Mi az Active Directory – hogyan kell telepíteni és konfigurálni? Mi az Active Directory, és hogyan kell telepíteni és konfigurálni az adatbázist Bevezetés az Active Directoryba

Üdvözlünk mindenkit! Miután telepítettük az Active Directoryt a Windows Server 2008R2 rendszerben, és hozzáadtunk egy tartományvezérlőt a meglévő Windows Server 2008 R2 Active Directory erdőhöz, tovább kell lépnünk és lépést kell tartanunk a korral. Ma megvizsgáljuk, hogyan adhatunk hozzá tartományvezérlőt a Windows Server 2012 R2 rendszerből egy meglévő Windows Server 2008 R2 Active Directory erdőhöz.

A feladat végrehajtásához telepíteni kell a Windows Server 2012 R2 rendszert, és be kell állítani rajta egy statikus IP-címet, a számítógépnek dc03 nevet kell adni, és tartományhoz kell csatlakozni.

Minden előkészületi követelményt teljesítettem

próbáljunk meg belépni, mint korábban dcpromo, a menüben hajtsa végre

és azt látjuk, hogy most nincs ilyen parancs, és a rendszer felkéri az Active Directory telepítésére a Kiszolgálókezelőn keresztül.

Nyissa meg a felügyeletet – Szerepkörök és összetevők hozzáadása

A szerepkörökben jelölje be a Domain Services jelölőnégyzetet, és kattintson az Összetevők hozzáadása gombra

kattintson a telepítés gombra

A sikeres telepítés után kattintson a Bezárás gombra

Utána látunk egy figyelmeztető ikont, kattintsunk rá, és lássuk, felkérést kapunk, hogy emeljük elő ennek a szervernek a szerepét egy tartományvezérlő szintjére, állítsuk be a tartományvezérlőt.

Megnyílik a telepítési konfiguráció, válassza a Tartományvezérlő hozzáadása egy meglévő tartományhoz lehetőséget, adja meg a tartomány nevét, ez számomra msk.site, és adja meg a hitelesítő adatokat, amelyek nevében a művelet végrehajtásra kerül.

Jelölje be a DNS-kiszolgáló és a globális katalógus jelölőnégyzetet, válasszon ki egy helyet, ha több van belőlük, és kétszer meg kell adnia a címtárszolgáltatás helyreállítási mód (DSRM) jelszavát.

Adja meg a replikációs forrást, minden vezérlőt elhagyok, bejelölheti a Telepítés IFM adathordozóról négyzetet is

Meg kell adnia az IFM elérési útját a telepítéshez.

Beállítjuk az AD adatbázis és a SYSVOL mappa tárolási helyét.

Ha minden teszt megfelelt a DC telepítéséhez, kattintson a telepítés gombra

Az újraindítás után megkezdődik a tartományvezérlők szinkronizálása vagy a tartományvezérlők replikációja, ahogy szeretné. Így telepítettünk egy harmadik tartalék tartományvezérlőt, és ha kettő meghibásodik, a tartomány élni fog.

Ha jobb gombbal kattint a kiszolgáló nevére az AD DS szerepkörben, kellemesen meg fog lepődni a helyi menüvel, amely az Active Directoryhoz kapcsolódó segédprogramok igen nagy gyűjteményére mutató hivatkozásokat tartalmaz, mint például az ldp, netdom, ntdsutil, Gpfixup. , Dsmgmt, Repadmin, Dcdiag beépülő modulok és segédprogramok, Dsacls és még sok más

Nyissuk meg az ADUC beépülő modult, és nézzük meg, hogy már három vezérlő van.

Most a Windows tartományunk 3 DC-t tartalmaz. Ilyen egyszerű a Windows Server 2012 R2 tartományvezérlő hozzáadása egy meglévő Windows Server 2008 R2 Active Directory erdőhöz.

Az Active Directory beállítása meglehetősen egyszerű folyamat, és számos internetes forrás tárgyalja, beleértve a hivatalosakat is. Ennek ellenére a blogomon nem tudom nem érinteni ezt a pontot, hiszen a jövőbeni cikkek többsége így vagy úgy a környezetvédelemre fog épülni, amit most tervezek felállítani.

Ha érdeklik a Windows Server témák, azt javaslom, hogy nézze meg a címkét a blogomban. Azt is javaslom, hogy olvassa el az Active Directoryról szóló fő cikket -

Azt tervezem, hogy az AD szerepkört felváltva két virtuális szerverre (a jövőbeni tartományvezérlőkre) telepítem.

1. Először is be kell állítani a megfelelőt szervernevek, nekem DC01 és DC02 lesz;
2. Következő, írja le statikus hálózati beállítások(erről a pontról az alábbiakban részletesen kitérek);
3. Telepítés minden rendszerfrissítés, különösen a biztonsági frissítések (CD esetében ez fontosabb, mint bármely más szerepnél).

Ebben a szakaszban el kell döntenie milyen domain neved lesz?. Ez rendkívül fontos, mert akkor a domain név megváltoztatása nagyon nagy probléma lesz számodra, pedig az átnevezési forgatókönyv már elég régóta hivatalosan támogatott és bevezetett.

Jegyzet: n Néhány megbeszélés, valamint számos hasznos anyagra mutató hivatkozás megtalálható a cikkemben. Javaslom, hogy olvassa el, valamint a felhasznált források listáját.

Mivel virtualizált tartományvezérlőket fogok használni, módosítanom kell a virtuális gépek néhány beállítását, nevezetesen letiltja az időszinkronizálást a hypervisorral. Az AD-ben lévő időt kizárólag külső forrásból kell szinkronizálni. Az engedélyezett időszinkronizálási beállítások a hypervisorral ciklikus szinkronizálást eredményezhetnek, és ennek eredményeként problémákat okozhatnak a teljes tartomány működésében.

Jegyzet: a virtualizációs gazdagéppel való szinkronizálás letiltása a legegyszerűbb és gyors opció. Ez azonban nem a legjobb gyakorlat. A Microsoft ajánlásai szerint csak részben tiltsa le a szinkronizálást a gazdagéppel. A működési elv megértéséhez olvassa el a hivatalos dokumentációt, amely megtalálható utóbbi években radikálisan megugrott az anyag bemutatásának szintjén .

Általánosságban elmondható, hogy a virtualizált tartományvezérlők adminisztrálásának megközelítése eltér az AD DS működésének néhány jellemzője miatt:

A virtuális környezetek különösen nagy kihívást jelentenek az időalapú replikációs logikán alapuló elosztott munkaterhelések esetében. Például az AD DS-replikáció egy egyenletesen növekvő értéket (úgynevezett USN-nek vagy frissítési sorozatszámnak) használ az egyes tartományvezérlők tranzakcióihoz. Minden tartományvezérlő adatbázis-példány egy InvocationID nevű azonosítót is kap. A tartományvezérlő InvocationID azonosítója és gördülő frissítési száma együttesen egyedi azonosítóként szolgál, amely minden egyes tartományvezérlőn végrehajtott írási tranzakcióhoz kapcsolódik, és egyedinek kell lennie az erdőn belül.

Most, hogy a környezet előkészítésének alapvető lépései befejeződtek, továbblépünk a telepítési szakaszba.

Az Active Directory telepítése

A telepítés a Szerverkezelőn keresztül történik, és nincs benne semmi bonyolult, az alábbiakban részletesen megtekintheti a telepítési lépéseket:

Maga a telepítési folyamat néhány változáson ment keresztül az operációs rendszer korábbi verzióihoz képest:

Az Active Directory tartományi szolgáltatások (AD DS) telepítése a Windows Server 2012 rendszerben egyszerűbb és gyorsabb, mint a Windows Server korábbi verzióiban. Az AD DS telepítése mostantól Windows PowerShell-alapú, és integrálva van a Kiszolgálókezelővel. Csökkentett a tartományvezérlők meglévő Active Directory környezetbe való implementálásához szükséges lépések száma.

Csak egy szerepet kell kiválasztania Active Directory tartományi szolgáltatások, nincs szükség további komponensek telepítésére. A telepítési folyamat kevés időt vesz igénybe, és azonnal folytathatja a konfigurációt.

A szerepkör telepítése után a Kiszolgálókezelő jobb felső sarkában egy felkiáltójel jelenik meg, amely jelzi, hogy a telepítés utáni konfigurációra van szükség. Kattintson A kiszolgáló előléptetése tartományvezérlővé.

Szerver előléptetése tartományvezérlővé

A varázsló munkalépéseit részletesen leírja a dokumentáció. Menjünk azonban végig az alapvető lépéseken.

Mivel az AD-t a semmiből telepítjük, hozzá kell adnunk egy új erdőt. Ügyeljen arra, hogy biztonságosan tárolja a Directory Services Restore Mode (DSRM) jelszavát. Meghagyhatja az AD DS adatbázis helyét az alapértelmezett helyen (ez az, ami ajánlott. A változatosság kedvéért azonban egy másik könyvtárat adtam meg a tesztkörnyezetemben).

Várjuk a telepítést.

Ezt követően a szerver magától újraindul.

Domain/Vállalati rendszergazdai fiókok létrehozása

A korábbiakhoz hasonlóan helyi rendszergazdai fiókkal kell bejelentkeznie. Menj a snaphoz Active Directory felhasználók és számítógépek, hozza létre a szükséges fiókokat – ebben a szakaszban ez a domain rendszergazdája.

DNS beállítása egy tartomány egyetlen DC-jén

Az AD telepítés során az AD DNS szerepkör is telepítésre került, mivel nem volt más DNS-kiszolgáló az infrastruktúrámban. A szolgáltatás megfelelő működéséhez módosítania kell néhány beállítást. Először is ellenőriznie kell a preferált DNS-kiszolgálókat a hálózati adapter beállításaiban. Csak egy DNS-kiszolgálót kell használnia 127.0.0.1 címmel. Igen, pontosan localhost. Alapértelmezés szerint regisztrálnia kell magát.

Miután meggyőződött a beállítások helyességéről, nyissa meg a DNS beépülő modult. Kattintson a jobb gombbal a kiszolgáló nevére, és nyissa meg a tulajdonságait, lépjen a „Forwarding Server” fülre. Az AD DS szerepkör telepítése előtt a hálózati beállításokban megadott DNS-kiszolgáló címe automatikusan regisztrálva lett egyetlen továbbítóként:

Törölni és újat kell létrehozni, és nagyon kívánatos, hogy a szolgáltató szervere legyen, de ne olyan nyilvános cím, mint a jól ismert 8.8.8.8 és 8.8.4.4. A hibatűrés érdekében regisztráljon legalább két szervert. Hagyja be a jelölőnégyzetet a gyökérhivatkozások használatához, ha nem állnak rendelkezésre továbbítók. A gyökérhivatkozások a legfelső szintű DNS-kiszolgálók jól ismert készletei.

Egy második DC hozzáadása a tartományhoz

Mivel eredetileg két tartományvezérlőről beszéltem, ideje elkezdeni a második beállítását. Végigmegyünk a telepítővarázslón is, előmozdítjuk a szerepet a tartományvezérlőnek, csak válasszunk Adjon hozzá egy tartományvezérlőt egy meglévő tartományhoz:

Felhívjuk figyelmét, hogy ennek a szervernek a hálózati beállításainál a fő A korábban konfigurált első tartományvezérlőt kell kiválasztani DNS-kiszolgálóként! Ez kötelező, különben hibaüzenetet kap.

A szükséges beállítások után jelentkezzen be a szerverre a korábban létrehozott tartományadminisztrátori fiókkal.

DNS beállítása több DC-n egy tartományban

A replikációval kapcsolatos problémák elkerülése érdekében újra meg kell változtatnia a hálózati beállításokat, és ezt minden tartományvezérlőn (és a már meglévőknél is) meg kell tenni, és minden alkalommal, amikor új DC-t ad hozzá:

Ha háromnál több DC-je van egy tartományban, akkor a DNS-kiszolgálókat további beállításokkal kell regisztrálnia, ebben a sorrendben. A DNS-ről bővebben a cikkemben olvashat.

Az idő beállítása

Ezt a lépést végre kell hajtani, különösen, ha valódi környezetet állít be a termelésben. Ahogy emlékszel, korábban letiltottam az időszinkronizálást a hypervisoron keresztül, és most megfelelően kell konfigurálnom. Az FSMO PDC emulátor szerepkörrel rendelkező vezérlő felelős a megfelelő idő elosztásáért a teljes tartományban (Nem tudja, mi ez a szerep? Olvassa el a cikket). Az én esetemben természetesen ez az első tartományvezérlő, amely kezdetben az összes FSMO-szerep hordozója.

A tartományvezérlők idejét csoportházirendek segítségével konfiguráljuk. Hadd emlékeztessem Önt arra, hogy a tartományvezérlők számítógépfiókjai külön tárolóban vannak, és külön alapértelmezett csoportházirenddel rendelkeznek. Nincs szükség ezen irányelv módosítására, hanem hozzon létre egy újat.

Nevezze el, ahogy jónak látja, és hogyan jön létre az objektum, kattintson jobb gombbal - Változás. Menjünk a Számítógép konfigurációja\Házirendek\Felügyeleti sablonok\Rendszer\Windows Time Service\Time Providers. Házirendek aktiválása Engedélyezze a Windows NTP-klienstÉs Windows NTP Server engedélyezése, lépjen a szabályzat tulajdonságaihoz Konfigurálja a Windows NTP klienstés állítsa be a protokoll típusát - NTP, nem érintjük meg a fennmaradó beállításokat:

Megvárjuk a házirendek alkalmazását (kb. 5-8 percembe telt, annak ellenére, hogy lefutottam a gpupdate /force-t és néhány újraindítást), majd ezt kapjuk:

Általában meg kell győződnie arról, hogy csak a PDC-emulátor szinkronizálja a külső forrásból származó időt, és nem az összes tartományvezérlőt egymás után, de ez a helyzet, mivel a csoportházirend a tárolóban lévő összes objektumra vonatkozik. Át kell irányítani a számítógépfiók egy adott objektumára, amely a PDC-emulátor szerepkört birtokolja. Ezt csoportházirendekkel is megteheti – a gpmc.msc konzolon kattintson a bal gombbal a helyes politika a jobb oldalon pedig a beállításai láthatók. A biztonsági szűrőkben hozzá kell adni a kívánt tartományvezérlő fiókját:

Az időszolgáltatás működési elvéről és konfigurációjáról bővebben a hivatalos dokumentációban olvashat.

Ezzel befejeződik az idő beállítása, és ezzel együtt az Active Directory kezdeti beállítása.

Jó napot mindenkinek. A Windows Server 2012 R2 Essentials telepítéséről és konfigurálásáról szeretnék beszélni. Ez a cikk nem a széles körű elterjesztésre szólít fel Windows telepítés vagy Microsoft-termékek promóciója. Csak egy érdekes termékről szeretnék mesélni, és talán valakit érdekel majd ez a termék, és hasznosnak találja a munkájában. Igyekeztem felkészületlen olvasónak írni a cikket, így minimális a terminológia és maximum az általánosítás egyes fogalmaknál.

Egy kicsit az Essentials kiadásról

1. Felhasználók engedélyezése és hitelesítése a hálózaton (Domain Controller Active Directory)
2. Fájltárolás (fájlszerver szerepkör)
3. Távoli hozzáférés a vállalati hálózathoz (VPN és DirectAccess szerver)
4. Távoli hozzáférés a fájltárolóhoz a webes felületen keresztül (az IIS erre van konfigurálva)
5. Távoli hozzáférés az ügyfélgépek asztali számítógépeihez (Remote Desktop Gateway)
6. Ügyfélgépek biztonsági mentése (Windows biztonsági mentés)
7. Magáról a szerverről készít biztonsági másolatot (Windows biztonsági mentés)
8. Integráció a Microsoft felhőtechnológiáival (Office 365, Azure biztonsági mentés stb.)
9. Essentials Unified Configuration Console, amely lehetővé teszi a fent leírt szolgáltatások konfigurálását még egy képzetlen rendszergazda számára is.

Telepítés és kezdeti beállítás

Első lépésben meg kell adnia a dátum és az idő beállításait.

A második lépésben ki kell tölteni angol cég neve. A domain név és a szerver neve ebben az esetben automatikusan generálásra kerül, bár természetesen megváltoztathatja.

A következő lépésben meg kell adnia a rendszergazda nevét és be kell állítania a jelszót.

Az utolsó lépésben meg kell adnia az operációs rendszer frissítésének módját, és kattintson a konfigurálás gombra

Ezt követően elindul egy folyamat, amely elvégzi az összes szükséges kezdeti beállítást. Ez körülbelül 30 percet vesz igénybe, és többszöri újraindítást igényel. Ez idő alatt az operációs rendszernek lesz ideje különösen a szükséges szerepkörök telepítésére és a kiszolgáló tartományvezérlőként való konfigurálására az új tartományhoz.

Beállítások elemre

Felhasználók létrehozása

Válassza ki a létrehozott megosztott mappák hozzáférési szintjét. On kezdeti szakaszban Csak egy van - a Szervezet. A jövőben módosíthatja a hozzáférési jogosultságokat a felhasználói tulajdonságokból és a mappa tulajdonságaiból is.

Fiókja létrejött. Kattintson a Bezárás gombra.

Ezzel a módszerrel több fiókot is létrehozhat. Természetesen használhatja az Active Directory Felhasználók és Számítógépek felületét, amely ismerős és ismerős, de ebben az esetben manuálisan kell megadnia a hozzáférési engedélyeket.

Szervermappák hozzáadása

A megnyíló varázsló ablakban írjon be egy nevet. Módosíthatja a helyet, és leírást adhat hozzá. Kattintson a tovább gombra.

A következő oldalon megadjuk a szükséges engedélyeket. Ha szükséges, távolról elérhetetlenné tesszük.

A varázsló utolsó lépésétől elindíthatja az archiválási konfigurációs varázslót. Kattintson a Bezárás gombra.

Távoli hozzáférés beállítása

Az első dolog, amit be kell állítani, az az útválasztó – erről a varázsló tájékoztat. Valójában be kell állítania a porttovábbítást az útválasztón. Ehhez az útválasztónak „fehér” IP-címmel kell rendelkeznie. Jobb, ha magán a szerveren konfigurál egy statikus IP-címet. A következő 80-as, 443-as, 1723-as, 987-es portokat kell átirányítania a szerver IP-címére. Általában a beállítási eljárást maga a varázsló is elvégezheti, ha az útválasztó támogatja az UPnP-t. A beállításokat manuálisan végeztem el, így ezt a lépést kihagytam.

Ezt követően megnyílik egy új tartománynév-beállító varázsló. Kattintson a tovább gombra.

A varázsló kérni fogja, hogy adja meg a külső tartomány nevét, vagy hozzon létre egy újat. Saját domainjéhez tanúsítványra lesz szüksége, ezért itt figyelembe vesszük a Microsoft tartomány használatával történő beállítási lehetőséget. Válasszon másik domain nevet, és kattintson a Tovább gombra.

Tekintsük a Microsoft tartomány lehetőségét.

Adja meg a domain nevet és ellenőrizze az elérhetőséget, majd kattintson a konfigurálásra.

Nos, kitaláltuk a domain nevet. Folytassuk tovább.

Kiválasztjuk, hogy mely funkciók lesznek elérhetők.

Kiválasztjuk, hogy a távoli hozzáférés elérhető lesz-e a jelenlegi felhasználók számára.

Nos, ez minden, megpróbálhatja felkeresni a wiseguy.remoteweaccess.com webhelyet.

Erről a webhelyről elérhető a megosztott mappák és a felhasználói asztalok.

Munkaállomások csatlakoztatása

Kövesse a kliens böngészőben megjelenő utasításait, nyissa meg a http:// oldalt<Имя сервера>/connect. Kattintson a letöltési linkre.

A végrehajtást választjuk.

Elfogadjuk az engedélyt és várunk.

Adja meg a számítógép felhasználójának vagy rendszergazdájának felhasználónevét és jelszavát. Beléptem a felhasználói fiókba.

Indítsa újra a szervert.

Mi választjuk ki, hogy ki használja a számítógépet.

Adja meg a számítógép leírását.

Archiválási lehetőségek.

Hurrá! Kész.

Felhasználói fiókkal jelentkezünk be a számítógépre.

Dolgozhatsz. Az asztalon már minden szükséges parancsikon megtalálható.

Post scriptum

A Windows Server 2012 R2 Essentials első megtekintése: www.techdays.ru/videos/7351.html – itt alaposan tanulmányozhatja az Essentials telepítési folyamatát.

A Windows Server 2012 R2 Essentials konfigurációja: www.techdays.ru/videos/7370.html – az összes szolgáltatás konfigurálása megvitatásra kerül, és megjelenik a távoli hozzáférés beállítása a tartományhoz.

Windows Server 2012 R2 Essentials Office 365 integráció: www.techdays.ru/videos/7380.html - integráció a Microsoft felhőirodájával.

Jó napot, ma bemutatom az AD (Active Directory) és a DC (tartományvezérlő) szerepkörök telepítését a Microsoft új szerver operációs rendszerére - Windows Server 2012 R2. Kezdetben a szervezetben a PC-k és szerverek elnevezésére vonatkozó előírások alapján megváltoztatjuk szerverünk nevét, vagy kívánságunk alapján hozzárendeljük. A szerveremet tesztszervernek neveztem el. Ezzel a névvel fog megjelenni szerverünk a hálózaton. Ezután a következő lépéseket hajtjuk végre: Lépjen a szerverkezelőbe:

Menjen a lapra szerepek és funkciók hozzáadása

Kattintson további
Válassza ki a telepítési szerepköröket és összetevőket, majd kattintson további
Válassza ki azt a szervert, amelyre a szerepkörünket telepíteni kívánja, és kattintson rá további
Válassza ki a következő szerepet: Domain szolgáltatásokAktívCímtárés kattintson a Tovább gombra

Erősítse meg az Active Directory tartományi szolgáltatások szerepkör telepítéséhez szükséges összetevők hozzáadását

Hagyja úgy, ahogy van, vagy adja hozzá a telepítéshez szükséges összetevőket, kattintson a Tovább gombra

Kattintson a telepítés gombra

A telepítés után lépjen a kiszolgálókezelőbe, és tekintse meg a telepített szerepköröket

Lépjen a kezelhetőség részre

Kattintson a Ugrás az AD DS elemre

Lépjen a részletek lapra

Megkezdjük a tartományvezérlő telepítését a szerverünkön. Válasszon egy lapot új erdő hozzáadásaés adjon nevet a domainnek, majd kattintson további

Válassza ki az erdő és a tartomány működési módját, állítson be jelszót a címtárszolgáltatások helyreállítási módjához, és kattintson a gombra további

Válasszon NetBIOS nevet a tartományunkhoz, és kattintson a gombra további

Megkezdődik az előfeltételek ellenőrzésének folyamata, majd kattintson a telepítés gombra

A telepítés után ellenőrizze:

Ha mindent helyesen csinált, látni fogja, hogy a műszak elmúlt munkacsoport Munkacsoport domainenként.

Az Active Directory (AD) egy Microsoft Server operációs rendszerhez készült segédprogram. Eredetileg egyszerű algoritmusként hozták létre a felhasználói könyvtárak elérésére. A Windows Server 2008 verzió óta megjelent az engedélyezési szolgáltatásokkal való integráció.

Lehetővé teszi a csoportházirendnek való megfelelést, amely azonos típusú beállításokat és szoftvereket alkalmaz minden vezérelt számítógépen a System Center Configuration Manager segítségével.

Ha egyszerű szavakkal kezdőknek ez egy kiszolgálói szerepkör, amely lehetővé teszi, hogy egy helyről kezelje az összes hozzáférést és engedélyt a helyi hálózaton

Funkciók és célok

A Microsoft Active Directory egy (úgynevezett címtár) eszközcsomag, amely lehetővé teszi a felhasználók és a hálózati adatok kezelését. Fő cél létrehozása – a rendszergazdák munkájának megkönnyítése nagy hálózatokban.

A könyvtárak különféle információkat tartalmaznak a felhasználókkal, csoportokkal, hálózati eszközökkel, fájlforrásokkal - egyszóval objektumokkal. Például a címtárban tárolt felhasználói attribútumoknak a következőknek kell lenniük: cím, bejelentkezési név, jelszó, szám mobiltelefon stb. A könyvtárat a következőként használják hitelesítési pontok, amellyel megtudhatja a szükséges információkat a felhasználóról.

A munka során felmerülő alapfogalmak

Az AD-vel való munka során számos speciális fogalom használatos:

1. A szerver egy olyan számítógép, amely az összes adatot tartalmazza.
2. A vezérlő egy AD szerepkörrel rendelkező kiszolgáló, amely feldolgozza a tartományt használó személyektől érkező kéréseket.
3. Az AD tartomány egyetlen egyedi név alatt egyesített eszközök gyűjteménye, amelyek egyidejűleg használják közös alap katalógus adatai.
4. Az adattár a címtár azon része, amely felelős az adatok tárolásáért és visszakereséséért bármely tartományvezérlőről.

Az aktív könyvtárak működése

A fő működési elvek a következők:

• Engedélyezés, amellyel a hálózaton is használhatja számítógépét személyes jelszavának megadásával. Ebben az esetben a fiókból származó összes információ átkerül.
• Biztonság. Az Active Directory felhasználófelismerő funkciókat tartalmaz. Bármely hálózati objektumhoz távolról, egyetlen eszközről beállíthatja a szükséges jogosultságokat, amelyek a kategóriáktól és az adott felhasználóktól függenek.
• Hálózati adminisztráció egy pontból. Amikor az Active Directoryval dolgozik, a rendszergazdának nem kell újrakonfigurálnia az összes számítógépet, ha módosítani kell a hozzáférési jogokat, például egy nyomtatóhoz. A változtatásokat távolról és globálisan hajtják végre.
• Tele DNS integráció. Segítségével nincs zűrzavar az AD-ben, minden eszköz pontosan ugyanúgy van kijelölve, mint a világhálón.
• Nagy léptékű. A szerverek egy csoportját egyetlen Active Directory vezérelheti.
• Keresés különféle paraméterek szerint hajtják végre, például számítógépnév, bejelentkezés.

Objektumok és attribútumok

Az objektum saját név alatt egyesített attribútumok halmaza, amely egy hálózati erőforrást képvisel.

Attribútum - egy objektum jellemzői a katalógusban. Ezek közé tartozik például a felhasználó teljes neve és bejelentkezési neve. De a PC-fiók attribútumai lehetnek a számítógép neve és leírása.

Az „Alkalmazott” egy olyan objektum, amely a „Név”, „Pozíció” és „TabN” attribútumokkal rendelkezik.

LDAP tároló és név

A tároló egy olyan típusú objektum, amely képes más tárgyakból áll. Egy tartomány például fiókobjektumokat tartalmazhat.

Fő céljuk az tárgyak rendszerezése jeltípusok szerint. Leggyakrabban konténereket használnak az azonos attribútumokkal rendelkező objektumok csoportosítására.

Szinte minden tároló objektumok gyűjteményét képezi le, és az erőforrások egy egyedi Active Directory objektumhoz vannak leképezve. Az AD-konténerek egyik fő típusa a szervezeti modul vagy OU (szervezeti egység). Az ebben a tárolóban elhelyezett objektumok csak ahhoz a tartományhoz tartoznak, amelyben létrehozták őket.

A Lightweight Directory Access Protocol (LDAP) a TCP/IP-kapcsolatok alapvető algoritmusa. Úgy tervezték, hogy csökkentse az árnyalatok mennyiségét a címtárszolgáltatások elérésekor. Az LDAP meghatározza a címtáradatok lekérdezéséhez és szerkesztéséhez használt műveleteket is.

Fa és helyszín

A tartományfa egy struktúra, olyan tartományok gyűjteménye, amelyek rendelkeznek általános diagramés az azt képező konfigurációt közös tér neveket, és bizalmi kapcsolat köti össze őket.

A tartományi erdő egymáshoz kapcsolódó fák gyűjteménye.

A webhely az IP-alhálózatokban lévő eszközök gyűjteménye, amely a hálózat fizikai modelljét képviseli, és amelynek tervezése felépítésének logikai megjelenítésétől függetlenül megtörténik. Az Active Directory képes n számú webhelyet létrehozni, vagy n számú tartományt egyesíteni egy webhely alatt.

Az Active Directory telepítése és konfigurálása

Most térjünk át közvetlenül az Active Directory beállítására, példaként a Windows Server 2008 használatával (az eljárás más verziókban is megegyezik):

Kattintson az „OK” gombra. Érdemes megjegyezni, hogy az ilyen értékek nem szükségesek. Használhatja a hálózat IP-címét és DNS-ét.

• Ezután lépjen a „Start” menübe, válassza az „Adminisztráció” és „Adminisztráció” lehetőséget.
  
• Lépjen a „Szerepek” elemre, válassza ki a „ Szerepek hozzáadása”.
  
• Válassza az „Active Directory Domain Services” lehetőséget, kattintson kétszer a „Tovább” gombra, majd a „Telepítés” gombra.
  
• Várja meg, amíg a telepítés befejeződik.
  
• Nyissa meg a "Start" menüt-" Végrehajtás" Írja be a dcpromo.exe fájlt a mezőbe.
  
• Kattintson a „Tovább” gombra.
  
• Válassza a „ Hozzon létre egy új domaint egy új erdőben” és ismét kattintson a „Tovább” gombra.
  
• A következő ablakban írjon be egy nevet, majd kattintson a "Tovább" gombra.
  
• Válasszon kompatibilitási mód(Windows Server 2008).
  
• A következő ablakban hagyjon mindent alapértelmezettként.
  
• Kezdődik konfigurációs ablakDNS. Mivel korábban nem használták a szerveren, nem jött létre delegálás.
  
• Válassza ki a telepítési könyvtárat.
  
• E lépés után be kell állítani adminisztrációs jelszó.

A biztonság érdekében a jelszónak meg kell felelnie a következő követelményeknek:

Miután az AD befejezte az összetevő konfigurációs folyamatát, újra kell indítania a kiszolgálót.

A telepítés befejeződött, a beépülő modul és a szerepkör telepítve van a rendszeren. Az AD-t csak a Windows Server családra telepítheti, például a 7-es vagy a 10-es verziókon, amelyek csak a felügyeleti konzol telepítését teszik lehetővé.

Adminisztráció az Active Directoryban

Alapértelmezés szerint a Windows Server rendszerben az Active Directory Felhasználók és számítógépek konzolja azzal a tartományral működik együtt, amelyhez a számítógép tartozik. A tartomány számítógép- és felhasználói objektumaihoz hozzáférhet a konzolfán keresztül, vagy csatlakozhat egy másik vezérlőhöz.

Az ugyanazon a konzolon található eszközök lehetővé teszik a megtekintést további lehetőségek objektumokat, és keressen rájuk, új felhasználókat, csoportokat hozhat létre, és módosíthatja a jogosultságokat.

Egyébként van 2 fajta csoport az Asset Directoryban – biztonság és terjesztés. A biztonsági csoportok felelősek az objektumokhoz való hozzáférési jogok elhatárolásáért, ezek terjesztési csoportként használhatók.

A terjesztési csoportok nem különböztethetik meg a jogokat, és elsősorban üzenetek hálózaton történő terjesztésére használják őket.

Mi az AD delegáció

Maga a delegáció az engedélyek és irányítás egy részének átadása a szülőtől egy másik felelős felé.

Köztudott, hogy minden szervezet központjában több rendszergazda dolgozik. Különböző feladatokat kell a különböző vállakhoz rendelni. A változtatások alkalmazásához jogosultságokkal és engedélyekkel kell rendelkeznie, amelyek standard és speciális csoportokra vannak osztva. A specifikus engedélyek egy adott objektumra vonatkoznak, míg a szabványos engedélyek meglévő engedélyek halmaza, amelyek meghatározott szolgáltatásokat tesznek elérhetővé vagy elérhetetlenné.

A bizalom megteremtése

Az AD-ben kétféle bizalmi kapcsolat létezik: "egyirányú" és "kétirányú". Az első esetben az egyik tartomány megbízik a másikban, de nem fordítva, az első hozzáfér a második erőforrásaihoz, a második pedig nem. A második típusban a bizalom „kölcsönös”. Vannak „kimenő” és „bejövő” kapcsolatok is. A kimenő tartományban az első tartomány megbízik a másodikban, így a második tartomány felhasználói használhatják az első erőforrásait.

A telepítés során a következő eljárásokat kell követni:

• Ellenőrzés hálózati kapcsolatok a vezérlők között.
• Ellenőrizze a beállításokat.
• Dallam névfeloldás külső tartományokhoz.
• Hozzon létre kapcsolatot a megbízható tartományból.
• Hozzon létre kapcsolatot a vezérlő azon oldaláról, amelyhez a bizalom címzett.
• Ellenőrizze a létrehozott egyirányú kapcsolatokat.
• Ha felmerül a szükség kétoldalú kapcsolatok létesítésében - installációt készíteni.

Globális katalógus

Ez egy tartományvezérlő, amely az erdőben lévő összes objektum másolatát tárolja. Lehetővé teszi a felhasználóknak és a programoknak, hogy az aktuális erdő bármely tartományában objektumokat keressenek attribútum-felderítő eszközök szerepel a globális katalógusban.

A globális katalógus (GC) korlátozott attribútumkészletet tartalmaz az egyes tartományok egyes erdőobjektumaihoz. Adatokat fogad az erdőben lévő összes tartományi címtárpartícióról, és az Active Directory szabványos replikációs folyamatával másolja azokat.

A séma határozza meg, hogy az attribútum másolásra kerül-e. Van rá lehetőség konfigurációt további jellemzők , amely az „Active Directory Schema” segítségével újra létrejön a globális katalógusban. Ha attribútumot szeretne hozzáadni a globális katalógushoz, válassza ki a replikációs attribútumot, és használja a „Másolás” lehetőséget. Ez létrehozza az attribútum replikációját a globális katalógusba. Attribútum paraméter értéke isMemberOfPartialAttributeSet igaz lesz.

Annak érdekében, hogy tájékozódjon a helyről globális katalógus, írja be a parancssorba:

Dsquery szerver –isgc

Adatreplikáció az Active Directoryban

A replikáció egy másolási eljárás, amelyet akkor hajtanak végre, ha bármely vezérlőn ugyanolyan naprakész információkat kell tárolni.

Előállítják operátor részvétele nélkül. A replikatartalomnak a következő típusai léteznek:

• Az adatreplikák az összes létező tartományból jönnek létre.
• Adatsémák replikái. Mivel az adatséma az Active Directory-erdő összes objektumánál ugyanaz, a replikák az összes tartományban megmaradnak.
• Konfigurációs adatok. Megmutatja a másolatok felépítését a vezérlők között. Az információ az erdő összes tartományába kerül.

A replikák fő típusai a csomóponton belüli és a csomópontok közötti.

Az első esetben a változtatások után a rendszer vár, majd értesíti a partnert, hogy hozzon létre egy replikát a változtatások befejezéséhez. A replikációs folyamat még változtatások hiányában is automatikusan megtörténik egy bizonyos idő elteltével. A törésmódosítások alkalmazása után a könyvtárakban a replikáció azonnal megtörténik.

Replikációs eljárás a csomópontok között között történik minimális terhelés a hálózaton, így elkerülhető az információvesztés.