Active Directory

Active Directory(„Aktive Verzeichnisse“, ANZEIGE) - LDAP-Kompatible Implementierung des Verzeichnisdienstes des Unternehmens Microsoft Für Betriebssysteme Familien Windows NT. Active Directory ermöglicht Administratoren die Verwendung von Gruppenrichtlinien, um eine einheitliche Konfiguration der Benutzerarbeitsumgebung sicherzustellen und Software auf mehreren Computern bereitzustellen Gruppenrichtlinien oder durch System Center-Konfigurationsmanager(vorher Microsoft Systems Management Server), installieren Sie mithilfe des Update-Dienstes Betriebssystem-, Anwendungs- und Serversoftware-Updates auf allen Computern im Netzwerk Windows Server . Active Directory speichert Daten und Umgebungseinstellungen in einer zentralen Datenbank. Netzwerke Active Directory kann sein verschiedene Größen: von mehreren zehn bis zu mehreren Millionen Objekten.

Leistung Active Directory fand 1999 statt, das Produkt wurde erstmals mit veröffentlicht Windows 2000 Server und wurde später bei der Veröffentlichung geändert und verbessert Windows Server 2003. Anschließend Active Directory wurde verbessert Windows Server 2003 R2, Windows Server 2008 Und Windows Server 2008 R2 und umbenannt in Active Directory-Domänendienste. Der Verzeichnisdienst wurde zuvor aufgerufen NT-Verzeichnisdienst (NTDS), ist dieser Name immer noch in einigen ausführbaren Dateien zu finden.

Im Gegensatz zu Versionen Windows Vor Windows 2000, die hauptsächlich das Protokoll nutzte NetBIOS für Netzwerkkommunikation, Service Active Directory integriert mit DNS Und TCP/IP. Das Staist Kerberos. Wenn der Client oder die Anwendung die Authentifizierung nicht unterstützt Kerberos, wird das Protokoll verwendet NTLM .

Gerät

Objekte

Active Directory hat eine hierarchische Struktur bestehend aus Objekten. Objekte lassen sich in drei Hauptkategorien einteilen: Ressourcen (z. B. Drucker), Dienste (z. B. E-Mail) und Konten Benutzer und Computer. Active Directory Bietet Informationen zu Objekten, ermöglicht die Organisation von Objekten, die Kontrolle des Zugriffs darauf und legt außerdem Sicherheitsregeln fest.

Objekte können Container für andere Objekte (Sicherheits- und Verteilergruppen) sein. Ein Objekt wird durch seinen Namen eindeutig identifiziert und verfügt über eine Reihe von Attributen – Merkmale und Daten –, die es enthalten kann; Letztere wiederum hängen von der Art des Objekts ab. Attribute bilden die Grundlage der Struktur eines Objekts und werden im Schema definiert. Das Schema definiert, welche Objekttypen existieren können.

Das Schema selbst besteht aus zwei Arten von Objekten: Schemaklassenobjekten und Schemaattributobjekten. Ein Schemaklassenobjekt definiert einen Objekttyp Active Directory(z. B. ein Benutzerobjekt) und ein Schemaattributobjekt definiert das Attribut, das das Objekt haben kann.

Jedes Attributobjekt kann in mehreren verschiedenen Schemaklassenobjekten verwendet werden. Diese Objekte werden Schemaobjekte (oder Metadaten) genannt und ermöglichen es Ihnen, das Schema nach Bedarf zu ändern und zu erweitern. Allerdings ist jedes Schemaobjekt Teil der Objektdefinitionen Active Directory Daher kann das Deaktivieren oder Ändern dieser Objekte schwerwiegende Folgen haben, da durch diese Aktionen die Struktur geändert wird Active Directory. Änderungen an einem Schemaobjekt werden automatisch weitergegeben Active Directory. Einmal erstellt, kann ein Schemaobjekt nicht gelöscht, sondern nur deaktiviert werden. Normalerweise werden alle Schemaänderungen sorgfältig geplant.

Containerähnlich Objekt in dem Sinne, dass er auch Attribute hat und zu einem Namensraum gehört, aber im Gegensatz zu einem Objekt steht ein Container nicht für etwas Bestimmtes: Er kann eine Gruppe von Objekten oder andere Container enthalten.

Struktur

Die oberste Ebene der Struktur ist der Wald – die Sammlung aller Objekte, Attribute und Regeln (Attributsyntax) in Active Directory. Ein Wald enthält einen oder mehrere durch Transitive verbundene Bäume Vertrauensverhältnisse . Der Baum enthält eine oder mehrere Domänen, die ebenfalls durch transitive Vertrauensbeziehungen in einer Hierarchie verknüpft sind. Domänen werden durch ihre DNS-Namensstrukturen – Namespaces – identifiziert.

Objekte in einer Domäne können in Containern – Abteilungen – gruppiert werden. Mit Abteilungen können Sie eine Hierarchie innerhalb einer Domäne erstellen, deren Verwaltung vereinfachen und die organisatorische und/oder geografische Struktur eines Unternehmens modellieren Active Directory. Divisionen können andere Divisionen enthalten. Konzern Microsoft empfiehlt, so wenige Domains wie möglich zu verwenden Active Directory und verwenden Sie Unterteilungen für die Strukturierung und Richtlinien. Häufig werden Gruppenrichtlinien speziell auf Abteilungen angewendet. Gruppenrichtlinien sind selbst Objekte. Eine Abteilung ist die unterste Ebene, auf der Verwaltungsbefugnisse delegiert werden können.

Eine andere Art der Aufteilung Active Directory Sind Websites Dabei handelt es sich um eine Methode zur physischen (statt logischen) Gruppierung basierend auf Netzwerksegmenten. Standorte werden in Standorte unterteilt, die über Verbindungen über langsame Kanäle (z. B. über globale Netzwerkkanäle, Verwendung virtueller privater Netzwerke) und über Hochgeschwindigkeitskanäle (z. B. über ein lokales Netzwerk) verfügen. Eine Website kann eine oder mehrere Domänen enthalten, und eine Domäne kann eine oder mehrere Websites enthalten. Beim Entwerfen Active Directory Es ist wichtig, den Netzwerkverkehr zu berücksichtigen, der entsteht, wenn Daten zwischen Standorten synchronisiert werden.

Wichtige Designentscheidung Active Directory ist die Entscheidung, die Informationsinfrastruktur in hierarchische Domänen und Abteilungen zu unterteilen Höchststufe. Typische Modelle für eine solche Trennung sind Modelle der Trennung nach Funktionsbereichen des Unternehmens, nach geografischem Standort und nach Rollen in der Informationsinfrastruktur des Unternehmens. Kombinationen dieser Modelle werden häufig verwendet.

Physische Struktur und Replikation

Physisch werden Informationen auf einem oder mehreren gleichwertigen Domänencontrollern gespeichert und ersetzen die in verwendeten Windows NT Primär- und Backup-Domänencontroller, obwohl für einige Vorgänge ein sogenannter „Single Master Operations“-Server beibehalten wird, der einen primären Domänencontroller emulieren kann. Jeder Domänencontroller verwaltet eine Lese-/Schreibkopie der Daten. Auf einem Controller vorgenommene Änderungen werden durch Replikation mit allen Domänencontrollern synchronisiert. Server, auf denen der Dienst selbst ausgeführt wird Active Directory nicht installiert, aber Teil der Domäne sind Active Directory werden als Mitgliedsserver bezeichnet.

Reproduzieren Active Directory auf Wunsch durchgeführt. Service Wissenskonsistenzprüfung erstellt eine Replikationstopologie, die im System definierte Sites zur Steuerung des Datenverkehrs verwendet. Die standortinterne Replikation erfolgt häufig und automatisch mithilfe einer Konsistenzprüfung (Benachrichtigung der Replikationspartner über Änderungen). Die standortübergreifende Replikation kann für jeden Standortkanal konfiguriert werden (abhängig von der Qualität des Kanals) – jedem Kanal kann ein anderer „Score“ (oder „Kosten“) zugewiesen werden (z. B. DS3, , ISDN usw.) und der Replikationsverkehr wird entsprechend der zugewiesenen Verbindungsschätzung begrenzt, geplant und weitergeleitet. Replikationsdaten können über Site-Link-Bridges transitiv über mehrere Sites hinweg fließen, wenn der „Score“ niedrig ist, obwohl AD Site-to-Site-Links automatisch einen niedrigeren Score zuweist als transitiven Links. Die Site-to-Site-Replikation wird von Bridgehead-Servern an jedem Standort durchgeführt, die dann Änderungen auf jedem Domänencontroller an ihrem Standort replizieren. Die domäneninterne Replikation folgt dem Protokoll RPC laut Protokoll IP, Interdomain – kann das Protokoll auch verwenden SMTP.

Wenn die Struktur Active Directory Enthält mehrere Domänen und wird zur Lösung des Problems der Suche nach Objekten verwendet globaler Katalog: Ein Domänencontroller, der alle Objekte in der Gesamtstruktur enthält, jedoch mit einem begrenzten Satz von Attributen (ein teilweises Replikat). Das Verzeichnis wird gespeichert angegebenen Server globalen Katalog und bedient domänenübergreifende Anfragen.

Die Single-Host-Fähigkeit ermöglicht die Verarbeitung von Anforderungen, wenn eine Multi-Host-Replikation nicht möglich ist. Es gibt fünf Arten solcher Vorgänge: Master-Domänencontroller-Emulation (PDC-Emulator), relativer Identifier-Master (relativer Identifier-Master oder RID-Master), Infrastruktur-Master (Infrastruktur-Master), Schema-Master (Schema-Master) und Domänennamen-Master. (Domäne Namensassistent). Die ersten drei Rollen sind innerhalb der Domäne eindeutig, die letzten beiden sind innerhalb der gesamten Gesamtstruktur eindeutig.

Base Active Directory kann in drei logische Speicher oder „Partitionen“ unterteilt werden. Das Diagramm ist eine Vorlage für Active Directory und definiert alle Arten von Objekten, ihre Klassen und Attribute sowie die Attributsyntax (alle Bäume befinden sich in derselben Gesamtstruktur, da sie dasselbe Schema haben). Die Konfiguration ist die Struktur des Waldes und der Bäume Active Directory. Eine Domäne speichert alle Informationen über Objekte, die in dieser Domäne erstellt wurden. Die ersten beiden Speicher werden auf alle Domänencontroller in der Gesamtstruktur repliziert, die dritte Partition wird vollständig zwischen Replikatcontrollern innerhalb jeder Domäne repliziert und teilweise auf globale Katalogserver repliziert.

Benennung

Active Directory unterstützt die folgenden Objektbenennungsformate: generische Typnamen UNC, URL Und LDAP-URL. Ausführung LDAP Intern verwendetes X.500-Namensformat Active Directory.

Jedes Objekt hat Distinguished Name (Englisch) Distinguished Name, DN). Beispielsweise ein Druckerobjekt mit dem Namen HPLaser3 in der Marketing-Organisationseinheit und in der Domäne foo.org hat den folgenden Distinguished Name: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , wobei CN der allgemeine Name, OU der Abschnitt und DC die Domäne ist Objektklasse. Distinguished Names können aus viel mehr Teilen als den vier Teilen in diesem Beispiel bestehen. Objekte haben auch kanonische Namen. Dies sind eindeutige Namen, die in umgekehrter Reihenfolge geschrieben sind, ohne Bezeichner und mit Schrägstrichen als Trennzeichen: foo.org/Marketing/HPLaser3. Um ein Objekt innerhalb seines Containers zu definieren, verwenden Sie relativer Distinguished Name : CN=HPLaser3 . Jedes Objekt verfügt außerdem über eine global eindeutige Kennung ( GUID) ist eine einzigartige und unveränderliche 128-Bit-Zeichenfolge, die in verwendet wird Active Directory für Suche und Replikation. Bestimmte Objekte haben auch einen UPN ( UPN, gemäß RFC 822) im Format Objekt@Domäne.

UNIX-Integration

Verschiedene Ebenen der Interaktion mit Active Directory kann in den meisten Fällen umgesetzt werden UNIX-ähnliche Betriebssysteme durch Standardkonformität LDAP Clients, aber solche Systeme nehmen in der Regel die meisten mit den Komponenten verbundenen Attribute nicht wahr Windows, wie Gruppenrichtlinien und Unterstützung für einseitige Vollmachten.

Drittanbieter bieten Integrationen an Active Directory auf Plattformen UNIX, einschließlich UNIX, Linux, Mac OS X und eine Reihe von Anwendungen basierend auf Java, mit einem Paket von Produkten:

Schema-Ergänzungen im Lieferumfang enthalten Windows Server 2003 R2 enthalten Attribute, die eng genug mit RFC 2307 verwandt sind, um allgemein verwendet zu werden. Grundlegende Implementierungen von RFC 2307, nss_ldap und pam_ldap, vorgeschlagen PADL.com, unterstützen diese Attribute direkt. Das Standardschema für die Gruppenmitgliedschaft folgt RFC 2307bis (vorgeschlagen). Windows Server 2003 R2 Enthält die Microsoft Management Console zum Erstellen und Bearbeiten von Attributen.

Eine alternative Möglichkeit besteht darin, einen anderen Verzeichnisdienst zu verwenden, z 389 Verzeichnisserver(vorher Fedora-Verzeichnisserver, FDS), eB2Bcom ViewDS v7.1 XML-fähiges Verzeichnis oder Sun Java System Directory Server aus Sun Microsystems, das eine bidirektionale Synchronisierung mit durchführt Active Directory, wodurch eine „reflektierte“ Integration beim Kunden realisiert wird UNIX Und Linux werden authentifiziert FDS, und Kunden Windows werden authentifiziert Active Directory. Eine andere Möglichkeit ist die Verwendung OpenLDAP mit der Möglichkeit der transluzenten Überlappung, wodurch die Elemente erweitert werden Remote-Server LDAP zusätzliche Attribute, die in der lokalen Datenbank gespeichert sind.

Active Directory werden mithilfe automatisiert Power Shell .

Literatur

• Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003. Vollständiger Leitfaden = Microsoft Exchange Server 2003 entfesselt. - M.: „Williams“, 2006. - S. 1024. - ISBN 0-672-32581-0

siehe auch

Links

Anmerkungen

Jeder unerfahrene Benutzer, der mit der Abkürzung AD konfrontiert wird, fragt sich, was Active Directory ist? Active Directory ist ein von Microsoft für Domänen entwickelter Verzeichnisdienst Windows-Netzwerke. In den meisten Windows Server-Betriebssystemen als eine Reihe von Prozessen und Diensten enthalten. Zunächst befasste sich der Dienst nur mit Domains. Ab Windows Server 2008 wurde AD jedoch zum Namen für eine breite Palette verzeichnisbasierter Identitätsdienste. Dies macht Active Directory für Anfänger zu einer besseren Lernerfahrung.

Grundlegende Definition

Der Server, auf dem die Active Directory-Domänenverzeichnisdienste ausgeführt werden, wird als Domänencontroller bezeichnet. Es authentifiziert und autorisiert alle Benutzer und Computer in einer Windows-Netzwerkdomäne, weist Sicherheitsrichtlinien für alle PCs zu und setzt diese durch sowie installiert oder aktualisiert Software. Wenn sich ein Benutzer beispielsweise an einem Computer anmeldet, der einer Windows-Domäne angehört, überprüft Active Directory das bereitgestellte Kennwort und ermittelt, ob es sich bei dem Benutzer um einen Systemadministrator handelt regelmäßiger Benutzer. Es ermöglicht außerdem die Informationsverwaltung und -speicherung, stellt Authentifizierungs- und Autorisierungsmechanismen bereit und schafft einen Rahmen für die Bereitstellung anderer verwandter Dienste: Zertifikatsdienste, föderierte und leichtgewichtige Verzeichnisdienste sowie Rechteverwaltung.

Active Directory verwendet die LDAP-Versionen 2 und 3, die Microsoft-Version von Kerberos und DNS.

Active Directory – was ist das? In einfachen Worten über den Komplex

Die Überwachung von Netzwerkdaten ist eine zeitaufwändige Aufgabe. Selbst in kleinen Netzwerken haben Benutzer normalerweise Schwierigkeiten, Netzwerkdateien und Drucker zu finden. Ohne eine Art Verzeichnis können mittlere bis große Netzwerke nicht verwaltet werden und haben oft Schwierigkeiten, Ressourcen zu finden.

Vorherige Versionen Microsoft Windows enthaltene Dienste, die Benutzern und Administratoren beim Auffinden von Daten helfen. Network Neighborhood ist in vielen Umgebungen nützlich, der offensichtliche Nachteil ist jedoch die umständliche Schnittstelle und ihre Unvorhersehbarkeit. WINS-Manager und Server-Manager können zum Anzeigen einer Liste von Systemen verwendet werden, waren für Endbenutzer jedoch nicht verfügbar. Administratoren verwendeten den Benutzermanager, um Daten zu einem völlig anderen Netzwerkobjekttyp hinzuzufügen und daraus zu entfernen. Es stellte sich heraus, dass diese Anwendungen für große Netzwerke ineffektiv waren, und es stellte sich die Frage: Warum benötigen Unternehmen Active Directory?

Der Katalog ist im allgemeinsten Sinne volle Liste Objekte. Ein Telefonbuch ist eine Art Verzeichnis, das Informationen über Personen, Unternehmen und Regierungsorganisationen speichertSie erfassen in der Regel Namen, Adressen und Telefonnummern. Ich frage mich Active Directory – was ist das? in einfachen Worten Wir können sagen, dass diese Technologie einem Verzeichnis ähnelt, aber viel flexibler ist. AD speichert Informationen über Organisationen, Standorte, Systeme, Benutzer, Freigaben und andere Netzwerkeinheiten.

Einführung in Active Directory-Konzepte

Warum benötigt eine Organisation Active Directory? Wie in der Einführung zu Active Directory erwähnt, speichert der Dienst Informationen über Netzwerkkomponenten. Dies wird im Leitfaden „Active Directory für Anfänger“ erklärt Ermöglicht Clients, Objekte in ihrem Namespace zu finden. Dieses t Der Begriff (auch Konsolenbaum genannt) bezeichnet den Bereich, in dem sich eine Netzwerkkomponente befinden kann. Beispielsweise erstellt das Inhaltsverzeichnis eines Buches einen Namensraum, in dem Kapitel Seitenzahlen zugeordnet werden können.

DNS ist eine Konsolenstruktur, die Hostnamen in IP-Adressen auflöst, zTelefonbücher stellen einen Namensraum zum Auflösen von Namen für Telefonnummern bereit. Wie passiert das im Active Directory? AD bietet eine Konsolenstruktur zum Auflösen von Netzwerkobjektnamen in die Objekte selbst undkann ein breites Spektrum an Entitäten auflösen, einschließlich Benutzern, Systemen und Diensten in einem Netzwerk.

Objekte und Attribute

Alles, was Active Directory verfolgt, wird als Objekt betrachtet. Mit einfachen Worten können wir sagen, dass dies im Active Directory geschieht ist ein beliebiger Benutzer, ein System, eine Ressource oder ein Dienst. Der gebräuchliche Begriff „Objekt“ wird verwendet, da AD viele Elemente verfolgen kann und viele Objekte gemeinsame Attribute aufweisen können. Was bedeutet das?

Attribute beschreiben Objekte in Active Directory. Beispielsweise haben alle Benutzerobjekte gemeinsame Attribute zum Speichern des Benutzernamens. Dies gilt auch für deren Beschreibungen. Systeme sind ebenfalls Objekte, verfügen jedoch über einen separaten Satz von Attributen, zu denen Hostname, IP-Adresse und Standort gehören.

Der für einen bestimmten Objekttyp verfügbare Satz von Attributen wird als Schema bezeichnet. Dadurch werden Objektklassen voneinander unterschieden. Die Schemainformationen werden tatsächlich in Active Directory gespeichert. Dass dieses Sicherheitsprotokollverhalten sehr wichtig ist, zeigt die Tatsache, dass das Design es Administratoren ermöglicht, Attribute zu Objektklassen hinzuzufügen und diese über das Netzwerk an alle Ecken der Domäne zu verteilen, ohne einen Domänencontroller neu zu starten.

LDAP-Container und Name

Ein Container ist ein spezieller Objekttyp, der zur Organisation des Betriebs eines Dienstes verwendet wird. Es stellt keine physische Einheit wie einen Benutzer oder ein System dar. Stattdessen wird es zum Gruppieren anderer Elemente verwendet. Containerobjekte können in anderen Containern verschachtelt sein.

Jedes Element in AD hat einen Namen. Das sind nicht die, die Sie gewohnt sind, zum Beispiel Ivan oder Olga. Dies sind LDAP-Distinguished Names. LDAP-Distinguished Names sind komplex, ermöglichen Ihnen jedoch die eindeutige Identifizierung jedes Objekts innerhalb eines Verzeichnisses, unabhängig von seinem Typ.

Begriffsbaum und Website

Ein Begriffsbaum wird verwendet, um eine Reihe von Objekten in Active Directory zu beschreiben. Was ist das? In einfachen Worten lässt sich dies anhand einer Baumassoziation erklären. Wenn Container und Objekte hierarchisch zusammengefasst werden, neigen sie dazu, Verzweigungen zu bilden – daher der Name. Ein verwandter Begriff ist „kontinuierlicher Teilbaum“, der sich auf den ununterbrochenen Hauptstamm eines Baumes bezieht.

Um die Metapher fortzusetzen, beschreibt der Begriff „Gesamtstruktur“ eine Sammlung, die nicht Teil desselben Namensraums ist, sondern ein gemeinsames Schema, eine gemeinsame Konfiguration und ein gemeinsames globales Verzeichnis aufweist. Objekte in diesen Strukturen stehen allen Benutzern zur Verfügung, sofern die Sicherheit dies zulässt. Organisationen, die in mehrere Domänen unterteilt sind, sollten Bäume in einer einzigen Gesamtstruktur zusammenfassen.

Eine Site ist ein in Active Directory definierter geografischer Standort. Standorte entsprechen logischen IP-Subnetzen und können daher von Anwendungen verwendet werden, um den nächstgelegenen Server im Netzwerk zu finden. Durch die Verwendung von Standortinformationen aus Active Directory kann der Datenverkehr auf WANs erheblich reduziert werden.

Active Directory-Verwaltung

Snap-In-Komponente „Active Directory-Benutzer“. Dies ist das bequemste Tool zur Verwaltung von Active Directory. Der Zugriff erfolgt direkt über die Programmgruppe „Verwaltung“ im Startmenü. Es ersetzt und verbessert den Server-Manager und den Benutzer-Manager von Windows NT 4.0.

Sicherheit

Active Directory spielt in der Zukunft von Windows-Netzwerken eine wichtige Rolle. Administratoren müssen in der Lage sein, ihr Verzeichnis vor Angreifern und Benutzern zu schützen und gleichzeitig Aufgaben an andere Administratoren zu delegieren. All dies ist mit dem Active Directory-Sicherheitsmodell möglich, das jedem Container und jedem Objektattribut im Verzeichnis eine Zugriffskontrollliste (ACL) zuordnet.

Ein hohes Maß an Kontrolle ermöglicht es dem Administrator, einzelnen Benutzern und Gruppen unterschiedliche Berechtigungsstufen für Objekte und deren Eigenschaften zu erteilen. Sie können Objekten sogar Attribute hinzufügen und diese Attribute für bestimmte Benutzergruppen verbergen. Beispielsweise können Sie eine ACL so festlegen, dass nur Manager die Privattelefone anderer Benutzer sehen können.

Delegierte Verwaltung

Ein neues Konzept für Windows 2000 Server ist die delegierte Verwaltung. Dadurch können Sie Aufgaben anderen Benutzern zuweisen, ohne zusätzliche Zugriffsrechte zu gewähren. Die delegierte Verwaltung kann über bestimmte Objekte oder zusammenhängende Verzeichnis-Teilbäume erfolgen. Es ist viel mehr effektive Methode Gewährung von Autorität über Netzwerke.

IN Der Ort, an dem jemandem alle globalen Domänenadministratorrechte zugewiesen werden, dem Benutzer können nur Berechtigungen innerhalb eines bestimmten Teilbaums erteilt werden. Active Directory unterstützt die Vererbung, sodass alle neuen Objekte die ACL ihres Containers erben.

Der Begriff „Treuhandverhältnis“

Der Begriff „Treuhandverhältnis“ wird weiterhin verwendet, hat jedoch eine andere Funktionalität. Es gibt keinen Unterschied zwischen unidirektionalen und bidirektionalen Trusts. Schließlich sind alle Active Directory-Vertrauensbeziehungen bidirektional. Darüber hinaus sind sie alle transitiv. Wenn also Domäne A Domäne B vertraut und B C vertraut, besteht automatisch eine implizite Vertrauensbeziehung zwischen Domäne A und Domäne C.

Auditing in Active Directory – was ist das in einfachen Worten? Hierbei handelt es sich um eine Sicherheitsfunktion, mit der Sie feststellen können, wer versucht, auf Objekte zuzugreifen, und wie erfolgreich der Versuch ist.

Verwendung von DNS (Domain Name System)

Das System, auch DNS genannt, ist für jede mit dem Internet verbundene Organisation erforderlich. DNS ermöglicht die Namensauflösung zwischen gebräuchlichen Namen wie mspress.microsoft.com und unformatierten IP-Adressen, die Netzwerkschichtkomponenten für die Kommunikation verwenden.

Active Directory nutzt in großem Umfang die DNS-Technologie, um nach Objekten zu suchen. Dies ist eine wesentliche Änderung im Vergleich zum vorherigen Betrieb Windows-Systeme, die eine Auflösung von NetBIOS-Namen durch IP-Adressen erfordern und auf WINS oder anderen NetBIOS-Namensauflösungstechniken basieren.

Active Directory funktioniert am besten, wenn es mit DNS-Servern unter verwendet wird Windows-Steuerung 2000. Microsoft hat es Administratoren erleichtert, auf Windows 2000-basierte DNS-Server zu migrieren, indem es Migrationsassistenten bereitstellt, die den Administrator durch den Prozess führen.

Es können auch andere DNS-Server verwendet werden. Dies erfordert jedoch, dass Administratoren mehr Zeit für die Verwaltung von DNS-Datenbanken aufwenden müssen. Was sind die Nuancen? Wenn Sie keine DNS-Server unter Windows 2000 verwenden möchten, müssen Sie sicherstellen, dass Ihre DNS-Server dem neuen dynamischen DNS-Aktualisierungsprotokoll entsprechen. Server sind darauf angewiesen, ihre Datensätze dynamisch zu aktualisieren, um Domänencontroller zu finden. Es ist nicht bequem. Immerhin, zWenn die dynamische Aktualisierung nicht unterstützt wird, müssen Sie die Datenbanken manuell aktualisieren.

Windows-Domänen und Internet-Domänen sind jetzt vollständig kompatibel. Beispielsweise identifiziert ein Name wie mspress.microsoft.com die für die Domäne verantwortlichen Active Directory-Domänencontroller, sodass jeder Client mit DNS-Zugriff den Domänencontroller finden kann.Kunden können die DNS-Auflösung verwenden, um nach einer beliebigen Anzahl von Diensten zu suchen, da Active Directory-Server mithilfe neuer dynamischer Aktualisierungsfunktionen eine Liste von Adressen im DNS veröffentlichen. Diese Daten werden als Domäne definiert und über Dienstressourcendatensätze veröffentlicht. SRV RR folgen dem Format service.protocol.domain.

Active Directory-Server stellen den LDAP-Dienst zum Hosten des Objekts bereit, und LDAP verwendet TCP als Grundprotokoll Transportniveau. Daher sucht ein Client, der nach einem Active Directory-Server in der Domäne mspress.microsoft.com sucht, nach dem DNS-Eintrag für ldap.tcp.mspress.microsoft.com.

Globaler Katalog

Active Directory bietet einen globalen Katalog (GC) undBietet eine einzige Quelle für die Suche nach beliebigen Objekten im Netzwerk einer Organisation.

Der globale Katalog ist ein Dienst in Windows 2000 Server, der es Benutzern ermöglicht, alle freigegebenen Objekte zu finden. Diese Funktionalität ist der in früheren Windows-Versionen enthaltenen Anwendung „Computer suchen“ weit überlegen. Schließlich können Benutzer im Active Directory nach jedem Objekt suchen: Server, Drucker, Benutzer und Anwendungen.

Wie es helfen wird Active Directory Spezialisten?

Hier ist eine kleine Liste der „Goodies“, die Sie durch die Bereitstellung von Active Directory erhalten können:

• eine einzelne Benutzerregistrierungsdatenbank, die zentral auf einem oder mehreren Servern gespeichert ist; Wenn also ein neuer Mitarbeiter im Büro erscheint, müssen Sie lediglich ein Konto für ihn auf dem Server erstellen und angeben, auf welche Arbeitsplätze er zugreifen kann;
• Da alle Domänenressourcen indiziert sind, ist dies einfach und möglich schnelle Suche für Benutzer; Wenn Sie beispielsweise in einer Abteilung einen Farbdrucker suchen müssen;
• Die Kombination aus der Anwendung von NTFS-Berechtigungen, Gruppenrichtlinien und der Delegation der Kontrolle ermöglicht Ihnen die Feinabstimmung und Verteilung von Rechten zwischen Domänenmitgliedern.
• Roaming-Benutzerprofile ermöglichen die Speicherung wichtige Informationen und Konfigurationseinstellungen auf dem Server; Wenn ein Benutzer mit einem Roaming-Profil in einer Domäne tatsächlich an einem anderen Computer arbeitet und seinen Benutzernamen und sein Passwort eingibt, sieht er seinen Desktop mit den Einstellungen, die er kennt.
• Mithilfe von Gruppenrichtlinien können Sie die Einstellungen von Benutzerbetriebssystemen ändern, von der Erlaubnis des Benutzers, Hintergrundbilder auf dem Desktop festzulegen, bis hin zu Sicherheitseinstellungen, und auch Software über das Netzwerk verteilen, z. B. Volume Shadow Copy-Client usw.;
• Viele Programme (Proxyserver, Datenbankserver usw.), die heute nicht nur von Microsoft hergestellt werden, haben gelernt, sie zu verwenden Domänenauthentifizierung Sie müssen also keine weitere Benutzerdatenbank erstellen, sondern können eine vorhandene verwenden;
• Die Verwendung von Remote Installation Services erleichtert die Installation von Systemen auf Workstations, funktioniert aber wiederum nur, wenn der Verzeichnisdienst implementiert ist.

Und dies ist keine vollständige Liste der Möglichkeiten, aber dazu später mehr. Jetzt werde ich versuchen, Ihnen die Logik der Konstruktion zu erklären Active Directory, aber auch hier lohnt es sich herauszufinden, was für ein Holz unsere Jungs sind Active Directory- Dies sind Domänen, Bäume, Wälder, Organisationseinheiten, Benutzer- und Computergruppen.

Domänen - Dies ist die grundlegende logische Konstruktionseinheit. Im Vergleich zu Arbeitsgruppen AD-Domänen sind Sicherheitsgruppen mit einer einzigen Registrierungsbasis, während Arbeitsgruppen nur eine logische Verbindung von Maschinen sind. AD wird für Benennung und Dienste verwendet DNS-Suche(Domain Name Server – Domain Name Server), nicht WINS ( Windows-Internet Name Service – Internet-Namensdienst), wie es hieß frühere Versionen N.T. Daher sehen die Namen von Computern in der Domäne beispielsweise so aus: buh.work.com, wobei buh der Name des Computers in der Domäne work.com ist (obwohl dies nicht immer der Fall ist).

Arbeitsgruppen verwenden NetBIOS-Namen. Zum Hosten einer Domänenstruktur ANZEIGE Es ist möglich, einen Nicht-Microsoft-DNS-Server zu verwenden. Es muss jedoch mit BIND 8.1.2 oder höher kompatibel sein und SRV()-Datensätze sowie das Dynamic Registration Protocol (RFC 2136) unterstützen. Jede Domäne verfügt über mindestens einen Domänencontroller, der die zentrale Datenbank hostet.

Bäume - Dabei handelt es sich um Multidomänenstrukturen. Der Stamm dieser Struktur ist die Hauptdomäne, für die Sie untergeordnete Domänen erstellen. Tatsächlich verwendet Active Directory eine hierarchische Struktur, die der Domänenstruktur im DNS ähnelt.

Wenn wir eine Domäne „work.com“ (Domäne der ersten Ebene) haben und zwei untergeordnete Domänen dafür erstellen: „first.work.com“ und „second.work.com“ (hier sind „first“ und „second“ Domänen der zweiten Ebene und kein Computer in der Domäne). , wie im oben beschriebenen Fall), erhalten wir einen Domänenbaum.

Bäume als logische Struktur werden verwendet, wenn Sie die Niederlassungen eines Unternehmens beispielsweise nach geografischen Gesichtspunkten oder aus anderen organisatorischen Gründen unterteilen müssen.

ANZEIGE hilft dabei, automatisch Vertrauensbeziehungen zwischen jeder Domäne und ihren untergeordneten Domänen zu erstellen.

Somit führt die Erstellung der Domäne „first.work.com“ zum automatischen Aufbau einer bidirektionalen Vertrauensbeziehung zwischen der übergeordneten Domäne „work.com“ und der untergeordneten Domäne „first.work.com“ (ähnlich auch für „second.work.com“). Daher können Berechtigungen von der übergeordneten Domäne auf die untergeordnete Domäne angewendet werden und umgekehrt. Es ist nicht schwer anzunehmen, dass Vertrauensbeziehungen auch für untergeordnete Domänen bestehen.

Eine weitere Eigenschaft von Vertrauensbeziehungen ist die Transitivität. Wir erhalten, dass eine Vertrauensbeziehung für die Domäne net.first.work.com mit der Domäne work.com erstellt wird.

Wald - Genau wie Bäume sind sie Multidomänenstrukturen. Aber Wald ist eine Vereinigung von Bäumen mit unterschiedlichen Wurzeldomänen.

Angenommen, Sie entscheiden sich für mehrere Domänen mit den Namen work.com und home.net und erstellen untergeordnete Domänen für diese. Da die TLD (Top-Level-Domäne) jedoch nicht unter Ihrer Kontrolle steht, können Sie in diesem Fall eine Gesamtstruktur organisieren, indem Sie eine davon auswählen Root-Domänen der ersten Ebene. Das Schöne an der Erstellung einer Gesamtstruktur ist in diesem Fall die bidirektionale Vertrauensbeziehung zwischen diesen beiden Domänen und ihren untergeordneten Domänen.

Bei der Arbeit mit Wäldern und Bäumen müssen Sie jedoch Folgendes beachten:

• Sie können dem Baum keine vorhandene Domäne hinzufügen
• Sie können keinen vorhandenen Baum in die Gesamtstruktur aufnehmen
• Sobald Domänen in einer Gesamtstruktur platziert sind, können sie nicht in eine andere Gesamtstruktur verschoben werden
• Sie können eine Domäne mit untergeordneten Domänen nicht löschen

Organisationseinheiten - Im Prinzip können sie als Subdomains bezeichnet werden. ermöglichen Ihnen die Gruppierung von Benutzerkonten, Benutzergruppen, Computern, freigegebenen Ressourcen, Druckern und anderen OUs (Organisationseinheiten) in einer Domäne. Der praktische Vorteil ihres Einsatzes besteht in der Möglichkeit, Rechte zur Verwaltung dieser Einheiten zu delegieren.

Einfach ausgedrückt: Sie können einen Administrator in einer Domäne ernennen, der die Organisationseinheit verwalten kann, aber nicht über die Rechte zur Verwaltung der gesamten Domäne verfügt.

Ein wichtiges Merkmal von Organisationseinheiten ist im Gegensatz zu Gruppen die Möglichkeit, Gruppenrichtlinien auf sie anzuwenden. „Warum können Sie die ursprüngliche Domäne nicht in mehrere Domänen aufteilen, anstatt eine OU zu verwenden?“ - du fragst.

Viele Experten raten dazu, wenn möglich eine Domain zu haben. Der Grund dafür ist die Dezentralisierung der Verwaltung beim Erstellen einer zusätzlichen Domäne, da die Administratoren jeder dieser Domänen uneingeschränkte Kontrolle erhalten (ich möchte Sie daran erinnern, dass Sie beim Delegieren von Rechten an OU-Administratoren deren Funktionalität einschränken können).

Darüber hinaus benötigen Sie zum Erstellen einer neuen Domäne (auch einer untergeordneten) einen weiteren Controller. Wenn Sie zwei separate Abteilungen haben, die über einen langsamen Kommunikationskanal verbunden sind, kann es zu Problemen bei der Replikation kommen. In diesem Fall wäre es sinnvoller, zwei Domänen zu haben.

Es gibt noch eine weitere Nuance bei der Verwendung von Gruppenrichtlinien: Richtlinien, die Passworteinstellungen und Kontosperrungen definieren, können nur auf Domänen angewendet werden. Für Organisationseinheiten werden diese Richtlinieneinstellungen ignoriert.

Websites - Dies ist eine Möglichkeit, einen Verzeichnisdienst physisch zu trennen. Per Definition ist eine Site eine Gruppe von Computern, die über schnelle Datenübertragungskanäle verbunden sind.

Wenn Sie mehrere Filialen in verschiedenen Teilen des Landes haben, die durch langsame Kommunikationsleitungen verbunden sind, können Sie für jede Filiale eine eigene Website erstellen. Dies geschieht, um die Zuverlässigkeit der Verzeichnisreplikation zu erhöhen.

Diese Aufteilung von AD hat keinen Einfluss auf die Prinzipien der logischen Konstruktion. Daher kann eine Domäne mehrere Sites enthalten, genau wie eine Site mehrere Domains enthalten kann und umgekehrt. Diese Verzeichnisdiensttopologie hat jedoch einen Haken. Für die Kommunikation mit den Filialen wird in der Regel das Internet genutzt – eine sehr unsichere Umgebung. Viele Unternehmen nutzen Sicherheitsmaßnahmen wie Firewalls. Der Verzeichnisdienst nutzt bei seiner Arbeit etwa eineinhalb Dutzend Ports und Dienste, deren Öffnung für den Durchgang des AD-Verkehrs durch die Firewall ihn tatsächlich „nach draußen“ bringt. Die Lösung des Problems besteht darin, Tunneltechnologie sowie das Vorhandensein eines Domänencontrollers an jedem Standort zu verwenden, um die Verarbeitung von AD-Client-Anfragen zu beschleunigen.

Die Logik der Verschachtelung von Verzeichnisdienstkomponenten wird vorgestellt. Es ist ersichtlich, dass die Gesamtstruktur zwei Domänenbäume enthält, wobei die Stammdomäne des Baums wiederum Organisationseinheiten und Objektgruppen sowie untergeordnete Domänen (in diesem Fall jeweils eine) enthalten kann. Untergeordnete Domänen können auch Objektgruppen und Organisationseinheiten enthalten und über untergeordnete Domänen verfügen (in der Abbildung nicht dargestellt). Usw. Ich möchte Sie daran erinnern, dass Organisationseinheiten Organisationseinheiten, Objekte und Objektgruppen enthalten können und Gruppen andere Gruppen enthalten können.

Benutzer- und Computergruppen - werden zu Verwaltungszwecken verwendet und haben dieselbe Bedeutung wie bei der Verwendung auf lokalen Computern im Netzwerk. Im Gegensatz zu Organisationseinheiten können Gruppenrichtlinien nicht auf Gruppen angewendet, sondern die Verwaltung an sie delegiert werden. Innerhalb des Active Directory-Schemas gibt es zwei Arten von Gruppen: Sicherheitsgruppen (die zur Differenzierung der Zugriffsrechte auf Netzwerkobjekte verwendet werden) und Verteilergruppen (die hauptsächlich zum Verteilen von E-Mail-Nachrichten verwendet werden, beispielsweise in Microsoft Exchange Server).

Sie sind nach Umfang unterteilt:

• universelle Gruppen kann Benutzer innerhalb der Gesamtstruktur sowie andere universelle Gruppen oder globale Gruppen einer beliebigen Domäne in der Gesamtstruktur umfassen
• globale Domänengruppen kann Domänenbenutzer und andere globale Gruppen derselben Domäne umfassen
• Domänenlokale Gruppen Wird zur Unterscheidung von Zugriffsrechten verwendet und kann Domänenbenutzer sowie universelle Gruppen und globale Gruppen jeder Domäne in der Gesamtstruktur umfassen
• lokale Computergruppen– Gruppen, die SAM (Sicherheitskontomanager) des lokalen Computers enthalten. Ihr Geltungsbereich ist nur auf einen bestimmten Computer beschränkt, sie können jedoch lokale Gruppen der Domäne umfassen, in der sich der Computer befindet, sowie universelle und globale Gruppen ihrer eigenen Domäne oder einer anderen, der sie vertrauen. Sie können beispielsweise einen Benutzer aus der lokalen Benutzergruppe der Domäne in die Administratorengruppe des lokalen Computers aufnehmen und ihm so Administratorrechte gewähren, jedoch nur für diesen Computer

Active Directory bietet Systemverwaltungsdienste. Sie sind viel die beste Alternative lokale Gruppen und ermöglichen Ihnen, Computernetzwerke mit zu erstellen effektives Management und zuverlässigen Datenschutz.

Wenn Sie das Konzept von Active Directory noch nicht kennengelernt haben und nicht wissen, wie solche Dienste funktionieren, ist dieser Artikel genau das Richtige für Sie. Lassen Sie uns herausfinden, was es bedeutet dieses Konzept, welche Vorteile solche Datenbanken haben und wie man sie erstellt und für den ersten Einsatz konfiguriert.

Active Directory ist eine sehr komfortable Möglichkeit der Systemverwaltung. Mit Active Directory können Sie Ihre Daten effektiv verwalten.

Mit diesen Diensten können Sie eine einzelne Datenbank erstellen, die von Domänencontrollern verwaltet wird. Wenn Sie ein Unternehmen besitzen, ein Büro leiten oder allgemein die Aktivitäten vieler Menschen kontrollieren, die vereint werden müssen, wird eine solche Domain für Sie nützlich sein.

Es umfasst alle Objekte – Computer, Drucker, Faxgeräte, Benutzerkonten usw. Die Gesamtheit der Domänen, auf denen sich Daten befinden, wird als „Gesamtstruktur“ bezeichnet. Die Active Directory-Datenbank ist eine Domänenumgebung, in der die Anzahl der Objekte bis zu 2 Milliarden betragen kann. Können Sie sich diese Maßstäbe vorstellen?

Das heißt, mit Hilfe eines solchen „Waldes“ oder einer solchen Datenbank können Sie eine große Anzahl von Mitarbeitern und Geräten in einem Büro verbinden, und zwar ohne an einen Standort gebunden zu sein – andere Benutzer können beispielsweise auch in den Diensten verbunden werden. von einem Firmenbüro in einer anderen Stadt.

Darüber hinaus werden im Rahmen der Active Directory-Dienste mehrere Domänen erstellt und zusammengefasst – je größer das Unternehmen, desto mehr Tools werden benötigt, um seine Geräte innerhalb der Datenbank zu steuern.

Wenn ein solches Netzwerk erstellt wird, wird außerdem eine steuernde Domäne bestimmt, und selbst bei der späteren Anwesenheit anderer Domänen bleibt die ursprüngliche Domäne immer noch „übergeordnet“ – das heißt, nur sie hat vollen Zugriff auf die Informationsverwaltung.

Wo werden diese Daten gespeichert und was sichert die Existenz von Domains? Um Active Directory zu erstellen, werden Controller verwendet. Normalerweise gibt es zwei davon – wenn einem etwas passiert, werden die Informationen auf dem zweiten Controller gespeichert.

Eine weitere Möglichkeit der Nutzung der Datenbank besteht beispielsweise dann, wenn Ihr Unternehmen mit einem anderen Unternehmen kooperiert und Sie ein gemeinsames Projekt abschließen müssen. In diesem Fall benötigen möglicherweise Unbefugte Zugriff auf Domänendateien. Hier können Sie eine Art „Beziehung“ zwischen zwei verschiedenen „Wäldern“ einrichten, die den Zugriff auf die erforderlichen Informationen ermöglichen, ohne die Sicherheit der verbleibenden Daten zu gefährden.

Im Allgemeinen ist Active Directory ein Werkzeug zum Erstellen einer Datenbank innerhalb einer bestimmten Struktur, unabhängig von ihrer Größe. Benutzer und alle Geräte werden in einem „Wald“ vereint, Domänen werden erstellt und auf Controllern platziert.

Es empfiehlt sich außerdem klarzustellen, dass Dienste nur auf Geräten mit Windows-Serversystemen betrieben werden können. Zusätzlich werden 3-4 auf den Controllern angelegt DNS Server. Sie bedienen die Hauptzone der Domäne, und wenn einer von ihnen ausfällt, wird er durch andere Server ersetzt.

Nach Kurzübersicht Active Directory für Dummies, Sie interessieren sich natürlich für die Frage: Warum eine lokale Gruppe für eine gesamte Datenbank ändern? Natürlich ist das Feld der Möglichkeiten hier um ein Vielfaches größer, und um weitere Unterschiede zwischen diesen Diensten für das Systemmanagement herauszufinden, schauen wir uns ihre Vorteile genauer an.

Vorteile von Active Directory

Die Vorteile von Active Directory sind:

1. Verwendung einer einzelnen Ressource zur Authentifizierung. In dieser Situation müssen Sie auf jedem PC alle Konten hinzufügen, die Zugriff auf allgemeine Informationen benötigen. Je mehr Benutzer und Geräte es gibt, desto schwieriger ist es, diese Daten zwischen ihnen zu synchronisieren.

Wenn Sie also Dienste mit einer Datenbank nutzen, werden Konten an einem Punkt gespeichert und Änderungen werden sofort auf allen Computern wirksam.

Wie es funktioniert? Jeder Mitarbeiter, der ins Büro kommt, startet das System und meldet sich bei seinem Konto an. Die Anmeldeanfrage wird automatisch an den Server übermittelt und die Authentifizierung erfolgt über diesen.

Um eine bestimmte Reihenfolge bei der Führung von Aufzeichnungen einzuhalten, können Sie Benutzer jederzeit in Gruppen einteilen – „Personalabteilung“ oder „Buchhaltung“.

In diesem Fall ist es noch einfacher, Zugriff auf Informationen zu gewähren – wenn Sie einen Ordner für Mitarbeiter einer Abteilung öffnen müssen, tun Sie dies über die Datenbank. Gemeinsam erhalten sie Zugriff auf den gewünschten Ordner mit Daten, während für andere die Dokumente verschlossen bleiben.

1. Kontrolle über jeden Datenbankteilnehmer.

Wenn in einer lokalen Gruppe jedes Mitglied unabhängig und von einem anderen Computer aus schwer zu steuern ist, können Sie in Domänen bestimmte Regeln festlegen, die den Unternehmensrichtlinien entsprechen.

Wie geht es dir Systemadministrator Sie können Zugriffs- und Sicherheitseinstellungen festlegen und diese dann auf jede Benutzergruppe anwenden. Natürlich können je nach Hierarchie einige Gruppen strengere Einstellungen erhalten, während andere Zugriff auf andere Dateien und Aktionen im System erhalten können.

Wenn eine neue Person dem Unternehmen beitritt, wird ihr Computer außerdem sofort empfangen das richtige Set Einstellungen, in denen Komponenten für den Betrieb aktiviert sind.

1. Vielseitigkeit bei der Softwareinstallation.

Apropos Komponenten: Mit Active Directory können Sie Drucker zuweisen und installieren notwendige Programme Legen Sie sofort Datenschutzparameter für alle Mitarbeiter fest. Im Allgemeinen wird die Erstellung einer Datenbank die Arbeit erheblich optimieren, die Sicherheit überwachen und Benutzer für maximale Arbeitseffizienz vereinen.

Und wenn ein Unternehmen ein separates Dienstprogramm oder spezielle Dienste betreibt, können diese mit Domänen synchronisiert und der Zugriff darauf vereinfacht werden. Auf welche Weise? Wenn Sie alle im Unternehmen verwendeten Produkte kombinieren, muss der Mitarbeiter nicht unterschiedliche Benutzernamen und Passwörter eingeben, um auf jedes Programm zuzugreifen – diese Informationen sind gemeinsam.

Nachdem nun die Vorteile und die Bedeutung der Verwendung von Active Directory klar geworden sind, schauen wir uns den Prozess der Installation dieser Dienste an.

Wir nutzen eine Datenbank auf Windows Server 2012

Die Installation und Konfiguration von Active Directory ist keine schwierige Aufgabe und zudem einfacher, als es auf den ersten Blick scheint.

Um Dienste zu laden, müssen Sie zunächst Folgendes tun:

1. Ändern Sie den Computernamen: Klicken Sie auf „Start“, öffnen Sie die Systemsteuerung und wählen Sie „System“. Wählen Sie „Einstellungen ändern“ und klicken Sie in den Eigenschaften gegenüber der Zeile „Computername“ auf „Ändern“ und geben Sie einen neuen Wert für den Haupt-PC ein.
2. Starten Sie Ihren PC nach Bedarf neu.
3. Legen Sie die Netzwerkeinstellungen wie folgt fest:
   • Öffnen Sie über das Bedienfeld das Menü mit Netzwerken und Freigabe.
   • Passen Sie die Adaptereinstellungen an. Klicken Sie mit der rechten Maustaste auf „Eigenschaften“ und öffnen Sie die Registerkarte „Netzwerk“.
   • Klicken Sie im Fenster der Liste auf Internetprotokoll Nummer 4 und erneut auf „Eigenschaften“.
   • Geben Sie die erforderlichen Einstellungen ein, zum Beispiel: IP-Adresse – 192.168.10.252, Subnetzmaske – 255.255.255.0, Haupt-Gateway – 192.168.10.1.
   • Geben Sie in der Zeile „Bevorzugter DNS-Server“ die Adresse ein lokaler Server, in „Alternative...“ – andere DNS-Serveradressen.
   • Speichern Sie Ihre Änderungen und schließen Sie die Fenster.

Richten Sie Active Directory-Rollen wie folgt ein:

1. Öffnen Sie über Start den Server-Manager.
2. Wählen Sie im Menü die Option „Rollen und Funktionen hinzufügen“ aus.
3. Der Assistent wird gestartet, Sie können das erste Fenster mit einer Beschreibung jedoch überspringen.
4. Überprüfen Sie die Zeile „Rollen und Komponenten installieren“ und fahren Sie fort.
5. Wählen Sie Ihren Computer aus, um Active Directory darauf zu installieren.
6. Wählen Sie aus der Liste die Rolle aus, die geladen werden muss – in Ihrem Fall ist es „Active Directory Domain Services“.
7. Es erscheint ein kleines Fenster, in dem Sie aufgefordert werden, die für die Dienste erforderlichen Komponenten herunterzuladen – akzeptieren Sie es.
8. Anschließend werden Sie aufgefordert, weitere Komponenten zu installieren. Wenn Sie diese nicht benötigen, überspringen Sie diesen Schritt einfach, indem Sie auf „Weiter“ klicken.
9. Der Setup-Assistent zeigt ein Fenster mit Beschreibungen der Dienste an, die Sie installieren – lesen Sie es und fahren Sie fort.
10. Eine Liste der Komponenten, die wir installieren werden, wird angezeigt. Überprüfen Sie, ob alles korrekt ist. Wenn ja, klicken Sie auf die entsprechende Schaltfläche.
11. Wenn der Vorgang abgeschlossen ist, schließen Sie das Fenster.
12. Das war’s – die Dienste werden auf Ihren Computer heruntergeladen.

Active Directory einrichten

Um einen Domänendienst zu konfigurieren, müssen Sie Folgendes tun:

• Starten Sie den gleichnamigen Setup-Assistenten.
• Klicken Sie auf den gelben Zeiger oben im Fenster und wählen Sie „Server zu einem Domänencontroller heraufstufen“.
• Klicken Sie auf „Neue Gesamtstruktur hinzufügen“, erstellen Sie einen Namen für die Stammdomäne und klicken Sie dann auf „Weiter“.
• Geben Sie die Betriebsmodi der „Gesamtstruktur“ und der Domäne an – meistens stimmen sie überein.
• Erstellen Sie ein Passwort, aber merken Sie sich dieses unbedingt. Fahren Sie weiter fort.
• Danach wird möglicherweise eine Warnung angezeigt, dass die Domäne nicht delegiert ist, und Sie werden aufgefordert, den Domänennamen zu überprüfen. Sie können diese Schritte überspringen.
• Im nächsten Fenster können Sie den Pfad zu den Datenbankverzeichnissen ändern – tun Sie dies, wenn diese Ihnen nicht passen.
• Sie sehen nun alle Optionen, die Sie festlegen möchten. Überprüfen Sie, ob Sie sie richtig ausgewählt haben, und fahren Sie fort.
• Die Anwendung prüft, ob die Voraussetzungen erfüllt sind. Wenn keine Kommentare vorhanden sind oder diese nicht kritisch sind, klicken Sie auf „Installieren“.
• Nach Abschluss der Installation wird der PC von selbst neu gestartet.

Möglicherweise fragen Sie sich auch, wie Sie einen Benutzer zur Datenbank hinzufügen. Nutzen Sie dazu das Menü „Active Directory-Benutzer oder -Computer“, das Sie im Bereich „Administration“ in der Systemsteuerung finden, oder nutzen Sie das Menü „Datenbankeinstellungen“.

Um einen neuen Benutzer hinzuzufügen, klicken Sie mit der rechten Maustaste auf den Domänennamen, wählen Sie „Erstellen“ und dann „Abteilung“. Vor Ihnen erscheint ein Fenster, in dem Sie den Namen der neuen Abteilung eingeben müssen – es dient als Ordner, in dem Sie Benutzer aus verschiedenen Abteilungen sammeln können. Auf die gleiche Weise werden Sie später mehrere weitere Abteilungen anlegen und alle Mitarbeiter richtig platzieren.

Wenn Sie als Nächstes einen Abteilungsnamen erstellt haben, klicken Sie mit der rechten Maustaste darauf und wählen Sie „Erstellen“ und dann „Benutzer“. Jetzt müssen nur noch die notwendigen Daten eingegeben und die Zugangseinstellungen für den Benutzer festgelegt werden.

Sobald das neue Profil erstellt wurde, klicken Sie darauf, indem Sie es auswählen Kontextmenü, und öffnen Sie Eigenschaften. Entfernen Sie im Reiter „Konto“ das Kontrollkästchen neben „Blockieren...“. Das ist alles.

Die allgemeine Schlussfolgerung ist, dass Active Directory leistungsstark und leistungsstark ist nützliches Werkzeug für die Systemverwaltung, die dabei hilft, alle Mitarbeitercomputer in einem Team zu vereinen. Mithilfe von Diensten können Sie eine sichere Datenbank erstellen und die Arbeit und Synchronisierung von Informationen zwischen allen Benutzern erheblich optimieren. Wenn Ihr Unternehmen oder ein anderer Geschäftssitz an elektronische Computer und Netzwerke angeschlossen ist, Sie Konten konsolidieren und Arbeit und Vertraulichkeit überwachen müssen, ist die Installation einer Active Directory-basierten Datenbank eine hervorragende Lösung.

Active Directory ermöglicht Administratoren die Verwendung von Gruppenrichtlinien (GPO), um eine einheitliche Konfiguration der Arbeitsumgebung des Benutzers sicherzustellen, Software auf mehreren Computern bereitzustellen (über Gruppenrichtlinien) oder Betriebssystem-, Anwendungs- und Serversoftware-Updates auf allen Computern im Netzwerk zu installieren. Active Directory speichert Daten und Umgebungseinstellungen in einer zentralen Datenbank. Active Directory-Netzwerke können eine Größe von mehreren hundert bis mehreren Millionen Objekten haben.

Eine Domain ist ein separater Sicherheitsbereich in Computernetzwerk. Der Active Directory-Verzeichnisdienst kann eine oder mehrere Domänen umfassen. Auf einer eigenständigen Workstation ist die Domäne der Computer selbst. Aus physischer Sicht kann eine Domäne Computer umfassen, die sich an verschiedenen Standorten befinden.

Ein Domänenbaum (Baum) besteht aus mehreren Domänen, die ein gemeinsames Schema und eine gemeinsame Konfiguration haben und somit einen gemeinsamen Namensraum bilden. Domänen im selben Baum sind auch durch Vertrauensbeziehungen verbunden. Der Active Directory-Verzeichnisdienst ist ein Satz, der aus einem oder mehreren Bäumen besteht.

Ein Wald ist eine Ansammlung von einem oder mehreren Bäumen, die keinen zusammenhängenden Namensraum bilden. Alle Bäume in der Gesamtstruktur haben dasselbe Schema, dieselbe Konfiguration und denselben globalen Katalog. Alle Bäume in der Gesamtstruktur sind über eine transitive Vertrauensbeziehung unter Verwendung des Kerberos-Protokolls durch eine Vertrauensbeziehung verbunden. Ein Wald sollte, anders als ein Baum, keinen Namen haben, der ihn unterscheidet. Eine Gesamtstruktur besteht aus einer Sammlung von Querverweisobjekten und Kerberos-Vertrauensstellungen, die den Bäumen bekannt sind, aus denen die Gesamtstruktur besteht. Die Waldbäume bilden eine Vertrauenshierarchie gemäß dem Kerberos-Protokoll; Der Name des Baums an der Wurzel des Vertrauensbaums kann verwendet werden, um auf die angegebene Gesamtstruktur zu verweisen.

35. Anzeigendomänencontroller

Die Windows-Server, auf denen die Verzeichnisdienstinstanz ausgeführt wird, sind Domänencontroller. Sie sind Träger einer voll funktionsfähigen Kopie der Kataloge. Sie erfüllen folgende Aufgabe:

1) Zugriff und Verwaltung der im Verzeichnis gespeicherten Informationen

2) Synchronisierung von Kopien von Verzeichnissen.

3) Zentralisierte Replikation von Benutzern. und Systemdateien.

4) Benutzerauthentifizierung.

Es wird ein Multi-Peer-Replikationsmodell verwendet. Dabei spielt es keine Rolle, welcher Controller Änderungen an den Verzeichnissen vornimmt. Es gibt jedoch eine bestimmte Klasse von Vorgängen, die nur von einem Domänencontroller ausgeführt werden sollten – Single-Executor- oder Single-Master-Vorgänge. Wenn mehr als ein Controller an diesen Vorgängen beteiligt ist, besteht die Möglichkeit eines Computers. Eine Operation mit einem einzigen Ausführenden wird auch als Computerdomänenrollen bezeichnet. Ein Beispiel für solche Rollen sind Schema-Master, die Verzeichnisänderungen überwachen.

Domänenbesitzer – überwacht Änderungen in der Domänenstruktur, garantiert die Integrität des Namespace und die Einzigartigkeit seiner Komponenten.

Der RID-Master (Relative Identifier) ​​generiert eindeutige Identifikatoren. Standardmäßig werden alle spezialisierten Rollen neuen Domänen in der neuen Gesamtstruktur zugewiesen.