Ce este Active Directory - cum se instalează și se configurează. Ce este Active Directory și cum se instalează și se configurează baza de date Introducere în Active Directory

Cladirile

Salutare tuturor, după ce am instalat Active Directory în Windows Server 2008R2 și am adăugat un controler de domeniu la pădurea Windows Server 2008 R2 Active Directory existentă, trebuie să mergem mai departe și să ținem pasul cu vremurile. Astăzi vom analiza cum să adăugați un controler de domeniu de la Windows Server 2012 R2 la o pădure Windows Server 2008 R2 Active Directory existentă.

Pentru a implementa această sarcină, trebuie să aveți instalat Windows Server 2012 R2 și o adresă IP statică configurată pe acesta, computerul trebuie să poarte și numele dc03 și trebuie să fie alăturat unui domeniu.

Am îndeplinit toate cerințele pregătitoare

hai sa incercam sa intram ca inainte dcpromo, în meniu executați

și vedem că acum nu există o astfel de comandă și vi se cere să instalați Active Directory prin Server Manager.

Deschideți managementul - Adăugați roluri și componente

În roluri, bifați caseta pentru Servicii de domeniu și faceți clic pe adăugați componente

faceți clic pe instalare

După instalarea cu succes, faceți clic pe închidere

După care vedem o pictogramă de avertizare, facem clic pe ea și vedem, vi se cere să promovați rolul acestui server la nivelul unui controler de domeniu, să configuram controlerul de domeniu.

Se va deschide configurația de implementare, selectați Adăugați un controler de domeniu la un domeniu existent, specificați numele domeniului; pentru mine este msk.site și specificați acreditările în numele cărora va fi efectuată operația.

Bifați serverul DNS și caseta Catalog global, selectați un site dacă există mai multe dintre ele și, de asemenea, trebuie să specificați de două ori parola pentru modul de recuperare a serviciilor de director (DSRM).

Specificați sursa de replicare, voi părăsi orice controler, puteți bifa și caseta Instalați din media IFM

Vi se va cere să specificați calea în care se află IFM pentru a instala de pe acesta.

Am stabilit locația în care vor fi stocate baza de date AD și folderul SYSVOL.

Dacă toate testele sunt trecute pentru a instala DC, atunci faceți clic pe instalare

După repornire, va începe sincronizarea controlerelor de domeniu sau replicarea controlerelor de domeniu, după cum doriți. Astfel, am instalat un al treilea controler de domeniu de rezervă și dacă doi eșuează, domeniul va rămâne în viață.

Dacă faceți clic dreapta pe numele serverului în rolul AD DS, veți fi plăcut surprins de meniul contextual care va conține link-uri către o colecție foarte mare de utilitare legate de Active Directory, precum ldp, netdom, ntdsutil, Gpfixup , Dsmgmt, Repadmin, snap-in-uri și utilitare Dcdiag , Dsacls și multe altele

Să deschidem snap-in-ul ADUC și să vedem că există deja trei controlere.

Acum, domeniul nostru Windows conține 3 DC. Acesta este cât de ușor este să adăugați un controler de domeniu care rulează Windows Server 2012 R2 la o pădure Windows Server 2008 R2 Active Directory existentă.

Configurarea Active Directory este un proces destul de simplu și este discutat pe multe resurse de pe Internet, inclusiv pe cele oficiale. Cu toate acestea, pe blogul meu nu pot să nu ating acest punct, deoarece majoritatea articolelor viitoare se vor baza într-un fel sau altul pe mediul înconjurător, pe care plănuiesc să îl înființez chiar acum.

Dacă sunteți interesat de subiectele Windows Server, vă recomand să verificați eticheta de pe blogul meu. De asemenea, vă recomand să citiți articolul principal despre Active Directory -

Plănuiesc să implementez pe rând rolul AD pe două servere virtuale (viitori controlori de domeniu).

  1. În primul rând, trebuie să setați corect nume de server, pentru mine va fi DC01 si DC02;
  2. Apoi, scrieți setări statice de rețea(Voi discuta acest punct în detaliu mai jos);
  3. Instalare toate actualizările de sistem, în special actualizările de securitate (pentru CD acest lucru este mai important decât pentru orice alt rol).

În această etapă trebuie să decideți ce nume de domeniu vei avea?. Acest lucru este extrem de important, deoarece atunci schimbarea numelui de domeniu va fi o problemă foarte mare pentru dvs., chiar dacă scenariul de redenumire a fost susținut și implementat oficial de destul de mult timp.

Notă: n Câteva discuții, precum și multe link-uri către materiale utile, pot fi găsite în articolul meu. Vă recomand să îl citiți, precum și lista surselor folosite.

Deoarece voi folosi controlere de domeniu virtualizate, trebuie să schimb unele setări ale mașinilor virtuale, și anume dezactivați sincronizarea timpului cu hipervizorul. Ora în AD ar trebui să fie sincronizată exclusiv din surse externe. Setările de sincronizare a orei activate cu hypervisor pot duce la sincronizare ciclică și, ca urmare, probleme cu funcționarea întregului domeniu.

Notă: dezactivarea sincronizării cu gazda de virtualizare este cea mai simplă și varianta rapida. Cu toate acestea, aceasta nu este cea mai bună practică. Conform recomandărilor Microsoft, ar trebui să dezactivați doar parțial sincronizarea cu gazda. Pentru a înțelege principiul de funcționare, citiți documentația oficială, care este în anul trecut a sărit radical la nivelul de prezentare a materialului .

În general, abordarea administrării controlerelor de domeniu virtualizate diferă din cauza unor caracteristici ale funcționării AD DS:

Mediile virtuale sunt deosebit de dificile pentru sarcinile de lucru distribuite care se bazează pe logica de replicare bazată pe timp. De exemplu, replicarea AD DS utilizează o valoare în creștere uniformă (numită USN sau număr de serie de actualizare) atribuită tranzacțiilor din fiecare controler de domeniu. Fiecare instanță de bază de date controler de domeniu primește, de asemenea, un identificator numit InvocationID. InvocationID-ul unui controler de domeniu și numărul de actualizare continuă servesc împreună ca un identificator unic care este asociat cu fiecare tranzacție de scriere efectuată pe fiecare controler de domeniu și trebuie să fie unic în pădure.

Acum că pașii de bază pentru pregătirea mediului sunt finalizați, trecem la etapa de instalare.

Instalarea Active Directory

Instalarea se face prin Server Manager și nu este nimic complicat; puteți vedea mai jos toți pașii de instalare în detaliu:


Procesul de instalare în sine a suferit câteva modificări în comparație cu versiunile anterioare ale sistemului de operare:

Implementarea Serviciilor de domeniu Active Directory (AD DS) în Windows Server 2012 este mai simplă și mai rapidă decât versiunile anterioare ale Windows Server. Instalarea AD DS este acum bazată pe Windows PowerShell și integrată cu Server Manager. Numărul de pași necesari pentru implementarea controlerelor de domeniu într-un mediu Active Directory existent a fost redus.

Trebuie doar să selectați un rol Servicii de domeniu Active Directory, nu trebuie instalate componente suplimentare. Procesul de instalare durează puțin și puteți trece imediat la configurare.

Când rolul este instalat, veți vedea un semn de exclamare în partea dreaptă sus a Managerului serverului, care indică faptul că este necesară configurarea după implementare. Clic Promovați acest server la un controler de domeniu.

Promovați un server la un controler de domeniu

Pașii de lucru ai vrăjitorului sunt descriși în detaliu în documentație. Cu toate acestea, să trecem prin pașii de bază.

Deoarece implementăm AD de la zero, trebuie să adăugăm o nouă pădure. Asigurați-vă că stocați în siguranță parola pentru modul de restaurare a serviciilor de director (DSRM). Puteți lăsa locația bazei de date AD DS la valoarea implicită (care este ceea ce este recomandat. Cu toate acestea, pentru varietate, am specificat un director diferit în mediul meu de testare).

Asteptam montaj.

După aceasta, serverul se va reporni singur.

Crearea conturilor de administrator de domeniu/întreprindere

Va trebui să vă conectați folosind un cont de administrator local, ca și înainte. Du-te la snap Utilizatori și computere Active Directory, creați conturile necesare - în această etapă acesta este administratorul domeniului.

Configurarea DNS pe un singur DC dintr-un domeniu

În timpul instalării AD, a fost instalat și rolul AD DNS, deoarece nu aveam alte servere DNS în infrastructura mea. Pentru ca serviciul să funcționeze corect, trebuie să modificați unele setări. În primul rând, trebuie să verificați serverele DNS preferate în setările adaptorului de rețea. Trebuie să utilizați un singur server DNS cu adresa 127.0.0.1. Da, exact localhost. În mod implicit, ar trebui să se înregistreze singur.

După ce v-ați asigurat că setările sunt corecte, deschideți snap-in-ul DNS. Faceți clic dreapta pe numele serverului și deschideți proprietățile acestuia, accesați fila „Server de redirecționare”. Adresa serverului DNS care a fost specificată în setările de rețea înainte de instalarea rolului AD DS a fost înregistrată automat ca unic expeditor:

Este necesar să îl ștergeți și să creați unul nou și este foarte de dorit ca acesta să fie serverul furnizorului, dar nu o adresă publică precum binecunoscutele 8.8.8.8 și 8.8.4.4. Pentru toleranță la erori, înregistrați cel puțin două servere. Lăsați caseta de selectare pentru a utiliza link-uri rădăcină dacă nu există redirecționări disponibile. Legăturile rădăcină sunt un grup binecunoscut de servere DNS de nivel superior.

Adăugarea unui al doilea DC la domeniu

Deoarece am vorbit inițial despre a avea două controlere de domeniu, este timpul să începem configurarea celui de-al doilea. Trecem și prin vrăjitorul de instalare, promovăm rolul controlerului de domeniu, doar selectăm Adăugați un controler de domeniu la un domeniu existent:

Vă rugăm să rețineți că în setările de rețea ale acestui server, principalul Primul controler de domeniu configurat anterior trebuie selectat ca server DNS! Acest lucru este necesar, altfel veți primi o eroare.

După setările necesare, conectați-vă la server folosind contul de administrator de domeniu care a fost creat anterior.

Configurarea DNS pe mai multe DC-uri dintr-un domeniu

Pentru a preveni problemele de replicare, trebuie să modificați din nou setările de rețea și acest lucru trebuie făcut pe fiecare controler de domeniu (și pe cele preexistente) și de fiecare dată când adăugați un nou DC:

Dacă aveți mai mult de trei DC-uri într-un domeniu, trebuie să înregistrați serverele DNS prin setări suplimentare în această ordine. Puteți citi mai multe despre DNS în articolul meu.

Setarea orei

Acest pas trebuie finalizat, mai ales dacă configurați un mediu real în producție. După cum vă amintiți, anterior am dezactivat sincronizarea orei prin hypervisor și acum trebuie să o configurez corect. Un controler cu rolul de emulator FSMO PDC este responsabil pentru distribuirea orei corecte către întregul domeniu (Nu știți care este acest rol? Citiți articolul). În cazul meu, acesta este, desigur, primul controler de domeniu, care este purtătorul tuturor rolurilor FSMO inițial.

Vom configura ora pe controlerele de domeniu folosind politici de grup. Permiteți-mi să vă reamintesc că conturile de computer ale controlorilor de domeniu sunt într-un container separat și au o politică de grup separată implicită. Nu este nevoie să schimbați această politică; în schimb, creați una nouă.

Numiți-l așa cum credeți de cuviință și cum va fi creat obiectul, faceți clic dreapta - Schimbare. Să mergem la Configurație computer\Politici\Șabloane administrative\Sistem\Windows Time Service\Time Providers. Activarea politicilor Activați Windows NTP ClientȘi Activați Windows NTP Server, accesați proprietățile politicii Configurați clientul Windows NTPși setați tipul de protocol - NTP, nu atingem setările rămase:

Așteptăm ca politicile să fie aplicate (mi-a luat aproximativ 5-8 minute, în ciuda rulării gpupdate /force și a câteva reporniri), după care obținem:

În general, trebuie să vă asigurați că numai emulatorul PDC sincronizează timpul din surse externe și nu toate controlerele de domeniu la rând, dar acesta va fi cazul, deoarece politica de grup se aplică tuturor obiectelor din container. Trebuie redirecționat către un obiect specific al contului de computer care deține rolul de emulator PDC. Acest lucru se poate face și prin politicile de grup - în consola gpmc.msc, faceți clic stânga politica corectă iar în dreapta vei vedea setările acestuia. În filtrele de securitate trebuie să adăugați contul controlerului de domeniu necesar:

Citiți mai multe despre principiul de funcționare și configurația serviciului de timp în documentația oficială.

Aceasta completează setarea orei și, odată cu aceasta, configurarea inițială a Active Directory.

Buna ziua tuturor. Aș dori să vorbesc despre instalarea și configurarea Windows Server 2012 R2 Essentials. Acest articol nu este un apel la răspândire Instalare Windows sau promovarea produselor Microsoft. Aș dori doar să vă spun despre un produs interesant și poate cineva va fi interesat de acest produs și îl va găsi util în munca sa. Am încercat să scriu articolul pentru un cititor nepregătit, deci există un minim de terminologie și un maxim de generalizare a unor concepte.

Câteva despre ediția Essentials
Windows Server 2012 R2 Essentials este una dintre edițiile de server sistem de operare de la Microsoft. Cu toate acestea, are multe diferențe față de edițiile Standard și Datacenter. Ce poate face Essentials:
  1. Autorizarea și autentificarea utilizatorilor din rețeaua dvs. (Domain Controller Active Directory)
  2. Stocare de fișiere (rol server de fișiere)
  3. Acces de la distanță la rețeaua corporativă (server VPN și DirectAccess)
  4. Acces de la distanță la stocarea fișierelor printr-o interfață Web (IIS configurat pentru aceasta)
  5. Acces de la distanță la desktop-urile mașinilor client (Remote Desktop Gateway)
  6. Copiere de rezervă a mașinilor client (backup Windows)
  7. Copiere de rezervă a serverului însuși (backup Windows)
  8. Integrare cu tehnologiile Microsoft cloud (Office 365, backup Azure etc.)
  9. Essentials Unified Configuration Console, care vă va permite să configurați caracteristicile descrise mai sus chiar și pentru un administrator de sistem neinstruit.
Pentru a rezuma, ediția Essentials are majoritatea rolurilor Windows Server. Unele dintre aceste roluri sunt configurate, unele sunt complet accesibile, unele, precum Hyper-V, au limitări serioase. Compensația pentru toate aceste limitări este un preț mai mic, 25 de licențe CAL incluse și o configurare centralizată și ușoară. Aș dori, de asemenea, să remarc că procesul de licențiere este foarte diferit. Puteți utiliza această ediție numai pentru organizațiile în care numărul de utilizatori nu depășește 25. Dar, din nou, nu este nevoie să achiziționați nicio licență client.
Astfel, Essentials este foarte potrivit pentru organizațiile mici care ar dori să folosească majoritatea soluțiilor moderne pentru a asigura securitatea rețelei corporative, stocarea documentelor, accesul de la distanță și, eventual, sistemele de e-mail. Pentru acele organizații care nu ar dori să cheltuiască mulți bani atât pe infrastructura IT în sine, cât și pe munca administratorilor de sistem cu înaltă calificare.
Instalare și configurare inițială
Instalarea acestui sistem de operare este o procedură complet standard. Dacă ați instalat vreodată Windows Vista / 7/8/8.1, atunci veți instala Essentials fără probleme. Cu toate acestea, dacă nu ați instalat sistemele de operare de mai sus sau oricare dintre cele mai recente versiuni de sisteme de operare pentru server, atunci vă recomand fie să aveți încredere într-un profesionist, fie cel puțin într-un student de anul II.
Singurul lucru pe care l-aș recomanda în timpul instalării, dacă aveți un hard disk, este să îl împărțiți în două partiții. Acestea. asigurați-vă că după instalare sistemul are un al doilea hard disk deja formatat. Desigur, aceasta este doar o recomandare; puteți pregăti un al doilea disc mai târziu, dar va trebui să transferați câteva foldere.
După ce vă conectați la sistemul de operare nou instalat pentru prima dată, se va lansa expertul „Configurare Windows Server Essentials”, care vă va ajuta să efectuați configurarea inițială.

În primul pas, trebuie să setați setările de dată și oră.

În al doilea pas trebuie să completați Limba engleză Numele companiei. Numele de domeniu și numele serverului vor fi generate automat în acest caz, deși bineînțeles că le puteți schimba.

În pasul următor, trebuie să completați numele administratorului și să îi setați parola.

În ultimul pas, trebuie să specificați metoda de actualizare a sistemului de operare și să faceți clic pe configurare

După aceasta, va începe un proces care va face toate setările inițiale necesare. Acest lucru va dura aproximativ 30 de minute și necesită mai multe reporniri. În acest timp, sistemul de operare va avea timp, în special, să instaleze rolurile necesare și să configureze serverul ca controler de domeniu pentru noul domeniu.

Setări
Produsul este foarte mare și extins, aș dori să vorbesc despre cele mai elementare opțiuni de configurare, cum ar fi crearea de utilizatori, configurarea accesului la distanță, crearea de foldere, conectarea clienților.
Toată configurația are loc în tabloul de bord, care poate fi accesat de pe desktop, panoul de lansare rapidă și ecranul de pornire.

Crearea utilizatorilor
Când lansați acest panou pentru prima dată, veți vedea fila de instalare, unde puteți efectua o serie de sarcini pentru a configura serverul.
Voi începe prin a adăuga utilizatori. Faceți clic pe link pentru a adăuga conturi.

Selectați nivelul de acces la folderele partajate care au fost create. Pe stadiul inițial Există doar una - Organizația. În viitor, puteți modifica permisiunile de acces atât din proprietățile utilizatorului, cât și din proprietățile folderului.

Contul dvs. a fost creat. Faceți clic pe închidere.

Puteți crea mai multe conturi în acest fel. Desigur, puteți utiliza interfața Active Directory Users and Computers care vă este familiară și familiară, dar în acest caz va trebui să acordați permisiuni de acces manual.

Adăugarea folderelor serverului
Pentru a adăuga foldere, există un alt expert care vă va ajuta să creați un folder pe disc, să configurați accesul partajat pentru acesta și să acordați permisiuni. Pentru a-l lansa, trebuie să faceți clic pe linkul corespunzător din tabloul de bord.

În fereastra expertului care se deschide, introduceți un nume. Puteți schimba locația și puteți adăuga o descriere. Faceți clic pe următorul.

Pe pagina următoare indicăm permisiunile necesare. Dacă este necesar, îl facem indisponibil pentru acces la distanță.

Din ultimul pas al acestui expert, puteți lansa Expertul de configurare a arhivării. Faceți clic pe închidere.

Configurarea accesului de la distanță
Acesta este probabil unul dintre cei mai dificili pași în configurarea Windows Server 2012R2 Essentials. Configurarea are loc și folosind un expert. Vrăjitorul este lansat în mod tradițional din tabloul de bord.

Primul lucru pe care trebuie să-l configurați este routerul - expertul vă spune despre acest lucru. De fapt, trebuie să configurați redirecționarea portului pe router. Pentru a face acest lucru, routerul trebuie să aibă o adresă IP „albă”. Este mai bine să configurați o adresă IP statică pe serverul însuși. Trebuie să redirecționați următoarele porturi 80, 443, 1723, 987 către adresa IP a serverului dvs. În general, procedura de configurare poate fi efectuată de către vrăjitorul însuși dacă routerul dumneavoastră acceptă UPnP. Am făcut setările manual, așa că am sărit peste acest pas.

După aceasta, se deschide un nou asistent de configurare a numelui de domeniu. Faceți clic pe următorul.

Expertul vă va solicita să introduceți numele domeniului extern sau să creați unul nou. Pentru propriul domeniu veți avea nevoie de un certificat, așa că vom lua în considerare aici opțiunea de configurare folosind un domeniu Microsoft. Selectați un alt nume de domeniu și faceți clic pe următorul.

Să luăm în considerare opțiunea cu un domeniu Microsoft.

Introduceți numele domeniului și verificați disponibilitatea, faceți clic pe configurare.

Ei bine, ne-am dat seama de numele domeniului. Să continuăm mai departe.

Alegem ce caracteristici vor fi disponibile.

Selectăm dacă accesul la distanță va fi disponibil pentru utilizatorii actuali.

Ei bine, asta este tot, puteți încerca să accesați wiseguy.remoteweaccess.com.

De pe acest site este posibil să accesați folderele partajate și accesul la desktop-urile utilizatorilor.

Conectarea stațiilor de lucru
Dacă deschidem de data aceasta panoul de monitorizare și mergem la pagina de conectare la computer, acolo vom vedea doar instrucțiuni de acțiune

Urmând instrucțiunile de pe client din browser, deschideți pagina http://<Имя сервера>/conectați. Faceți clic pe linkul de descărcare.

Alegem să executăm.

Acceptăm licența și așteptăm.

Introduceți numele de utilizator și parola utilizatorului acestui computer sau administrator. Am intrat în contul de utilizator.

Reporniți serverul.

Noi alegem cine va folosi computerul.

Introduceți o descriere a computerului.

Opțiuni de arhivare.

Ura! Gata.

Ne conectăm la computer cu un cont de utilizator.

Poți lucra. Desktopul are deja toate comenzile rapide necesare.

Post scriptum
Desigur, Windows Server 2012R2 Essentials nu este un panaceu. O mare parte este automatizată, dar nu totul. Cu toate acestea, pentru organizațiile mici, acest lucru este destul de solutie interesantași trebuie luat în considerare. În acest articol, am vorbit doar despre cele mai de bază setări ale Essentials. Dacă doriți să cunoașteți produsul mai îndeaproape, puteți urmări rapoartele mele video pe site-ul Techdays.ru.

Prima privire Windows Server 2012 R2 Essentials: www.techdays.ru/videos/7351.html - aici puteți studia cu atenție procesul de instalare Essentials.

Configurația Windows Server 2012 R2 Essentials: www.techdays.ru/videos/7370.html - se discută configurarea tuturor caracteristicilor, se arată configurarea accesului la distanță pentru domeniul dvs.

Integrare Windows Server 2012 R2 Essentials Office 365: www.techdays.ru/videos/7380.html - integrare cu cloud office de la Microsoft.

Bună ziua, astăzi vă voi prezenta instalarea rolurilor AD (Active Directory) și DC (controler de domeniu) pe noul sistem de operare server de la Microsoft - Windows Server 2012 R2. Pentru început, schimbăm numele serverului nostru în funcție de reglementările pentru denumirea PC-urilor și serverelor din organizație sau îl atribuim în funcție de dorințele noastre. Mi-am numit serverul meu de testare. Cu acest nume va fi afișat serverul nostru în rețea. Apoi efectuăm următorii pași: Mergeți la managerul serverului:

Accesați fila adăugați roluri și caracteristici

Clic Mai departe
Selectați rolurile și componentele de instalare și faceți clic Mai departe
Selectați serverul pe care dorim să ne instalăm rolul și faceți clic Mai departe
Selectați următorul rol: Servicii de domeniuActivDirectorși faceți clic pe următorul

Confirmați adăugarea componentelor necesare pentru a instala rolul Active Directory Domain Services

Lăsați-l așa cum este sau adăugați componentele necesare pentru instalare, faceți clic pe următorul

Faceți clic pe butonul de instalare

După instalare, mergeți la managerul de server și vedeți rolurile instalate

Accesați secțiunea de gestionare

Faceți clic pe Accesați AD DS

Accesați fila de detalii

Începem să implementăm controlerul de domeniu pe serverul nostru. Selectați o filă adăugați pădure nouăși atribuiți un nume pentru domeniul nostru, apoi faceți clic Mai departe

Selectați modul de operare pentru pădure și domeniu, setați o parolă pentru modul de recuperare a serviciilor de director și faceți clic Mai departe

Selectați un nume NetBIOS pentru domeniul nostru și faceți clic Mai departe

Începe procesul de verificare a cerințelor preliminare, după care facem clic pe instalare

După instalare, verificați:

Dacă ai făcut totul corect, vei vedea că tura a trecut grup de lucru Grup de lucru pe domeniu.

Active Directory (AD) este un program utilitar conceput pentru sistemul de operare Microsoft Server. A fost creat inițial ca un algoritm ușor pentru accesarea directoarelor utilizatorilor. De la versiunea Windows Server 2008, a apărut integrarea cu serviciile de autorizare.

Face posibilă respectarea politicii de grup care aplică același tip de setări și software pe toate computerele controlate folosind System Center Configuration Manager.

Dacă în cuvinte simple pentru începători, acesta este un rol de server care vă permite să gestionați toate accesul și permisiunile din rețeaua locală dintr-un singur loc

Funcții și scopuri

Microsoft Active Directory – (așa-numitul director) un pachet de instrumente care vă permite să manipulați utilizatorii și datele din rețea. obiectivul principal creare – facilitarea muncii administratorilor de sistem în rețele mari.

Directoarele conțin diverse informații legate de utilizatori, grupuri, dispozitive de rețea, resurse de fișiere - într-un cuvânt, obiecte. De exemplu, atributele utilizatorului care sunt stocate în director ar trebui să fie următoarele: adresă, autentificare, parolă, număr telefon mobil etc. Directorul este folosit ca puncte de autentificare, cu ajutorul căruia puteți afla informațiile necesare despre utilizator.

Concepte de bază întâlnite în timpul lucrului

Există o serie de concepte specializate care sunt utilizate atunci când lucrați cu AD:

  1. Serverul este un computer care conține toate datele.
  2. Controlerul este un server cu rol AD ​​care procesează cererile de la persoanele care folosesc domeniul.
  3. Domeniul AD este o colecție de dispozitive unite sub un nume unic, folosind simultan bază comună date de catalog.
  4. Magazinul de date este partea din director responsabilă cu stocarea și preluarea datelor de la orice controler de domeniu.

Cum funcționează directoarele active

Principalele principii de funcționare sunt:

  • Autorizare, cu care vă puteți folosi computerul în rețea prin simpla introducere a parolei personale. În acest caz, toate informațiile din cont sunt transferate.
  • Securitate. Active Directory conține funcții de recunoaștere a utilizatorilor. Pentru orice obiect de rețea, puteți seta de la distanță, de pe un singur dispozitiv, drepturile necesare, care vor depinde de categorii și utilizatori specifici.
  • Administrarea rețelei dintr-un punct. Când lucrează cu Active Directory, administratorul de sistem nu trebuie să reconfigureze toate PC-urile dacă este necesar să schimbe drepturile de acces, de exemplu, la o imprimantă. Schimbările sunt efectuate de la distanță și la nivel global.
  • Deplin Integrare DNS. Cu ajutorul acestuia, nu există confuzie în AD; toate dispozitivele sunt desemnate exact la fel ca pe World Wide Web.
  • La scară largă. Un set de servere poate fi controlat de un Active Directory.
  • Căutare efectuată în funcție de diferiți parametri, de exemplu, numele computerului, autentificare.

Obiecte și atribute

Un obiect este un set de atribute, unite sub propriul nume, reprezentând o resursă de rețea.

Atribut - caracteristicile unui obiect din catalog. De exemplu, acestea includ numele complet și datele de conectare ale utilizatorului. Dar atributele unui cont de PC pot fi numele acestui computer și descrierea acestuia.

„Angajat” este un obiect care are atributele „Nume”, „Poziție” și „TabN”.

Container LDAP și nume

Containerul este un tip de obiect care poate constau din alte obiecte. Un domeniu, de exemplu, poate include obiecte de cont.

Scopul lor principal este organizarea obiectelor după tipuri de semne. Cel mai adesea, containerele sunt folosite pentru a grupa obiecte cu aceleași atribute.

Aproape toate containerele mapează o colecție de obiecte, iar resursele sunt mapate la un obiect Active Directory unic. Unul dintre principalele tipuri de containere AD este modulul de organizare sau OU (unitatea organizațională). Obiectele care sunt plasate în acest container aparțin numai domeniului în care sunt create.

Protocolul ușor de acces la director (LDAP) este algoritmul de bază pentru conexiunile TCP/IP. Este conceput pentru a reduce cantitatea de nuanțe atunci când accesați serviciile de directoare. LDAP definește, de asemenea, acțiunile utilizate pentru a interoga și edita datele directorului.

Arborele și site-ul

Un arbore de domenii este o structură, o colecție de domenii care au diagrama generalași configurația respectivă spatiu comun nume și sunt legați de o relație de încredere.

O pădure de domeniu este o colecție de copaci conectați între ei.

Un site este o colecție de dispozitive în subrețele IP, reprezentând un model fizic al rețelei, a cărui planificare se realizează indiferent de reprezentarea logică a construcției acesteia. Active Directory are capacitatea de a crea un număr n de site-uri sau de a combina un număr n de domenii sub un singur site.

Instalarea și configurarea Active Directory

Acum să trecem direct la configurarea Active Directory folosind Windows Server 2008 ca exemplu (procedura este identică pentru alte versiuni):

Faceți clic pe butonul „OK”. Este de remarcat faptul că astfel de valori nu sunt necesare. Puteți utiliza adresa IP și DNS din rețeaua dvs.

  • Apoi, trebuie să mergeți la meniul „Start”, selectați „Administrare” și „”.
  • Accesați elementul „Roluri”, selectați „ Adăugați roluri”.
  • Selectați „Active Directory Domain Services”, faceți clic pe „Next” de două ori, apoi pe „Install”.
  • Așteptați finalizarea instalării.
  • Deschideți meniul „Start”-“ A executa" Introduceți dcpromo.exe în câmp.
  • Faceți clic pe „Următorul”.
  • Selectați " Creați un domeniu nou într-o pădure nouă” și faceți clic din nou pe „Următorul”.
  • În fereastra următoare, introduceți un nume și faceți clic pe „Următorul”.
  • Alege Mod de compatibilitate(Windows Server 2008).
  • În fereastra următoare, lăsați totul ca implicit.
  • O sa inceapa fereastra de configurareDNS. Deoarece nu a mai fost folosit pe server, nu a fost creată nicio delegație.
  • Selectați directorul de instalare.
  • După acest pas trebuie să setați parola de administrare.

Pentru a fi sigură, parola trebuie să îndeplinească următoarele cerințe:


După ce AD ​​finalizează procesul de configurare a componentelor, trebuie să reporniți serverul.



Configurarea este completă, snap-in-ul și rolul sunt instalate pe sistem. Puteți instala AD numai pe familia Windows Server; versiunile obișnuite, de exemplu 7 sau 10, vă pot permite doar să instalați consola de management.

Administrare în Active Directory

În mod implicit, în Windows Server, consola Active Directory Users and Computers funcționează cu domeniul căruia îi aparține computerul. Puteți accesa computer și obiecte utilizator din acest domeniu prin arborele consolei sau vă puteți conecta la un alt controler.

Instrumentele din aceeași consolă vă permit să vizualizați Opțiuni suplimentare obiecte și căutați-le, puteți crea utilizatori noi, grupuri și puteți modifica permisiunile.

Apropo, există 2 tipuri de grupuriîn Asset Directory - securitate și distribuție. Grupurile de securitate sunt responsabile pentru delimitarea drepturilor de acces la obiecte; acestea pot fi folosite ca grupuri de distribuție.

Grupurile de distribuție nu pot diferenția drepturile și sunt utilizate în principal pentru distribuirea mesajelor în rețea.

Ce este delegarea AD

Delegația în sine este transferul unei părți din permisiuni și control de la părinte la o altă parte responsabilă.

Se știe că fiecare organizație are mai mulți administratori de sistem la sediul său. Sarcini diferite ar trebui să fie atribuite umerilor diferiți. Pentru a aplica modificări, trebuie să aveți drepturi și permisiuni, care sunt împărțite în standard și speciale. Permisiunile specifice se aplică unui anumit obiect, în timp ce permisiunile standard sunt un set de permisiuni existente care fac anumite funcții disponibile sau indisponibile.

Stabilirea încrederii

Există două tipuri de relații de încredere în AD: „unidirecționale” și „bidirecționale”. În primul caz, un domeniu are încredere în celălalt, dar nu invers; în consecință, primul are acces la resursele celui de-al doilea, dar al doilea nu are acces. În al doilea tip, încrederea este „reciprocă”. Există, de asemenea, relații „de ieșire” și „de intrare”. În outgoing, primul domeniu are încredere în al doilea, permițând astfel utilizatorilor celui de-al doilea să utilizeze resursele primului.

În timpul instalării, trebuie urmate următoarele proceduri:

  • Verifica conexiuni de rețea între controlere.
  • Verificați setările.
  • Ton rezoluție de nume pentru domenii externe.
  • Creați o conexiune din domeniul de încredere.
  • Creați o conexiune din partea controlerului căreia îi este adresată încrederea.
  • Verificați relațiile unidirecționale create.
  • Dacă apare nevoiaîn stabilirea relaţiilor bilaterale – faceţi o instalaţie.

Catalog global

Acesta este un controler de domeniu care stochează copii ale tuturor obiectelor din pădure. Oferă utilizatorilor și programelor posibilitatea de a căuta obiecte în orice domeniu al pădurii curente instrumente de descoperire a atributelor incluse în catalogul global.

Catalogul global (GC) include un set limitat de atribute pentru fiecare obiect forestier din fiecare domeniu. Acesta primește date de la toate partițiile de director de domeniu din pădure și este copiat utilizând procesul standard de replicare Active Directory.

Schema determină dacă atributul va fi copiat. Există o posibilitate configurație caracteristici suplimentare , care va fi recreat în catalogul global folosind „Schema Active Directory”. Pentru a adăuga un atribut la catalogul global, trebuie să selectați atributul de replicare și să utilizați opțiunea „Copiere”. Aceasta va crea replicarea atributului în catalogul global. Valoarea parametrului atribut isMemberOfPartialAttributeSet va deveni adevărat.

Pentru a afla locatia catalog global, trebuie să introduceți pe linia de comandă:

Server Dsquery –isgc

Replicarea datelor în Active Directory

Replicarea este o procedură de copiere care se realizează atunci când este necesar să se stocheze informații la fel de actuale care există pe orice controler.

Este produs fără participarea operatorului. Există următoarele tipuri de conținut replicat:

  • Replicile de date sunt create din toate domeniile existente.
  • Replici ale schemelor de date. Deoarece schema de date este aceeași pentru toate obiectele din pădurea Active Directory, replici ale acesteia sunt menținute în toate domeniile.
  • Date de configurare. Afișează construcția de copii între controlere. Informațiile sunt distribuite în toate domeniile din pădure.

Principalele tipuri de replici sunt intra-nod și inter-nod.

În primul caz, după modificări, sistemul așteaptă, apoi notifică partenerul să creeze o replică pentru a finaliza modificările. Chiar și în absența modificărilor, procesul de replicare are loc automat după o anumită perioadă de timp. După ce modificările de ruptură sunt aplicate directoarelor, replicarea are loc imediat.

Procedura de replicare între noduri se întâmplă între ele sarcină minimă în rețea, aceasta evită pierderea de informații.

S-ar putea să te intereseze și tu
„sentiment de turmă” - un simplu experiment Doctor în științe sociologice, șef al Centrului de Sociologie Fundamentală de la Școala Superioară de Economie, redactor-șef al revistei Sociological Review, specialist în istoria sociologiei
Cladirile 0
„sentiment de turmă” - un simplu experiment Doctor în științe sociologice, șef al Centrului de Sociologie Fundamentală de la Școala Superioară de Economie, redactor-șef al revistei Sociological Review, specialist în istoria sociologiei
Fiecare dintre noi este supus influenței sociale. Aceasta este norma pentru natura noastră umană, pentru că...
Să cunoști lumea naturală din jurul tău
Zidărie 0
Să cunoști lumea naturală din jurul tău
Multe animale mici sunt în mod inevitabil săpători excelenți, deoarece trebuie să aibă o grijă deosebită pentru...
Cele mai incredibile broaște din lume De ce și-a luat numele broasca taur
feluri 0
Cele mai incredibile broaște din lume De ce și-a luat numele broasca taur
Unde unul dintre personaje este o broască broască. Dar nu toate sunt mici și inofensive. ÎN...
Ferită - proprietăți și aplicații
Zidărie 0
Ferită - proprietăți și aplicații
Omenirea a devenit conștientă de mineral, care este atras de produsele din oțel, încă din secolul al III-lea î.Hr....
Reactorul nuclear: istoricul creării și principiul de funcționare
feluri 0
Reactorul nuclear: istoricul creării și principiul de funcționare
Când chimiștii germani Otto Hahn și Fritz Strassmann au reușit pentru prima dată să împartă un nucleu de uraniu în 1938...
Lenin este mereu în viață cu mine
Soluţie 0
Lenin este mereu în viață cu mine
Tinerii moderni știu cine este Lenin? De exemplu, în copilăria mea, a fost prezent la fiecare...