Diretório Ativo

Diretório Ativo(“Diretórios ativos”, DE ANÚNCIOS) - LDAP-Implementação compatível do serviço de diretório da corporação Microsoft Para sistemas operacionais famílias Windows NT. Diretório Ativo permite que os administradores usem políticas de grupo para garantir a configuração uniforme do ambiente de trabalho do usuário, implantar software em vários computadores por meio de políticas de grupo ou através Gerenciador de configuração do System Center(anteriormente Servidor de gerenciamento de sistemas Microsoft), instale atualizações de sistema operacional, aplicativos e software de servidor em todos os computadores da rede usando o Serviço de Atualização Servidor Windows . Diretório Ativo armazena dados e configurações de ambiente em um banco de dados centralizado. Redes Diretório Ativo pode ser vários tamanhos: de várias dezenas a vários milhões de objetos.

Desempenho Diretório Ativo ocorreu em 1999, o produto foi lançado pela primeira vez com Servidor Windows 2000, e então modificado e melhorado após o lançamento Servidor Windows 2003. Subseqüentemente Diretório Ativo foi melhorado em Servidor Windows 2003 R2, Servidor Windows 2008 E Servidor Windows 2008 R2 e renomeado para Serviços de Domínio Active Directory. O serviço de diretório era anteriormente chamado Serviço de diretório NT (NTDS), esse nome ainda pode ser encontrado em alguns arquivos executáveis.

Ao contrário das versões janelas antes Janelas 2000, que utilizou principalmente o protocolo NetBIOS Para rede, serviço Diretório Ativo Integrado com DNS E TCP/IP. O protocolo de autenticação padrão é Cérbero. Se o cliente ou aplicativo não suportar autenticação Cérbero, o protocolo é usado NTLM .

Dispositivo

Objetos

Diretório Ativo possui uma estrutura hierárquica composta por objetos. Os objetos se enquadram em três categorias principais: recursos (como impressoras), serviços (como e-mail) e Contas usuários e computadores. Diretório Ativo fornece informações sobre objetos, permite organizar objetos, controlar o acesso a eles e também estabelecer regras de segurança.

Os objetos podem ser contêineres para outros objetos (grupos de segurança e distribuição). Um objeto é identificado exclusivamente por seu nome e possui um conjunto de atributos – características e dados – que pode conter; estes últimos, por sua vez, dependem do tipo de objeto. Os atributos formam a base da estrutura de um objeto e são definidos no esquema. O esquema define quais tipos de objetos podem existir.

O próprio esquema consiste em dois tipos de objetos: objetos de classe de esquema e objetos de atributos de esquema. Um objeto de classe de esquema define um tipo de objeto Diretório Ativo(como um objeto Usuário), e um objeto de atributo de esquema define o atributo que o objeto pode ter.

Cada objeto de atributo pode ser usado em vários objetos de classe de esquema diferentes. Esses objetos são chamados de objetos de esquema (ou metadados) e permitem alterar e estender o esquema conforme necessário. No entanto, todo objeto de esquema faz parte das definições de objeto Diretório Ativo, portanto desabilitar ou alterar esses objetos pode ter consequências graves, pois como resultado dessas ações a estrutura será alterada Diretório Ativo. As alterações em um objeto de esquema são automaticamente propagadas para Diretório Ativo. Uma vez criado, um objeto de esquema não pode ser excluído, apenas desabilitado. Normalmente, todas as alterações de esquema são cuidadosamente planejadas.

Recipiente semelhante objeto no sentido de que também possui atributos e pertence a um namespace, mas, diferentemente de um objeto, um contêiner não representa nada específico: pode conter um grupo de objetos ou outros contêineres.

Estrutura

O nível superior da estrutura é a floresta - a coleção de todos os objetos, atributos e regras (sintaxe de atributos) em Diretório Ativo. Uma floresta contém uma ou mais árvores conectadas por relações de confiança . A árvore contém um ou mais domínios, também ligados em uma hierarquia por relações de confiança transitivas. Os domínios são identificados por suas estruturas de nomes DNS – namespaces.

Os objetos em um domínio podem ser agrupados em contêineres – divisões. As divisões permitem criar uma hierarquia dentro de um domínio, simplificar a sua administração e permitem modelar a estrutura organizacional e/ou geográfica de uma empresa em Diretório Ativo. As divisões podem conter outras divisões. Corporação Microsoft recomenda usar o menor número possível de domínios em Diretório Ativo e usar divisões para estruturação e políticas. Freqüentemente, as políticas de grupo são aplicadas especificamente aos departamentos. As políticas de grupo são elas próprias objetos. Uma divisão é o nível mais baixo no qual a autoridade administrativa pode ser delegada.

Outra forma de dividir Diretório Ativo são sites , que são um método de agrupamento físico (em vez de lógico) baseado em segmentos de rede. Os sites são divididos naqueles que possuem conexões através de canais de baixa velocidade (por exemplo, através de canais de rede global, utilizando redes privadas virtuais) e através de canais de alta velocidade (por exemplo, através de uma rede local). Um site pode conter um ou mais domínios e um domínio pode conter um ou mais sites. Ao projetar Diretório AtivoÉ importante considerar o tráfego de rede criado quando os dados são sincronizados entre sites.

Decisão chave de design Diretório Ativoé a decisão de dividir a infraestrutura de informação em domínios e divisões hierárquicas nível superior. Os modelos típicos utilizados para tal separação são modelos de separação por divisões funcionais da empresa, por localização geográfica e por funções na infra-estrutura de informação da empresa. Combinações desses modelos são frequentemente usadas.

Estrutura física e replicação

Fisicamente, as informações são armazenadas em um ou mais controladores de domínio equivalentes, substituindo aqueles usados ​​em Windows NT controladores de domínio primários e de backup, embora um servidor chamado de “operações mestre únicas” seja retido para algumas operações, que pode emular um controlador de domínio primário. Cada controlador de domínio mantém uma cópia de leitura e gravação dos dados. As alterações feitas em um controlador são sincronizadas com todos os controladores de domínio por meio de replicação. Servidores nos quais o próprio serviço Diretório Ativo não instalados, mas que fazem parte do domínio Diretório Ativo, são chamados de servidores membros.

Replicação Diretório Ativo realizado mediante solicitação. Serviço Verificador de consistência de conhecimento cria uma topologia de replicação que usa sites definidos no sistema para controlar o tráfego. A replicação intrasite ocorre com frequência e automaticamente usando um verificador de consistência (notificando os parceiros de replicação sobre alterações). A replicação entre sites pode ser configurada para cada canal do site (dependendo da qualidade do canal) - uma "pontuação" (ou "custo") diferente pode ser atribuída a cada canal (por exemplo, DS3, , ISDN etc.), e o tráfego de replicação será limitado, programado e roteado de acordo com a estimativa de link atribuída. Os dados de replicação podem fluir transitivamente entre vários sites por meio de pontes de link de site se a "pontuação" for baixa, embora o AD atribua automaticamente uma pontuação mais baixa aos links site a site do que aos links transitivos. A replicação site a site é executada por servidores bridgehead em cada site, que então replicam as alterações em cada controlador de domínio em seu site. A replicação intra-domínio segue o protocolo RPC de acordo com o protocolo PI, interdomínio - também pode usar o protocolo SMTP.

Se a estrutura Diretório Ativo contém vários domínios, é usado para resolver o problema de busca de objetos catálogo global: um controlador de domínio que contém todos os objetos da floresta, mas com um conjunto limitado de atributos (uma réplica parcial). O diretório é armazenado em servidores especificados catálogo global e atende solicitações entre domínios.

A capacidade de host único permite que as solicitações sejam processadas quando a replicação de vários hosts não for possível. Existem cinco tipos de tais operações: emulação de controlador de domínio mestre (emulador PDC), computador principal um identificador relativo (mestre de identificador relativo ou mestre RID), um host de infraestrutura (mestre de infraestrutura), um host de esquema (mestre de esquema) e um host de nomeação de domínio (mestre de nomeação de domínio). As três primeiras funções são exclusivas no domínio, as duas últimas são exclusivas em toda a floresta.

Base Diretório Ativo pode ser dividido em três armazenamentos lógicos ou "partições". O diagrama é um modelo para Diretório Ativo e define todos os tipos de objetos, suas classes e atributos, sintaxe de atributos (todas as árvores estão na mesma floresta porque possuem o mesmo esquema). A configuração é a estrutura da floresta e das árvores Diretório Ativo. Um domínio armazena todas as informações sobre objetos criados nesse domínio. Os dois primeiros armazenamentos são replicados para todos os controladores de domínio na floresta, a terceira partição é totalmente replicada entre controladores de réplica dentro de cada domínio e parcialmente replicada para servidores de catálogo global.

Nomeação

Diretório Ativo suporta os seguintes formatos de nomenclatura de objetos: nomes de tipos genéricos UNC, URL E URL LDAP. Versão LDAP Formato de nomenclatura X.500 usado internamente Diretório Ativo.

Cada objeto tem Nome Distinto (Inglês) Nome Distinto, DN). Por exemplo, um objeto de impressora chamado HPLaser3 na UO Marketing e no domínio foo.org terá o seguinte nome distinto: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , onde CN é o nome comum, OU é a seção, DC é o domínio classe de objeto. Nomes distintos podem ter muito mais partes do que as quatro partes deste exemplo. Os objetos também possuem nomes canônicos. Estes são nomes distintos escritos em ordem inversa, sem identificadores e usando barras como delimitadores: foo.org/Marketing/HPLaser3. Para definir um objeto dentro de seu contêiner, use nome distinto relativo :CN=HPLaser3. Cada objeto também possui um identificador globalmente exclusivo ( GUIA) é uma string única e imutável de 128 bits usada em Diretório Ativo para pesquisa e replicação. Certos objetos também possuem um UPN ( UPN, conforme RFC 822) no formato objeto@domínio.

Integração UNIX

Vários níveis de interação com Diretório Ativo pode ser implementado na maioria UNIX-sistemas operacionais semelhantes através de padrões compatíveis LDAP clientes, mas tais sistemas, via de regra, não percebem a maioria dos atributos associados aos componentes janelas, como políticas de grupo e apoio a procurações unilaterais.

Fornecedores terceirizados oferecem integrações Diretório Ativo em plataformas UNIX, Incluindo UNIX, Linux, Mac OS X e uma série de aplicações baseadas em Java, com um pacote de produtos:

Adições de esquema incluídas com Servidor Windows 2003 R2 incluem atributos que estão suficientemente relacionados com a RFC 2307 para serem usados ​​em geral. Implementações básicas de RFC 2307, nss_ldap e pam_ldap, propostas PADL.com, apoiam diretamente esses atributos. O esquema padrão para associação a grupos segue RFC 2307bis (proposto). Servidor Windows 2003 R2 inclui Microsoft Management Console para criação e edição de atributos.

Uma opção alternativa é usar outro serviço de diretório, como Servidor de diretório 389(anteriormente Servidor de diretório Fedora, FDS), eB2Bcom ViewDS v7.1 Diretório habilitado para XML ou Servidor de diretório do sistema Sun Java de Microssistemas Sun, que realiza sincronização bidirecional com Diretório Ativo, realizando assim uma integração “refletida” quando os clientes UNIX E Linux são autenticados FDS e clientes janelas são autenticados Diretório Ativo. Outra opção é usar OpenLDAP com possibilidade de sobreposição translúcida, ampliando os elementos servidor remoto LDAP atributos adicionais armazenados no banco de dados local.

Diretório Ativo são automatizados usando Powershell .

Literatura

• Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Servidor Microsoft Exchange 2003. Guia Completo = Microsoft Exchange Server 2003 liberado. - M.: “Williams”, 2006. - P. 1024. - ISBN 0-672-32581-0

Veja também

Ligações

Notas

Qualquer usuário novato, diante da abreviatura AD, se pergunta o que é Active Directory? Active Directory é um serviço de diretório desenvolvido pela Microsoft para domínio Redes Windows. Incluído na maioria dos sistemas operacionais Windows Server como um conjunto de processos e serviços. Inicialmente, o serviço tratava apenas de domínios. No entanto, a partir do Windows Server 2008, AD tornou-se o nome de uma ampla variedade de serviços de identidade baseados em diretório. Isso torna o Active Directory para iniciantes uma melhor experiência de aprendizado.

Definição básica

O servidor que executa os Serviços de Diretório de Domínio do Active Directory é chamado de controlador de domínio. Ele autentica e autoriza todos os usuários e computadores em um domínio de rede Windows, atribuindo e aplicando políticas de segurança para todos os PCs e instalando ou atualizando Programas. Por exemplo, quando um usuário faz logon em um computador associado a um domínio do Windows, o Active Directory verifica a senha fornecida e determina se o sujeito é um administrador de sistema ou usuário normal. Também permite o gerenciamento e armazenamento de informações, fornece mecanismos de autenticação e autorização e estabelece uma estrutura para a implantação de outros serviços relacionados: serviços de certificados, serviços de diretório federados e leves e gerenciamento de direitos.

O Active Directory usa LDAP versões 2 e 3, versão do Kerberos da Microsoft e DNS.

Diretório Ativo – o que é isso? Em palavras simples sobre o complexo

Monitorar dados de rede é uma tarefa demorada. Mesmo em redes pequenas, os usuários normalmente têm dificuldade em encontrar arquivos e impressoras de rede. Sem algum tipo de diretório, redes de médio a grande porte não podem ser gerenciadas e muitas vezes enfrentam dificuldades para encontrar recursos.

Versões prévias Microsoft Windows incluiu serviços para ajudar usuários e administradores a encontrar dados. A Vizinhança de Rede é útil em muitos ambientes, mas a desvantagem óbvia é a interface desajeitada e sua imprevisibilidade. O WINS Manager e o Server Manager podem ser usados ​​para visualizar uma lista de sistemas, mas não estavam disponíveis para os usuários finais. Os administradores usaram o User Manager para adicionar e remover dados de um tipo totalmente diferente de objeto de rede. Esses aplicativos foram considerados ineficazes para grandes redes e levantaram a questão: por que as empresas precisam do Active Directory?

O catálogo, no sentido mais geral, é lista completa objetos. Uma lista telefônica é um tipo de diretório que armazena informações sobre pessoas, empresas e organizações governamentais, eGeralmente registram nomes, endereços e números de telefone. Imaginando Active Directory - o que é, em palavras simples podemos dizer que esta tecnologia é semelhante a um diretório, mas é muito mais flexível. AD armazena informações sobre organizações, sites, sistemas, usuários, compartilhamentos e qualquer outra entidade de rede.

Introdução aos conceitos do Active Directory

Por que uma organização precisa do Active Directory? Conforme mencionado na introdução ao Active Directory, o serviço armazena informações sobre componentes de rede. O guia do Active Directory para iniciantes explica que isso Permite que os clientes encontrem objetos em seu namespace. Este t O termo (também chamado de árvore de console) refere-se à área na qual um componente de rede pode estar localizado. Por exemplo, o índice de um livro cria um namespace no qual os capítulos podem ser atribuídos a números de página.

DNS é uma árvore de console que resolve nomes de host em endereços IP, comoAs listas telefônicas fornecem um namespace para resolver nomes de números de telefone. Como isso acontece no Active Directory? O AD fornece uma árvore de console para resolver nomes de objetos de rede para os próprios objetos epode resolver uma ampla gama de entidades, incluindo usuários, sistemas e serviços em uma rede.

Objetos e Atributos

Qualquer coisa rastreada pelo Active Directory é considerada um objeto. Podemos dizer em palavras simples que isso está no Active Directory é qualquer usuário, sistema, recurso ou serviço. Um termo comum objeto é usado porque o AD é capaz de rastrear muitos elementos e muitos objetos podem compartilhar atributos comuns. O que isso significa?

Os atributos descrevem objetos no Active Directory, por exemplo, todos os objetos de usuário compartilham atributos para armazenar o nome de usuário. Isso também se aplica às suas descrições. Os sistemas também são objetos, mas possuem um conjunto separado de atributos que inclui nome do host, endereço IP e localização.

O conjunto de atributos disponíveis para qualquer tipo específico de objeto é chamado de esquema. Isso torna as classes de objetos distintas umas das outras. As informações do esquema são, na verdade, armazenadas no Active Directory. Que esse comportamento do protocolo de segurança é muito importante é demonstrado pelo fato de que o design permite que os administradores adicionem atributos às classes de objetos e os distribuam pela rede para todos os cantos do domínio sem reiniciar nenhum controlador de domínio.

Contêiner LDAP e nome

Um contêiner é um tipo especial de objeto usado para organizar a operação de um serviço. Não representa uma entidade física como um usuário ou um sistema. Em vez disso, é usado para agrupar outros elementos. Objetos contêineres podem ser aninhados em outros contêineres.

Cada elemento no AD tem um nome. Estes não são os que você está acostumado, por exemplo, Ivan ou Olga. Esses são nomes distintos do LDAP. Os nomes distintos LDAP são complexos, mas permitem identificar exclusivamente qualquer objeto dentro de um diretório, independentemente do seu tipo.

Árvore de termos e site

Uma árvore de termos é usada para descrever um conjunto de objetos no Active Directory. O que é isso? Em palavras simples, isso pode ser explicado usando uma associação de árvore. Quando contêineres e objetos são combinados hierarquicamente, eles tendem a formar ramificações – daí o nome. Um termo relacionado é subárvore contínua, que se refere ao tronco principal ininterrupto de uma árvore.

Continuando a metáfora, o termo “floresta” descreve uma coleção que não faz parte do mesmo namespace, mas compartilha um esquema, configuração e diretório global comuns. Os objetos nessas estruturas estão disponíveis para todos os usuários se a segurança permitir. As organizações divididas em vários domínios devem agrupar árvores em uma única floresta.

Um site é uma localização geográfica definida no Active Directory. Os sites correspondem a sub-redes IP lógicas e, como tal, podem ser usados ​​por aplicações para encontrar o servidor mais próximo na rede. O uso de informações de site do Active Directory pode reduzir significativamente o tráfego em WANs.

Gerenciamento do Active Directory

Componente de snap-in Usuários do Active Directory. Esta é a ferramenta mais conveniente para administrar o Active Directory. Ele pode ser acessado diretamente no grupo de programas Ferramentas Administrativas no menu Iniciar. Ele substitui e aprimora o Gerenciador de Servidores e o Gerenciador de Usuários do Windows NT 4.0.

Segurança

O Active Directory desempenha um papel importante no futuro das redes Windows. Os administradores devem ser capazes de proteger seu diretório contra invasores e usuários enquanto delegam tarefas a outros administradores. Tudo isso é possível usando o modelo de segurança do Active Directory, que associa uma lista de controle de acesso (ACL) a cada contêiner e atributo de objeto no diretório.

Um alto nível de controle permite que o administrador conceda a usuários e grupos individuais diferentes níveis de permissões sobre objetos e suas propriedades. Eles podem até adicionar atributos a objetos e ocultar esses atributos de determinados grupos de usuários. Por exemplo, você pode definir uma ACL para que apenas os gerentes possam visualizar os telefones residenciais de outros usuários.

Administração delegada

Um conceito novo no Windows 2000 Server é a administração delegada. Isso permite atribuir tarefas a outros usuários sem conceder direitos de acesso adicionais. A administração delegada pode ser atribuída através de objetos específicos ou subárvores de diretórios contíguas. É muito mais método eficaz conceder autoridade sobre redes.

EM o local onde alguém recebe todos os direitos de administrador de domínio global, o usuário só pode receber permissões dentro de uma subárvore específica. O Active Directory oferece suporte à herança, portanto, quaisquer novos objetos herdam a ACL do seu contêiner.

O termo "relação fiduciária"

O termo “relação fiduciária” ainda é utilizado, mas possui funcionalidade diferente. Não há distinção entre relações de confiança unidirecionais e bidirecionais. Afinal, todas as relações de confiança do Active Directory são bidirecionais. Além disso, eles são todos transitivos. Portanto, se o domínio A confia no domínio B e B confia em C, então existe uma relação de confiança implícita automática entre o domínio A e o domínio C.

Auditoria no Active Directory - o que é em palavras simples? Este é um recurso de segurança que permite determinar quem está tentando acessar objetos e o sucesso da tentativa.

Usando DNS (sistema de nomes de domínio)

O sistema, também conhecido como DNS, é necessário para qualquer organização conectada à Internet. O DNS fornece resolução de nomes entre nomes comuns, como mspress.microsoft.com, e endereços IP brutos, que os componentes da camada de rede usam para comunicação.

O Active Directory faz uso extensivo da tecnologia DNS para procurar objetos. Esta é uma mudança significativa em comparação com as operações anteriores Sistemas Windows, que exigem que os nomes NetBIOS sejam resolvidos por endereços IP e dependem do WINS ou de outras técnicas de resolução de nomes NetBIOS.

O Active Directory funciona melhor quando usado com servidores DNS sob Controle de janelas 2000. A Microsoft facilitou a migração dos administradores para servidores DNS baseados no Windows 2000, fornecendo assistentes de migração que orientam o administrador durante o processo.

Outros servidores DNS podem ser usados. No entanto, isso exigirá que os administradores gastem mais tempo gerenciando bancos de dados DNS. Quais são as nuances? Se você optar por não usar servidores DNS executando o Windows 2000, deverá garantir que seus servidores DNS estejam em conformidade com o novo protocolo de atualização dinâmica de DNS. Os servidores dependem da atualização dinâmica de seus registros para localizar controladores de domínio. Não é confortável. Afinal, e.Se a atualização dinâmica não for suportada, você deverá atualizar os bancos de dados manualmente.

Os domínios do Windows e os domínios da Internet agora são totalmente compatíveis. Por exemplo, um nome como mspress.microsoft.com identificará os controladores de domínio do Active Directory responsáveis ​​pelo domínio, para que qualquer cliente com acesso DNS possa encontrar o controlador de domínio.Os clientes podem usar a resolução DNS para procurar qualquer número de serviços porque os servidores do Active Directory publicam uma lista de endereços no DNS usando novos recursos de atualização dinâmica. Esses dados são definidos como um domínio e publicados por meio de registros de recursos de serviço. SRV RR segue o formato serviço.protocolo.domínio.

Os servidores Active Directory fornecem o serviço LDAP para hospedar o objeto, e o LDAP usa TCP como protocolo básico nível de transporte. Portanto, um cliente que procura um servidor Active Directory no domínio mspress.microsoft.com procurará a entrada DNS para ldap.tcp.mspress.microsoft.com.

Catálogo global

O Active Directory fornece um catálogo global (GC) efornece uma única fonte para procurar qualquer objeto na rede de uma organização.

O Catálogo Global é um serviço do Windows 2000 Server que permite aos usuários localizar quaisquer objetos que tenham sido compartilhados. Esta funcionalidade é muito superior ao aplicativo Find Computer incluído no anterior Versões do Windows. Afinal, os usuários podem pesquisar qualquer objeto no Active Directory: servidores, impressoras, usuários e aplicativos.

Como isso vai ajudar Diretório Ativo especialistas?

Aqui está uma pequena lista de “guloseimas” que você pode obter ao implantar o Active Directory:

• um único banco de dados de registro de usuários, armazenado centralmente em um ou mais servidores; assim, quando um novo funcionário aparecer no escritório, bastará criar uma conta para ele no servidor e indicar quais estações de trabalho ele pode acessar;
• Como todos os recursos do domínio são indexados, isso torna possível pesquisa rápida para usuários; por exemplo, se você precisar encontrar uma impressora colorida em um departamento;
• a combinação de aplicação de permissões NTFS, políticas de grupo e delegação de controle permitirá ajustar e distribuir direitos entre membros do domínio;
• perfis de usuários móveis permitem armazenar informação importante e definições de configuração no servidor; na verdade, se um usuário com perfil móvel em um domínio se sentar para trabalhar em outro computador e inserir seu nome de usuário e senha, ele verá sua área de trabalho com as configurações com as quais está familiarizado;
• usando políticas de grupo, você pode alterar as configurações dos sistemas operacionais do usuário, desde permitir que o usuário defina papel de parede na área de trabalho até configurações de segurança, e também distribuir software pela rede, por exemplo, cliente Volume Shadow Copy, etc.;
• muitos programas (servidores proxy, servidores de banco de dados, etc.) não apenas produzidos pela Microsoft hoje aprenderam a usar autenticação de domínio, assim, você não precisará criar outro banco de dados de usuários, mas poderá utilizar um já existente;
• O uso dos Serviços de Instalação Remota facilita a instalação de sistemas em estações de trabalho, mas, por sua vez, só funciona se o serviço de diretório for implementado.

E esta não é uma lista completa de possibilidades, mas falaremos mais sobre isso mais tarde. Agora vou tentar te contar a lógica da construção Diretório Ativo, mas novamente vale a pena descobrir do que nossos meninos são feitos Diretório Ativo- são domínios, árvores, florestas, unidades organizacionais, grupos de usuários e computadores.

Domínios - Esta é a unidade lógica básica de construção. Comparado com grupos de trabalho Domínios AD são grupos de segurança que possuem uma única base de registro, enquanto os grupos de trabalho são apenas uma associação lógica de máquinas. AD usa para nomenclatura e serviços Pesquisa de DNS(servidor de nomes de domínio - servidor de nomes de domínio), não WINS ( Internet do Windows Name Service - serviço de nomes da Internet), como era em Versões recentes NT Assim, os nomes dos computadores no domínio se parecem, por exemplo, com buh.work.com, onde buh é o nome do computador no domínio work.com (embora nem sempre seja o caso).

Os grupos de trabalho usam nomes NetBIOS. Para hospedar uma estrutura de domínio DE ANÚNCIOSÉ possível usar um servidor DNS que não seja da Microsoft. Mas deve ser compatível com BIND 8.1.2 ou superior e suportar registros SRV(), bem como o Protocolo de Registro Dinâmico (RFC 2136). Cada domínio possui pelo menos um controlador de domínio que hospeda o banco de dados central.

Árvores - Estas são estruturas de vários domínios. A raiz dessa estrutura é o domínio principal para o qual você cria domínios filhos. Na verdade, o Active Directory usa uma estrutura hierárquica semelhante à estrutura de domínio do DNS.

Se tivermos um domínio work.com (domínio de primeiro nível) e criarmos dois domínios filhos para ele, primeiro.work.com e segundo.work.com (aqui o primeiro e o segundo são domínios de segundo nível, e não um computador no domínio , como no caso descrito acima), terminamos com uma árvore de domínio.

As árvores como estrutura lógica são utilizadas quando é necessário dividir filiais da empresa, por exemplo, por geografia ou por algum outro motivo organizacional.

DE ANÚNCIOS ajuda a criar automaticamente relações de confiança entre cada domínio e seus domínios filhos.

Assim, a criação do domínio first.work.com leva ao estabelecimento automático de uma relação de confiança bidirecional entre o pai work.com e o filho first.work.com (da mesma forma para second.work.com). Portanto, as permissões podem ser aplicadas do domínio pai ao filho e vice-versa. Não é difícil presumir que existirão relações de confiança para domínios filhos.

Outra propriedade das relações de confiança é a transitividade. Concluímos que uma relação de confiança com o domínio work.com é criada para o domínio net.first.work.com.

Floresta - Assim como as árvores, elas são estruturas multidomínios. Mas florestaé uma união de árvores que possuem diferentes domínios raiz.

Suponha que você decida ter vários domínios chamados work.com e home.net e crie domínios filhos para eles, mas como o tld (domínio de nível superior) não está sob seu controle, neste caso você pode organizar uma floresta selecionando um dos domínios raiz de primeiro nível. A beleza de criar uma floresta neste caso é a relação de confiança bidirecional entre esses dois domínios e seus domínios filhos.

No entanto, ao trabalhar com florestas e árvores, é necessário lembrar o seguinte:

• você não pode adicionar um domínio existente à árvore
• Você não pode incluir uma árvore existente na floresta
• Depois que os domínios são colocados em uma floresta, eles não podem ser movidos para outra floresta
• você não pode excluir um domínio que tenha domínios filhos

Unidades organizacionais - Em princípio, eles podem ser chamados de subdomínios. permitem agrupar contas de usuários, grupos de usuários, computadores, recursos compartilhados, impressoras e outras UOs (unidades organizacionais) em um domínio. O benefício prático da sua utilização é a possibilidade de delegar direitos para administrar essas unidades.

Simplificando, você pode nomear um administrador em um domínio que possa gerenciar a UO, mas não tenha direitos para administrar o domínio inteiro.

Uma característica importante das UOs, diferentemente dos grupos, é a capacidade de aplicar políticas de grupo a elas. “Por que você não pode dividir o domínio original em vários domínios em vez de usar uma UO?” - você pergunta.

Muitos especialistas aconselham ter um domínio, se possível. A razão para isso é a descentralização da administração ao criar um domínio adicional, uma vez que os administradores de cada um desses domínios recebem controle ilimitado (lembro que ao delegar direitos aos administradores da UO, você pode limitar sua funcionalidade).

Além disso, para criar um novo domínio (mesmo que seja filho), você precisará de outro controlador. Se você tiver dois departamentos separados conectados por um canal de comunicação lento, poderão surgir problemas de replicação. Neste caso, seria mais apropriado ter dois domínios.

Há também mais uma nuance no uso de políticas de grupo: políticas que definem configurações de senha e bloqueios de contas só podem ser aplicadas a domínios. Para UOs, essas configurações de política são ignoradas.

Sites - Esta é uma forma de separar fisicamente um serviço de diretório. Por definição, um site é um grupo de computadores conectados canais rápidos transmissão de dados.

Se você possui várias filiais em diferentes partes do país, conectadas por linhas de comunicação de baixa velocidade, então para cada filial você pode criar seu próprio site. Isso é feito para aumentar a confiabilidade da replicação de diretório.

Esta divisão do AD não afeta os princípios de construção lógica, portanto, assim como um site pode conter vários domínios, e vice-versa, um domínio pode conter vários sites. Mas há um problema nessa topologia de serviço de diretório. Via de regra, a Internet é utilizada para comunicação com filiais - um ambiente muito inseguro. Muitas empresas usam medidas de segurança, como firewalls. O serviço de diretório usa cerca de uma dúzia e meia de portas e serviços em seu trabalho, cuja abertura para o tráfego do AD passar pelo firewall irá, na verdade, expô-lo “fora”. A solução para o problema é a utilização da tecnologia de tunelamento, bem como a presença de um controlador de domínio em cada site para agilizar o processamento das solicitações dos clientes AD.

A lógica de aninhamento dos componentes do serviço de diretório é apresentada. Percebe-se que a floresta contém duas árvores de domínio, nas quais o domínio raiz da árvore, por sua vez, pode conter UOs e grupos de objetos, e também possuir domínios filhos (neste caso, um para cada). Os domínios filhos também podem conter grupos de objetos e UOs e ter domínios filhos (não mostrados na figura). E assim por diante. Deixe-me lembrá-lo de que UOs podem conter UOs, objetos e grupos de objetos, e grupos podem conter outros grupos.

Grupos de usuários e computadores - são usados ​​para fins administrativos e têm o mesmo significado que quando usados ​​em máquinas locais na rede. Ao contrário das UOs, as políticas de grupo não podem ser aplicadas a grupos, mas a gestão pode ser delegada para eles. Dentro do esquema do Active Directory, existem dois tipos de grupos: grupos de segurança (usados ​​para diferenciar direitos de acesso a objetos de rede) e grupos de distribuição (usados ​​principalmente para distribuição de mensagens de email, por exemplo, no Microsoft Exchange Server).

Eles são divididos por escopo:

• grupos universais pode incluir usuários dentro da floresta, bem como outros grupos universais ou grupos globais de qualquer domínio da floresta
• grupos de domínio globais pode incluir usuários de domínio e outros grupos globais do mesmo domínio
• grupos locais de domínio usado para diferenciar direitos de acesso, pode incluir usuários de domínio, bem como grupos universais e grupos globais de qualquer domínio na floresta
• grupos de computadores locais– grupos que contêm SAM (gerenciador de contas de segurança) da máquina local. Seu escopo é limitado apenas a uma determinada máquina, mas podem incluir grupos locais do domínio em que o computador está localizado, bem como grupos universais e globais de seu próprio domínio ou de outro em que confiem. Por exemplo, você pode incluir um usuário do grupo Usuários locais do domínio no grupo Administradores da máquina local, concedendo-lhe direitos de administrador, mas apenas para este computador

O Active Directory fornece serviços de gerenciamento de sistemas. Eles são muito a melhor alternativa grupos locais e permitem que você crie redes de computadores com Gerenciamento efetivo e proteção de dados confiável.

Se você ainda não encontrou o conceito de Active Directory e não sabe como esses serviços funcionam, este artigo é para você. Vamos descobrir o que isso significa este conceito, quais são as vantagens de tais bancos de dados e como criá-los e configurá-los para uso inicial.

O Active Directory é uma forma muito conveniente de gerenciamento de sistema. Usando o Active Directory, você pode gerenciar seus dados com eficiência.

Esses serviços permitem criar um único banco de dados gerenciado por controladores de domínio. Se você possui uma empresa, administra um escritório ou geralmente controla as atividades de muitas pessoas que precisam se unir, esse domínio será útil para você.

Inclui todos os objetos – computadores, impressoras, faxes, contas de usuário, etc. A soma dos domínios nos quais os dados estão localizados é chamada de “floresta”. O banco de dados do Active Directory é um ambiente de domínio onde o número de objetos pode chegar a 2 bilhões. Você consegue imaginar essas escalas?

Ou seja, com a ajuda dessa “floresta” ou banco de dados, é possível conectar um grande número de funcionários e equipamentos em um escritório, e sem estar vinculado a um local - outros usuários também podem se conectar nos serviços, por exemplo, de um escritório da empresa em outra cidade.

Além disso, no âmbito dos serviços do Active Directory, vários domínios são criados e combinados - quanto maior a empresa, mais ferramentas são necessárias para controlar seus equipamentos no banco de dados.

Além disso, quando tal rede é criada, um domínio de controle é determinado e, mesmo com a presença subsequente de outros domínios, o original ainda permanece “pai” - ou seja, somente ele tem acesso total ao gerenciamento de informações.

Onde esses dados são armazenados e o que garante a existência de domínios? Para criar o Active Directory, são usados ​​controladores. Normalmente existem dois deles - se algo acontecer com um, as informações serão salvas no segundo controlador.

Outra opção de utilização do banco de dados é se, por exemplo, sua empresa cooperar com outra e você tiver que realizar um projeto comum. Neste caso, pessoas não autorizadas podem necessitar de acesso aos ficheiros do domínio, podendo aqui estabelecer uma espécie de “relação” entre duas “florestas” diferentes, permitindo o acesso à informação necessária sem arriscar a segurança dos restantes dados.

Em geral, o Active Directory é uma ferramenta para criação de um banco de dados dentro de uma determinada estrutura, independente do seu tamanho. Os usuários e todos os equipamentos são unidos em uma “floresta”, os domínios são criados e colocados nos controladores.

Também é aconselhável esclarecer que os serviços só podem funcionar em dispositivos com sistemas Windows Server. Além disso, 3-4 são criados nos controladores Servidor dns. Eles atendem a zona principal do domínio e, se um deles falhar, outros servidores o substituem.

Depois breve visão geral Active Directory para manequins, você está naturalmente interessado na pergunta - por que alterar um grupo local para um banco de dados inteiro? Naturalmente, o campo de possibilidades aqui é muitas vezes mais amplo e, para conhecer outras diferenças entre esses serviços de gerenciamento de sistemas, vejamos mais de perto suas vantagens.

Benefícios do Active Directory

As vantagens do Active Directory são:

1. Usando um único recurso para autenticação. Nesta situação, é necessário adicionar em cada PC todas as contas que requerem acesso a informações gerais. Quanto mais usuários e equipamentos houver, mais difícil será sincronizar esses dados entre eles.

E assim, ao utilizar serviços com banco de dados, as contas são armazenadas em um ponto e as alterações entram em vigor imediatamente em todos os computadores.

Como funciona? Cada funcionário, chegando ao escritório, inicia o sistema e faz login em sua conta. A solicitação de login será enviada automaticamente ao servidor e a autenticação ocorrerá através dele.

Quanto a uma determinada ordem de manutenção dos registros, você sempre pode dividir os usuários em grupos - “Departamento de RH” ou “Contabilidade”.

Nesse caso, fica ainda mais fácil fornecer acesso às informações - se precisar abrir uma pasta para funcionários de um departamento, faça isso através do banco de dados. Juntos eles têm acesso à pasta de dados necessária, enquanto para outros os documentos permanecem fechados.

1. Controle sobre cada participante do banco de dados.

Se em um grupo local cada membro for independente e difícil de controlar de outro computador, nos domínios você poderá definir certas regras que cumpram a política da empresa.

Como vai Administrador do sistema você pode definir configurações de acesso e segurança e aplicá-las a cada grupo de usuários. Naturalmente, dependendo da hierarquia, alguns grupos podem receber configurações mais rigorosas, enquanto outros podem ter acesso a outros arquivos e ações no sistema.

Além disso, quando uma empresa obtém nova pessoa, seu computador receberá imediatamente o conjunto certo configurações onde os componentes para operação estão habilitados.

1. Versatilidade na instalação de software.

Falando em componentes, usando o Active Directory você pode atribuir impressoras, instalar programas necessários defina imediatamente parâmetros de privacidade para todos os funcionários. Em geral, a criação de um banco de dados otimizará significativamente o trabalho, monitorará a segurança e unirá os usuários para máxima eficiência no trabalho.

E se uma empresa opera uma concessionária separada ou serviços especiais, eles podem ser sincronizados com domínios e acesso simplificado a eles. Como? Se você combinar todos os produtos utilizados na empresa, o funcionário não precisará inserir logins e senhas diferentes para entrar em cada programa – essas informações serão comuns.

Agora que os benefícios e o significado de usar o Active Directory estão claros, vejamos o processo de instalação desses serviços.

Usamos um banco de dados no Windows Server 2012

Instalar e configurar o Active Directory não é uma tarefa difícil e também é mais fácil do que parece à primeira vista.

Para carregar serviços, primeiro você precisa fazer o seguinte:

1. Altere o nome do computador: clique em “Iniciar”, abra o Painel de Controle, selecione “Sistema”. Selecione “Alterar configurações” e em Propriedades, ao lado da linha “Nome do computador”, clique em “Alterar”, insira um novo valor para o PC principal.
2. Reinicie o seu PC conforme necessário.
3. Defina as configurações de rede assim:
   • Através do painel de controle, abra o menu com redes e compartilhamento.
   • Ajuste as configurações do adaptador. Clique com o botão direito em “Propriedades” e abra a guia “Rede”.
   • Na janela da lista, clique no protocolo de Internet número 4, clique novamente em “Propriedades”.
   • Insira as configurações necessárias, por exemplo: endereço IP - 192.168.10.252, máscara de sub-rede - 255.255.255.0, gateway principal - 192.168.10.1.
   • Na linha “Servidor DNS preferencial”, insira o endereço servidor local, em “Alternativa...” - outros endereços de servidores DNS.
   • Salve suas alterações e feche as janelas.

Configure funções do Active Directory assim:

1. Em Iniciar, abra o Gerenciador do Servidor.
2. No menu, selecione Adicionar funções e recursos.
3. O assistente será iniciado, mas você pode pular a primeira janela com uma descrição.
4. Verifique a linha “Instalando funções e componentes” e prossiga.
5. Selecione seu computador para instalar o Active Directory nele.
6. Na lista, selecione a função que precisa ser carregada - no seu caso é “Serviços de Domínio Active Directory”.
7. vai aparecer janela pequena com uma oferta para baixar componentes necessários para serviços - aceite.
8. Você será solicitado a instalar outros componentes - se não precisar deles, basta pular esta etapa clicando em “Avançar”.
9. O assistente de configuração exibirá uma janela com descrições dos serviços que você está instalando - leia e siga em frente.
10. Aparecerá uma lista de componentes que vamos instalar - verifique se tudo está correto e, em caso afirmativo, pressione o botão apropriado.
11. Quando o processo for concluído, feche a janela.
12. É isso aí - os serviços são baixados para o seu computador.

Configurando o Active Directory

Para configurar um serviço de domínio você precisa fazer o seguinte:

• Inicie o assistente de configuração com o mesmo nome.
• Clique no ponteiro amarelo na parte superior da janela e selecione “Promover o servidor a controlador de domínio”.
• Clique em adicionar uma nova floresta e crie um nome para o domínio raiz e clique em Avançar.
• Especifique os modos de operação da “floresta” e do domínio - na maioria das vezes eles coincidem.
• Crie uma senha, mas lembre-se dela. Continue mais.
• Depois disso, você poderá ver um aviso de que o domínio não está delegado e uma solicitação para verificar o nome do domínio - você pode pular essas etapas.
• Na próxima janela você pode alterar o caminho para os diretórios do banco de dados - faça isso se eles não forem adequados para você.
• Agora você verá todas as opções que está prestes a definir – verifique se as selecionou corretamente e siga em frente.
• A aplicação irá verificar se os pré-requisitos foram atendidos, e se não houver comentários, ou se não forem críticos, clique em “Instalar”.
• Após a conclusão da instalação, o PC será reiniciado sozinho.

Você também deve estar se perguntando como adicionar um usuário ao banco de dados. Para isso, utilize o menu “Usuários ou Computadores do Active Directory”, que você encontrará na seção “Administração” do painel de controle, ou utilize o menu de configurações do banco de dados.

Para adicionar um novo usuário, clique com o botão direito no nome do domínio, selecione “Criar” e depois “Divisão”. Uma janela aparecerá na sua frente onde você precisa inserir o nome do novo departamento - ela serve como uma pasta onde você pode coletar usuários de diferentes departamentos. Da mesma forma, posteriormente você criará várias outras divisões e posicionará corretamente todos os funcionários.

A seguir, depois de criar um nome de departamento, clique com o botão direito sobre ele e selecione “Criar” e depois “Usuário”. Agora só falta inserir os dados necessários e definir as configurações de acesso do usuário.

Depois que o novo perfil for criado, clique nele selecionando menu contextual e abra Propriedades. Na aba “Conta”, desmarque a caixa de seleção ao lado de “Bloquear...”. Isso é tudo.

A conclusão geral é que o Active Directory é poderoso e ferramenta útil para gerenciamento de sistemas, o que ajudará a unir todos os computadores dos funcionários em uma equipe. Usando serviços, você pode criar um banco de dados seguro e otimizar significativamente o trabalho e a sincronização de informações entre todos os usuários. Se a sua empresa ou qualquer outro local de negócio estiver conectado a computadores e redes eletrônicas, você precisa consolidar contas e monitorar o trabalho e a confidencialidade, instalar um banco de dados baseado em Active Directory será uma excelente solução.

O Active Directory permite que os administradores usem Políticas de Grupo (GPO) para garantir a configuração uniforme do ambiente de trabalho do usuário, implantar software em vários computadores (por meio de Políticas de Grupo) ou instalar atualizações de software de sistema operacional, aplicativos e servidores em todos os computadores da rede. armazena dados e configurações de ambiente em redes de banco de dados centralizadas do Active Directory que podem variar em tamanho de várias centenas a vários milhões de objetos.

Um domínio é uma área separada de segurança em rede de computadores. O serviço de diretório do Active Directory pode abranger um ou mais domínios. Numa estação de trabalho independente, o domínio é o próprio computador. Do ponto de vista físico, um domínio pode incluir computadores localizados em locais diferentes.

Uma árvore de domínio (árvore) consiste em vários domínios que compartilham um esquema e configuração comuns e, portanto, formam um namespace comum. Os domínios na mesma árvore também estão ligados por relações de confiança. O serviço de diretório do Active Directory é um conjunto que consiste em uma ou mais árvores.

Uma floresta é uma coleção de uma ou mais árvores que não formam um namespace contíguo. Todas as árvores da floresta possuem o mesmo esquema, configuração e catálogo global. Todas as árvores da floresta estão conectadas por uma relação de confiança por meio de uma relação de confiança transitiva usando o protocolo Kerberos. Uma floresta, diferentemente de uma árvore, não deveria ter um nome que a distinguisse. Uma floresta existe como uma coleção de objetos de referência cruzada e relações de confiança Kerberos conhecidas pelas árvores que compõem a floresta. As árvores florestais formam uma hierarquia de confiança no protocolo Kerberos; o nome da árvore na raiz da árvore confiável pode ser usado para se referir à floresta especificada.

35. controlador de domínio de anúncio

Os servidores Windows nos quais a instância do serviço de diretório opera são controladores de domínio. São portadores de uma cópia totalmente funcional dos catálogos. Eles executam a seguinte tarefa:

1) Acesso e gerenciamento das informações armazenadas no diretório.t

2) Sincronização de cópias de diretórios.

3) Replicação centralizada de usuários. e arquivos do sistema.

4) Autenticação do usuário.

Um modelo de replicação multiponto é usado. Não importa qual controlador faz alterações nos diretórios. No entanto, existe uma certa classe de operações que deve ser executada por apenas um controlador de domínio - operações de executor único ou de mestre único. Quando mais de um controlador está envolvido nessas operações, existe a possibilidade de um computador. Uma operação de executor único também é chamada de funções de domínio de computador. Um exemplo dessas funções são os mestres de esquema, que monitoram alterações de diretório.

Proprietário do domínio - monitora alterações na estrutura do domínio, garante a integridade do namespace e a exclusividade de seus componentes.

O mestre de identificador relativo (RID) gera identificadores exclusivos. Por padrão, todas as funções especializadas são atribuídas a novos domínios na nova floresta.