Active Directory

Active Directory(“Faol kataloglar”, AD) - LDAP-Korporatsiyaning ma'lumotnoma xizmatini mos ravishda amalga oshirish Microsoft Uchun operatsion tizimlar oilalar Windows NT. Active Directory ma'murlarga foydalanuvchi ish muhitining yagona konfiguratsiyasini ta'minlash, dasturiy ta'minotni bir nechta kompyuterlarda joylashtirish uchun guruh siyosatlaridan foydalanishga imkon beradi. guruh siyosati yoki orqali Tizim markazi konfiguratsiya menejeri(ilgari Microsoft tizimlarini boshqarish serveri), yangilanish xizmatidan foydalanib, tarmoqdagi barcha kompyuterlarga operatsion tizim, dastur va server dasturlari yangilanishlarini o'rnating Windows Server . Active Directory ma'lumotlar va atrof-muhit sozlamalarini markazlashtirilgan ma'lumotlar bazasida saqlaydi. Tarmoqlar Active Directory bo'lishi mumkin har xil o'lchamlar: bir necha o'ndan bir necha milliongacha ob'ektlar.

Ishlash Active Directory 1999 yilda bo'lib o'tdi, mahsulot birinchi bo'lib chiqdi Windows 2000 Server, va keyinchalik chiqarilgandan keyin o'zgartirildi va takomillashtirildi Windows Server 2003. Keyinchalik Active Directory yilda takomillashtirildi Windows Server 2003 R2, Windows Server 2008 Va Windows Server 2008 R2 va nomini o'zgartirdi Active Directory domen xizmatlari. Katalog xizmati ilgari chaqirilgan NT katalog xizmati (NTDS), bu nomni hali ham ba'zi bajariladigan fayllarda topish mumkin.

Versiyalardan farqli o'laroq Windows oldin Windows 2000, bu asosan protokoldan foydalangan NetBIOS tarmoq aloqasi, xizmat ko'rsatish uchun Active Directory bilan integratsiyalashgan DNS Va TCP/IP. Standart autentifikatsiya protokoli Kerberos. Agar mijoz yoki dastur autentifikatsiyani qo'llab-quvvatlamasa Kerberos, protokol ishlatiladi NTLM .

Qurilma

Ob'ektlar

Active Directory ob'ektlardan tashkil topgan ierarxik tuzilishga ega. Ob'ektlar uchta asosiy toifaga bo'linadi: resurslar (masalan, printerlar), xizmatlar (masalan, elektron pochta) va Hisoblar foydalanuvchilar va kompyuterlar. Active Directory ob'ektlar haqida ma'lumot beradi, ob'ektlarni tartibga solish, ularga kirishni boshqarish imkonini beradi, shuningdek, xavfsizlik qoidalarini o'rnatadi.

Ob'ektlar boshqa ob'ektlar uchun konteyner bo'lishi mumkin (xavfsizlik va tarqatish guruhlari). Ob'ekt o'z nomi bilan yagona aniqlanadi va u o'z ichiga olishi mumkin bo'lgan atributlar - xarakteristikalar va ma'lumotlar to'plamiga ega; ikkinchisi, o'z navbatida, ob'ekt turiga bog'liq. Atributlar ob'ekt tuzilishining asosini tashkil qiladi va sxemada aniqlanadi. Sxema qanday turdagi ob'ektlar mavjudligini belgilaydi.

Sxemaning o'zi ikki turdagi ob'ektlardan iborat: sxema sinfi ob'ektlari va sxema atributlari ob'ektlari. Bitta sxema sinfi ob'ekti bitta ob'ekt turini belgilaydi Active Directory(masalan, Foydalanuvchi ob'ekti) va bitta sxema atributi ob'ekti ob'ektga ega bo'lishi mumkin bo'lgan atributni belgilaydi.

Har bir atribut ob'ekti bir nechta turli xil sxema sinfi ob'ektlarida ishlatilishi mumkin. Ushbu ob'ektlar sxema ob'ektlari (yoki metama'lumotlar) deb ataladi va kerak bo'lganda sxemani o'zgartirish va kengaytirish imkonini beradi. Biroq, har bir sxema ob'ekti ob'ekt ta'riflarining bir qismidir Active Directory, shuning uchun ushbu ob'ektlarni o'chirish yoki o'zgartirish jiddiy oqibatlarga olib kelishi mumkin, chunki bu harakatlar natijasida struktura o'zgaradi Active Directory. Sxema ob'ektiga kiritilgan o'zgartirishlar avtomatik ravishda tarqaladi Active Directory. Yaratilgandan so'ng, sxema ob'ektini o'chirib bo'lmaydi, uni faqat o'chirib qo'yish mumkin. Odatda, barcha sxema o'zgarishlari diqqat bilan rejalashtirilgan.

Idish o'xshash ob'ekt ma'nosida u ham atributlarga ega va nomlar maydoniga tegishli, lekin ob'ektdan farqli o'laroq, konteyner o'ziga xos biror narsani anglatmaydi: u ob'ektlar guruhi yoki boshqa konteynerlarni o'z ichiga olishi mumkin.

Tuzilishi

Strukturaning yuqori darajasi o'rmon - barcha ob'ektlar, atributlar va qoidalar to'plami (atribut sintaksisi) Active Directory. O'rmonda o'tish yo'li bilan bog'langan bir yoki bir nechta daraxtlar mavjud ishonch munosabatlari . Daraxt bir yoki bir nechta domenlarni o'z ichiga oladi, shuningdek, o'tish davri ishonch munosabatlari bilan ierarxiyaga bog'langan. Domenlar DNS nom tuzilmalari - nomlar bo'shliqlari bilan aniqlanadi.

Domendagi ob'ektlarni konteynerlarga - bo'linmalarga guruhlash mumkin. Bo'limlar sizga domen ichida ierarxiyani yaratish, uni boshqarishni soddalashtirish va kompaniyaning tashkiliy va/yoki geografik tuzilishini modellashtirish imkonini beradi. Active Directory. Bo'limlar boshqa bo'limlarni o'z ichiga olishi mumkin. Korporatsiya Microsoft da iloji boricha kamroq domenlardan foydalanishni tavsiya qiladi Active Directory, va tuzilish va siyosatlar uchun bo'linmalardan foydalaning. Ko'pincha guruh siyosati bo'limlarga maxsus qo'llaniladi. Guruh siyosatlarining o'zlari ob'ektlardir. Bo'linma - bu ma'muriy vakolatlar berilishi mumkin bo'lgan eng quyi daraja.

Ajratishning yana bir usuli Active Directory bor saytlar , ular tarmoq segmentlari asosida jismoniy (mantiqiy emas) guruhlash usuli hisoblanadi. Saytlar past tezlikdagi kanallar (masalan, global tarmoq kanallari orqali, virtual xususiy tarmoqlardan foydalangan holda) va yuqori tezlikdagi kanallar (masalan, mahalliy tarmoq orqali) orqali ulanishga ega bo'lganlarga bo'linadi. Veb-sayt bir yoki bir nechta domenlarni o'z ichiga olishi mumkin va domen bir yoki bir nechta veb-saytlarni o'z ichiga olishi mumkin. Loyihalashda Active Directory Ma'lumotlar saytlar o'rtasida sinxronlashtirilganda yaratilgan tarmoq trafigini hisobga olish muhimdir.

Asosiy dizayn qarori Active Directory axborot infratuzilmasini ierarxik sohalar va bo'linmalarga bo'lish qaroridir yuqori daraja. Bunday ajratish uchun ishlatiladigan tipik modellar kompaniyaning funktsional bo'linmalari, geografik joylashuvi va kompaniyaning axborot infratuzilmasidagi rollari bo'yicha ajratish modellari. Ushbu modellarning kombinatsiyasi ko'pincha ishlatiladi.

Jismoniy tuzilishi va replikatsiyasi

Jismoniy jihatdan ma'lumotlar bir yoki bir nechta ekvivalent domen kontrollerlarida saqlanadi, ular ishlatilganlar o'rniga Windows NT asosiy va zahiraviy domen kontrollerlari, garchi ba'zi operatsiyalar uchun "yagona asosiy operatsiyalar" serveri saqlanib qolgan bo'lsa-da, ular asosiy domen boshqaruvchisiga taqlid qilishi mumkin. Har bir domen boshqaruvchisi ma'lumotlarning o'qish va yozish nusxasini saqlaydi. Bitta kontrollerda qilingan o'zgarishlar replikatsiya orqali barcha domen kontrollerlari bilan sinxronlashtiriladi. Xizmatning o'zi ishlaydigan serverlar Active Directory o'rnatilmagan, lekin domenning bir qismi Active Directory, a'zo serverlar deb ataladi.

Replikatsiya Active Directory iltimosiga binoan amalga oshiriladi. Xizmat Bilimlar izchilligini tekshirgich trafikni boshqarish uchun tizimda belgilangan saytlardan foydalanadigan replikatsiya topologiyasini yaratadi. Sayt ichidagi replikatsiya tez-tez va avtomatik ravishda izchillik tekshiruvi yordamida amalga oshiriladi (replikatsiya hamkorlarini o'zgarishlar haqida xabardor qilish). Saytlararo replikatsiya har bir sayt kanali uchun (kanal sifatiga qarab) sozlanishi mumkin - har bir kanalga boshqa "bal" (yoki "xarajat") tayinlanishi mumkin (masalan. DS3, , ISDN va hokazo), va replikatsiya trafigini belgilangan havola smetasiga ko'ra cheklangan, rejalashtirilgan va yo'naltirilgan bo'ladi. Replikatsiya ma'lumotlari, agar "baho" past bo'lsa, saytga havola ko'prigi orqali bir nechta saytlar bo'ylab o'tishi mumkin, garchi AD avtomatik ravishda o'tish havolalariga qaraganda saytdan saytga havolalarga pastroq ball qo'yadi. Saytdan saytga replikatsiya har bir saytdagi ko'prikli serverlar tomonidan amalga oshiriladi, so'ngra ular o'z saytidagi har bir domen kontrolleridagi o'zgarishlarni takrorlaydi. Domen ichidagi replikatsiya protokolga amal qiladi RPC protokolga muvofiq IP, interdomain - protokoldan ham foydalanishi mumkin SMTP.

Agar struktura Active Directory bir nechta domenlarni o'z ichiga oladi, u ob'ektlarni qidirish muammosini hal qilish uchun ishlatiladi global katalog: O'rmondagi barcha ob'ektlarni o'z ichiga olgan, ammo cheklangan atributlar to'plamiga ega (qisman replika) domen boshqaruvchisi. Katalog saqlanadi belgilangan serverlar global katalog va o'zaro domen so'rovlariga xizmat qiladi.

Yagona xost qobiliyati ko'p xostli replikatsiya imkoni bo'lmaganda so'rovlarni qayta ishlashga imkon beradi. Bunday operatsiyalarning besh turi mavjud: asosiy domen boshqaruvchisi emulyatsiyasi (PDC emulyatori), nisbiy identifikator ustasi (nisbiy identifikator ustasi yoki RID ustasi), infratuzilma ustasi (infratuzilma ustasi), sxema ustasi (sxema ustasi) va domen nomlash ustasi (domen). nomlash ustasi). Birinchi uchta rol domen ichida noyobdir, oxirgi ikkitasi butun o'rmon ichida noyobdir.

Baza Active Directory uchta mantiqiy do'konga yoki "bo'limlarga" bo'linishi mumkin. Diagramma uchun shablon Active Directory va barcha turdagi ob'ektlarni, ularning sinflari va atributlarini, atribut sintaksisini belgilaydi (barcha daraxtlar bir xil o'rmonda, chunki ular bir xil sxemaga ega). Konfiguratsiya - o'rmon va daraxtlarning tuzilishi Active Directory. Domen ushbu domenda yaratilgan ob'ektlar haqidagi barcha ma'lumotlarni saqlaydi. Birinchi ikkita do'kon o'rmondagi barcha domen kontrollerlari uchun takrorlanadi, uchinchi bo'lim har bir domen ichidagi replika kontrollerlari o'rtasida to'liq takrorlanadi va qisman global katalog serverlariga takrorlanadi.

Nomlash

Active Directory quyidagi ob'ekt nomlash formatlarini qo'llab-quvvatlaydi: umumiy turdagi nomlar UNC, URL Va LDAP URL manzili. Versiya LDAP X.500 nomlash formati ichki ishlatiladi Active Directory.

Har bir ob'ekt bor taniqli ism (inglizcha) taniqli ism, DN). Masalan, nomli printer ob'ekti HPLaser3 Marketing OU va foo.org domenida quyidagi ajralib turadigan nom bo'ladi: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , bu erda CN - umumiy nom, OU - bo'lim, DC - domen. ob'ekt sinfi. Taniqli nomlar ushbu misoldagi to'rt qismdan ko'ra ko'proq qismlarga ega bo'lishi mumkin. Ob'ektlarning kanonik nomlari ham bor. Bular teskari tartibda yozilgan, identifikatorlarsiz va chegaralovchi sifatida oldinga qiyshiq chiziqdan foydalangan holda yozilgan alohida nomlar: foo.org/Marketing/HPLaser3. O'z konteyneridagi ob'ektni aniqlash uchun foydalaning nisbatan ajralib turadigan ism : CN=HPLaser3. Har bir ob'ekt global noyob identifikatorga ega ( GUID) - bu noyob va o'zgarmas 128 bitli qator bo'lib, u ishlatiladi Active Directory qidirish va takrorlash uchun. Ba'zi ob'ektlarda ham UPN mavjud ( UPN, ga muvofiq RFC 822) obyekt@domen formatida.

UNIX integratsiyasi

O'zaro ta'sirning turli darajalari Active Directory ko'pchilikda amalga oshirilishi mumkin UNIX-standartga mos keladigan operatsion tizimlar kabi LDAP mijozlar, lekin bunday tizimlar, qoida tariqasida, komponentlar bilan bog'liq bo'lgan atributlarning ko'pini idrok etmaydi Windows, masalan, guruh siyosati va bir tomonlama ishonchnomalarni qo'llab-quvvatlash.

Uchinchi tomon sotuvchilari integratsiyani taklif qilishadi Active Directory platformalarda UNIX, shu jumladan UNIX, Linux, Mac OS X va bir qator ilovalarga asoslangan Java, mahsulotlar to'plami bilan:

Sxema qo'shimchalari kiritilgan Windows Server 2003 R2 umumiy foydalanish uchun RFC 2307 bilan chambarchas bog'liq bo'lgan atributlarni o'z ichiga oladi. Tavsiya etilgan RFC 2307, nss_ldap va pam_ldap ning asosiy ilovalari PADL.com, ushbu atributlarni bevosita qo'llab-quvvatlaydi. Guruhga a'zolikning standart sxemasi RFC 2307bis (taklif etilgan) ga amal qiladi. Windows Server 2003 R2 atributlarni yaratish va tahrirlash uchun Microsoft boshqaruv konsolini o'z ichiga oladi.

Muqobil variant - boshqa katalog xizmatidan foydalanish, masalan 389 katalog serveri(ilgari Fedora katalog serveri, FDS), eB2Bcom ViewDS v7.1 XML yoqilgan katalog yoki Sun Java tizimi katalog serveri dan Quyosh mikrotizimlari bilan ikki tomonlama sinxronlashni amalga oshiradi Active Directory, Shunday qilib, mijozlar qachon "aks ettirilgan" integratsiyani amalga oshirish UNIX Va Linux autentifikatsiya qilinadi FDS, va mijozlar Windows autentifikatsiya qilinadi Active Directory. Yana bir variant - foydalanish OpenLDAP shaffof qoplama, elementlarni kengaytirish imkoniyati bilan masofaviy server LDAP mahalliy ma'lumotlar bazasida saqlanadigan qo'shimcha atributlar.

Active Directory yordamida avtomatlashtiriladi Powershell .

Adabiyot

• Rand Morimoto, Kenton Gardinier, Maykl Noel, Jo Koka Microsoft Exchange Server 2003. To'liq qo'llanma = Microsoft Exchange Server 2003 ishga tushirildi. - M.: “Uilyams”, 2006. - P. 1024. - ISBN 0-672-32581-0

Shuningdek qarang

Havolalar

Eslatmalar

AD qisqartmasi bilan duch kelgan har qanday yangi foydalanuvchi Active Directory nima ekanligini qiziqtiradi? Active Directory - bu domen uchun Microsoft tomonidan ishlab chiqilgan katalog xizmati Windows tarmoqlari. Ko'pgina Windows Server operatsion tizimlariga jarayonlar va xizmatlar to'plami sifatida kiritilgan. Dastlab, xizmat faqat domenlar bilan shug'ullangan. Biroq, Windows Server 2008 dan boshlab, AD katalogga asoslangan identifikatsiya xizmatlarining keng doirasi nomiga aylandi. Bu yangi boshlanuvchilar uchun Active Directory-ni yaxshiroq o'rganish tajribasiga aylantiradi.

Asosiy ta'rif

Active Directory Domain Directory Services bilan ishlaydigan server domen boshqaruvchisi deb ataladi. U Windows tarmoq domenidagi barcha foydalanuvchilar va kompyuterlarni autentifikatsiya qiladi va avtorizatsiya qiladi, barcha shaxsiy kompyuterlar uchun xavfsizlik siyosatlarini tayinlaydi va amalga oshiradi, shuningdek o'rnatadi yoki yangilaydi. dasturiy ta'minot. Masalan, foydalanuvchi Windows domeniga qo'shilgan kompyuterga kirganda, Active Directory taqdim etilgan parolni tekshiradi va mavzu tizim administratori yoki yo'qligini aniqlaydi. muntazam foydalanuvchi. Shuningdek, u axborotni boshqarish va saqlash imkonini beradi, autentifikatsiya va avtorizatsiya mexanizmlarini taqdim etadi va boshqa tegishli xizmatlarni: sertifikat xizmatlarini, federatsiyalangan va engil katalog xizmatlarini hamda huquqlarni boshqarishni joriy qilish uchun asos yaratadi.

Active Directory LDAP 2 va 3-versiyalaridan, Microsoft-ning Kerberos versiyasidan va DNS-dan foydalanadi.

Active Directory - bu nima? Kompleks haqida oddiy so'zlar bilan

Tarmoq ma'lumotlarini monitoring qilish ko'p vaqt talab qiladigan ishdir. Hatto kichik tarmoqlarda ham foydalanuvchilar odatda tarmoq fayllari va printerlarni topishda qiyinchiliklarga duch kelishadi. Ba'zi turdagi kataloglarsiz o'rta va katta tarmoqlarni boshqarib bo'lmaydi va ko'pincha resurslarni topishda qiyinchiliklarga duch keladi.

Oldingi versiyalar Microsoft Windows foydalanuvchilar va ma'murlarga ma'lumotlarni topishga yordam beradigan xizmatlarni o'z ichiga oladi. Network Neighbourhood ko'plab muhitlarda foydalidir, ammo aniq kamchilik - bu noqulay interfeys va uning oldindan aytib bo'lmaydiganligi. WINS menejeri va Server menejeri tizimlar ro'yxatini ko'rish uchun ishlatilishi mumkin, ammo ular oxirgi foydalanuvchilar uchun mavjud emas edi. Ma'murlar butunlay boshqa turdagi tarmoq ob'ektiga ma'lumotlarni qo'shish va o'chirish uchun Foydalanuvchi menejeridan foydalangan. Ushbu ilovalar katta tarmoqlar uchun samarasiz deb topildi va nima uchun kompaniyalarga Active Directory kerak?

Katalog, eng umumiy ma'noda to'liq ro'yxat ob'ektlar. Telefon kitobi - bu odamlar, korxonalar va davlat tashkilotlari haqidagi ma'lumotlarni saqlaydigan ma'lumotnoma turiUlar odatda ismlar, manzillar va telefon raqamlarini yozib olishadi. Qiziq Active Directory - bu nima, oddiy so'zlar bilan Aytishimiz mumkinki, bu texnologiya katalogga o'xshaydi, lekin ancha moslashuvchan. AD tashkilotlar, saytlar, tizimlar, foydalanuvchilar, aktsiyalar va boshqa har qanday tarmoq ob'ekti haqidagi ma'lumotlarni saqlaydi.

Active Directory tushunchalariga kirish

Nima uchun tashkilotga Active Directory kerak? Active Directory-ga kirishda aytib o'tilganidek, xizmat tarmoq komponentlari haqidagi ma'lumotlarni saqlaydi. Yangi boshlanuvchilar uchun Active Directory qo'llanmasi buni tushuntiradi Mijozlarga o'z nomlari maydonida ob'ektlarni topishga imkon beradi. Bu t Bu atama (konsol daraxti deb ham ataladi) tarmoq komponenti joylashishi mumkin bo'lgan hududga ishora qiladi. Masalan, kitobning mundarijasi nomlar maydonini yaratadi, unda boblar sahifa raqamlariga tayinlanishi mumkin.

DNS - bu host nomlarini IP manzillarga hal qiluvchi konsol daraxtidir, masalanTelefon kitoblari telefon raqamlari nomlarini hal qilish uchun nom maydonini taqdim etadi. Bu Active Directory-da qanday sodir bo'ladi? AD ob'ektlarning o'ziga tarmoq ob'ekti nomlarini hal qilish uchun konsol daraxtini taqdim etadi vatarmoqdagi foydalanuvchilar, tizimlar va xizmatlarni o'z ichiga olgan keng doiradagi ob'ektlarni hal qila oladi.

Ob'ektlar va atributlar

Active Directory kuzatadigan har qanday narsa ob'ekt hisoblanadi. Oddiy so'zlar bilan aytishimiz mumkinki, bu Active Directory-da har qanday foydalanuvchi, tizim, resurs yoki xizmatdir. Umumiy atama ob'ekti ishlatiladi, chunki AD ko'plab elementlarni kuzatish qobiliyatiga ega va ko'plab ob'ektlar umumiy atributlarni bo'lishishi mumkin. Bu nima degani?

Atributlar Active Directory-dagi ob'ektlarni tavsiflaydi, masalan, barcha foydalanuvchi ob'ektlari foydalanuvchi nomini saqlash uchun atributlarni almashadi. Bu ularning tavsiflariga ham tegishli. Tizimlar ham ob'ektlardir, lekin ular xost nomi, IP manzili va joylashuvni o'z ichiga olgan alohida atributlar to'plamiga ega.

Har qanday muayyan turdagi ob'ektlar uchun mavjud bo'lgan atributlar to'plami sxema deb ataladi. Bu ob'ekt sinflarini bir-biridan farq qiladi. Sxema ma'lumotlari aslida Active Directoryda saqlanadi. Ushbu xavfsizlik protokoli xatti-harakati juda muhim ekanligi shundan dalolat beradiki, dizayn ma'murlarga ob'ektlar sinflariga atributlar qo'shish va ularni tarmoq bo'ylab hech qanday domen kontrollerlarini qayta ishga tushirmasdan domenning barcha burchaklariga tarqatish imkonini beradi.

LDAP konteyneri va nomi

Konteyner - bu xizmatning ishlashini tashkil qilish uchun ishlatiladigan ob'ektning maxsus turi. U foydalanuvchi yoki tizim kabi jismoniy shaxsni ifodalamaydi. Buning o'rniga, u boshqa elementlarni guruhlash uchun ishlatiladi. Konteyner ob'ektlari boshqa konteynerlar ichiga joylashtirilishi mumkin.

ADdagi har bir elementning nomi bor. Bular siz uchun odatlanganlar emas, masalan, Ivan yoki Olga. Bular LDAPning ajralib turadigan nomlari. LDAP-ning ajralib turadigan nomlari murakkab, ammo ular turidan qat'i nazar, katalogdagi istalgan ob'ektni yagona aniqlash imkonini beradi.

Shartlar daraxti va veb-sayt

Termin daraxti Active Directory ob'ektlari to'plamini tavsiflash uchun ishlatiladi. Nima bu? Oddiy so'zlar bilan aytganda, buni daraxt assotsiatsiyasi yordamida tushuntirish mumkin. Konteynerlar va ob'ektlar ierarxik tarzda birlashtirilganda, ular shoxlarni hosil qiladi - shuning uchun nom. Tegishli atama uzluksiz pastki daraxt bo'lib, daraxtning buzilmagan asosiy tanasiga ishora qiladi.

Metaforani davom ettiradigan bo'lsak, "o'rmon" atamasi bir xil nomlar maydonining bir qismi bo'lmagan, ammo umumiy sxema, konfiguratsiya va global katalogga ega bo'lgan to'plamni tavsiflaydi. Agar xavfsizlik imkon bersa, ushbu tuzilmalardagi ob'ektlar barcha foydalanuvchilar uchun mavjud. Bir nechta domenlarga bo'lingan tashkilotlar daraxtlarni bitta o'rmonga guruhlashlari kerak.

Sayt bu Active Directory-da aniqlangan geografik joylashuvdir. Saytlar mantiqiy IP quyi tarmoqlariga mos keladi va shuning uchun ilovalar tarmoqdagi eng yaqin serverni topish uchun foydalanishi mumkin. Active Directory-dan sayt ma'lumotlaridan foydalanish WAN-lardagi trafikni sezilarli darajada kamaytirishi mumkin.

Active Directory boshqaruvi

Active Directory foydalanuvchilari qo'shimcha komponenti. Bu Active Directory-ni boshqarish uchun eng qulay vositadir. Unga to'g'ridan-to'g'ri Boshlash menyusidagi Ma'muriy asboblar guruhidan kirish mumkin. U Windows NT 4.0 dan Server menejeri va foydalanuvchi menejerini almashtiradi va yaxshilaydi.

Xavfsizlik

Active Directory Windows tarmoqlarining kelajagida muhim rol o'ynaydi. Ma'murlar o'z kataloglarini tajovuzkorlar va foydalanuvchilardan himoya qila olishlari va vazifalarni boshqa administratorlarga topshirishlari kerak. Bularning barchasi kirishni boshqarish ro'yxatini (ACL) katalogdagi har bir konteyner va ob'ekt atributi bilan bog'laydigan Active Directory xavfsizlik modeli yordamida mumkin.

Boshqarishning yuqori darajasi ma'murga individual foydalanuvchilarga va guruhlarga ob'ektlar va ularning xususiyatlariga turli darajadagi ruxsatlarni berish imkonini beradi. Ular hatto ob'ektlarga atributlar qo'shishlari va bu atributlarni ma'lum foydalanuvchilar guruhlaridan yashirishlari mumkin. Masalan, siz ACL ni faqat menejerlar boshqa foydalanuvchilarning uy telefonlarini ko'rishlari uchun o'rnatishingiz mumkin.

Vakolatli boshqaruv

Windows 2000 Server uchun yangi kontseptsiya vakolatli boshqaruvdir. Bu sizga boshqa foydalanuvchilarga qo'shimcha kirish huquqlarini bermasdan vazifalarni belgilash imkonini beradi. Vakolatli boshqaruv ma'lum ob'ektlar yoki qo'shni katalog pastki daraxtlari orqali tayinlanishi mumkin. Bu ko'proq samarali usul tarmoqlar ustidan vakolat berish.

IN kimgadir barcha global domen administrator huquqlari tayinlangan joy, foydalanuvchiga faqat ma'lum bir kichik daraxt ichida ruxsatnomalar berilishi mumkin. Active Directory merosni qo'llab-quvvatlaydi, shuning uchun har qanday yangi ob'ektlar o'z konteynerining ACL ni meros qilib oladi.

"Ishonch munosabatlari" atamasi

"Ishonch munosabatlari" atamasi hali ham qo'llaniladi, ammo har xil funktsiyaga ega. Bir tomonlama va ikki tomonlama ishonch o'rtasida farq yo'q. Axir, barcha Active Directory ishonchli munosabatlari ikki tomonlama. Bundan tashqari, ularning barchasi o'tish xususiyatiga ega. Shunday qilib, agar A domeni B domeniga va B domeni Cga ishonsa, A va C domenlari o'rtasida avtomatik yashirin ishonch munosabatlari mavjud.

Active Directory-da audit - bu oddiy so'z bilan nima? Bu ob'ektlarga kim kirishga urinayotganini va urinish qanchalik muvaffaqiyatli ekanligini aniqlash imkonini beruvchi xavfsizlik xususiyati.

DNS (domen nomlari tizimi) dan foydalanish

DNS deb nomlanuvchi tizim Internetga ulangan har qanday tashkilot uchun zarurdir. DNS mspress.microsoft.com kabi umumiy nomlar va tarmoq qatlami komponentlari aloqa uchun foydalanadigan xom IP manzillar o'rtasida nom aniqligini ta'minlaydi.

Active Directory ob'ektlarni qidirish uchun DNS texnologiyasidan keng foydalanadi. Bu avvalgi faoliyat bilan solishtirganda sezilarli o'zgarish Windows tizimlari, bu NetBIOS nomlarini IP manzillar orqali hal qilishni talab qiladi va WINS yoki boshqa NetBIOS nomlarini aniqlash usullariga tayanadi.

Active Directory DNS serverlari ostida foydalanilganda yaxshi ishlaydi Windows boshqaruvi 2000. Microsoft administratorni jarayon davomida boshqaradigan migratsiya ustalarini taqdim etish orqali ma'murlar uchun Windows 2000-ga asoslangan DNS serverlariga o'tishni osonlashtirdi.

Boshqa DNS serverlaridan foydalanish mumkin. Biroq, bu ma'murlardan DNS ma'lumotlar bazalarini boshqarish uchun ko'proq vaqt sarflashni talab qiladi. Qanday nuanslar bor? Agar siz Windows 2000 operatsion tizimida ishlaydigan DNS serverlaridan foydalanmaslikni tanlasangiz, DNS serverlaringiz yangi DNS dinamik yangilash protokoliga mos kelishiga ishonch hosil qilishingiz kerak. Serverlar domen kontrollerlarini topish uchun o'z yozuvlarini dinamik ravishda yangilashga tayanadi. Bu qulay emas. Axir, eAgar dinamik yangilanish qo'llab-quvvatlanmasa, ma'lumotlar bazalarini qo'lda yangilashingiz kerak.

Windows domenlari va Internet domenlari endi to'liq mos keladi. Misol uchun, mspress.microsoft.com kabi nom domen uchun mas'ul bo'lgan Active Directory domen kontrollerlarini aniqlaydi, shuning uchun DNS ruxsatiga ega bo'lgan har qanday mijoz domen boshqaruvchisini topishi mumkin.Mijozlar istalgan sonli xizmatlarni qidirish uchun DNS rezolyutsiyasidan foydalanishlari mumkin, chunki Active Directory serverlari yangi dinamik yangilash funksiyalaridan foydalangan holda DNS manzillari roʻyxatini nashr etadi. Ushbu ma'lumotlar domen sifatida aniqlanadi va xizmat manbalari yozuvlari orqali nashr etiladi. SRV RR formatiga amal qiling xizmat.protokol.domen.

Active Directory serverlari ob'ektni joylashtirish uchun LDAP xizmatini taqdim etadi va LDAP TCP sifatida foydalanadi asosiy protokol transport darajasi. Shuning uchun, mspress.microsoft.com domenida Active Directory serverini qidirayotgan mijoz ldap.tcp.mspress.microsoft.com uchun DNS yozuvini qidiradi.

Global katalog

Active Directory global katalogni (GC) taqdim etadi vatashkilot tarmog'idagi istalgan ob'ektni qidirish uchun yagona manbani taqdim etadi.

Global Katalog - bu Windows 2000 Serverdagi xizmat bo'lib, foydalanuvchilarga baham ko'rilgan har qanday ob'ektlarni topish imkonini beradi. Bu funksiya Windowsning oldingi versiyalarida mavjud bo'lgan "Kompyuterni topish" ilovasidan ancha ustundir. Axir, foydalanuvchilar Active Directory-da istalgan ob'ektni qidirishlari mumkin: serverlar, printerlar, foydalanuvchilar va ilovalar.

Bu qanday yordam beradi Active Directory mutaxassislar?

Active Directory-ni o'rnatish orqali olishingiz mumkin bo'lgan "yaxshi narsalar" ning kichik ro'yxati:

• bir yoki bir nechta serverlarda markazlashtirilgan holda saqlanadigan yagona foydalanuvchi ro'yxatga olish ma'lumotlar bazasi; Shunday qilib, ofisda yangi xodim paydo bo'lganda, siz faqat serverda uning hisob qaydnomasini yaratishingiz va u qaysi ish stantsiyalariga kirishi mumkinligini ko'rsatishingiz kerak bo'ladi;
• Barcha domen resurslari indekslanganligi sababli, bu oson va tezkor qidiruv foydalanuvchilar uchun; masalan, bo'limda rangli printerni topishingiz kerak bo'lsa;
• NTFS ruxsatnomalari, guruh siyosati va boshqaruv delegatsiyasini qo'llash kombinatsiyasi sizga domen a'zolari o'rtasida huquqlarni sozlash va taqsimlash imkonini beradi;
• rouming foydalanuvchi profillari saqlash imkonini beradi muhim ma'lumotlar va serverdagi konfiguratsiya sozlamalari; aslida, agar domenda rouming profiliga ega bo‘lgan foydalanuvchi boshqa kompyuterda ishlash uchun o‘tirib, foydalanuvchi nomi va parolini kiritsa, u o‘ziga tanish bo‘lgan sozlamalar bilan ish stolini ko‘radi;
• guruh siyosatlaridan foydalanib, foydalanuvchi operatsion tizimlarining sozlamalarini, foydalanuvchiga ish stolida devor qog'ozi o'rnatishga ruxsat berishdan xavfsizlik sozlamalariga o'zgartirishingiz mumkin, shuningdek, dasturiy ta'minotni tarmoq orqali tarqatishingiz mumkin, masalan, Volume Shadow Copy mijozi va boshqalar;
• Bugungi kunda nafaqat Microsoft tomonidan ishlab chiqarilgan ko'plab dasturlar (proksi-serverlar, ma'lumotlar bazasi serverlari va boshqalar) foydalanishni o'rgangan. domen autentifikatsiyasi, shuning uchun siz boshqa foydalanuvchi ma'lumotlar bazasini yaratishingiz shart emas, lekin mavjudidan foydalanishingiz mumkin;
• Masofaviy o'rnatish xizmatlaridan foydalanish tizimlarni ish stantsiyalariga o'rnatishni osonlashtiradi, lekin, o'z navbatida, faqat katalog xizmati joriy qilingan taqdirdagina ishlaydi.

Va bu imkoniyatlarning to'liq ro'yxati emas, lekin bu haqda keyinroq. Endi men sizga qurilish mantiqini aytib berishga harakat qilaman Active Directory, lekin yana bizning o'g'il bolalarimiz nimadan iboratligini aniqlashga arziydi Active Directory- bular domenlar, daraxtlar, o'rmonlar, tashkiliy birliklar, foydalanuvchi va kompyuter guruhlari.

Domenlar - Bu qurilishning asosiy mantiqiy birligi. Ishchi guruhlar bilan solishtirganda AD domenlari yagona ro'yxatga olish bazasiga ega xavfsizlik guruhlari, ishchi guruhlar esa faqat mashinalarning mantiqiy birlashmasi. AD nomlash va xizmatlar uchun foydalanadi DNS qidiruvi(Domen nomi serveri - domen nomi serveri), WINS emas ( Windows Internet Nomlar xizmati - Internet nomlari xizmati), avvalgidek oldingi versiyalar N.T. Shunday qilib, domendagi kompyuterlarning nomlari, masalan, buh.work.com kabi ko'rinadi, bu erda buh - work.com domenidagi kompyuterning nomi (garchi bu har doim ham shunday emas).

Ishchi guruhlar NetBIOS nomlaridan foydalanadilar. Domen strukturasini joylashtirish uchun AD Microsoft bo'lmagan DNS serveridan foydalanish mumkin. Lekin u BIND 8.1.2 yoki undan yuqori versiyalari bilan mos bo'lishi va SRV() yozuvlarini hamda Dinamik ro'yxatga olish protokolini (RFC 2136) qo'llab-quvvatlashi kerak. Har bir domenda markaziy ma'lumotlar bazasiga ega bo'lgan kamida bitta domen boshqaruvchisi mavjud.

Daraxtlar - Bular ko'p domenli tuzilmalardir. Ushbu strukturaning ildizi siz bolalar domenlarini yaratadigan asosiy domendir. Aslida, Active Directory DNS-dagi domen tuzilishiga o'xshash ierarxik tuzilmadan foydalanadi.

Agar bizda work.com (birinchi darajali domen) domenimiz bo'lsa va u uchun birinchi.work.com va second.work.com ikkita bola domenini yaratsak (bu erda birinchi va ikkinchi darajali domenlar, domendagi kompyuter emas, balki ikkinchi darajali domenlardir. , yuqorida tavsiflangan holatda bo'lgani kabi), biz domen daraxtiga ega bo'lamiz.

Daraxtlar mantiqiy tuzilma sifatida kompaniyaning filiallarini, masalan, geografiya bo'yicha yoki boshqa tashkiliy sabablarga ko'ra ajratish kerak bo'lganda foydalaniladi.

AD har bir domen va uning domenlari o'rtasida avtomatik ravishda ishonch munosabatlarini yaratishga yordam beradi.

Shunday qilib, first.work.com domenining yaratilishi ota-ona work.com va bola first.work.com o'rtasida ikki tomonlama ishonch munosabatlarining avtomatik tarzda o'rnatilishiga olib keladi (xuddi shunday second.work.com uchun). Shuning uchun ruxsatlar ota-ona domenidan bolaga qo'llanilishi mumkin va aksincha. Ishonch munosabatlari bolalar domenlari uchun ham mavjud bo'lishini taxmin qilish qiyin emas.

Ishonch munosabatlarining yana bir xususiyati tranzitivlikdir. Ishonch aloqasi net.first.work.com domeni uchun work.com domeni bilan yaratilganligini tushunamiz.

O'rmon - Xuddi daraxtlar kabi, ular ko'p domenli tuzilmalardir. Lekin o'rmon turli ildiz domenlariga ega bo'lgan daraxtlar birlashmasi.

Aytaylik, siz work.com va home.net nomli bir nechta domenlarga ega bo'lishga va ular uchun bolalar domenlarini yaratishga qaror qildingiz, lekin tld (yuqori darajali domen) sizning nazoratingiz ostida bo'lmagani uchun, bu holda siz quyidagi variantlardan birini tanlab o'rmonni tashkil qilishingiz mumkin. birinchi darajali ildiz domenlari. Bu holda o'rmon yaratishning go'zalligi bu ikki domen va ularning bolalar domenlari o'rtasidagi ikki tomonlama ishonch munosabatlaridir.

Biroq, o'rmonlar va daraxtlar bilan ishlashda siz quyidagilarni yodda tutishingiz kerak:

• daraxtga mavjud domenni qo'sha olmaysiz
• Siz o'rmonga mavjud daraxtni qo'sha olmaysiz
• Domenlar o'rmonga joylashtirilganidan keyin ularni boshqa o'rmonga ko'chirib bo'lmaydi
• siz bolalar domenlari bo'lgan domenni o'chira olmaysiz

Tashkiliy birliklar - Asosan, ularni subdomenlar deb atash mumkin. domendagi foydalanuvchi hisoblarini, foydalanuvchilar guruhlarini, kompyuterlarni, umumiy resurslarni, printerlarni va boshqa OUlarni (tashkiliy birliklar) guruhlash imkonini beradi. Ulardan foydalanishning amaliy foydasi bu bo'linmalarni boshqarish huquqini berish imkoniyatidir.

Oddiy qilib aytganda, siz domenga OUni boshqarishi mumkin bo'lgan, lekin butun domenni boshqarish huquqiga ega bo'lmagan administratorni tayinlashingiz mumkin.

OUlarning muhim xususiyati, guruhlardan farqli o'laroq, ularga guruh siyosatini qo'llash qobiliyatidir. "Nega siz OU dan foydalanish o'rniga asl domenni bir nechta domenlarga bo'lolmaysiz?" - deb so'rayapsiz.

Ko'pgina mutaxassislar iloji bo'lsa, bitta domenga ega bo'lishni maslahat berishadi. Buning sababi qo'shimcha domen yaratishda ma'muriyatni markazsizlashtirishdir, chunki har bir bunday domenning ma'murlari cheksiz nazoratga ega (sizga eslatib o'tamanki, OU ma'murlariga huquqlarni topshirishda siz ularning funksiyalarini cheklashingiz mumkin).

Bunga qo'shimcha ravishda, yangi domen (hatto bolalar uchun ham) yaratish uchun sizga boshqa kontroller kerak bo'ladi. Agar sizda sekin aloqa kanali bilan bog'langan ikkita alohida bo'lim bo'lsa, replikatsiya bilan bog'liq muammolar paydo bo'lishi mumkin. Bunday holda, ikkita domenga ega bo'lish ko'proq mos keladi.

Guruh siyosatlaridan foydalanishning yana bir nuancesi ham bor: parol sozlamalari va hisob blokirovkalarini belgilaydigan siyosatlar faqat domenlarga qo'llanilishi mumkin. OU uchun bu siyosat sozlamalari e'tiborga olinmaydi.

Veb-saytlar - Bu katalog xizmatini jismoniy ajratish usulidir. Ta'rifga ko'ra, sayt tez ma'lumotlarni uzatish kanallari bilan bog'langan kompyuterlar guruhidir.

Agar mamlakatning turli hududlarida past tezlikdagi aloqa liniyalari orqali ulangan bir nechta filiallaringiz bo'lsa, unda har bir filial uchun o'z veb-saytingizni yaratishingiz mumkin. Bu katalog replikatsiyasining ishonchliligini oshirish uchun amalga oshiriladi.

ADning bunday bo'linishi mantiqiy qurilish tamoyillariga ta'sir qilmaydi, shuning uchun sayt bir nechta domenlarni o'z ichiga olishi mumkin bo'lgani kabi va aksincha, domen bir nechta saytlarni o'z ichiga olishi mumkin. Biroq, bu katalog xizmati topologiyasi uchun ushlash bor. Qoida tariqasida, Internet filiallar bilan aloqa qilish uchun ishlatiladi - bu juda xavfli muhit. Ko'pgina kompaniyalar xavfsizlik devori kabi xavfsizlik choralaridan foydalanadilar. Katalog xizmati o'z ishida bir yarim o'nga yaqin port va xizmatlardan foydalanadi, ularning ochilishi AD trafikining xavfsizlik devori orqali o'tishi uni "tashqarida" ochib beradi. Muammoni hal qilish - tunnel texnologiyasidan foydalanish, shuningdek, AD mijoz so'rovlarini qayta ishlashni tezlashtirish uchun har bir saytda domen nazoratchisi mavjudligi.

Katalog xizmati komponentlarini joylashtirish mantig'i keltirilgan. Ko'rinib turibdiki, o'rmon ikkita domen daraxtini o'z ichiga oladi, ularda daraxtning ildiz domeni, o'z navbatida, OU va ob'ektlar guruhlarini o'z ichiga olishi mumkin, shuningdek, bolalar domenlariga ega (bu holda har biri uchun bittadan). Child domenlar, shuningdek, ob'ekt guruhlari va OU'larni o'z ichiga olishi va bolalar domenlariga ega bo'lishi mumkin (rasmda ko'rsatilmagan). Va hokazo. Shuni eslatib o'tamanki, OU larda O'Z, ob'ektlar va ob'ektlar guruhlari, guruhlarda esa boshqa guruhlar bo'lishi mumkin.

Foydalanuvchi va kompyuter guruhlari - ma'muriy maqsadlarda ishlatiladi va tarmoqdagi mahalliy mashinalarda qo'llanilganda bir xil ma'noga ega. OUlardan farqli o'laroq, guruh siyosatlarini guruhlarga qo'llash mumkin emas, lekin boshqaruv ularga topshirilishi mumkin. Active Directory sxemasida ikkita turdagi guruhlar mavjud: xavfsizlik guruhlari (tarmoq ob'ektlariga kirish huquqlarini farqlash uchun ishlatiladi) va tarqatish guruhlari (asosan elektron pochta xabarlarini tarqatish uchun ishlatiladi, masalan, Microsoft Exchange Serverda).

Qo'llash doirasi bo'yicha ular quyidagilarga bo'linadi:

• universal guruhlar o'rmon ichidagi foydalanuvchilarni, shuningdek, o'rmondagi istalgan domenning boshqa universal guruhlari yoki global guruhlarini o'z ichiga olishi mumkin
• global domen guruhlari domen foydalanuvchilari va bir xil domenning boshqa global guruhlarini o'z ichiga olishi mumkin
• mahalliy domen guruhlari kirish huquqlarini farqlash uchun foydalaniladi, domen foydalanuvchilari, shuningdek, o'rmondagi har qanday domenning universal guruhlari va global guruhlarini o'z ichiga olishi mumkin.
• mahalliy kompyuter guruhlari– mahalliy mashinaning SAM (xavfsizlik hisobi menejeri) ni o'z ichiga olgan guruhlar. Ularning ko'lami faqat ma'lum bir mashina bilan cheklangan, ammo ular kompyuter joylashgan domenning mahalliy guruhlarini, shuningdek, o'z domenlarining yoki ular ishonadigan boshqa universal va global guruhlarni o'z ichiga olishi mumkin. Masalan, siz mahalliy domen foydalanuvchilari guruhidan foydalanuvchini mahalliy mashinaning Administratorlar guruhiga kiritishingiz va shu bilan unga administrator huquqlarini berishingiz mumkin, lekin faqat ushbu kompyuter uchun

Active Directory tizimni boshqarish xizmatlarini taqdim etadi. Ular juda ko'p eng yaxshi alternativ mahalliy guruhlar va kompyuter tarmoqlarini yaratishga imkon beradi samarali boshqaruv va ishonchli ma'lumotlarni himoya qilish.

Agar siz ilgari Active Directory tushunchasiga duch kelmagan bo'lsangiz va bunday xizmatlar qanday ishlashini bilmasangiz, ushbu maqola siz uchun. Keling, bu nimani anglatishini aniqlaylik bu tushuncha, bunday ma'lumotlar bazalarining afzalliklari nimada va ularni dastlabki foydalanish uchun qanday yaratish va sozlash.

Active Directory - tizimni boshqarishning juda qulay usuli. Active Directory-dan foydalanib, siz ma'lumotlaringizni samarali boshqarishingiz mumkin.

Ushbu xizmatlar sizga domen kontrollerlari tomonidan boshqariladigan yagona ma'lumotlar bazasini yaratish imkonini beradi. Agar siz biznesga ega bo'lsangiz, ofisni boshqarsangiz yoki umuman birlashishi kerak bo'lgan ko'plab odamlarning faoliyatini nazorat qilsangiz, bunday domen siz uchun foydali bo'ladi.

U barcha ob'ektlarni o'z ichiga oladi - kompyuterlar, printerlar, fakslar, foydalanuvchi hisoblari va boshqalar. Ma'lumotlar joylashgan domenlar yig'indisi "o'rmon" deb ataladi. Active Directory ma'lumotlar bazasi - bu ob'ektlar soni 2 milliardgacha bo'lishi mumkin bo'lgan domen muhiti. Bu tarozilarni tasavvur qila olasizmi?

Ya'ni, bunday "o'rmon" yoki ma'lumotlar bazasi yordamida siz ko'p sonli xodimlar va jihozlarni ofisga ulashingiz mumkin va manzilga bog'lanmasdan - boshqa foydalanuvchilar ham xizmatlarga ulanishi mumkin, masalan, boshqa shahardagi kompaniya ofisidan.

Bundan tashqari, Active Directory xizmatlari doirasida bir nechta domenlar yaratiladi va birlashtiriladi - kompaniya qanchalik katta bo'lsa, uning jihozlarini ma'lumotlar bazasida boshqarish uchun ko'proq vositalar kerak bo'ladi.

Bundan tashqari, bunday tarmoq yaratilganda, bitta nazorat qiluvchi domen aniqlanadi va hatto boshqa domenlar mavjud bo'lganda ham, asl "ota-ona" bo'lib qoladi, ya'ni faqat u ma'lumotni boshqarishga to'liq kirish huquqiga ega.

Ushbu ma'lumotlar qayerda saqlanadi va domenlar mavjudligini nima ta'minlaydi? Active Directory yaratish uchun kontrollerlardan foydalaniladi. Odatda ulardan ikkitasi bor - agar biriga biror narsa yuz bersa, ma'lumot ikkinchi kontrollerda saqlanadi.

Ma'lumotlar bazasidan foydalanishning yana bir varianti, masalan, sizning kompaniyangiz boshqasi bilan hamkorlik qilsa va siz umumiy loyihani bajarishingiz kerak bo'lsa. Bunday holda, ruxsatsiz shaxslar domen fayllariga kirishga muhtoj bo'lishi mumkin va bu erda siz qolgan ma'lumotlarning xavfsizligini xavf ostiga qo'ymasdan kerakli ma'lumotlarga kirish imkonini beruvchi ikki xil "o'rmon" o'rtasida qandaydir "munosabat" ni o'rnatishingiz mumkin.

Umuman olganda, Active Directory - bu uning hajmidan qat'iy nazar, ma'lum bir tuzilma doirasida ma'lumotlar bazasini yaratish vositasidir. Foydalanuvchilar va barcha jihozlar bitta "o'rmon" ga birlashtirilgan, domenlar yaratiladi va kontrollerlarga joylashtiriladi.

Shuningdek, xizmatlar faqat Windows server tizimlariga ega qurilmalarda ishlashi mumkinligini aniqlashtirish tavsiya etiladi. Bundan tashqari, kontrollerlarda 3-4 tasi yaratiladi DNS server. Ular domenning asosiy zonasiga xizmat qiladi va ulardan biri ishlamay qolsa, boshqa serverlar uni almashtiradi.

Keyin qisqacha ma'lumot Dummies uchun Active Directory, sizni savol qiziqtiradi - nega butun ma'lumotlar bazasi uchun mahalliy guruhni o'zgartirish kerak? Tabiiyki, bu erda imkoniyatlar maydoni ko'p marta kengroq va tizimni boshqarish bo'yicha ushbu xizmatlar o'rtasidagi boshqa farqlarni aniqlash uchun ularning afzalliklarini batafsil ko'rib chiqaylik.

Active Directoryning afzalliklari

Active Directory-ning afzalliklari quyidagilardan iborat:

1. Autentifikatsiya qilish uchun yagona resursdan foydalanish. Bunday holda, har bir shaxsiy kompyuterga umumiy ma'lumotlarga kirishni talab qiladigan barcha hisoblarni qo'shishingiz kerak. Foydalanuvchilar va uskunalar qancha ko'p bo'lsa, ular o'rtasida ushbu ma'lumotlarni sinxronlashtirish shunchalik qiyin bo'ladi.

Shunday qilib, ma'lumotlar bazasi bilan xizmatlardan foydalanganda, hisoblar bir nuqtada saqlanadi va o'zgarishlar darhol barcha kompyuterlarda kuchga kiradi.

U qanday ishlaydi? Ofisga kelgan har bir xodim tizimni ishga tushiradi va o'z hisobiga kiradi. Kirish so'rovi avtomatik ravishda serverga yuboriladi va autentifikatsiya u orqali amalga oshiriladi.

Yozuvlarni yuritishning ma'lum tartibiga kelsak, siz har doim foydalanuvchilarni guruhlarga bo'lishingiz mumkin - "Kadrlar bo'limi" yoki "Buxgalteriya".

Bunday holda, ma'lumotlarga kirishni ta'minlash yanada osonlashadi - agar siz bitta bo'lim xodimlari uchun papkani ochishingiz kerak bo'lsa, siz buni ma'lumotlar bazasi orqali qilasiz. Ular birgalikda ma'lumotlar bilan kerakli papkaga kirish huquqiga ega bo'lishadi, boshqalari uchun hujjatlar yopiq qoladi.

1. Har bir ma'lumotlar bazasi ishtirokchisi ustidan nazorat.

Agar mahalliy guruhda har bir a'zo mustaqil bo'lsa va boshqa kompyuterdan boshqarish qiyin bo'lsa, u holda domenlarda siz kompaniya siyosatiga mos keladigan muayyan qoidalarni o'rnatishingiz mumkin.

Qalaysiz tizim administratori kirish sozlamalari va xavfsizlik sozlamalarini o'rnatishingiz va keyin ularni har bir foydalanuvchi guruhiga qo'llashingiz mumkin. Tabiiyki, ierarxiyaga qarab, ba'zi guruhlarga yanada qattiqroq sozlamalar berilishi mumkin, boshqalarga esa tizimdagi boshqa fayllar va harakatlarga kirish huquqi berilishi mumkin.

Bundan tashqari, kompaniyaga yangi odam qo'shilganida, uning kompyuteri darhol qabul qiladi to'g'ri to'plam ishlash uchun komponentlar yoqilgan sozlamalar.

1. Dasturiy ta'minotni o'rnatishda ko'p qirrali.

Komponentlar haqida gapiradigan bo'lsak, Active Directory yordamida siz printerlarni belgilashingiz, o'rnatishingiz mumkin zarur dasturlar darhol barcha xodimlar uchun maxfiylik parametrlarini o'rnating. Umuman olganda, ma'lumotlar bazasini yaratish ishni sezilarli darajada optimallashtiradi, xavfsizlikni nazorat qiladi va maksimal ish samaradorligi uchun foydalanuvchilarni birlashtiradi.

Va agar kompaniya alohida yordamchi dastur yoki maxsus xizmatlarni ishlatsa, ular domenlar bilan sinxronlashtirilishi va ularga kirishni soddalashtirishi mumkin. Qanday qilib? Agar siz kompaniyada ishlatiladigan barcha mahsulotlarni birlashtirsangiz, xodim har bir dasturga kirish uchun turli login va parollarni kiritishi shart emas - bu ma'lumot keng tarqalgan bo'ladi.

Endi Active Directory-dan foydalanishning afzalliklari va ma'nosi aniq bo'lgach, ushbu xizmatlarni o'rnatish jarayonini ko'rib chiqamiz.

Biz Windows Server 2012 da ma'lumotlar bazasidan foydalanamiz

Active Directory-ni o'rnatish va sozlash qiyin ish emas va u birinchi qarashda ko'rinadiganidan ham osonroqdir.

Xizmatlarni yuklash uchun avvalo quyidagilarni bajarishingiz kerak:

1. Kompyuter nomini o'zgartiring: "Ishga tushirish" tugmasini bosing, Boshqarish panelini oching, "Tizim" ni tanlang. "Sozlamalarni o'zgartirish" ni tanlang va "Kompyuter nomi" qatori qarshisida "Xususiyatlar" ni tanlang, "O'zgartirish" tugmasini bosing, asosiy kompyuter uchun yangi qiymatni kiriting.
2. Agar kerak bo'lsa, kompyuteringizni qayta yoqing.
3. Tarmoq sozlamalarini quyidagicha o'rnating:
   • Boshqaruv paneli orqali tarmoqlar va almashish bilan menyuni oching.
   • Adapter sozlamalarini sozlang. "Xususiyatlar" ni o'ng tugmasini bosing va "Tarmoq" yorlig'ini oching.
   • Ro'yxatdagi oynada 4-raqamli Internet protokolini bosing, yana "Xususiyatlar" ni bosing.
   • Kerakli sozlamalarni kiriting, masalan: IP manzili - 192.168.10.252, pastki tarmoq maskasi - 255.255.255.0, asosiy shlyuz - 192.168.10.1.
   • "Afzal DNS server" qatorida manzilni kiriting mahalliy server, "Muqobil..." da - boshqa DNS server manzillari.
   • O'zgarishlarni saqlang va oynalarni yoping.

Active Directory rollarini quyidagicha o'rnating:

1. Ishga tushirish orqali Server menejerini oching.
2. Menyudan Rollar va xususiyatlarni qo'shish-ni tanlang.
3. Sehrgar ishga tushadi, lekin siz tavsif bilan birinchi oynani o'tkazib yuborishingiz mumkin.
4. "Rollar va komponentlarni o'rnatish" qatorini belgilang, davom eting.
5. Active Directory-ni o'rnatish uchun kompyuteringizni tanlang.
6. Ro'yxatda yuklanishi kerak bo'lgan rolni tanlang - sizning holatingizda bu "Active Directory Domain Services".
7. Xizmatlar uchun zarur bo'lgan komponentlarni yuklab olishingizni so'rab kichik oyna paydo bo'ladi - uni qabul qiling.
8. Keyin sizdan boshqa komponentlarni o'rnatish so'raladi - agar sizga kerak bo'lmasa, "Keyingi" tugmasini bosib, bu bosqichni o'tkazib yuboring.
9. O'rnatish ustasi siz o'rnatayotgan xizmatlarning tavsiflari bilan oynani ko'rsatadi - o'qing va davom eting.
10. Biz o'rnatmoqchi bo'lgan komponentlar ro'yxati paydo bo'ladi - hamma narsa to'g'ri yoki yo'qligini tekshiring va agar shunday bo'lsa, tegishli tugmani bosing.
11. Jarayon tugagach, oynani yoping.
12. Hammasi - xizmatlar kompyuteringizga yuklab olinadi.

Active Directory-ni sozlash

Domen xizmatini sozlash uchun siz quyidagilarni bajarishingiz kerak:

• Xuddi shu nomdagi sozlash ustasini ishga tushiring.
• Oynaning yuqori qismidagi sariq kursorni bosing va "Serverni domen boshqaruvchisiga ko'tarish" -ni tanlang.
• Yangi o'rmon qo'shish-ni bosing va ildiz domeniga nom yarating, so'ngra Keyingiga bosing.
• "O'rmon" va domenning ishlash rejimlarini belgilang - ko'pincha ular bir-biriga mos keladi.
• Parol yarating, lekin uni eslab qoling. Davom eting.
• Shundan so'ng, siz domenga vakolat berilmaganligi haqida ogohlantirishni va domen nomini tekshirish taklifini ko'rishingiz mumkin - bu qadamlarni o'tkazib yuborishingiz mumkin.
• Keyingi oynada siz ma'lumotlar bazasi kataloglariga yo'lni o'zgartirishingiz mumkin - agar ular sizga mos kelmasa, buni bajaring.
• Endi siz o'rnatmoqchi bo'lgan barcha variantlarni ko'rasiz - ularni to'g'ri tanlaganingizni tekshiring va davom eting.
• Ilova old shartlar bajarilganligini tekshiradi va agar sharhlar bo'lmasa yoki ular muhim bo'lmasa, "O'rnatish" tugmasini bosing.
• O'rnatish tugallangandan so'ng, kompyuter o'z-o'zidan qayta ishga tushadi.

Ma'lumotlar bazasiga foydalanuvchini qanday qo'shish kerakligi sizni qiziqtirgan bo'lishi mumkin. Buni amalga oshirish uchun boshqaruv panelidagi "Ma'muriyat" bo'limida topiladigan "Active Directory foydalanuvchilari yoki kompyuterlari" menyusidan foydalaning yoki ma'lumotlar bazasi sozlamalari menyusidan foydalaning.

Yangi foydalanuvchi qo'shish uchun domen nomini sichqonchaning o'ng tugmasi bilan bosing, "Yaratish", keyin "Bo'linish" ni tanlang. Sizning oldingizda yangi bo'lim nomini kiritishingiz kerak bo'lgan oyna paydo bo'ladi - u turli bo'limlardan foydalanuvchilarni to'plashingiz mumkin bo'lgan papka bo'lib xizmat qiladi. Xuddi shu tarzda, siz keyinchalik yana bir nechta bo'limlarni yaratasiz va barcha xodimlarni to'g'ri joylashtirasiz.

Keyinchalik, bo'lim nomini yaratganingizdan so'ng, ustiga sichqonchaning o'ng tugmachasini bosing va "Yaratish", keyin "Foydalanuvchi" ni tanlang. Endi faqat kerakli ma'lumotlarni kiritish va foydalanuvchi uchun kirish sozlamalarini o'rnatish qoladi.

Yangi profil yaratilgandan so'ng, uni tanlash orqali bosing kontekst menyusi, va "Xususiyatlar" ni oching. "Hisob" yorlig'ida "Bloklash ..." yonidagi katakchani olib tashlang. Ana xolos.

Umumiy xulosa shuki, Active Directory kuchli va foydali vosita tizim boshqaruvi uchun, bu barcha xodimlarning kompyuterlarini bitta jamoaga birlashtirishga yordam beradi. Xizmatlardan foydalanib, siz xavfsiz ma'lumotlar bazasini yaratishingiz va barcha foydalanuvchilar o'rtasida ish va ma'lumotlarni sinxronlashtirishni sezilarli darajada optimallashtirishingiz mumkin. Agar sizning kompaniyangiz yoki boshqa biron bir ish joyingiz elektron kompyuterlar va tarmoqlarga ulangan bo'lsa, siz hisoblarni birlashtirishingiz va ish va maxfiylikni kuzatishingiz kerak, Active Directory-ga asoslangan ma'lumotlar bazasini o'rnatish juda yaxshi yechim bo'ladi.

Active Directory ma'murlarga foydalanuvchi ish muhitining yagona konfiguratsiyasini ta'minlash, dasturiy ta'minotni bir nechta kompyuterlarga joylashtirish (Guruh siyosati orqali) yoki tarmoqdagi barcha kompyuterlarda OS, dastur va server dasturlari yangilanishlarini o'rnatish uchun Guruh siyosatlaridan (GPO) foydalanish imkonini beradi. markazlashtirilgan ma'lumotlar bazasida ma'lumotlar va muhit sozlamalarini saqlaydi Active Directory tarmoqlari hajmi bir necha yuzdan bir necha milliongacha bo'lgan ob'ektlarga ega bo'lishi mumkin.

Domen - bu alohida xavfsizlik sohasi kompyuter tarmog'i. Active Directory katalog xizmati bir yoki bir nechta domenlarni qamrab olishi mumkin. Mustaqil ish stantsiyasida domen kompyuterning o'zi hisoblanadi. Jismoniy nuqtai nazardan, domen turli joylarda joylashgan kompyuterlarni o'z ichiga olishi mumkin.

Domen daraxti (daraxt) umumiy sxema va konfiguratsiyaga ega bo'lgan bir nechta domenlardan iborat bo'lib, umumiy nom maydonini tashkil qiladi. Xuddi shu daraxtdagi domenlar ham ishonch munosabatlari bilan bog'langan. Active Directory katalog xizmati bir yoki bir nechta daraxtlardan iborat to'plamdir.

O'rmon - qo'shni nomlar maydonini hosil qilmaydigan bir yoki bir nechta daraxtlarning to'plami. O'rmondagi barcha daraxtlar bir xil sxema, konfiguratsiya va global katalogga ega. O'rmondagi barcha daraxtlar Kerberos protokoli yordamida tranzitiv ishonch munosabatlari orqali ishonch munosabatlari bilan bog'langan. O'rmon, daraxtdan farqli o'laroq, uni ajratib turadigan nomga ega bo'lmasligi kerak. O'rmon o'rmonni tashkil etuvchi daraxtlarga ma'lum bo'lgan o'zaro mos yozuvlar ob'ektlari va Kerberos trastlari to'plami sifatida mavjud. O'rmon daraxtlari Kerberos protokoli bo'yicha ishonch ierarxiyasini tashkil qiladi; ishonch daraxtining ildizidagi daraxt nomi ko'rsatilgan o'rmonga murojaat qilish uchun ishlatilishi mumkin.

35. reklama domeni boshqaruvchisi

Katalog xizmati namunasi ishlaydigan Windows serverlari domen boshqaruvchilaridir. Ular kataloglarning to'liq ishlaydigan nusxasini tashuvchilardir. Ular quyidagi vazifani bajaradilar:

1) Katalogda saqlanadigan ma'lumotlarga kirish va boshqarish.t

2) Kataloglar nusxalarini sinxronlashtirish.

3) Foydalanuvchilarning markazlashtirilgan replikatsiyasi. va tizim fayllari.

4) Foydalanuvchi autentifikatsiyasi.

Ko'p tengli replikatsiya modeli qo'llaniladi. Qaysi kontroller kataloglarga o'zgartirish kiritishi muhim emas. Biroq, faqat bitta domen boshqaruvchisi tomonidan bajarilishi kerak bo'lgan ma'lum bir operatsiyalar sinfi mavjud - bitta ijrochi yoki bitta asosiy operatsiyalar. Ushbu operatsiyalarda bir nechta kontroller ishtirok etganda, kompyuterning imkoniyati. Yagona ijrochi operatsiya kompyuter domen rollari deb ham ataladi. Bunday rollarga misol sifatida katalog o'zgarishlarini kuzatuvchi sxema ustalari kiradi.

Domen egasi - domen strukturasidagi o'zgarishlarni kuzatib boradi, nomlar maydonining yaxlitligini va uning tarkibiy qismlarining o'ziga xosligini kafolatlaydi.

Nisbiy identifikator (RID) ustasi noyob identifikatorlarni yaratadi. Odatiy bo'lib, barcha maxsus rollar yangi o'rmondagi yangi domenlarga tayinlanadi.