de domeniu este disponibilă atunci când trebuie să găsiți date în afara arborelui de domeniu al clientului. Această versiune se numește catalog global. Catalogul global poate fi stocat pe orice controler de domeniu din pădurea AD.

Catalogul global oferă acces rapid la fiecare obiect care se află în pădurea domeniului, dar conține doar câțiva parametri ai obiectului. Pentru a obține toate atributele, trebuie să contactați serviciul Active Directory al domeniului țintă (controlerul domeniului de interes). Catalogul global poate fi configurat pentru a furniza proprietățile obiectului necesare.

Pentru a simplifica procesul de creare a obiectelor Active Directory, controlerul de domeniu menține o ierarhie de copii și de clase pentru întreaga pădure. Active Directory conține structuri de clasă într-o schemă extensibilă la care pot fi adăugate noi clase.

Schemă face parte din spațiul de nume de configurare Windows care este acceptat de toți controlorii de domeniu din pădure. Spațiul de nume de configurare Windows este format din mai multe elemente structurale, cum ar fi locația fizică, site-urile Windows și subrețele.

Site este cuprins într-o pădure și poate combina computere din orice domeniu, iar toate computerele din site trebuie să aibă conexiuni de rețea rapide și fiabile pentru a face copii de rezervă ale datelor controlerului de domeniu.

Subrețea este un grup de adrese IP alocate unui site. Subrețelele vă permit să accelerați replicarea datelor Active Directory între controlerele de domeniu.

Director activ

Director activ(„Directoare active”, ANUNȚ) - LDAP-Implementarea compatibilă a serviciului de directoare al corporației Microsoft pentru sistemele de operare de familie Windows NT. Director activ permite administratorilor să utilizeze politici de grup pentru a asigura configurarea uniformă a mediului de lucru al utilizatorului, să implementeze software pe mai multe computere prin politici de grup sau prin Manager de configurare System Center(anterior Microsoft Systems Management Server), instalați actualizări de sistem de operare, aplicații și software de server pe toate computerele din rețea folosind Serviciul de actualizare Windows Server . Director activ stochează datele și setările de mediu într-o bază de date centralizată. Rețele Director activ pot fi de diferite dimensiuni: de la câteva zeci la câteva milioane de obiecte.

Performanţă Director activ a avut loc în 1999, produsul a fost lansat pentru prima dată cu Windows 2000 Server, iar apoi modificat și îmbunătățit la lansare Windows Server 2003. Ulterior Director activ a fost îmbunătățită în Windows Server 2003 R2, Windows Server 2008Și Windows Server 2008 R2și redenumit în Servicii de domeniu Active Directory. Serviciul de director a fost apelat anterior Serviciul de director NT (NTDS), acest nume poate fi încă găsit în unele fișiere executabile.

Spre deosebire de versiuni Windows inainte de Windows 2000, care a folosit în principal protocolul NetBIOS pentru comunicare în rețea, service Director activ integrat cu DNSȘi TCP/IP. Protocolul de autentificare implicit este Kerberos. Dacă clientul sau aplicația nu acceptă autentificare Kerberos, se folosește protocolul NTLM .

Dispozitiv

Obiecte

Director activ are o structură ierarhică formată din obiecte. Obiectele se împart în trei categorii principale: resurse (cum ar fi imprimante), servicii (cum ar fi e-mail) și conturi de utilizator și computer. Director activ oferă informații despre obiecte, vă permite să organizați obiecte, să controlați accesul la acestea și, de asemenea, stabilește reguli de securitate.

Obiectele pot fi containere pentru alte obiecte (grupuri de securitate și distribuție). Un obiect este identificat în mod unic prin numele său și are un set de atribute — caracteristici și date — pe care le poate conține; acestea din urmă, la rândul lor, depind de tipul obiectului. Atributele formează baza structurii unui obiect și sunt definite în schemă. Schema definește ce tipuri de obiecte pot exista.

Schema în sine constă din două tipuri de obiecte: obiecte de clasă de schemă și obiecte de atribute de schemă. Un obiect de clasă de schemă definește un tip de obiect Director activ(cum ar fi un obiect User) și un obiect de atribut de schemă definește atributul pe care îl poate avea obiectul.

Fiecare obiect de atribut poate fi utilizat în mai multe obiecte de clasă de schemă diferite. Aceste obiecte se numesc obiecte schema (sau metadate) și vă permit să modificați și să extindeți schema după cum este necesar. Cu toate acestea, fiecare obiect de schemă face parte din definițiile obiectului Director activ, deci dezactivarea sau schimbarea acestor obiecte poate avea consecințe grave, deoarece în urma acestor acțiuni structura va fi modificată Director activ. Modificările aduse unui obiect de schemă sunt propagate automat către Director activ. Odată creat, un obiect de schemă nu poate fi șters, poate fi doar dezactivat. De obicei, toate modificările schemei sunt planificate cu atenție.

Container asemănătoare obiectîn sensul că are și atribute și aparține unui spațiu de nume, dar, spre deosebire de un obiect, un container nu reprezintă nimic anume: poate conține un grup de obiecte sau alte containere.

Structura

Nivelul superior al structurii este pădurea - colecția tuturor obiectelor, atributelor și regulilor (sintaxa atributelor) în Director activ. O pădure conține unul sau mai mulți copaci legați prin tranzitiv relații de încredere . Arborele conține unul sau mai multe domenii, de asemenea legate într-o ierarhie prin relații de încredere tranzitive. Domeniile sunt identificate prin structurile lor de nume DNS - spații de nume.

Obiectele dintr-un domeniu pot fi grupate în containere - diviziuni. Diviziile vă permit să creați o ierarhie în cadrul unui domeniu, să simplificați administrarea acestuia și să modelați structura organizatorică și/sau geografică a unei companii în Director activ. Diviziile pot conține alte diviziuni. corporație Microsoft recomandă utilizarea a cât mai puține domenii posibil în Director activși folosiți diviziunile pentru structurare și politici. Adesea, politicile de grup sunt aplicate în mod specific departamentelor. Politicile de grup sunt ele însele obiecte. O diviziune este cel mai de jos nivel la care poate fi delegată autoritatea administrativă.

Un alt mod de a împărți Director activ sunt site-uri , care sunt o metodă de grupare fizică (mai degrabă decât logică) bazată pe segmente de rețea. Site-urile sunt împărțite în cele care au conexiuni prin canale de viteză mică (de exemplu, prin canale de rețea globală, folosind rețele private virtuale) și prin canale de mare viteză (de exemplu, printr-o rețea locală). Un site web poate conține unul sau mai multe domenii, iar un domeniu poate conține unul sau mai multe site-uri web. La proiectare Director activ Este important să luați în considerare traficul de rețea creat atunci când datele sunt sincronizate între site-uri.

Decizia cheie de proiectare Director activ este decizia de a împărți infrastructura informațională în domenii ierarhice și unități de nivel superior. Modelele tipice utilizate pentru o astfel de separare sunt modelele de separare pe divizii funcționale ale companiei, pe locație geografică și pe roluri în infrastructura informațională a companiei. Combinațiile acestor modele sunt adesea folosite.

Structura fizică și replicare

Din punct de vedere fizic, informațiile sunt stocate pe unul sau mai multe controlere de domeniu echivalente, înlocuindu-le pe cele utilizate în Windows NT controlere de domeniu primare și de rezervă, deși pentru unele operațiuni este păstrat un așa-numit server de „operațiuni master unice”, care poate emula un controler de domeniu primar. Fiecare controler de domeniu păstrează o copie de citire-scriere a datelor. Modificările efectuate pe un controler sunt sincronizate cu toate controlerele de domeniu prin replicare. Servere pe care serviciul în sine Director activ nu sunt instalate, dar care fac parte din domeniu Director activ, sunt numite servere membre.

Replicare Director activ efectuate la cerere. Serviciu Verificator de consistență a cunoștințelor creează o topologie de replicare care utilizează site-uri definite în sistem pentru a controla traficul. Replicarea intrasite are loc frecvent și automat folosind un verificator de consistență (notificând partenerii de replicare cu privire la modificări). Replicarea pe mai multe site-uri poate fi configurată pentru fiecare canal de site (în funcție de calitatea canalului) - un „scor” (sau „cost”) diferit poate fi atribuit fiecărui canal (de ex. DS3, , ISDN etc.), iar traficul de replicare va fi limitat, programat și direcționat conform estimării legăturii atribuite. Datele de replicare pot circula tranzitiv pe mai multe site-uri prin intermediul punților de link-uri de site-uri dacă „scorul” este scăzut, deși AD atribuie automat un scor mai mic link-urilor de la site la site decât link-urilor tranzitive. Replicarea de la site la site este efectuată de serverele cap de pod de la fiecare site, care apoi replic modificările la fiecare controler de domeniu din site-ul său. Replicarea intra-domeniu urmează protocolul RPC conform protocolului IP, interdomeniu - poate folosi și protocolul SMTP.

Dacă structura Director activ conţine mai multe domenii, este folosit pentru a rezolva problema căutării obiectelor catalogul global: Un controler de domeniu care conține toate obiectele din pădure, dar cu un set limitat de atribute (o replică parțială). Catalogul este stocat pe serverele de catalog globale specificate și servește solicitări între domenii.

Capacitatea de o singură gazdă permite procesarea cererilor atunci când replicarea multi-gazdă nu este posibilă. Există cinci tipuri de astfel de operații: emularea controlerului de domeniu principal (emulator PDC), masterul de identificare relativ (masterul de identificare relativ sau masterul RID), masterul de infrastructură (masterul de infrastructură), masterul de schemă (masterul de schemă) și masterul de denumire a domeniului (domeniul). vrăjitor de denumire). Primele trei roluri sunt unice în domeniu, ultimele două sunt unice în întreaga pădure.

Baza Director activ poate fi împărțit în trei depozite logice sau „partiții”. Diagrama este un șablon pentru Director activși definește toate tipurile de obiecte, clasele și atributele acestora, sintaxa atributelor (toți copacii sunt în aceeași pădure deoarece au aceeași schemă). Configurația este structura pădurii și a copacilor Director activ. Un domeniu stochează toate informațiile despre obiectele create în acel domeniu. Primele două magazine sunt replicate la toate controlerele de domeniu din pădure, a treia partiție este replicată complet între controlerele replici din fiecare domeniu și parțial replicată pe serverele de catalog global.

Denumire

Director activ acceptă următoarele formate de denumire a obiectelor: nume de tip generic UNC, URLȘi URL LDAP. Versiune LDAP Formatul de denumire X.500 utilizat intern Director activ.

Fiecare obiect are nume distins (Engleză) nume distins, DN) . De exemplu, un obiect imprimantă numit HPLaser3în OU Marketing și în domeniul foo.org va avea următorul nume distinctiv: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , unde CN este numele comun, OU este secțiunea, DC este domeniul clasa de obiecte. Numele distinse pot avea mult mai multe părți decât cele patru părți din acest exemplu. Obiectele au și nume canonice. Acestea sunt nume distincte scrise în ordine inversă, fără identificatori și folosind bare oblice drept delimitatori: foo.org/Marketing/HPLaser3. Pentru a defini un obiect în interiorul containerului său, utilizați nume distinctiv relativ : CN=HPLaser3. Fiecare obiect are, de asemenea, un identificator unic la nivel global ( GUID) este un șir unic și imuabil de 128 de biți care este utilizat în Director activ pentru căutare și replicare. Anumite obiecte au și un UPN ( UPN, în conformitate cu RFC 822) în format obiect@domeniu.

integrare UNIX

Diverse niveluri de interacțiune cu Director activ poate fi implementat în majoritatea UNIX-cum ar fi sistemele de operare prin conformitate cu standardele LDAP clienții, dar astfel de sisteme, de regulă, nu percep majoritatea atributelor asociate componentelor Windows, cum ar fi politicile de grup și sprijinul pentru împuterniciri unidirecționale.

Furnizorii terți oferă integrări Director activ pe platforme UNIX, inclusiv UNIX, Linux, Mac OS Xși o serie de aplicații bazate pe Java, cu un pachet de produse:

Adăugări de schemă incluse cu Windows Server 2003 R2 includeți atribute care sunt suficient de apropiate de RFC 2307 pentru a fi utilizate în general. Implementări de bază ale RFC 2307, nss_ldap și pam_ldap, propuse PADL.com, acceptă direct aceste atribute. Schema standard pentru apartenența la grup urmează RFC 2307bis (propus). Windows Server 2003 R2 include Microsoft Management Console pentru crearea și editarea atributelor.

O opțiune alternativă este utilizarea unui alt serviciu de director, cum ar fi 389 Directory Server(anterior Fedora Directory Server, FDS), eB2Bcom ViewDS v7.1 Director cu XML activat sau Sun Java System Directory Server din Microsisteme solare, care realizează sincronizarea în două sensuri cu Director activ, realizând astfel integrarea „reflectată” atunci când clienții UNIXȘi Linux sunt autentificate FDS, și clienți Windows sunt autentificate Director activ. O altă opțiune este utilizarea OpenLDAP cu capacitate de suprapunere translucidă care extinde elementele serverului de la distanță LDAP atribute suplimentare stocate în baza de date locală.

Director activ sunt automatizate folosind Powershell .

Literatură

• Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003. Ghid complet = Microsoft Exchange Server 2003 Unleashed. - M.: „Williams”, 2006. - P. 1024. - ISBN 0-672-32581-0

Vezi si

Legături

Note

Componente Microsoft Windows
De bază
Servicii management
Aplicații	Contacte DVD Maker Faxuri și scanare Internet Explorer Revistă Lupă Centru media Windows Media Player Programul de colaborare Centrul de dispozitive Windows Mobile Centrul de mobilitate Narator Paint Editor de simboluri personale Asistență de la distantă Recunoaștere a vorbirii WordPad Caiet Panou lateral Înregistrare sunet Calendar Calculator Foarfece Poștă tabelul de simboluri Istoric: Movie Maker NetMeeting Outlook Express Manager de program Manager de fișiere album foto
Jocuri
Nucleul sistemului de operare
Servicii
Fişier sisteme
Server	Director activ Servicii de implementare Serviciul de replicare a fișierelor Domenii DNS Redirecționarea folderului Hyper-V IIS Media Services MSMQ Protecția accesului la rețea (NAP) Servicii de imprimare pentru UNIX Compresie diferențială de la distanță Servicii de instalare la distanță Serviciul de gestionare a drepturilor Profiluri de utilizator în roaming SharePoint Manager de resurse de sistem Desktop la distanță WSUS Politica de grup Coordonator de tranzacții distribuite
Arhitectură
Siguranță
Compatibilitate

Microsoft
DE
Software de server
Tehnologii
Internet
Jocuri
Hardware Securitate
Educaţie
Licențiere
Diviziuni

Bazele Active Directory

Serviciu Director activ

Serviciu de directoare extensibil și scalabil Activ Director vă permite să gestionați eficient resursele rețelei.

Activ Directorul este un depozit organizat ierarhic de date despre obiectele din rețea, oferind mijloace convenabile pentru căutarea și utilizarea acestor date. Computer care rulează activ Director, sunat controlor de domeniu . CU Director activAproape toate sarcinile administrative sunt legate.

Tehnologia Active Directory se bazează pe standard protocoale de internetși ajută la definirea clară a structurii rețelei.

Active Directory și DNS

ÎN Activ DirectoryEste folosit sistemul de nume de domeniu.

DomeniuNume System (DNS) este un serviciu standard de Internet care organizează grupuri de computere în domenii.Domeniile DNS au o structură ierarhică care formează baza Internetului. Diferitele niveluri ale acestei ierarhii identifică computerele, domeniile organizaționale și domeniile de nivel superior. DNS servește și la rezolvarea numelor de gazdă, de ex. z eta.webatwork.com la adrese IP numerice, cum ar fi 192.168.19.2. Folosind DNS, ierarhia domeniului Active Directory poate fi integrată în spațiul Internet sau lăsată independentă și izolată de accesul extern.

Pentru a accesa resurse în Domeniul folosește numele de gazdă complet calificat, de exemplu zeta.webatwork.com. Aicizeta- numele computerului individual, webatwork - domeniul organizației și com - domeniul de nivel superior. Domeniile de nivel superior formează fundamentul ierarhiei DNS și, prin urmare, sunt numite domenii rădăcină (domenii rădăcină). Acestea sunt organizate geografic, cu nume bazate pe coduri de țară din două litere (rupentru Rusia), după tipul de organizație (sute pentru organizațiile comerciale) și pentru scopurile prevăzute ( mil pentru organizaţiile militare).

Domeniile obișnuite, cum ar fi microsoft.com, sunt numite părinţi (domeniul părinte) întrucât formează baza structurii organizatorice. Domeniile părinte pot fi împărțite în subdomenii ale diferitelor ramuri sau ramuri îndepărtate. De exemplu, numele complet al unui computer de la biroul Microsoft din Seattle ar putea fi jacob.seattle.microsoft.com , Unde jacob- numele calculatorului, sealtle - subdomeniu, iar microsoft.com este domeniul părinte. Un alt nume pentru subdomeniu este domeniul copil (domeniu copil).

Componente Activ Director

Active Directory combină structura fizică și logică pentru componentele rețelei. Structurile logice Active Directory ajută la organizarea obiectelor de director și la gestionarea conturilor de rețea și a partajărilor. Structura logică include următoarele elemente:

unitate organizationala - un subgrup de calculatoare, care reflectă de obicei structura companiei;

domeniu ( domeniu) - un grup de calculatoare care partajează o bază de date de catalog comun;

arborele domeniului (domeniu copac) - unul sau mai multe domenii care partajează un spațiu de nume contiguu;

pădure de domeniu - unul sau mai mulți arbori care partajează informații despre director.

Elementele fizice ajută la planificarea structurii actuale a rețelei. Pe baza structurilor fizice, se formează conexiunile de rețea și limitele fizice ale resurselor rețelei. Structura fizică include următoarele elemente:

subrețea ( subrețea) - un grup de rețea cu o zonă de adresă IP specificată și o mască de rețea;

site-ul web ( site-ul) - una sau mai multe subrețele. Site-ul este folosit pentru a configura accesul la director și pentru replicare.

Divizii organizatorice

Unitățile organizaționale (OU) sunt subgrupuri din domenii care reflectă adesea structura funcțională a unei organizații. OU-urile sunt un fel de containere logice care adăpostesc conturi, acțiuni și alte OU. De exemplu, puteți crea într-un domeniu microsoft. com diviziuni Resurse, ACEASTA, Marketing. Această schemă poate fi apoi extinsă pentru a conține unități copil.

Numai obiectele din domeniul părinte pot fi plasate în OP. De exemplu, OU-urile din domeniul Seattle.microsoft.com conțin doar obiecte din acel domeniu. Adăugați obiecte de acolomy. microsoft.com nu este permis. OP sunt foarte convenabile atunci când se formează un funcțional sau structuri de afaceri organizatii. Dar acesta nu este singurul motiv pentru utilizarea lor.

OP-urile vă permit să definiți o politică de grup pentru un set mic de resurse dintr-un domeniu fără a fi nevoie să o aplicați întregului domeniu. OP creează vederi compacte și mai ușor de gestionat ale obiectelor directoare dintr-un domeniu, ceea ce vă ajută să gestionați resursele mai eficient.

OP-urile vă permit să delegați autoritatea și să controlați accesul administrativ la resursele de domeniu, ceea ce vă ajută să stabiliți limitele autorității de administrator în domeniu. Puteți acorda utilizatorului A drepturi administrative pentru o singură OU și, în același timp, puteți transfera drepturi administrative utilizatorului B pentru toate OU-urile din domeniu.

Domenii

Domeniu Active Directory este un grup de computere care partajează o bază de date de directoare comună. Numele de domenii Active Directory trebuie să fie unice. De exemplu, nu pot exista două domenii microsoft.com, dar poate exista un domeniu părinte microsoft.com cu domenii secundare seattle.microsoft.com și my.microsoft.com. Dacă domeniul face parte dintr-o rețea închisă, numele atribuit noului domeniu nu trebuie să intre în conflict cu niciun nume de domeniu existent în acea rețea. Dacă un domeniu face parte din Internetul global, atunci numele său nu trebuie să intre în conflict cu niciunul dintre numele de domeniu existente pe Internet. Pentru a vă asigura că numele sunt unice pe Internet, numele de domeniu părinte trebuie înregistrat prin orice organizație de înregistrare autorizată.

Fiecare domeniu are propriile politici de securitate și relații de încredere cu alte domenii. Adesea, domeniile sunt distribuite pe mai multe locații fizice, adică constau din mai multe site-uri, iar site-urile combină mai multe subrețele. Baza de date a directorului de domenii stochează obiecte care definesc conturi pentru utilizatori, grupuri și computere, precum și resurse partajate, cum ar fi imprimante și foldere.

Funcțiile unui domeniu sunt limitate și reglementate de modul de funcționare al acestuia. Există patru moduri funcționale de domeniu:

modul mixt Windows 2000 (mod mixt) - acceptă controlere de domeniu care rulează Windows NT 4.0, Wi ndows 2000 și Windows Server 2003;

Modul nativ Windows 2000 - acceptă controlere de domeniu care rulează Windows 2000 și Windows Server 2003;

modul intermediar Windows Server 2003 ( interimar modul) - acceptă controlere de domeniu care rulează Windows NT 4.0 și Windows Server 2003;

modul Windows Server 2003 - acceptă controlere de domeniu care rulează Windows Server 2003.

Păduri și copaci

Fiecare domeniu Activ Director are DNS-nume tip microsoft.com. Domeniile care partajează date de director formează o pădure. Numele de domenii forestiere din ierarhia numelor DNS sunt necontigue(discontiguu) sau adiacent(învecinat).

Domeniile care au o structură de denumire contiguă sunt numite arbore de domenii. Dacă domeniile de pădure au nume DNS necontigue, ele formează arbori de domenii separate în pădure. O pădure poate include unul sau mai mulți copaci. Consola este folosită pentru a accesa structurile de domeniiActiv Director- domenii și încredere (ActivDirector Domeniiși trusturi).

Funcțiile pădurilor sunt limitate și reglementate de regimul funcțional al pădurii. Există trei astfel de moduri:

Windows 2000 - acceptă controlere de domeniu care rulează Windows NT 4.0, Windows 2000 și Windows Server 2003;

intermediar ( interimar) Windows Server 2003 - acceptă controlere de domeniu care rulează Windows NT 4.0 și Windows Server 2003;

Windows Server 2003 - acceptă controlere de domeniu care rulează Windows Server 2003.

Cele mai recente caracteristici Active Directory sunt disponibile în modul Windows Server 2003 Dacă toate domeniile din pădure rulează în acest mod, vă puteți bucura de o replicare a catalogului global îmbunătățită și de o replicare mai eficientă a datelor Active Directory. De asemenea, puteți să dezactivați clasele și atributele de schemă, să utilizați clase de ajutor dinamice, să redenumiți domeniile și să creați relații de încredere unidirecționale, bidirecționale și tranzitive în pădure.

Site-uri și subrețele

Site-ul web este un grup de computere aflate pe una sau mai multe subrețele IP utilizate pentru a planifica structura fizică a unei rețele. Planificarea site-ului are loc indiferent de structura logică a domeniului. Active Directory vă permite să creați mai multe site-uri într-un singur domeniu sau un site care acoperă mai multe domenii.

Spre deosebire de site-uri, care se pot întinde pe mai multe domenii de adresă IP, subrețelele au un domeniu de adresă IP și o mască de rețea specificate. Numele de subrețea sunt specificate în format rețea/mască de biți, de exemplu 192.168.19.0/24, unde adresa de rețea 192.168.19.0 și masca de rețea 255.255.255.0 sunt combinate în numele de subrețea 192.168.19.0/24.

Calculatoarele sunt alocate site-urilor în funcție de locația lor pe o subrețea sau un set de subrețele. Dacă computerele din subrețele sunt capabile să comunice la viteze suficient de mari, acestea sunt apelate bine conectat (bine conectat).

În mod ideal, site-urile sunt formate din subrețele și computere bine conectate. Dacă traficul dintre subrețele și computere este lent, poate fi necesar să creați mai multe site-uri. Conectivitate bună oferă site-urilor câteva avantaje.

Când un client se conectează la un domeniu, procesul de autentificare caută mai întâi un controler de domeniu local pe site-ul clientului, ceea ce înseamnă că controlorii locali sunt interogați mai întâi atunci când este posibil, limitând traficul de rețea și accelerând autentificarea.

Informațiile din director sunt replicate mai frecvent interior site-uri decât între site-uri. Acest lucru reduce traficul între rețele cauzat de replicare și asigură faptul că controlorii de domeniu local primesc rapid informații actualizate.

Puteți configura ordinea în care datele din director sunt replicate folosind link-uri de site (linkuri site-uri). De exemplu, definiți server cap de pod (cap de pod) pentru replicare între site-uri.

Cea mai mare parte a încărcării de la replicarea pe mai multe site-uri va cădea pe acest server dedicat, mai degrabă decât pe orice server de site disponibil. Site-uri webși subrețelele sunt configurate în consolă Director activ - site-uri și servicii(Site-uri și servicii Active Directory).

Lucrul cu domenii Director activ

Pe net Windows Server 2003 serviciu ActivDirectorconfigurat simultan cuDNS. Cu toate acestea, domeniile Active Directory și domeniile DNS au scopuri diferite. Domeniile Active Directory ajută la gestionarea conturilor, resurselor și securității.

Ierarhia domeniului DNS este concepută în primul rând pentru rezolvarea numelor.

Calculatoarele care rulează Windows XP Professional și Windows 2000 pot profita din plin de Active Directory. Ele operează în rețea ca clienți Active Directory și au acces la relații de încredere tranzitive care există într-un arbore sau o pădure de domenii. Aceste relații permit utilizatorilor autorizați să acceseze resurse din orice domeniu din pădure.

Sistem Windows Server 2003 funcționează ca un controler de domeniu sau ca un server membru. Serverele membre devin controlori după ce este instalat Active Directory; controlerele sunt retrogradate la serverele membre după ce Active Directory este eliminat.

Ambele procese sunt efectuate Expertul de instalare Active Directory. Pot exista mai multe controlere într-un domeniu. Ei replic datele directorului între ele folosind un model de replicare multi-master, care permite fiecărui controler să proceseze modificările directorului și apoi să le propagă altor controlere. Cu o structură multi-master, toți controlorii au în mod implicit responsabilitatea egală. Cu toate acestea, puteți acorda anumitor controlere de domeniu prioritate față de altele pentru anumite sarcini, cum ar fi crearea unui server cap de pod care are prioritate atunci când replica datele directorului pe alte site-uri.

În plus, unele sarcini sunt mai bine efectuate pe un server dedicat. Este numit un server care procesează un anumit tip de sarcină maestru de operațiuni (maestru de operațiuni).

Conturile sunt create pentru toate computerele Windows 2000, Windows XP Professional și Windows Server 2003 care sunt conectate la un domeniu și, ca și alte resurse, sunt stocate ca obiecte Active Directory. Conturile de computer sunt folosite pentru a controla accesul la rețea și la resursele acesteia Înainte ca un computer să poată accesa un domeniu folosind contul său, acesta trebuie să fie supus unei proceduri de autentificare.

Structura directorului

Datele din director sunt puse la dispoziția utilizatorilor și computerelor prin intermediul depozit de date (magazine de date) și directoare globale (globalcataloage). Deși majoritatea caracteristicilorActivDirectorafectează stocarea datelor, cataloagele globale (GC) nu sunt mai puțin importante deoarece sunt folosite pentru autentificarea în sistem și căutarea informațiilor. Dacă GC nu este disponibil, utilizatorii obișnuiți nu se vor putea conecta la domeniu. Singura modalitate de a ocoli această condiție este să memorați în cache abonamentul la nivel local grupuri universale.

Accesul și distribuirea datelor din Active Directory se asigură prin mijloace protocoale de acces la directoare (director accesprotocoale) Și replicare (replicare).

Replicarea este necesară pentru a distribui datele actualizate către controlori. Metoda principală de distribuire a actualizărilor este replicarea multi-master, dar unele modificări sunt procesate numai de controlere specializate - maeștri ai operațiunilor (maeștri de operațiuni).

Modul în care este efectuată replicarea multi-master în Windows Server 2003 sa schimbat, de asemenea, odată cu introducerea secţiuni de catalog aplicatii (aplicareadirectordespărțitori). Prin intermediul acestora, administratorii de sistem pot crea partiții de replicare într-o pădure de domeniu, care sunt structuri logice utilizate pentru a gestiona replicarea într-o pădure de domeniu. De exemplu, puteți crea o partiție care se va ocupa de replicarea informațiilor DNS într-un domeniu. Alte sisteme din domeniu nu au voie să reproducă informațiile DNS.

Partițiile din directorul de aplicații pot fi un copil al unui domeniu, un copil al unei alte partiții de aplicație sau un arbore nou într-o pădure de domenii. Replicile partițiilor pot fi găzduite pe orice controler de domeniu Active Directory, inclusiv cataloage globale. Deși partițiile directoare de aplicații sunt utile în domenii mari și păduri, ele măresc costurile de planificare, administrare și întreținere.

Magazin de date

Depozitul conține informații despre cele mai importante obiecte ale serviciului de directoare Active Directory - conturi, resurse partajate, politicile OP și de grup. Uneori, un depozit de date este pur și simplu numit catalog (director). Pe controlerul de domeniu, directorul este stocat în fișierul NTDS.DIT, a cărui locație este determinată atunci când este instalat Active Directory (aceasta trebuie să fie o unitate NTFS). Unele date din director pot fi, de asemenea, stocate separat de magazinul principal, cum ar fi politicile de grup, scripturile și alte informații stocate în partajarea sistemului SYSVOL.

Se apelează partajarea informațiilor din director publicare (publica). De exemplu, atunci când o imprimantă este deschisă pentru utilizare într-o rețea, aceasta este publicată; informațiile despre folderul partajat sunt publicate, etc. Controlerele de domeniu reproduc majoritatea modificărilor aduse stocării într-un mod multi-master. Un administrator dintr-o organizație mică sau mijlocie gestionează rareori replicarea stocării, deoarece este automată, dar poate fi configurată pentru a se potrivi specificului arhitecturii rețelei.

Nu toate datele directorului sunt replicate, doar:

Date de domeniu - informații despre obiectele din domeniu, inclusiv obiectele conturilor, resursele partajate, OP și politicile de grup;

Date de configurare - informații despre topologia directorului: o listă a tuturor domeniilor, arborilor și pădurilor, precum și locația controlorilor și a serverelor GC;

Date schema - informații despre toate obiectele și tipurile de date care pot fi stocate în director; Schema standard Windows Server 2003 descrie obiecte de cont, obiecte de resurse partajate etc. și poate fi extinsă prin definirea de noi obiecte și atribute sau prin adăugarea de atribute la obiectele existente.

Catalog global

Dacă memorarea în cache a membrilor local grupurile universale nu se realizează autentificarea la rețea se bazează pe informații despre apartenența la grupul universal furnizate de Codul civil.

De asemenea, oferă căutare în directoare în toate domeniile din pădure. Controlor, joc de rol Serverul GK stochează o replică completă a tuturor obiectelor director din domeniul său și o replică parțială a obiectelor din alte domenii ale pădurii.

Sunt necesare doar câteva proprietăți ale obiectului pentru autentificare și căutare, astfel încât pot fi utilizate replici parțiale. Pentru a forma o replică parțială, replicarea necesită transferul de mai puține date, ceea ce reduce traficul de rețea.

În mod implicit, primul controler de domeniu devine controlerul de domeniu principal. Prin urmare, dacă există un singur controler într-un domeniu, atunci serverul de domeniu principal și controlerul de domeniu sunt același server. Puteți plasa GC pe un alt controler pentru a reduce timpul necesar pentru a aștepta un răspuns când vă conectați și pentru a accelera căutarea. Se recomandă crearea unui GC în fiecare site de domeniu.

Există mai multe moduri de a rezolva această problemă. Desigur, puteți crea un server GC pe unul dintre controlerele de domeniu dintr-un birou la distanță. Dezavantajul acestei metode este că crește sarcina pe serverul GK, ceea ce poate necesita resurse suplimentare și o planificare atentă a timpului de funcționare a acestui server.

O altă soluție este să memorați în cache membrii grupurilor universale la nivel local. În acest caz, orice controler de domeniu poate deservi cererile de autentificare local, fără a contacta serverul de domeniu principal. Acest lucru accelerează procedura de conectare și ușurează situația în cazul unei defecțiuni a serverului GK. În plus, acest lucru reduce traficul de replicare.

În loc să actualizați periodic întregul grup în întreaga rețea, este suficient să actualizați informațiile din cache despre apartenența la grup universal. În mod implicit, actualizarea are loc la fiecare opt ore pe fiecare controler de domeniu care utilizează memorarea în cache a apartenenței la grup universal local.

Calitatea de membru în grup universal individual pentru fiecare site. Să ne amintim că un site este o structură fizică formată din una sau mai multe subrețele care au un set individual de adrese IP și o mască de rețea. Controlere de domeniu Windows Server 2003 și GC pe care îl accesează trebuie să fie în același site. Dacă există mai multe site-uri, va trebui să configurați memoria cache locală pe fiecare dintre ele. În plus, utilizatorii care se conectează la site trebuie să facă parte dintr-un domeniu Windows Server 2003 care rulează în modul pădure Windows Server 2003.

Replicare în Active Directory

Directorul stochează trei tipuri de informații: date de domeniu, date de schemă și date de configurare. Datele de domeniu sunt replicate tuturor controlerelor de domeniu. Toți controlorii de domeniu au drepturi egale, de exemplu. toate modificările efectuate de la orice controler de domeniu vor fi replicate tuturor celorlalte controlere de domeniu. Datele de proiectare și configurare sunt replicate în toate domeniile din arbore sau pădure. În plus, toate obiectele unui domeniu individual și unele dintre proprietățile obiectelor din pădure sunt replicate în GC. Aceasta înseamnă că un controler de domeniu stochează și replică schema pentru un arbore sau o pădure, informații de configurare pentru toate domeniile din arbore sau pădure și toate obiectele și proprietățile directorului pentru propriul domeniu.

Controlerul de domeniu pe care este stocat GC conține și replică informații de schemă pentru pădure, informații de configurare pentru toate domeniile din pădure și un set limitat de proprietăți pentru toate obiectele director din pădure (este replicat numai între serverele GC), precum și toate obiectele și proprietățile directorului pentru domeniul dvs.

Pentru a înțelege esența replicării, luați în considerare acest scenariu pentru configurarea unei noi rețele.

1. În domeniu Primul controler a fost instalat. Acest server este singurul controler de domeniu. El este și serverul GK. Replicarea nu are loc într-o astfel de rețea, deoarece nu există alte controlere.

2. În domeniu Și un al doilea controler este instalat și începe replicarea. Puteți desemna un controler ca master al infrastructurii și celălalt ca server GC. Proprietarul infrastructurii monitorizează și solicită actualizări GL pentru obiectele modificate. Ambele aceste controlere reproduc, de asemenea, schema și datele de configurare.

3. În domeniu Și este instalat un al treilea controler, care nu are o unitate de control principală. Maestrul infrastructurii monitorizează actualizările GC, le solicită pentru obiectele modificate și apoi reproduce modificările la un al treilea controler de domeniu. Toate cele trei controlere reproduc, de asemenea, schema și datele de configurare.

4. Se creează un nou domeniu B și i se adaugă controlere. Serverele GC din Domeniul A și Domeniul B reproduc toate schemele și datele de configurare, precum și un subset de date de domeniu din fiecare domeniu. Replicarea în domeniul A continuă așa cum este descris mai sus, plus replicarea în domeniul B începe.

ActivDirectorȘi LDAP

Protocolul ușor de acces la director (LDAP) este un protocol standard pentru conexiunile la Internet în rețelele TCP/IP. LDAP este conceput special pentru accesarea serviciilor de directoare cu o suprasarcină minimă. LDAP definește, de asemenea, operațiunile utilizate pentru interogarea și modificarea informațiilor din director.

Clienții Active Directory folosește LDAP pentru a comunica cu computerele care rulează Active Directory ori de câte ori se conectează la rețea sau caută resurse partajate. LDAP simplifică interconectarea directoarelor și migrarea către Active Directory de la alte servicii de director. Pentru a îmbunătăți compatibilitatea, puteți utiliza interfețele Serviciilor Active Directory (ActivDirector Serviciu- Interfețe, ADSI).

Roluri de master operațiuni

Masterul de operațiuni se ocupă de sarcini care sunt incomod de efectuat într-un model de replicare multi-master. Există cinci roluri de master operațiuni care pot fi atribuite unuia sau mai multor controlere de domeniu. Unele roluri trebuie să fie unice la nivel de pădure, în timp ce altele trebuie să fie unice la nivel de domeniu. Următoarele roluri trebuie să existe în fiecare pădure Active Directory:

Schema master) - gestionează actualizările și modificările la schema directorului. Pentru a actualiza o schemă de director, trebuie să aveți acces la masterul schemei. Pentru a determina care server este în prezent masterul schemei în domeniu, deschideți o fereastră de linie de comandă și introduceți: dsquery server -arefsmo schemă.

Maestru de nume de domeniu - gestionează adăugarea și îndepărtarea domeniilor din pădure. Pentru a adăuga sau elimina un domeniu, aveți nevoie de acces la masterul de denumire a domeniului. Pentru a determina care server este în prezent masterul de denumire a domeniului, trebuie doar să introduceți în fereastra liniei de comandă: dsquery server -arefsmo Nume.

Aceste roluri, comune pădurii în ansamblu, trebuie să fie unice pentru aceasta.

Următoarele roluri sunt necesare în fiecare domeniu Active Directory.

Master ID relativ - alocă identificatori relativi controlorilor de domeniu. De fiecare dată când creați un utilizator, un obiect de grup sau controlorii computerului atribuie unui obiect un identificator de securitate unic, constând dintr-un identificator de securitate de domeniu și un identificator unic care a fost alocat de către comandantul identificatorilor relativi. Pentru a determina care server este în prezent proprietarul identificatorilor relativi din domeniu, trebuie doar să introduceți în fereastra de linie de comandă: dsqueryServer -arefsmoscăpa.

Emulator PDC - În modul de domeniu mixt sau intermediar, acționează ca un controler de domeniu principal Windows NT. Acesta autentifică login-urile Windows NT, se ocupă de modificările parolei și reproduce actualizările P DC. Pentru a determina care server este în prezent emulatorul PDC din domeniu, trebuie doar să introduceți în fereastra de linie de comandă dsquery Server - hasfsmo pdc.

Proprietarul infrastructurii maestru ) - actualizează legăturile obiectelor comparând datele din catalog cu datele GK. Dacă datele sunt învechite, solicită actualizări de la GC și le reproduce controlorilor rămași din domeniu. Pentru a determina care server este în prezent proprietarul infrastructurii din domeniu, doar în fereastra de linie de comandă și intrați dsqueryserver -hasfsmo infr .

Aceste roluri, care sunt comune întregului domeniu, trebuie să fie unice în cadrul domeniului. Cu alte cuvinte, puteți configura un singur master de identitate relativă, un emulator PDC și un master de infrastructură per domeniu.

Rolurile de master operațiuni sunt de obicei atribuite automat, dar pot fi reatribuite. Când este instalată o nouă rețea, primul controler de domeniu al primului domeniu își asumă toate rolurile de master operațiuni. Dacă un nou domeniu copil sau un domeniu rădăcină este creat ulterior în noul arbore, rolurile de master operațiuni sunt, de asemenea, atribuite automat primului controler de domeniu. Într-o pădure de domeniu nouă, controlerului de domeniu i se atribuie toate rolurile de master operațiuni. Dacă un domeniu nou este creat în aceeași pădure, controlerului acestuia i se atribuie rolul de Relative ID Master, Emulator PDC și proprietarul infrastructurii. Rolurile de master schema și de domain naming master rămân cu primul domeniu din pădure.

Dacă există un singur controler într-un domeniu, acesta îndeplinește toate rolurile de master operațiuni. Dacă există un singur site în rețea, locația standard a maeștrilor de operațiuni este optimă. Dar, pe măsură ce adăugați controlere de domeniu și domenii, uneori trebuie să mutați rolurile de master operațiuni în alte controlere de domeniu.

Dacă există două sau mai multe controlere de domeniu într-un domeniu, se recomandă ca două controlere de domeniu să fie configurate pentru a servi ca roluri de master operațiuni. De exemplu, desemnați un controler de domeniu ca master principal al operațiunilor, iar celălalt ca rezervă, care va fi necesar dacă cel principal eșuează.

Administrare Director activ

CFolosind serviciul Active Directory, sunt create conturi de computer, sunt conectate la domeniu și sunt gestionate computerele, controlerele de domeniu și unitățile organizaționale (OU).

Sunt furnizate instrumente de administrare și asistență pentru a gestiona Active Directory. Instrumentele enumerate mai jos sunt implementate și ca snap-in-uri pentru consolă MMC (Microsoft managementConsolă):

Active Directory - Utilizatori și computere (Active Directory Utilizatori și Calculatoare) vă permite să gestionați utilizatori, grupuri, computere și unități organizaționale (OU);

Activ Director- domenii și încredere ( Activ Director Domeniiși Trusturi ) servește pentru a lucra cu domenii, arbori de domenii și păduri de domenii;

Director activ - site-uri ȘiServicii (Site-uri și servicii Active Directory) vă permite să gestionați site-uri și subrețele;

Rezultat politică (Set de politici rezultat) utilizat pentru a vizualiza politica curentă a unui utilizator sau a unui sistem și pentru a programa modificări ale politicii.

ÎN În Microsoft Windows 2003 Server, puteți accesa aceste componente snap-in direct din meniul Instrumente administrative.

Un alt instrument administrativ este snap-in-ul Sistem ActivDirector (Activ Director Schemă) - vă permite să gestionați și să modificați schema de director.

Utilitare pentru linia de comandă Activ Director

Pentru a gestiona obiecte Activ Director Există instrumente de linie de comandă care vă permit să efectuați o gamă largă de sarcini administrative:

DSADD - adaugă la Activ Director computere, contacte, grupuri, OP și utilizatori.

DSGET - afișează proprietățile computerelor, contactelor, grupurilor, PO, utilizatorilor, site-urilor, subrețelelor și serverelor înregistrate în Activ Director.

DSMOD - modifică proprietățile computerelor, contactelor, grupurilor, OP-urilor, utilizatorilor și serverelor înregistrate Activ Director.

DSMOVE - Mută ​​un singur obiect într-o locație nouă într-un domeniu sau redenumește un obiect fără a-l muta.

DSQXJERY - caută computere, contacte, grupuri, OP-uri, utilizatori, site-uri, subrețele și servere în Activ Director conform criteriilor specificate.

DSRM - îndepărtează un obiect din Activ Director.

NTDSUTIL - vă permite să vizualizați informații despre un site, domeniu sau server, să gestionați maeștri ai operațiunilor (operațiuni masterat) și întreține baza de dateActiv Director.