Serviciul Active Directory ce. Ce este Active Directory
Active Directory
Active Directory(„Directoare active”, AD) - LDAP-Implementarea compatibilă a serviciului de directoare al corporației Microsoft pentru sistemele de operare de familie Windows NT. Active Directory permite administratorilor să utilizeze politici de grup pentru a asigura configurarea uniformă a mediului de lucru al utilizatorului, să implementeze software pe mai multe computere prin politici de grup sau prin Manager de configurare System Center(anterior Microsoft Systems Management Server), instalați actualizări de sistem de operare, aplicații și software de server pe toate computerele din rețea care utilizează Serviciul de actualizare Windows Server . Active Directory stochează datele și setările de mediu într-o bază de date centralizată. Rețele Active Directory pot fi de diferite dimensiuni: de la câteva zeci la câteva milioane de obiecte.
Performanţă Active Directory a avut loc în 1999, produsul a fost lansat pentru prima dată cu Windows 2000 Server, iar ulterior a fost modificat și îmbunătățit la lansare Windows Server 2003. Ulterior Active Directory a fost îmbunătățită în Windows Server 2003 R2, Windows Server 2008Şi Windows Server 2008 R2și redenumit în Servicii de domeniu Active Directory. Serviciul de director a fost apelat anterior Serviciul de director NT (NTDS), acest nume poate fi încă găsit în unele fișiere executabile.
Spre deosebire de versiuni Windows la Windows 2000, care a folosit în principal protocolul NetBIOS pentru comunicare în rețea, service Active Directory integrat cu DNSŞi TCP/IP. Protocolul de autentificare implicit este Kerberos. Dacă clientul sau aplicația nu acceptă autentificare Kerberos, se folosește protocolul NTLM .
Dispozitiv
Obiecte
Active Directory are o structură ierarhică formată din obiecte. Obiectele se împart în trei categorii principale: resurse (cum ar fi imprimante), servicii (cum ar fi e-mail) și conturi de utilizator și computer. Active Directory oferă informații despre obiecte, vă permite să organizați obiecte, să controlați accesul la acestea și, de asemenea, stabilește reguli de securitate.
Obiectele pot fi containere pentru alte obiecte (grupuri de securitate și distribuție). Un obiect este identificat în mod unic prin numele său și are un set de atribute — caracteristici și date — pe care le poate conține; acestea din urmă, la rândul lor, depind de tipul obiectului. Atributele formează baza structurii unui obiect și sunt definite în schemă. Schema definește ce tipuri de obiecte pot exista.
Schema în sine constă din două tipuri de obiecte: obiecte de clasă de schemă și obiecte de atribute de schemă. Un obiect de clasă de schemă definește un tip de obiect Active Directory(cum ar fi un obiect User) și un obiect de atribut de schemă definește atributul pe care îl poate avea obiectul.
Fiecare obiect de atribut poate fi utilizat în mai multe obiecte de clasă de schemă diferite. Aceste obiecte se numesc obiecte schema (sau metadate) și vă permit să modificați și să extindeți schema după cum este necesar. Cu toate acestea, fiecare obiect de schemă face parte din definițiile obiectului Active Directory, deci dezactivarea sau schimbarea acestor obiecte poate avea consecințe grave, deoarece în urma acestor acțiuni structura va fi modificată Active Directory. Modificările aduse unui obiect de schemă sunt propagate automat către Active Directory. Odată creat, un obiect de schemă nu poate fi șters, poate fi doar dezactivat. De obicei, toate modificările schemei sunt planificate cu atenție.
Container asemănătoare obiectîn sensul că are și atribute și aparține unui spațiu de nume, dar, spre deosebire de un obiect, un container nu reprezintă nimic anume: poate conține un grup de obiecte sau alte containere.
Structura
Nivelul superior al structurii este pădurea - colecția tuturor obiectelor, atributelor și regulilor (sintaxa atributelor) în Active Directory. O pădure conține unul sau mai mulți copaci legați prin tranzitiv relații de încredere . Arborele conține unul sau mai multe domenii, de asemenea legate într-o ierarhie prin relații de încredere tranzitive. Domeniile sunt identificate prin structurile lor de nume DNS - spații de nume.
Obiectele dintr-un domeniu pot fi grupate în containere - diviziuni. Diviziile vă permit să creați o ierarhie în cadrul unui domeniu, să simplificați administrarea acestuia și să modelați structura organizatorică și/sau geografică a unei companii în Active Directory. Diviziile pot conține alte diviziuni. Corporation Microsoft recomandă utilizarea a cât mai puține domenii posibil în Active Directoryși folosiți diviziunile pentru structurare și politici. Adesea, politicile de grup sunt aplicate în mod specific departamentelor. Politicile de grup sunt ele însele obiecte. O diviziune este cel mai de jos nivel la care poate fi delegată autoritatea administrativă.
Un alt mod de a împărți Active Directory sunt site-uri , care sunt o metodă de grupare fizică (mai degrabă decât logică) bazată pe segmente de rețea. Site-urile sunt împărțite în cele care au conexiuni prin canale de viteză redusă (de exemplu, prin canale de rețea globală, folosind rețele private virtuale) și prin canale de mare viteză (de exemplu, printr-o rețea locală). Un site web poate conține unul sau mai multe domenii, iar un domeniu poate conține unul sau mai multe site-uri web. La proiectare Active Directory Este important să luați în considerare traficul de rețea creat atunci când datele sunt sincronizate între site-uri.
Decizia cheie de proiectare Active Directory este decizia de a împărți infrastructura informațională în domenii ierarhice și unități de nivel superior. Modelele tipice utilizate pentru o astfel de separare sunt modelele de separare pe divizii funcționale ale companiei, pe locație geografică și pe roluri în infrastructura informațională a companiei. Combinațiile acestor modele sunt adesea folosite.
Structura fizică și replicare
Din punct de vedere fizic, informațiile sunt stocate pe unul sau mai multe controlere de domeniu echivalente, înlocuindu-le pe cele utilizate în Windows NT controlere de domeniu primare și de rezervă, deși pentru unele operațiuni este păstrat un așa-numit server de „operațiuni master unice”, care poate emula un controler de domeniu primar. Fiecare controler de domeniu păstrează o copie de citire-scriere a datelor. Modificările efectuate pe un controler sunt sincronizate cu toate controlerele de domeniu prin replicare. Servere pe care serviciul în sine Active Directory nu sunt instalate, dar care fac parte din domeniu Active Directory, sunt numite servere membre.
Replicare Active Directory efectuate la cerere. Serviciu Verificator de consistență a cunoștințelor creează o topologie de replicare care utilizează site-uri definite în sistem pentru a controla traficul. Replicarea intrasite are loc frecvent și automat folosind un verificator de consistență (notificând partenerii de replicare cu privire la modificări). Replicarea între site-uri poate fi configurată pentru fiecare canal de site (în funcție de calitatea canalului) - un „scor” (sau „cost”) diferit poate fi atribuit fiecărui canal (de ex. DS3, , ISDN etc.), iar traficul de replicare va fi limitat, programat și direcționat conform estimării legăturii atribuite. Datele de replicare pot circula tranzitiv pe mai multe site-uri prin intermediul punților de link-uri de site-uri dacă „scorul” este scăzut, deși AD atribuie automat un scor mai mic link-urilor de la site la site decât link-urilor tranzitive. Replicarea de la site la site este efectuată de serverele cap de pod de la fiecare site, care apoi replic modificările la fiecare controler de domeniu din site-ul său. Replicarea intra-domeniu urmează protocolul RPC conform protocolului IP, interdomeniu - poate folosi și protocolul SMTP.
Dacă structura Active Directory conţine mai multe domenii, este folosit pentru a rezolva problema căutării obiectelor catalogul global: Un controler de domeniu care conține toate obiectele din pădure, dar cu un set limitat de atribute (o replică parțială). Catalogul este stocat pe serverele de catalog globale specificate și servește solicitări între domenii.
Capacitatea de o singură gazdă permite procesarea cererilor atunci când replicarea multi-gazdă nu este posibilă. Există cinci tipuri de astfel de operații: emularea controlerului de domeniu principal (emulator PDC), masterul de identificare relativ (masterul de identificare relativ sau masterul RID), masterul de infrastructură (masterul de infrastructură), masterul de schemă (masterul de schemă) și masterul de denumire a domeniului (domeniul). vrăjitor de denumire). Primele trei roluri sunt unice în domeniu, ultimele două sunt unice în întreaga pădure.
Baza Active Directory poate fi împărțit în trei depozite logice sau „partiții”. Diagrama este un șablon pentru Active Directoryși definește toate tipurile de obiecte, clasele și atributele acestora, sintaxa atributelor (toți copacii sunt în aceeași pădure deoarece au aceeași schemă). Configurația este structura pădurii și a copacilor Active Directory. Un domeniu stochează toate informațiile despre obiectele create în acel domeniu. Primele două magazine sunt replicate la toate controlerele de domeniu din pădure, a treia partiție este replicată complet între controlerele de replica din fiecare domeniu și parțial replicată pe serverele de catalog global.
Denumire
Active Directory acceptă următoarele formate de denumire a obiectelor: nume de tip generic UNC, URLŞi URL LDAP. Versiune LDAP Formatul de denumire X.500 utilizat intern Active Directory.
Fiecare obiect are nume distins (engleză) nume distins, DN). De exemplu, un obiect imprimantă numit HPLaser3în OU Marketing și în domeniul foo.org va avea următorul nume distinctiv: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , unde CN este numele comun, OU este secțiunea, DC este domeniul clasa de obiecte. Numele distinse pot avea mult mai multe părți decât cele patru părți din acest exemplu. Obiectele au și nume canonice. Acestea sunt nume distincte scrise în ordine inversă, fără identificatori și folosind bare oblice drept delimitatori: foo.org/Marketing/HPLaser3. Pentru a defini un obiect în interiorul containerului său, utilizați nume distinctiv relativ : CN=HPLaser3. Fiecare obiect are, de asemenea, un identificator unic la nivel global ( GUID) este un șir unic și imuabil de 128 de biți care este utilizat în Active Directory pentru căutare și replicare. Anumite obiecte au și un UPN ( UPN, în conformitate cu RFC 822) în format obiect@domeniu.
integrare UNIX
Diverse niveluri de interacțiune cu Active Directory poate fi implementat în majoritatea UNIX-cum ar fi sistemele de operare prin standarde conforme LDAP clienții, dar astfel de sisteme, de regulă, nu percep majoritatea atributelor asociate componentelor Windows, cum ar fi politicile de grup și sprijinul pentru împuterniciri unidirecționale.
Furnizorii terți oferă integrări Active Directory pe platforme UNIX, inclusiv UNIX, Linux, Mac OS Xși o serie de aplicații bazate pe Java, cu un pachet de produse:
Adăugări de schemă incluse cu Windows Server 2003 R2 includeți atribute care sunt suficient de apropiate de RFC 2307 pentru a fi utilizate în general. Implementări de bază ale RFC 2307, nss_ldap și pam_ldap, propuse PADL.com, acceptă direct aceste atribute. Schema standard pentru apartenența la grup urmează RFC 2307bis (propus). Windows Server 2003 R2 include Microsoft Management Console pentru crearea și editarea atributelor.
O opțiune alternativă este utilizarea unui alt serviciu de director, cum ar fi 389 Directory Server(anterior Fedora Directory Server, FDS), eB2Bcom ViewDS v7.1 Director cu XML activat sau Sun Java System Directory Server din Microsisteme solare, care realizează sincronizarea în două sensuri cu Active Directory, realizând astfel integrarea „reflectată” atunci când clienții UNIXŞi Linux sunt autentificate FDS, și clienți Windows sunt autentificate Active Directory. O altă opțiune este utilizarea OpenLDAP cu capacitate de suprapunere translucidă care extinde elementele serverului de la distanță LDAP atribute suplimentare stocate în baza de date locală.
Active Directory sunt automatizate folosind Powershell .
Literatură
- Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003. Ghid complet = Microsoft Exchange Server 2003 Unleashed. - M.: „Williams”, 2006. - P. 1024. - ISBN 0-672-32581-0
Vezi de asemenea
Legături
Note
| Componente Microsoft Windows | |
|---|---|
| De bază | |
| Servicii management |
|
| Aplicații |
Contacte DVD Maker Faxuri și scanare Internet Explorer Revistă Lupă Centrul media Windows Media Player Programul de colaborare Centrul de dispozitive Windows Mobile Centrul de mobilitate Narator Paint Editor de simboluri personale Asistență de la distanță Recunoașterea vorbirii WordPad Caiet Bara laterală Înregistrare sunet Calendaristic Calculator Foarfece Mail Tabelul cu simboluri Istoric: Movie Maker NetMeeting Outlook Express Manager de program Manager de fișiere Album foto |
| Jocuri | |
| Nucleul OS | |
| Servicii | |
| Fişier sisteme |
|
| Server |
Active Directory Servicii de implementare Serviciul de replicare a fișierelor Domenii DNS Redirecționarea folderului Hyper-V IIS Media Services MSMQ Protecția accesului la rețea (NAP) Servicii de imprimare pentru UNIX Compresie diferențială de la distanță Servicii de instalare la distanță Serviciul de management al drepturilor Profiluri de utilizator în roaming SharePoint Manager resurse de sistem Desktop la distanță WSUS Politica de grup Coordonator de tranzacții distribuite |
| Arhitectură | |
| Siguranţă | |
| Compatibilitate | |
| Microsoft | ||
|---|---|---|
| DE | ||
| Software de server | ||
| Tehnologii | ||
| Internet | ||
| Jocuri | ||
| Hardware securitate |
||
| Educaţie | ||
| Licențiere | ||
| Diviziuni | ||
Active Directory - Serviciul de directoare Active Directory extensibil și scalabil vă permite să gestionați eficient resursele rețelei.
Active Directory este un depozit organizat ierarhic de date despre obiectele din rețea, oferind mijloace convenabile pentru căutarea și utilizarea acestor date. Computerul care rulează Active Directory se numește controler de domeniu. Aproape toate sarcinile administrative sunt legate de Active Directory.
Tehnologia Active Directory se bazează pe protocoale standard de Internet și ajută la definirea clară a structurii rețelei, citiți mai multe despre cum să implementați un domeniu Active Directory de la zero.
Active Directory și DNS
Active Directory folosește sistemul de nume de domeniu.
Folosind serviciul Active Directory, conturile de computer sunt create, conectate la domeniu, iar computerele, controlerele de domeniu și unitățile organizaționale (OU) sunt gestionate.
Sunt furnizate instrumente de administrare și asistență pentru a gestiona Active Directory. Instrumentele enumerate mai jos sunt, de asemenea, implementate ca componente snap-in în consola MMC (Microsoft Management Console):
Active Directory - utilizatori și computere (Active Directory Users and Computers) vă permite să gestionați utilizatori, grupuri, computere și unități organizaționale (OU);
Active Directory - domenii și trusturi (Active Directory Domains and Trusts) este folosit pentru a lucra cu domenii, arbori de domenii și păduri de domenii;
Site-uri și servicii Active Directory vă permite să gestionați site-uri și subrețele;
Setul de politici rezultat este utilizat pentru a vizualiza politica curentă a unui utilizator sau a unui sistem și pentru a programa modificări ale politicii.
În Microsoft Windows 2003 Server, puteți accesa aceste componente snap-in direct din meniul Instrumente administrative.
Un alt instrument administrativ, snap-in Schema Active Directory, vă permite să gestionați și să modificați schema de director.
Pentru a gestiona obiectele Active Directory, există instrumente de linie de comandă care vă permit să efectuați o gamă largă de sarcini administrative:
DSADD - adaugă computere, contacte, grupuri, OU și utilizatori la Active Directory.
DSGET - afișează proprietățile computerelor, contactelor, grupurilor, OU-urilor, utilizatorilor, site-urilor, subrețelelor și serverelor înregistrate în Active Directory.
DSMOD - modifică proprietățile computerelor, contactelor, grupurilor, OP-urilor, utilizatorilor și serverelor înregistrate în Active Directory.
DSMOVE - Mută un singur obiect într-o locație nouă în cadrul unui domeniu sau redenumește obiectul fără a-l muta.
DSQXJERY - caută computere, contacte, grupuri, OP-uri, utilizatori, site-uri, subrețele și servere în Active Directory conform criteriilor specificate.
DSRM - elimină un obiect din Active Directory.
NTDSUTIL - vă permite să vizualizați informații despre un site, domeniu sau server, să gestionați operațiunile master și să mențineți baza de date Active Directory.
Bazele Active Directory
Serviciu Active Directory
Serviciu de directoare extensibil și scalabil Activ Director vă permite să gestionați eficient resursele rețelei.
Activ Directorul este un depozit organizat ierarhic de date despre obiectele din rețea, oferind mijloace convenabile pentru căutarea și utilizarea acestor date.. Computer care rulează activ Director, sunat controler de domeniu . CU Active DirectoryAproape toate sarcinile administrative sunt legate.
Tehnologia Active Directory se bazează pe standard protocoale de internetși ajută la definirea clară a structurii rețelei.
Active Directory și DNS
ÎN Activ DirectoryEste folosit sistemul de nume de domeniu.
DomeniuNume System (DNS) este un serviciu standard de Internet care organizează grupuri de computere în domenii.Domeniile DNS au o structură ierarhică care formează baza Internetului. Diferitele niveluri ale acestei ierarhii identifică computerele, domeniile organizaționale și domeniile de nivel superior. DNS servește și la rezolvarea numelor de gazdă, de ex. z eta.webatwork.com la adrese IP numerice, cum ar fi 192.168.19.2. Folosind DNS, ierarhia domeniului Active Directory poate fi integrată în spațiul Internet sau lăsată independentă și izolată de accesul extern.
Pentru a accesa resurse în Domeniul folosește numele de gazdă complet calificat, de exemplu zeta.webatwork.com. Aicizeta- numele computerului individual, webatwork - domeniul organizației și com - domeniul de nivel superior. Domeniile de nivel superior formează fundamentul ierarhiei DNS și, prin urmare, sunt numite domenii rădăcină (domenii rădăcină). Acestea sunt organizate geografic, cu nume bazate pe coduri de țară din două litere (rupentru Rusia), după tipul de organizație (sute pentru organizațiile comerciale) și pentru scopurile prevăzute ( mil pentru organizaţiile militare).
Domeniile obișnuite, cum ar fi microsoft.com, sunt numite părinţi (domeniul părinte) întrucât formează baza structurii organizatorice. Domeniile părinte pot fi împărțite în subdomenii ale diferitelor ramuri sau ramuri îndepărtate. De exemplu, numele complet al unui computer de la biroul Microsoft din Seattle ar putea fi jacob.seattle.microsoft.com , Unde jacob- numele computerului, sealtle - subdomeniu, iar microsoft.com este domeniul părinte. Un alt nume pentru subdomeniu este domeniul copil (domeniu copil).
Componente Activ Director
Active Directory combină structura fizică și logică pentru componentele rețelei. Structurile logice Active Directory ajută la organizarea obiectelor de director și la gestionarea conturilor de rețea și a partajărilor. Structura logică include următoarele elemente:
unitate organizatorica - un subgrup de calculatoare, care reflectă de obicei structura companiei;
domeniu ( domeniu) - un grup de calculatoare care partajează o bază de date de catalog comun;
arborele domeniului (domeniu copac) - unul sau mai multe domenii care partajează un spațiu de nume contiguu;
pădure de domeniu - unul sau mai mulți arbori care partajează informații despre director.
Elementele fizice ajută la planificarea structurii actuale a rețelei. Pe baza structurilor fizice, se formează conexiunile de rețea și limitele fizice ale resurselor rețelei. Structura fizică include următoarele elemente:
subrețea ( subrețea) - un grup de rețea cu o zonă de adresă IP specificată și o mască de rețea;
site-ul web ( site-ul) - una sau mai multe subrețele. Site-ul este folosit pentru a configura accesul la director și pentru replicare.
Divizii organizatorice
Unitățile organizaționale (OU) sunt subgrupuri din domenii care reflectă adesea structura funcțională a unei organizații. OU-urile sunt un fel de containere logice care adăpostesc conturi, acțiuni și alte OU. De exemplu, puteți crea într-un domeniu microsoft. com diviziuni Resurse, IT, Marketing. Această schemă poate fi apoi extinsă pentru a conține unități copil.
Numai obiectele din domeniul părinte pot fi plasate în OP. De exemplu, OU-urile din domeniul Seattle.microsoft.com conțin numai obiecte din acel domeniu. Adăugați obiecte de acolomy. microsoft.com nu este permis. OP sunt foarte convenabile atunci când se formează un funcțional sau structuri de afaceri organizatii. Dar acesta nu este singurul motiv pentru utilizarea lor.
OP-urile vă permit să definiți o politică de grup pentru un set mic de resurse dintr-un domeniu fără a fi nevoie să o aplicați întregului domeniu. OP creează vederi compacte și mai ușor de gestionat ale obiectelor directoare dintr-un domeniu, ceea ce vă ajută să gestionați resursele mai eficient.
OP-urile vă permit să delegați autoritatea și să controlați accesul administrativ la resursele de domeniu, ceea ce vă ajută să stabiliți limitele autorității de administrator în domeniu. Este posibil să transferați drepturi administrative către utilizatorul A pentru o singură OU și, în același timp, să transferați drepturi administrative către utilizatorul B pentru toate OU-urile din domeniu.
Domenii
Domeniu Active Directory este un grup de computere care partajează o bază de date de directoare comună. Numele de domenii Active Directory trebuie să fie unice. De exemplu, nu pot exista două domenii microsoft.com, dar poate exista un domeniu părinte microsoft.com cu domenii secundare seattle.microsoft.com și my.microsoft.com. Dacă domeniul face parte dintr-o rețea închisă, numele atribuit noului domeniu nu trebuie să intre în conflict cu niciun nume de domeniu existent în acea rețea. Dacă un domeniu face parte din Internetul global, atunci numele său nu trebuie să intre în conflict cu niciunul dintre numele de domeniu existente pe Internet. Pentru a vă asigura că numele sunt unice pe Internet, numele de domeniu părinte trebuie înregistrat prin orice organizație de înregistrare autorizată.
Fiecare domeniu are propriile politici de securitate și relații de încredere cu alte domenii. Adesea, domeniile sunt distribuite pe mai multe locații fizice, adică constau din mai multe site-uri, iar site-urile combină mai multe subrețele. Baza de date a directorului de domenii stochează obiecte care definesc conturi pentru utilizatori, grupuri și computere, precum și resurse partajate, cum ar fi imprimante și foldere.
Funcțiile unui domeniu sunt limitate și reglementate de modul de funcționare al acestuia. Există patru moduri funcționale de domeniu:
modul mixt Windows 2000 (mod mixt) - acceptă controlere de domeniu care rulează Windows NT 4.0, Wi ndows 2000 și Windows Server 2003;
Modul nativ Windows 2000 - acceptă controlere de domeniu care rulează Windows 2000 și Windows Server 2003;
modul intermediar Windows Server 2003 ( interimar modul) - acceptă controlere de domeniu care rulează Windows NT 4.0 și Windows Server 2003;
modul Windows Server 2003 - acceptă controlere de domeniu care rulează Windows Server 2003.
Păduri și copaci
Fiecare domeniu Activ Director are DNS-nume tip microsoft.com. Domeniile care partajează date de director formează o pădure. Numele de domenii forestiere din ierarhia numelor DNS sunt necontigue(discontiguu) sau adiacent(învecinat).
Domeniile care au o structură de denumire contiguă sunt numite arbore de domenii. Dacă domeniile dintr-o pădure au nume DNS necontigue, ele formează arbori de domenii separate în pădure. O pădure poate include unul sau mai mulți copaci. Consola este folosită pentru a accesa structurile de domeniiActiv Director- domenii și încredere (ActivDirector Domeniişi trusturi).
Funcțiile pădurilor sunt limitate și reglementate de regimul funcțional al pădurii. Există trei astfel de moduri:
Windows 2000 - acceptă controlere de domeniu care rulează Windows NT 4.0, Windows 2000 și Windows Server 2003;
intermediar ( interimar) Windows Server 2003 - acceptă controlere de domeniu care rulează Windows NT 4.0 și Windows Server 2003;
Windows Server 2003 - acceptă controlere de domeniu care rulează Windows Server 2003.
Cele mai moderne caracteristici Active Directory sunt disponibile în modul Windows Server 2003 Dacă toate domeniile din pădure rulează în acest mod, vă puteți bucura de o replicare a catalogului global îmbunătățită și de o replicare mai eficientă a datelor Active Directory. De asemenea, puteți să dezactivați clasele și atributele de schemă, să utilizați clase de ajutor dinamice, să redenumiți domeniile și să creați relații de încredere unidirecționale, bidirecționale și tranzitive în pădure.
Site-uri și subrețele
Site-ul web este un grup de computere aflate pe una sau mai multe subrețele IP utilizate pentru a planifica structura fizică a unei rețele. Planificarea site-ului are loc indiferent de structura logică a domeniului. Active Directory vă permite să creați mai multe site-uri într-un singur domeniu sau un site care acoperă mai multe domenii.
Spre deosebire de site-urile, care se pot întinde pe mai multe domenii de adresă IP, subrețelele au un domeniu de adresă IP și o mască de rețea definite. Numele de subrețea sunt specificate în format rețea/mască de biți, de exemplu 192.168.19.0/24, unde adresa de rețea 192.168.19.0 și masca de rețea 255.255.255.0 sunt combinate în numele de subrețea 192.168.19.0/24.
Calculatoarele sunt alocate site-urilor în funcție de locația lor pe o subrețea sau un set de subrețele. Dacă computerele din subrețele sunt capabile să comunice la viteze suficient de mari, acestea sunt apelate bine conectat (bine conectat).
În mod ideal, site-urile sunt formate din subrețele și computere bine conectate. Dacă traficul dintre subrețele și computere este lent, poate fi necesar să creați mai multe site-uri. Conectivitate bună oferă site-urilor câteva avantaje.
Când un client se conectează la un domeniu, procesul de autentificare caută mai întâi un controler de domeniu local pe site-ul clientului, ceea ce înseamnă că controlorii locali sunt interogați mai întâi atunci când este posibil, limitând traficul de rețea și accelerând autentificarea.
Informațiile din director sunt replicate mai frecvent interior site-uri decât între site-uri. Acest lucru reduce traficul între rețele cauzat de replicare și asigură faptul că controlorii de domeniu local primesc rapid informații actualizate.
Puteți configura ordinea în care datele din director sunt replicate folosind link-uri de site (linkuri site-uri). De exemplu, definiți server cap de pod (cap de pod) pentru replicare între site-uri.
Cea mai mare parte a încărcării de la replicarea pe mai multe site-uri va cădea pe acest server dedicat, mai degrabă decât pe orice server de site disponibil. Site-uri webși subrețelele sunt configurate în consolă Active Directory - site-uri și servicii(Site-uri și servicii Active Directory).
Lucrul cu domenii Active Directory
Online Windows Server 2003 serviciu ActivDirectorconfigurat simultan cuDNS. Cu toate acestea, domeniile Active Directory și domeniile DNS au scopuri diferite. Domeniile Active Directory ajută la gestionarea conturilor, resurselor și securității.
Ierarhia domeniului DNS este concepută în primul rând pentru rezoluția numelor.
Calculatoarele care rulează Windows XP Professional și Windows 2000 pot profita din plin de Active Directory. Ele operează în rețea ca clienți Active Directory și au acces la relații de încredere tranzitive care există într-un arbore sau o pădure de domenii. Aceste relații permit utilizatorilor autorizați să acceseze resurse din orice domeniu din pădure.
Sistem Windows Server 2003 funcționează ca un controler de domeniu sau ca un server membru. Serverele membre devin controlori după ce este instalat Active Directory; controlerele sunt retrogradate la serverele membre după ce Active Directory este eliminat.
Ambele procese sunt efectuate Expertul de instalare Active Directory. Pot exista mai multe controlere într-un domeniu. Ei replic datele directorului între ei folosind un model de replicare multi-master, care permite fiecărui controler să proceseze modificările directorului și apoi să le transmită altor controlere. Cu o structură multi-master, toți controlorii au în mod implicit responsabilitatea egală. Cu toate acestea, puteți acorda anumitor controlere de domeniu prioritate față de altele pentru anumite sarcini, cum ar fi crearea unui server cap de pod care are prioritate atunci când replica datele directorului pe alte site-uri.
În plus, unele sarcini sunt mai bine efectuate pe un server dedicat. Este numit un server care procesează un anumit tip de sarcină maestru de operațiuni (maestru de operațiuni).
Conturile sunt create pentru toate computerele Windows 2000, Windows XP Professional și Windows Server 2003 care sunt conectate la un domeniu și, ca și alte resurse, sunt stocate ca obiecte Active Directory. Conturile de computer sunt utilizate pentru a controla accesul la rețea și la resursele acesteia Înainte ca un computer să poată accesa un domeniu folosind contul său, acesta trebuie să fie supus unei proceduri de autentificare.
Structura directorului
Datele din director sunt puse la dispoziția utilizatorilor și computerelor prin intermediul depozit de date (magazine de date) și directoare globale (globalăcataloage). Deși majoritatea caracteristicilorActivDirectorafectează stocarea datelor, cataloagele globale (GC) nu sunt mai puțin importante deoarece sunt folosite pentru autentificarea în sistem și căutarea de informații. Dacă GC nu este disponibil, utilizatorii obișnuiți nu se vor putea conecta la domeniu. Singura modalitate de a ocoli această condiție este să memorați în cache abonamentul la nivel local grupuri universale.
Accesul și distribuirea datelor din Active Directory se asigură prin mijloace protocoale de acces la directoare (director accesprotocoale) Și replicare (replicare).
Replicarea este necesară pentru a distribui datele actualizate către controlori. Metoda principală de distribuire a actualizărilor este replicarea multi-master, dar unele modificări sunt procesate numai de controlere specializate - maeștri ai operațiunilor (maeștri de operațiuni).
Modul în care este efectuată replicarea multi-master în Windows Server 2003 sa schimbat, de asemenea, odată cu introducerea secțiuni de catalog aplicatii (aplicareadirectordespărțitori). Prin intermediul acestora, administratorii de sistem pot crea partiții de replicare într-o pădure de domeniu, care sunt structuri logice utilizate pentru a gestiona replicarea într-o pădure de domeniu. De exemplu, puteți crea o partiție care se va ocupa de replicarea informațiilor DNS într-un domeniu. Alte sisteme din domeniu nu au voie să reproducă informațiile DNS.
Partițiile din directorul de aplicații pot fi un copil al unui domeniu, un copil al unei alte partiții de aplicație sau un arbore nou într-o pădure de domenii. Replicile partițiilor pot fi găzduite pe orice controler de domeniu Active Directory, inclusiv cataloage globale. Deși partițiile directoare de aplicații sunt utile în domenii mari și păduri, ele măresc costurile de planificare, administrare și întreținere.
Stocarea datelor
Depozitul conține informații despre cele mai importante obiecte ale serviciului de directoare Active Directory - conturi, resurse partajate, politicile OP și de grup. Uneori, un depozit de date este numit pur și simplu catalog (director). Pe controlerul de domeniu, directorul este stocat în fișierul NTDS.DIT, a cărui locație este determinată atunci când este instalat Active Directory (aceasta trebuie să fie o unitate NTFS). Unele date din director pot fi stocate și separat de magazinul principal, cum ar fi politicile de grup, scripturile și alte informații stocate în partajarea sistemului SYSVOL.
Se apelează partajarea informațiilor din director publicare (publica). De exemplu, atunci când o imprimantă este deschisă pentru utilizare într-o rețea, aceasta este publicată; informațiile despre folderul partajat sunt publicate etc. Controlerele de domeniu reproduc majoritatea modificărilor aduse stocării într-un mod multi-master. Un administrator dintr-o organizație mică sau mijlocie gestionează rareori replicarea stocării, deoarece este automată, dar poate fi configurată pentru a se potrivi specificului arhitecturii rețelei.
Nu toate datele directorului sunt replicate, doar:
Date de domeniu - informații despre obiectele din domeniu, inclusiv obiectele conturilor, resursele partajate, OP și politicile de grup;
Date de configurare - informații despre topologia directorului: o listă cu toate domeniile, copacii și pădurile, precum și locația controlorilor și a serverelor GC;
Date schema - informații despre toate obiectele și tipurile de date care pot fi stocate în director; Schema standard Windows Server 2003 descrie obiecte de cont, obiecte de resurse partajate etc. și poate fi extinsă prin definirea de noi obiecte și atribute sau prin adăugarea de atribute la obiectele existente.
Catalog global
Dacă memorarea în cache a membrilor local nu sunt efectuate grupuri universale;
De asemenea, oferă căutare în directoare în toate domeniile din pădure. Controlor, joc de rol Serverul GK stochează o replică completă a tuturor obiectelor director din domeniul său și o replică parțială a obiectelor din alte domenii ale pădurii.
Sunt necesare doar câteva proprietăți ale obiectului pentru autentificare și căutare, astfel încât pot fi utilizate replici parțiale. Pentru a forma o replică parțială, replicarea necesită transferul de mai puține date, ceea ce reduce traficul de rețea.
În mod implicit, primul controler de domeniu devine controlerul de domeniu principal. Prin urmare, dacă există un singur controler într-un domeniu, atunci serverul de domeniu principal și controlerul de domeniu sunt același server. Puteți plasa GC pe un alt controler pentru a reduce timpul necesar pentru a aștepta un răspuns când vă conectați și pentru a accelera căutarea. Se recomandă crearea unui GC în fiecare site de domeniu.
Există mai multe modalități de a rezolva această problemă. Desigur, puteți crea un server GC pe unul dintre controlerele de domeniu dintr-un birou la distanță. Dezavantajul acestei metode este că crește sarcina pe serverul GK, ceea ce poate necesita resurse suplimentare și o planificare atentă a timpului de funcționare a acestui server.
O altă soluție este să memorați în cache membrii grupurilor universale la nivel local. În acest caz, orice controler de domeniu poate deservi cererile de autentificare local, fără a contacta serverul de domeniu principal. Acest lucru accelerează procedura de conectare și ușurează situația în cazul unei defecțiuni a serverului GK. În plus, acest lucru reduce traficul de replicare.
În loc să actualizați periodic întregul grup în întreaga rețea, este suficient să actualizați informațiile din cache despre apartenența la grup universal. În mod implicit, actualizarea are loc la fiecare opt ore pe fiecare controler de domeniu care utilizează memorarea în cache a apartenenței la grup universal local.
Calitatea de membru în grup universal individual pentru fiecare site. Să ne amintim că un site este o structură fizică formată din una sau mai multe subrețele care au un set individual de adrese IP și o mască de rețea. Controlere de domeniu Windows Server 2003 și GC pe care îl accesează trebuie să fie în același site. Dacă există mai multe site-uri, va trebui să configurați memoria cache locală pe fiecare dintre ele. În plus, utilizatorii care se conectează la site trebuie să facă parte dintr-un domeniu Windows Server 2003 care rulează în modul pădure Windows Server 2003.
Replicare în Active Directory
Directorul stochează trei tipuri de informații: date de domeniu, date de schemă și date de configurare. Datele de domeniu sunt replicate tuturor controlerelor de domeniu. Toți controlorii de domeniu au drepturi egale, de ex. toate modificările efectuate de la orice controler de domeniu vor fi replicate tuturor celorlalte controlere de domeniu. Datele de proiectare și configurare sunt replicate în toate domeniile din arbore sau pădure. În plus, toate obiectele unui domeniu individual și unele dintre proprietățile obiectelor din pădure sunt replicate în GC. Aceasta înseamnă că controlerul de domeniu stochează și replică schema pentru arbore sau pădure, informații de configurare pentru toate domeniile din arbore sau pădure și toate obiectele și proprietățile directorului pentru propriul domeniu.
Controlerul de domeniu pe care este stocat GC conține și replică informații de schemă pentru pădure, informații de configurare pentru toate domeniile din pădure și un set limitat de proprietăți pentru toate obiectele director din pădure (este replicat numai între serverele GC), precum și toate obiectele și proprietățile directorului pentru domeniul dvs.
Pentru a înțelege esența replicării, luați în considerare acest scenariu pentru configurarea unei noi rețele.
1. În domeniu Primul controler a fost instalat. Acest server este singurul controler de domeniu. El este și serverul GK. Replicarea nu are loc într-o astfel de rețea, deoarece nu există alte controlere.
2. În domeniu Și un al doilea controler este instalat și începe replicarea. Puteți desemna un controler ca master al infrastructurii și celălalt ca server GC. Proprietarul infrastructurii monitorizează și solicită actualizări GL pentru obiectele modificate. Ambele aceste controlere reproduc, de asemenea, schema și datele de configurare.
3. În domeniu Și este instalat un al treilea controler, care nu are o unitate de control principală. Maestrul infrastructurii monitorizează actualizările GC, le solicită pentru obiectele modificate și apoi reproduce modificările la un al treilea controler de domeniu. Toate cele trei controlere reproduc, de asemenea, schema și datele de configurare.
4. Se creează un nou domeniu B și i se adaugă controlere. Serverele GC din Domeniul A și Domeniul B reproduc toate datele de schemă și configurație, precum și un subset de date de domeniu din fiecare domeniu. Replicarea în domeniul A continuă așa cum este descris mai sus, plus replicarea în domeniul B începe.
ActivDirectorŞi LDAP
Protocolul ușor de acces la director (LDAP) este un protocol standard pentru conexiunile la Internet în rețelele TCP/IP. LDAP este conceput special pentru accesarea serviciilor de directoare cu o suprasarcină minimă. LDAP definește, de asemenea, operațiunile utilizate pentru interogarea și modificarea informațiilor din director.
Clienții Active Directory folosește LDAP pentru a comunica cu computerele care rulează Active Directory ori de câte ori se conectează la rețea sau caută resurse partajate. LDAP simplifică interconectarea directoarelor și migrarea către Active Directory de la alte servicii de director. Pentru a îmbunătăți compatibilitatea, puteți utiliza interfețele Serviciilor Active Directory (ActivDirector Serviciu- Interfețe, ADSI).
Roluri de master operațiuni
Operațiunile master se ocupă de sarcini care sunt incomod de efectuat într-un model de replicare multi-master. Există cinci roluri de master operațiuni care pot fi atribuite unuia sau mai multor controlere de domeniu. Unele roluri trebuie să fie unice la nivel de pădure, în timp ce altele trebuie să fie unice la nivel de domeniu. Următoarele roluri trebuie să existe în fiecare pădure Active Directory:
Schema master) - gestionează actualizările și modificările la schema directorului. Pentru a actualiza o schemă de director, trebuie să aveți acces la masterul schemei. Pentru a determina care server este în prezent masterul schemei în domeniu, deschideți o fereastră de linie de comandă și introduceți: dsquery server -arefsmo schemă.
Maestru de nume de domeniu - gestionează adăugarea și îndepărtarea de domenii în pădure. Pentru a adăuga sau elimina un domeniu, aveți nevoie de acces la masterul de denumire a domeniului. Pentru a determina care server este în prezent masterul de denumire a domeniului, trebuie doar să introduceți în fereastra liniei de comandă: dsquery server -arefsmo nume.
Aceste roluri, comune pădurii în ansamblu, trebuie să fie unice pentru aceasta.
Următoarele roluri sunt necesare în fiecare domeniu Active Directory.
Master ID relativ - alocă identificatori relativi controlorilor de domeniu. De fiecare dată când creați un utilizator, un obiect de grup sau controlorii computerului atribuie unui obiect un identificator de securitate unic, constând dintr-un identificator de securitate de domeniu și un identificator unic care a fost alocat de către comandantul identificatorilor relativi. Pentru a determina care server este în prezent proprietarul identificatorilor relativi din domeniu, trebuie doar să introduceți în fereastra de linie de comandă: dsqueryserver -arefsmoscăpa.
Emulator PDC (emulator PDC) - În modul de domeniu mixt sau intermediar, acționează ca un controler de domeniu principal Windows NT. Autentifică login-urile Windows NT, gestionează modificările parolei și reproduce actualizările P DC. Pentru a determina care server este în prezent emulatorul PDC din domeniu, trebuie doar să introduceți în fereastra de linie de comandă dsquery server - hasfsmo pdc.
Proprietarul infrastructurii maestru ) - actualizează legăturile obiectelor comparând datele din catalog cu datele GK. Dacă datele sunt învechite, solicită actualizări de la GC și le reproduce controlorilor rămași din domeniu. Pentru a determina care server este în prezent proprietarul infrastructurii din domeniu, doar în fereastra de linie de comandă și intrați dsqueryserver -hasfsmo infr .
Aceste roluri, care sunt comune întregului domeniu, trebuie să fie unice în cadrul domeniului. Cu alte cuvinte, puteți configura un singur master de identitate relativă, un emulator PDC și un master de infrastructură per domeniu.
Rolurile de master operațiuni sunt de obicei atribuite automat, dar pot fi reatribuite. Când este instalată o nouă rețea, primul controler de domeniu al primului domeniu își asumă toate rolurile de master operațiuni. Dacă un nou domeniu copil sau un domeniu rădăcină este creat ulterior în noul arbore, rolurile de master operațiuni sunt, de asemenea, atribuite automat primului controler de domeniu. Într-o pădure de domeniu nouă, controlerului de domeniu i se atribuie toate rolurile de master operațiuni. Dacă un domeniu nou este creat în aceeași pădure, controlerului acestuia i se atribuie rolul de Relative ID Master, Emulator PDC și proprietarul infrastructurii. Rolurile de master schema și de domain naming master rămân cu primul domeniu din pădure.
Dacă există un singur controler într-un domeniu, acesta îndeplinește toate rolurile de master operațiuni. Dacă există un singur site în rețea, locația standard a maeștrilor de operațiuni este optimă. Dar, pe măsură ce adăugați controlere de domeniu și domenii, uneori trebuie să mutați rolurile de master operațiuni în alte controlere de domeniu.
Dacă există două sau mai multe controlere de domeniu într-un domeniu, se recomandă ca două controlere de domeniu să fie configurate pentru a servi ca roluri de master operațiuni. De exemplu, desemnați un controler de domeniu ca master principal al operațiunilor, iar celălalt ca rezervă, care va fi necesar dacă cel principal eșuează.
Administrare Active Directory
CFolosind serviciul Active Directory, sunt create conturi de computer, sunt conectate la domeniu și sunt gestionate computerele, controlerele de domeniu și unitățile organizaționale (OU).
Sunt furnizate instrumente de administrare și asistență pentru a gestiona Active Directory. Instrumentele enumerate mai jos sunt implementate și ca snap-in-uri pentru consolă MMC (Microsoft managementConsolă):
Active Directory - Utilizatori și computere (Active Directory Utilizatori şi Calculatoare) vă permite să gestionați utilizatori, grupuri, computere și unități organizaționale (OU);
Activ Director- domenii și încredere ( Activ Director Domeniişi Trusturi ) servește pentru a lucra cu domenii, arbori de domenii și păduri de domenii;
Active Directory - site-uri Şiservicii (Site-uri și servicii Active Directory) vă permite să gestionați site-uri și subrețele;
Rezultat politica (Set de politici rezultat) utilizat pentru a vizualiza politica curentă a unui utilizator sau a unui sistem și pentru a programa modificări ale politicii.
ÎN În Microsoft Windows 2003 Server, puteți accesa aceste componente snap-in direct din meniul Instrumente administrative.
Un alt instrument administrativ este snap-in-ul Sistem ActivDirector (Activ Director Schemă) - vă permite să gestionați și să modificați schema de director.
Utilitare pentru linia de comandă Activ Director
Pentru a gestiona obiecte Activ Director Există instrumente de linie de comandă care vă permit să efectuați o gamă largă de sarcini administrative:
DSADD - adaugă la Activ Director computere, contacte, grupuri, OP și utilizatori.
DSGET - afișează proprietățile computerelor, contactelor, grupurilor, OP-urilor, utilizatorilor, site-urilor, subrețelelor și serverelor înregistrate în Activ Director.
DSMOD - modifică proprietățile computerelor, contactelor, grupurilor, OP-urilor, utilizatorilor și serverelor înregistrate Activ Director.
DSMOVE - Mută un singur obiect într-o nouă locație dintr-un domeniu sau redenumește un obiect fără a-l muta.
DSQXJERY - caută computere, contacte, grupuri, OP-uri, utilizatori, site-uri, subrețele și servere în Activ Director conform criteriilor specificate.
DSRM - îndepărtează un obiect din Activ Director.
NTDSUTIL - vă permite să vizualizați informații despre un site, domeniu sau server, gestionați maeștri ai operațiunilor (operațiuni stăpâni) și întreține baza de dateActiv Director.
Tehnologia Active Directory (AD) este un serviciu de directoare creat de Microsoft. Un serviciu de director conține date într-un format organizat și oferă acces organizat la acestea. Active Directory nu este o invenție a Microsoft, ci o implementare a unui model industrial existent (și anume X.500), a unui protocol de comunicații (LDAP - Lightweight Directory Access Protocol) și a tehnologiei de recuperare a datelor (servicii DNS).
Învățarea despre Active Directory ar trebui să înceapă prin înțelegerea scopului acestei tehnologii. În termeni generali, un director este un container pentru stocarea datelor.
Un agendă telefonică este un bun exemplu de serviciu de agendă deoarece conține un set de date și oferă posibilitatea de a obține informațiile necesare din director. Directorul conține diverse înregistrări, fiecare având propriul său sens, de exemplu, numele și prenumele abonaților, adresa lor de domiciliu și, de fapt, numărul lor de telefon. Într-un director extins, intrările sunt grupate după locație geografică, tip sau ambele. În acest fel, se poate forma o ierarhie de tipuri de înregistrări pentru fiecare locație geografică. În plus, operatorul de telefonie îndeplinește și definiția unui serviciu de agendă pentru că are acces la date. Prin urmare, dacă dați o cerere de obținere a oricăror date din director, operatorul va emite răspunsul solicitat la cererea primită.
Serviciul de director Active Directory este conceput pentru a stoca informații despre toate resursele rețelei. Clienții au capacitatea de a interoga Active Directory pentru a obține informații despre orice obiect de rețea. Caracteristicile Active Directory includ următoarele:
- Stocare securizată a datelor. Fiecare obiect din Active Directory are propria listă de control al accesului (ACL), care conține o listă de resurse cărora li sa acordat acces la obiect, precum și un nivel predefinit de acces la acel obiect.
- Un motor de interogări bogat în funcții bazat pe catalogul global (GC) creat de Active Directory. Toți clienții care acceptă Active Directory pot accesa acest director.
- Replicarea datelor de director la toate controlerele de domeniu simplifică accesul la informații, îmbunătățește disponibilitatea și îmbunătățește fiabilitatea întregului serviciu.
- Un concept de extensie modulară care vă permite să adăugați noi tipuri de obiecte sau să extindeți obiectele existente. De exemplu, puteți adăuga atributul „salariu” obiectului „utilizator”.
- Comunicare în rețea folosind mai multe protocoale. Active Directory se bazează pe modelul X.500, care acceptă diverse protocoale de rețea, cum ar fi LDAP 2, LDAP 3 și HTTP.
- Serviciul DNS este utilizat în locul NetBIOS pentru a implementa Serviciul de nume al controlerului de domeniu și pentru a căuta adresele de rețea.
Informațiile din director sunt distribuite pe întregul domeniu, evitând astfel duplicarea excesivă a datelor.
Deși Active Directory distribuie informații despre director în diferite magazine, utilizatorii au capacitatea de a interoga Active Directory pentru informații despre alte domenii. Catalog global conține informații despre toate obiectele dintr-o pădure de întreprindere, ajutându-vă să căutați date în întreaga pădure.
Când rulați utilitarul DCPROMO (Domain Controller Promotion Utility) pe un computer Windows pentru a crea un domeniu nou, utilitarul creează domeniul pe serverul DNS. Clientul contactează apoi serverul DNS pentru a obține informații despre domeniul său. Serverul DNS oferă informații nu numai despre domeniu, ci și despre cel mai apropiat controler de domeniu. Sistemul client, la rândul său, se conectează la baza de date a domeniului Active Directory de pe cel mai apropiat controler de domeniu pentru a găsi obiectele necesare (imprimante, servere de fișiere, utilizatori, grupuri, unități organizaționale) care fac parte din domeniu. Deoarece fiecare controler de domeniu stochează referințe la alte domenii în arbore, clientul poate căuta în întreg arborele de domeniu.
O variantă de Active Directory care listează toate obiectele dintr-o pădure de domeniu este disponibilă atunci când trebuie să găsiți date în afara arborelui de domeniu al clientului. Această versiune se numește catalog global. Catalogul global poate fi stocat pe orice controler de domeniu din pădurea AD.
Catalogul global oferă acces rapid la fiecare obiect care se află în pădurea domeniului, dar conține doar câțiva parametri ai obiectului. Pentru a obține toate atributele, trebuie să contactați serviciul Active Directory al domeniului țintă (controlerul domeniului de interes). Catalogul global poate fi configurat pentru a furniza proprietățile obiectului necesare.
Pentru a simplifica procesul de creare a obiectelor Active Directory, controlerul de domeniu menține o ierarhie de copii și de clase pentru întreaga pădure. Active Directory conține structuri de clasă într-o schemă extensibilă la care pot fi adăugate noi clase.
Schemă face parte din spațiul de nume de configurare Windows care este acceptat de toți controlorii de domeniu din pădure. Spațiul de nume de configurare Windows este format din mai multe elemente structurale, cum ar fi locația fizică, site-urile Windows și subrețele.
Site este cuprins într-o pădure și poate combina computere din orice domeniu, iar toate computerele din site trebuie să aibă conexiuni de rețea rapide și fiabile pentru a face copii de rezervă ale datelor controlerului de domeniu.
Subrețea este un grup de adrese IP alocate unui site. Subrețelele vă permit să accelerați replicarea datelor Active Directory între controlerele de domeniu.
Orice utilizator începător, confruntat cu abrevierea AD, se întreabă ce este Active Directory? Active Directory este un serviciu de directoare dezvoltat de Microsoft pentru rețelele de domenii Windows. Inclus în majoritatea sistemelor de operare Windows Server ca un set de procese și servicii. Inițial, serviciul se ocupa doar de domenii. Cu toate acestea, începând cu Windows Server 2008, AD a devenit numele pentru o gamă largă de servicii de identitate bazate pe directoare. Acest lucru face ca Active Directory pentru începători să fie o experiență de învățare mai bună.
Definiție de bază
Serverul care rulează Active Directory Domain Directory Services se numește controler de domeniu. Acesta autentifică și autorizează toți utilizatorii și computerele dintr-un domeniu de rețea Windows, atribuind și impunând politici de securitate pentru toate PC-urile și instalând sau actualizând software-ul. De exemplu, când un utilizator se conectează la un computer care este conectat la un domeniu Windows, Active Directory verifică parola furnizată și determină dacă subiectul este un administrator de sistem sau un utilizator standard. De asemenea, permite gestionarea și stocarea informațiilor, oferă mecanisme de autentificare și autorizare și stabilește un cadru pentru implementarea altor servicii conexe: servicii de certificate, servicii de directoare federate și ușoare și gestionarea drepturilor.
Active Directory folosește versiunile LDAP 2 și 3, versiunea Microsoft de Kerberos și DNS.
Active Directory - ce este? Cu cuvinte simple despre complex
Monitorizarea datelor din rețea este o sarcină care necesită timp. Chiar și în rețelele mici, utilizatorii au de obicei dificultăți în a găsi fișiere și imprimante de rețea. Fără un fel de director, rețelele medii până la mari nu pot fi gestionate și se confruntă adesea cu dificultăți în găsirea resurselor.
Versiunile anterioare de Microsoft Windows au inclus servicii pentru a ajuta utilizatorii și administratorii să găsească informații. Network Neighborhood este util în multe medii, dar dezavantajul evident este interfața neplăcută și imprevizibilitatea acesteia. WINS Manager și Server Manager pot fi folosite pentru a vizualiza o listă de sisteme, dar acestea nu erau disponibile pentru utilizatorii finali. Administratorii au folosit User Manager pentru a adăuga și elimina date dintr-un tip complet diferit de obiect de rețea. Aceste aplicații s-au dovedit a fi ineficiente pentru a rula pe rețele mari și au pus întrebarea, de ce au nevoie companiile de Active Directory?
Un director, în sensul cel mai general, este o listă completă de obiecte. O agendă de telefon este un tip de director care stochează informații despre oameni, întreprinderi și organizații guvernamentale șiDe obicei, ele înregistrează nume, adrese și numere de telefon.întrebându-mă Active Directory - ce este, în cuvinte simple putem spune că această tehnologie este similară cu un director, dar este mult mai flexibilă. AD stochează informații despre organizații, site-uri, sisteme, utilizatori, partajări și orice altă entitate de rețea.
Introducere în conceptele Active Directory
De ce o organizație are nevoie de Active Directory? După cum sa menționat în introducerea la Active Directory, serviciul stochează informații despre componentele rețelei. Ghidul Active Directory pentru începători explică acest lucru Permite clienților să găsească obiecte în spațiul lor de nume. Acest t Termenul (numit și arborele consolei) se referă la zona în care poate fi localizată o componentă de rețea. De exemplu, cuprinsul unei cărți creează un spațiu de nume în care capitolele pot fi atribuite numerelor de pagină.
DNS este un arbore de consolă care rezolvă numele de gazdă în adrese IP, cum ar fiAgenda telefonică oferă un spațiu de nume pentru rezolvarea numelor pentru numerele de telefon. Cum se întâmplă acest lucru în Active Directory? AD oferă un arbore de consolă pentru rezolvarea numelor obiectelor de rețea la obiectele în sine șipoate rezolva o gamă largă de entități, inclusiv utilizatori, sisteme și servicii dintr-o rețea.
Obiecte și atribute
Orice lucru pe care Active Directory urmărește este considerat un obiect. Putem spune în cuvinte simple că acesta este în Active Directory este orice utilizator, sistem, resursă sau serviciu. Un termen comun obiect este folosit deoarece AD este capabil să urmărească multe elemente și multe obiecte pot împărtăși atribute comune. Ce înseamnă?
Atributele descriu obiecte din Active Directory, de exemplu, toate obiectele utilizator partajează atribute pentru a stoca numele de utilizator. Acest lucru este valabil și pentru descrierile lor. Sistemele sunt, de asemenea, obiecte, dar au un set separat de atribute care includ numele de gazdă, adresa IP și locația.
Setul de atribute disponibile pentru orice tip particular de obiect se numește schema. Face clasele de obiecte distincte unele de altele. Informațiile despre schemă sunt de fapt stocate în Active Directory. Faptul că acest comportament al protocolului de securitate este foarte important este demonstrat de faptul că designul permite administratorilor să adauge atribute la clasele de obiecte și să le distribuie în rețea în toate colțurile domeniului fără a reporni niciun controler de domeniu.
Container LDAP și nume
Un container este un tip special de obiect care este folosit pentru a organiza funcționarea unui serviciu. Nu reprezintă o entitate fizică precum un utilizator sau un sistem. În schimb, este folosit pentru a grupa alte elemente. Obiectele containerului pot fi imbricate în alte containere.
Fiecare element din AD are un nume. Acestea nu sunt cele cu care sunteți obișnuiți, de exemplu, Ivan sau Olga. Acestea sunt nume distincte LDAP. Numele distinctive LDAP sunt complexe, dar vă permit să identificați în mod unic orice obiect dintr-un director, indiferent de tipul acestuia.
Arborele termenilor și site-ul web
Un arbore de termeni este folosit pentru a descrie un set de obiecte din Active Directory. Ce este asta? Cu cuvinte simple, acest lucru poate fi explicat folosind o asociere de arbore. Atunci când containerele și obiectele sunt combinate ierarhic, ele tind să formeze ramuri - de unde și numele. Un termen înrudit este subarbore continuu, care se referă la trunchiul principal neîntrerupt al unui copac.
Continuând metafora, termenul „pădure” descrie o colecție care nu face parte din același spațiu de nume, dar împărtășește o schemă comună, o configurație și un director global. Obiectele din aceste structuri sunt disponibile pentru toți utilizatorii dacă securitatea permite. Organizațiile împărțite în mai multe domenii ar trebui să grupeze copacii într-o singură pădure.
Un site este o locație geografică definită în Active Directory. Site-urile corespund subrețelelor IP logice și, ca atare, pot fi folosite de aplicații pentru a găsi cel mai apropiat server din rețea. Utilizarea informațiilor de site din Active Directory poate reduce semnificativ traficul pe WAN-uri.
Managementul Active Directory
Componentă snap-in Active Directory Users. Acesta este cel mai convenabil instrument pentru administrarea Active Directory. Este direct accesibil din grupul de programe Instrumente administrative din meniul Start. Acesta înlocuiește și îmbunătățește Server Manager și User Manager din Windows NT 4.0.
Siguranţă
Active Directory joacă un rol important în viitorul rețelelor Windows. Administratorii trebuie să poată să-și protejeze directorul de atacatori și utilizatori în timp ce deleg sarcini altor administratori. Toate acestea sunt posibile folosind modelul de securitate Active Directory, care asociază o listă de control al accesului (ACL) cu fiecare container și atribut obiect din director.
Un nivel ridicat de control permite administratorului să acorde utilizatorilor individuali și grupurilor diferite niveluri de permisiuni asupra obiectelor și proprietăților acestora. Ei pot chiar adăuga atribute la obiecte și pot ascunde acele atribute de la anumite grupuri de utilizatori. De exemplu, puteți seta un ACL astfel încât numai managerii să poată vizualiza telefoanele de acasă ale altor utilizatori.
Administrare delegată
Un concept nou pentru Windows 2000 Server este administrarea delegată. Acest lucru vă permite să atribuiți sarcini altor utilizatori fără a acorda drepturi de acces suplimentare. Administrarea delegată poate fi atribuită prin obiecte specifice sau subarbori de directoare contigu. Aceasta este o metodă mult mai eficientă de acordare a autorizării între rețele.
ÎN locul în care cuiva i se atribuie toate drepturile globale de administrator de domeniu, utilizatorului i se pot acorda permisiuni numai într-un anumit subarboresc. Active Directory acceptă moștenirea, astfel încât orice obiect nou moștenește ACL-ul containerului lor. 
Termenul „relație fiduciară”
Termenul „relație fiduciară” este încă folosit, dar are o funcționalitate diferită. Nu există nicio distincție între trusturile unidirecționale și cele bidirecționale. La urma urmei, toate relațiile de încredere Active Directory sunt bidirecționale. În plus, toate sunt tranzitive. Deci, dacă domeniul A are încredere în domeniul B și B are încredere în C, atunci există o relație automată de încredere implicită între domeniul A și domeniul C.
Auditarea în Active Directory - ce este în cuvinte simple? Aceasta este o caracteristică de securitate care vă permite să determinați cine încearcă să acceseze obiecte și cât de reușită este încercarea.
Utilizarea DNS (Domain Name System)
Sistemul, altfel cunoscut sub numele de DNS, este necesar pentru orice organizație conectată la Internet. DNS oferă rezoluție de nume între nume comune, cum ar fi mspress.microsoft.com, și adrese IP brute, pe care componentele stratului de rețea le folosesc pentru comunicare.
Active Directory folosește tehnologia DNS pentru a căuta obiecte. Aceasta este o schimbare semnificativă față de sistemele de operare Windows anterioare, care necesită ca numele NetBIOS să fie rezolvate prin adrese IP și se bazează pe WINS sau alte tehnici de rezoluție a numelui NetBIOS.
Active Directory funcționează cel mai bine atunci când este utilizat cu servere DNS care rulează Windows 2000. Microsoft a facilitat migrarea administratorilor la serverele DNS bazate pe Windows 2000, oferind vrăjitori de migrare care ghidează administratorul prin proces.
Pot fi utilizate alte servere DNS. Cu toate acestea, acest lucru va cere administratorilor să petreacă mai mult timp gestionând bazele de date DNS. Care sunt nuanțele? Dacă alegeți să nu utilizați servere DNS care rulează Windows 2000, trebuie să vă asigurați că serverele DNS respectă noul protocol de actualizare dinamică DNS. Serverele se bazează pe actualizarea dinamică a înregistrărilor lor pentru a găsi controlere de domeniu. Este incomod. La urma urmei, eDacă actualizarea dinamică nu este acceptată, trebuie să actualizați manual bazele de date. 
Domeniile Windows și domeniile Internet sunt acum pe deplin compatibile. De exemplu, un nume precum mspress.microsoft.com va identifica controlorii de domeniu Active Directory responsabili pentru domeniu, astfel încât orice client cu acces DNS poate găsi controlerul de domeniu.Clienții pot folosi rezoluția DNS pentru a căuta orice număr de servicii, deoarece serverele Active Directory publică o listă de adrese către DNS folosind noi funcții de actualizare dinamică. Aceste date sunt definite ca un domeniu și publicate prin înregistrările resurselor de serviciu. SRV RR urmează formatul serviciu.protocol.domeniu.
Serverele Active Directory furnizează serviciul LDAP pentru găzduirea obiectelor, iar LDAP utilizează TCP ca protocol de bază al stratului de transport. Prin urmare, un client care caută un server Active Directory în domeniul mspress.microsoft.com va căuta intrarea DNS pentru ldap.tcp.mspress.microsoft.com.
Catalog global
Active Directory oferă un catalog global (GC) șioferă o sursă unică pentru căutarea oricărui obiect din rețeaua unei organizații.
Catalogul global este un serviciu din Windows 2000 Server care permite utilizatorilor să găsească orice obiecte care au fost partajate. Această funcționalitate este cu mult superioară aplicației Find Computer inclusă în versiunile anterioare de Windows. La urma urmei, utilizatorii pot căuta orice obiect în Active Directory: servere, imprimante, utilizatori și aplicații.