Эд зүйлс нь идэвхтэй лавлах үйлчилгээний нэг хэсэг юм. Танилцуулга. Серверийг домэйн хянагч руу сурталчлах

Өмнөх нийтлэлүүддээ бид лавлах үйлчилгээ болон Active Directory-тэй холбоотой нийтлэг асуудлуудын талаар ярилцсан. Одоо бэлтгэлдээ шилжих цаг болжээ. Гэхдээ сервер рүү гүйх гэж бүү яар, сүлжээндээ домэйн бүтцийг байрлуулахын өмнө та үүнийг төлөвлөж, бие даасан серверүүдийн зорилго, тэдгээрийн хоорондын харилцан үйлчлэлийн талаар тодорхой ойлголттой байх хэрэгтэй.

Та анхны домэйн хянагчаа үүсгэхээсээ өмнө түүний ажиллах горимыг шийдэх хэрэгтэй. Үйлдлийн горим нь боломжтой сонголтуудыг тодорхойлж, ашиглаж буй үйлдлийн системийн хувилбараас хамаарна. Одоогийн байдлаар хамааралтай горимуудаас бусад бүх боломжит горимуудыг бид авч үзэхгүй. Ийм гурван горим байдаг: Windows Server 2003, 2008, 2008 R2.

Windows Server 2003 горимыг зөвхөн энэ үйлдлийн систем дээрх серверүүд таны дэд бүтцэд байршуулсан бөгөөд та эдгээр серверүүдийн нэг буюу хэд хэдэн серверийг домэйн хянагч болгон ашиглахаар төлөвлөж байгаа үед л сонгох ёстой. Бусад тохиолдолд та худалдан авсан лицензээс хамааран Windows Server 2008 эсвэл 2008 R2 горимыг сонгох хэрэгтэй. Домэйн ажиллах горимыг үргэлж нэмэгдүүлэх боломжтой гэдгийг санах нь зүйтэй, гэхдээ үүнийг бууруулах боломжгүй (нөхөн хуулбараас сэргээхээс бусад тохиолдолд) тул боломжит өргөтгөл, салбар дахь лиценз гэх мэт асуудлыг анхаарч үзэх хэрэгтэй. . гэх мэт.

Бид одоо домэйн хянагч үүсгэх үйл явцыг нарийвчлан авч үзэхгүй, бид дараа нь энэ асуудал руу буцаж очих болно, гэхдээ одоо бид домэйн хянагчдыг Active Directory-ийн бүрэн бүтцэд оруулах ёстой гэдэгт анхаарлаа хандуулахыг хүсч байна. дор хаяж хоёр. Үгүй бол та шаардлагагүй эрсдэлд өөрийгөө өртөх болно, учир нь нэг домэйн хянагч эвдэрсэн тохиолдолд таны AD бүтэц ажиллахгүй. бүрэн устгасан. Хэрэв та хамгийн сүүлийн үеийн нөөц хуулбар байгаа бол үүнийг сэргээх боломжтой бол ямар ч тохиолдолд таны сүлжээ бүрэн саажилттай байх болно.

Тиймээс, эхний домэйн хянагчийг үүсгэсний дараа та сүлжээний хэмжээ, төсвөөс үл хамааран хоёр дахь хянагчийг байрлуулах хэрэгтэй. Хоёрдахь хянагчийг төлөвлөлтийн үе шатанд өгөх ёстой бөгөөд үүнгүйгээр AD-ийг байрлуулах нь бүр ч үнэ цэнэтэй зүйл биш юм. Мөн AD мэдээллийн сантай ажиллах найдвартай байдлыг хангахын тулд домэйн хянагчийн үүргийг бусад серверийн үүрэгтэй хослуулж болохгүй, дискэн дээр бичих кэшийг идэвхгүй болгосон нь дискний дэд системийн гүйцэтгэл огцом буурахад хүргэдэг (энэ нь мөн домэйн хянагчдыг удаан ачаалж байгааг тайлбарладаг).

Үүний үр дүнд манай сүлжээ дараах хэлбэртэй байх ёстой.

Түгээмэл итгэл үнэмшлээс ялгаатай нь домэйн дэх бүх хянагч нар тэгш эрхтэй; хянагч бүр нь бүх домэйн объектын талаарх бүрэн мэдээллийг агуулсан бөгөөд үйлчлүүлэгчийн хүсэлтийг биелүүлэх боломжтой. Гэхдээ энэ нь хянагчдыг сольж болно гэсэн үг биш бөгөөд энэ цэгийг буруу ойлгох нь ихэвчлэн AD-ийн доголдол, аж ахуйн нэгжийн сүлжээг тасалдуулахад хүргэдэг. Яагаад ийм зүйл болж байна вэ? FSMO-ийн үүргийн талаар санах цаг болжээ.

Бид эхний хянагчийг үүсгэх үед энэ нь боломжтой бүх үүргийг агуулсан байхаас гадна хоёр дахь хянагч гарч ирснээр дэд бүтцийн мастер, RID мастер, PDC эмуляторын үүрэг түүнд шилждэг дэлхийн каталог юм. Администратор DC1 серверийг түр идэвхгүй болгох, жишээлбэл тоосноос цэвэрлэхээр шийдсэн бол яах вэ? Эхлээд харахад зүгээр, сайн, домэйн "зөвхөн унших" горимд шилжих болно, гэхдээ энэ нь ажиллах болно. Гэхдээ бид дэлхийн каталогийг мартсан бөгөөд хэрэв Exchange гэх мэт үүнийг шаарддаг програмууд таны сүлжээнд байрлуулсан бол та серверээс тагийг арилгахаас өмнө энэ талаар мэдэх болно. Та сэтгэл хангалуун бус хэрэглэгчдээс суралцдаг бөгөөд удирдлага нь баярлах магадлал багатай.

Эндээс дүгнэлт гарч байна: ойд дор хаяж хоёр дэлхийн каталог байх ёстой бөгөөд хамгийн сайн нь домэйн бүрт нэг каталог байх ёстой. Бид ойд нэг домэйнтэй тул серверүүд хоёулаа дэлхийн лавлах байх ёстой, энэ нь танд ямар ч серверийг засвар үйлчилгээнд ямар ч асуудалгүйгээр авах боломжийг олгоно, ямар ч FSMO үүрэг түр байхгүй нь AD-ийн бүтэлгүйтэлд хүргэдэггүй, харин үүнийг зөвхөн болгодог. шинэ объект үүсгэх боломжгүй.

Домэйн администраторын хувьд та FSMO-ийн үүргийг серверүүдийнхээ хооронд хэрхэн хуваарилдагийг тодорхой ойлгох ёстой бөгөөд серверийг удаан хугацаагаар ашиглахаас татгалзахдаа эдгээр үүргийг бусад серверүүд рүү шилжүүлэх хэрэгтэй. Хэрэв FSMO үүргийг агуулсан сервер эргэлт буцалтгүй бүтэлгүйтвэл яах вэ? Бид аль хэдийн бичсэнчлэн ямар ч домэйн хянагч нь шаардлагатай бүх мэдээллийг агуулдаг бөгөөд хэрэв ийм асуудал гарвал та хянагчуудын аль нэгээр шаардлагатай дүрүүдийг авах шаардлагатай бөгөөд энэ нь лавлах үйлчилгээний бүрэн ажиллагааг сэргээх болно. .

Цаг хугацаа өнгөрч, танай байгууллага томорч, хотын нөгөө талд салбартай болж, тэдний сүлжээг аж ахуйн нэгжийн ерөнхий дэд бүтцэд оруулах шаардлагатай болдог. Эхлээд харахад ямар ч төвөгтэй зүйл байхгүй, та оффисуудын хооронд холбооны суваг байгуулж, түүнд нэмэлт хянагч байрлуулна. Бүх зүйл сайхан болно, гэхдээ нэг зүйл бий. Та энэ серверийг хянах боломжгүй тул түүнд зөвшөөрөлгүй хандах боломжтой бөгөөд локал админ таныг түүний чадварт эргэлзэхэд хүргэдэг. Яаж ийм байдалд орох вэ? Эдгээр зорилгын үүднээс тусгай төрлийн хянагч байдаг: Зөвхөн унших домэйн хянагч (RODC), энэ функцийг Windows Server 2008 болон түүнээс хойшхи хувилбаруудын домэйн функцийн горимд ашиглах боломжтой.

Зөвхөн уншигдах домэйн хянагч нь бүх домэйны объектуудын бүрэн хуулбарыг агуулдаг бөгөөд дэлхийн каталог байж болох ч AD бүтцэд ямар нэгэн өөрчлөлт оруулахыг зөвшөөрдөггүй бөгөөд энэ нь танд дурын хэрэглэгчийг локал администратороор томилох боломжийг олгодог. түүнд энэ серверт бүрэн үйлчлэхийг зөвшөөрөх боловч дахин AD үйлчилгээнд хандах боломжгүй. Манайд бол эмчийн зааж өгсөн зүйл.

Бид RODC-ийн салбар дээр суурилуулсан, бүх зүйл ажилладаг, та тайван байна, гэхдээ хэрэглэгчид урт нэвтрэх талаар гомдоллож эхэлдэг бөгөөд сарын сүүлээр замын хөдөлгөөний төлбөр хэт их байгааг харуулж байна. Юу болоод байна? Домэйн хянагчтай тэнцэх байдлын талаар дахин нэг удаа санах цаг болжээ, үйлчлүүлэгч өөрийн хүсэлтээ өөр салбарт байрладаг ямар ч домэйн хянагч руу илгээж болно. Удаан, магадгүй завгүй харилцаа холбооны сувгийг анхаарч үзээрэй - энэ нь нэвтрэх саатлын шалтгаан юм.

Ийм нөхцөлд бидний амьдралыг хордуулдаг дараагийн хүчин зүйл бол хуулбарлах явдал юм. Та бүхний мэдэж байгаагаар аль нэг домэйн хянагч дээр хийгдсэн бүх өөрчлөлтүүд автоматаар бусдад тархдаг бөгөөд энэ процессыг хуулбарлах гэж нэрлэдэг бөгөөд энэ нь хянагч бүр дээрх өгөгдлийн хамгийн сүүлийн үеийн, тогтмол хуулбартай байх боломжийг олгодог. Хуулбарлах үйлчилгээ нь манай салбар, удаан харилцаа холбооны сувгийн талаар мэдэхгүй тул оффис дахь бүх өөрчлөлтийг шууд салбар руу шилжүүлж, сувгийг ачаалж, замын хөдөлгөөний хэрэглээг нэмэгдүүлэх болно.

Энд бид МЭ сайтуудын тухай ойлголттой ойртсон бөгөөд үүнийг интернет сайтуудтай андуурч болохгүй. Active Directory сайтуудЛавлах үйлчилгээний бүтцийг бусад хэсгээс удаан ба/эсвэл тогтворгүй холбоосоор тусгаарлагдсан хэсгүүдэд физик байдлаар хуваах арга замыг төлөөлдөг. Сайтууд нь дэд сүлжээн дээр тулгуурлан бүтээгдсэн бөгөөд үйлчлүүлэгчийн бүх хүсэлтийг эхлээд сайтынхаа хянагч руу илгээдэг бөгөөд сайт бүрт дэлхийн каталог байх нь зүйтэй юм. Манай тохиолдолд бид хоёр сайт үүсгэх хэрэгтэй: AD сайт 1төв оффис болон AD сайт 2Салбарын хувьд, илүү нарийвчлалтай, анхдагчаар AD бүтэц нь өмнө нь үүсгэсэн бүх объектыг багтаасан сайтыг аль хэдийн агуулж байдаг. Одоо хэд хэдэн сайттай сүлжээнд хуулбарлалт хэрхэн явагддагийг харцгаая.

Манай байгууллага бага зэрэг томорч, үндсэн оффис нь дөрвөн домайн хянагчтай гэж бид таамаглах болно, нэг сайтын хянагч хоорондын хуулбарыг гэж нэрлэдэг. дотоодбөгөөд тэр даруй тохиолддог. Хуулбарлах топологи нь ямар ч домэйн хянагч хооронд гурваас илүүгүй хуулбарлах алхам байх нөхцөлтэйгээр цагираган схемийн дагуу бүтээгдсэн. Бөгжний схем нь 7 хүртэлх хянагчийг багтаасан бөгөөд хянагч бүр хамгийн ойрын хоёр хөрштэй холбоо тогтоож, олон тооны хянагчтай нэмэлт холболтууд гарч ирдэг бөгөөд нийтлэг цагираг нь бие биен дээрээ наасан цагиргуудын бүлэг болж хувирдаг.

Сайт хоорондынхуулбарлах нь өөр өөр байдаг, домэйн бүрт серверүүдийн аль нэгийг (гүүрийн сервер) автоматаар сонгосон бөгөөд энэ нь өөр сайтын ижил төстэй сервертэй холболт үүсгэдэг. Анхдагч байдлаар, хуулбарлах нь 3 цаг тутамд (180 минут) нэг удаа тохиолддог боловч бид өөрсдийн хуулбарлах хуваарийг тохируулах боломжтой бөгөөд урсгалыг хэмнэхийн тулд бүх өгөгдлийг шахсан хэлбэрээр дамжуулдаг. Хэрэв сайтад зөвхөн RODC байгаа бол хуулбарлах нь нэг чиглэлтэй явагдана.

Мэдээжийн хэрэг, бидний хөндсөн сэдвүүд нь маш гүнзгий бөгөөд энэ материалд бид тэдгээрийг бага зэрэг хөндсөн боловч энэ нь Active Directory-ийг аж ахуйн нэгжийн дэд бүтцэд практик хэрэгжүүлэхээс өмнө танд хэрэгтэй хамгийн бага мэдлэг юм. Энэ нь барилга байгууламжийг засварлах, өргөтгөх үед байршуулах, онцгой байдлын үед тэнэг алдаа гаргахаас зайлсхийх бөгөөд хөндсөн сэдэв бүрийг илүү нарийвчлан авч үзэх болно.

2002 онд би дуртай их сургуулийнхаа компьютерийн шинжлэх ухааны тэнхимийн коридороор явж байхдаа NT Systems-ийн оффисын үүдэнд шинэхэн зурагт хуудас байхыг олж харав. Зурагт хуудас нь бүлгүүдэд бүлэглэгдсэн хэрэглэгчийн дансны дүрсүүдийг харуулсан бөгөөд тэдгээрээс сумнууд нь бусад дүрс рүү шилждэг. Энэ бүгдийг тодорхой бүтэц болгон схемийн дагуу нэгтгэж, нэг нэвтрэх систем, зөвшөөрөл гэх мэт зүйлсийн талаар ямар нэгэн зүйл бичсэн. Миний одоо ойлгож байгаагаар тэр зурагт хуудас нь Windows NT 4.0 Domains болон Windows 2000 Active Directory системийн архитектурыг дүрсэлсэн байв. Тэр мөчөөс эхлэн Active Directory-тэй анхны танилцаж эхэлсэн бөгөөд тэр даруйдаа дууссан, учир нь тэр үед нэг найз маань FreeBSD 4 болон Red Hat Linux дискүүдийг хуваалцсан хэцүү хичээл, хөгжилтэй амралт болж байсан бөгөөд дараагийн хэдэн жил би энэ ажилд орсон. Unix-тэй төстэй системүүдийн ертөнц, гэхдээ би зурагт хуудасны агуулгыг хэзээ ч мартаагүй.
Мэдээллийн технологийн бүх дэд бүтцийн менежмент нь Active Directory дээр суурилдаг компанид ажиллахаар шилжих үед би буцаж, Windows Server системийг илүү сайн мэддэг болсон. Тэр компанийн ахлах администратор хурал болгон дээр ямар нэгэн Active Directory шилдэг туршлагын талаар байнга ярьдаг байсныг би санаж байна. Одоо Active Directory-тэй 8 жил тогтмол харилцсаны дараа би энэ систем хэрхэн ажилладаг, Active Directory шилдэг туршлагууд гэж юу байдгийг маш сайн ойлгож байна.
Та аль хэдийн таамаглаж байсанчлан бид Active Directory-ийн талаар ярих болно.
Энэ сэдвийг сонирхож буй хэн бүхэн мууранд тавтай морилно уу.

Эдгээр зөвлөмжүүд нь Windows 7 ба түүнээс дээш хувилбараас эхэлсэн клиент систем, Windows Server 2008/R2 болон түүнээс дээш түвшний домэйн болон ойн системүүдэд хүчинтэй.

Стандартчилал
Active Directory-ийг төлөвлөхдөө тухайн лавлах дахь объект, тэдгээрийн байршлыг нэрлэх өөрийн стандартыг боловсруулахаас эхлэх ёстой. Шаардлагатай бүх стандартыг тодорхойлсон баримт бичгийг бүрдүүлэх шаардлагатай. Мэдээжийн хэрэг, энэ бол мэдээллийн технологийн мэргэжилтнүүдэд зориулсан нэлээд түгээмэл зөвлөмж юм. “Эхлээд баримт бичгээ бичнэ, дараа нь энэ баримт бичигт тулгуурлан систем байгуулна” гэсэн зарчим маш зөв боловч олон шалтгааны улмаас практикт бараг хэрэгждэггүй. Эдгээр шалтгаануудын дунд энгийн хүний ​​залхуурал эсвэл зохих ур чадвар дутмаг, бусад шалтгаан нь эхний хоёроос үүдэлтэй.
Би санал болгож байна - эхлээд баримт бичгийг бичиж, сайтар бодож үзээд дараа нь анхны домэйн хянагчийг суулгаж үргэлжлүүлээрэй.
Жишээлбэл, би Active Directory объектуудыг нэрлэх стандартуудын талаархи баримт бичгийн хэсгийг өгөх болно.
Объектын нэршил.

• Хэрэглэгчийн бүлгүүдийн нэр GRUS_ угтвараар эхлэх ёстой (GR - Групп, АНУ - Хэрэглэгчид)
• Компьютерийн бүлгүүдийн нэр GRCP_ угтвараар эхэлж болохгүй (GR - Group, CP - Computers)
• Төлөөлөгчдийн бүлгүүдийн нэр GRDL_ угтвараар эхлэх ёстой (GR - Бүлэг, DL - Төлөөлөгч)
• Нөөцийн хандалтын бүлгүүдийн нэр нь GRRS_ угтвараар эхлэх ёстой (GR - Group, RS - нөөц)
• Бодлогын бүлгүүдийн нэр GPUS_, GPCP_ угтвараар эхлэх ёстой (GP - Бүлгийн бодлого, АНУ - Хэрэглэгчид, CP - Компьютер)
• Үйлчлүүлэгчийн компьютеруудын нэр нь байгууллагын нэрнээс хоёр буюу гурван үсгээс бүрдэх ёстой бөгөөд дараа нь зураасаар дугаарласан тоо, жишээлбэл, nnt-01 байх ёстой.
• Серверийн нэр нь зөвхөн хоёр үсгээр эхэлж, дараа нь зураас, серверийн үүрэг, серверийн дугаар, жишээ нь nn-dc01 байх ёстой.

Би Active Directory объектуудыг "Тодорхойлолт" талбарыг бөглөх шаардлагагүйгээр нэрлэхийг зөвлөж байна. Жишээлбэл, GPCP_Restricted_Groups бүлгийн нэрнээс харахад энэ нь компьютерт хэрэглэгдэх бодлогын бүлэг бөгөөд Хязгаарлагдмал бүлгүүдийн механизмын ажлыг гүйцэтгэдэг.
Баримт бичгийг бичих арга нь маш нарийн байх ёстой бөгөөд энэ нь дараа нь маш их цаг хэмнэх болно.

Боломжтой бүх зүйлийг хялбаршуулж, тэнцвэрт байдалд хүрэхийг хичээ
Active Directory байгуулахдаа та тэнцвэрт байдалд хүрэх зарчмыг баримталж, энгийн бөгөөд ойлгомжтой механизмуудыг сонгох ёстой.
Тэнцвэрийн зарчим нь шийдлийн хамгийн энгийн байдлаар шаардлагатай функциональ байдал, аюулгүй байдалд хүрэх явдал юм.
Системийн бүтэц нь хамгийн туршлагагүй администратор эсвэл бүр хэрэглэгчдэд ойлгомжтой байхаар системийг бий болгохыг хичээх шаардлагатай. Жишээлбэл, нэг удаа хэд хэдэн домэйноос ойн бүтцийг бий болгох зөвлөмж гарч байсан. Түүгээр ч барахгүй олон домэйн байгууламж төдийгүй хэд хэдэн ойн байгууламжуудыг байрлуулахыг зөвлөж байна. Магадгүй ийм зөвлөмж нь "хувааж, ялах" зарчмаас болоод эсвэл Майкрософт хүн бүрт домэйн бол аюулгүй байдлын хил хязгаар бөгөөд байгууллагыг домэйнд хуваах замаар бид тус тусад нь хянахад хялбар тусдаа бүтцийг олж авах болно. Гэхдээ практикээс харахад аюулгүй байдлын хил хязгаар нь домэйн биш харин зохион байгуулалтын нэгж (OU) байдаг нэг домэйн системийг хадгалах, хянах нь илүү хялбар байдаг. Тиймээс олон домэйны нарийн төвөгтэй бүтцийг бий болгохоос зайлсхийж, объектуудыг OU-ээр бүлэглэх нь дээр.
Мэдээжийн хэрэг, та фанатизмгүйгээр ажиллах хэрэгтэй - хэрэв та хэд хэдэн домэйнгүйгээр хийж чадахгүй бол ой модтой хэд хэдэн домэйн үүсгэх хэрэгтэй. Хамгийн гол нь та юу хийж байгаагаа, энэ нь юунд хүргэж болохыг ойлгох явдал юм.
Энгийн Active Directory дэд бүтцийг удирдах, хянахад хялбар гэдгийг ойлгох нь чухал. Би бүр энгийн байх тусмаа аюулгүй гэж хэлэх болно.
Хялбаршуулах зарчмыг хэрэгжүүл. Тэнцвэртэй байхыг хичээ.

"объект - бүлэг" гэсэн зарчмыг баримтал.
Энэ объектод бүлэг үүсгэн Active Directory объектуудыг үүсгэж эхэлж, бүлэгт шаардлагатай эрхийг аль хэдийн өгөөрэй. Нэг жишээ авч үзье. Та үндсэн администраторын бүртгэл үүсгэх хэрэгтэй. Эхлээд дарга админуудын бүлгийг үүсгээд зөвхөн дараа нь дансаа өөрөө үүсгээд энэ бүлэгт нэмнэ үү. Head Admins бүлэгт үндсэн администраторын эрхийг олгох, жишээлбэл, Домэйн Админуудын бүлэгт нэмэх замаар. Хэсэг хугацааны дараа ижил төстэй эрх шаардлагатай өөр ажилтан ажилдаа ирж, Active Directory-ийн өөр өөр хэсгүүдэд эрх шилжүүлэхийн оронд түүнийг системд аль хэдийн оруулсан шаардлагатай бүлэгт нэмж оруулах боломжтой болох нь үргэлж тохиолддог. үүргийг тодорхойлж, шаардлагатай эрх мэдлийг шилжүүлсэн.
Бас нэг жишээ. Та системийн администраторуудын бүлэгт хэрэглэгчидтэй OU-д эрхийг шилжүүлэх шаардлагатай. Администраторын бүлэгт эрхээ шууд бүү шилжүүлээрэй, гэхдээ эрх олгосон GRDL_OUNname_Operator_Accounts гэх мэт тусгай бүлгийг үүсгээрэй. Дараа нь GRDL_OUNname_Operator_Accounts бүлэгт хариуцлагатай администраторуудын бүлгийг нэмнэ үү. Ойрын ирээдүйд та энэ OU-ийн эрхийг өөр администраторуудад шилжүүлэх шаардлагатай болох нь гарцаагүй. Энэ тохиолдолд та зүгээр л администраторын өгөгдлийн бүлгийг GRDL_OUNname_Operator_Accounts төлөөлөгчийн бүлэгт нэмэх болно.
Би дараах бүлгийн бүтцийг санал болгож байна.

• Хэрэглэгчийн бүлгүүд (GRUS_)
• Администраторын бүлгүүд (GRAD_)
• Төлөөлөгчдийн бүлгүүд (GRDL_)
• Бодлогын бүлгүүд (GRGP_)

Компьютерийн бүлгүүд

• Серверийн бүлгүүд (GRSR_)
• Үйлчлүүлэгчийн компьютерийн бүлгүүд (GRCP_)

Нөөцийн хандалтын бүлгүүд

• Хуваалцсан нөөцийн хандалтын бүлгүүд (GRRS_)
• Принтерийн хандалтын бүлгүүд (GRPR_)

Эдгээр удирдамжийн дагуу баригдсан системд бараг бүх удирдлага бүлгүүдийг бүлгүүдэд нэмэх болно.
Тэнцвэртэй байж, бүлгүүдийн үүргийн тоог хязгаарлаж, бүлгийн нэр нь түүний үүргийг бүрэн илэрхийлэх ёстой гэдгийг санаарай.

OU архитектур.
OU-ийн архитектурыг юуны өмнө аюулгүй байдлын үүднээс авч үзэх, системийн администраторуудад энэ OU-ийн эрхийг шилжүүлэх талаар бодох хэрэгтэй. Бүлгийн бодлогыг тэдгээртэй холбох үүднээс OU архитектурыг төлөвлөхийг би зөвлөдөггүй (хэдийгээр үүнийг ихэвчлэн хийдэг). Зарим хүмүүсийн хувьд миний зөвлөмж бага зэрэг хачирхалтай санагдаж байгаа ч бүлгийн бодлогыг OU-тэй холбохыг би огт зөвлөдөггүй. Дэлгэрэнгүйг Бүлгийн бодлого хэсгээс уншина уу.
OU админууд
Би бүх администратор, техникийн дэмжлэг үзүүлэх инженерүүдийн данс, бүлгийг хаана байрлуулахыг захиргааны данс, бүлгүүдэд тусдаа OU хуваарилахыг зөвлөж байна. Энэхүү OU-д хандах эрхийг энгийн хэрэглэгчдэд хязгаарлах ёстой бөгөөд энэ OU-ийн объектын удирдлагыг зөвхөн үндсэн админуудад шилжүүлэх ёстой.
OU компьютерууд
Компьютерийн OU нь компьютерийн газарзүй, компьютерийн төрлүүдийн хувьд хамгийн сайн төлөвлөгддөг. Газарзүйн өөр өөр байршлын компьютеруудыг өөр өөр OU-д хуваарилж, эргээд клиент компьютер болон серверт хуваана. Серверүүдийг Exchange, SQL болон бусад гэж хувааж болно.

Active Directory дэх хэрэглэгчид, эрхүүд
Active Directory хэрэглэгчийн бүртгэлд онцгой анхаарал хандуулах хэрэгтэй. OU-ийн тухай хэсэгт дурдсанчлан, хэрэглэгчийн бүртгэлийг эдгээр дансанд эрх шилжүүлэх зарчимд үндэслэн бүлэглэх ёстой. Хамгийн бага давуу эрхийн зарчмыг ажиглах нь бас чухал юм - хэрэглэгч систем дэх эрх бага байх тусмаа сайн. Хэрэглэгчийн давуу эрхийн түвшинг түүний дансны нэр дээр даруй оруулахыг би зөвлөж байна. Өдөр тутмын ажилд зориулсан данс нь хэрэглэгчийн овог нэр, Латин үсгийн эхний үсгээс бүрдэх ёстой (жишээлбэл, ИвановIV эсвэл IVIvanov). Шаардлагатай талбарууд нь: Нэр, эхний үсэг, овог, дэлгэцийн нэр (орос хэл дээр), имэйл, гар утас, ажлын байрны нэр, менежер.
Администраторын бүртгэл дараах төрлийн байх ёстой.

• Хэрэглэгчийн компьютерт администраторын эрхтэй боловч серверт биш. Эзэмшигчийн нэрийн эхний үсгийн араас локал угтвараас бүрдэх ёстой (жишээ нь, iivlocal)
• Сервер болон Active Directory удирдах эрхтэй. Зөвхөн эхний үсгээс бүрдэх ёстой (Жишээ нь, iiv).

Хоёр төрлийн захиргааны дансны овгийн талбар нь I үсгээр эхлэх ёстой (Жишээ нь, iPetrov P Василий)
Та яагаад администраторын бүртгэлийг серверийн администраторууд болон клиент компьютерийн администраторууд гэж ялгах ёстойг тайлбарлая. Энэ нь аюулгүй байдлын үүднээс шаардлагатай. Үйлчлүүлэгчийн компьютерийн администраторууд үйлчлүүлэгчийн компьютер дээр програм суулгах эрхтэй болно. Програм хангамжийг юу, яагаад суулгахыг та хэзээ ч тодорхой хэлж чадахгүй. Тиймээс, домэйны администраторын эрхээр програмын суулгацыг ажиллуулах нь аюулгүй биш бөгөөд та домэйныг бүхэлд нь эвдэж болно. Та клиент компьютерийг зөвхөн тухайн компьютерт локал администраторын эрхтэй удирдах ёстой. Энэ нь "Pass The Hash" гэх мэт домэйн админуудын данс руу хэд хэдэн халдлага хийх боломжгүй болгоно. Нэмж дурдахад, үйлчлүүлэгч компьютерийн администраторууд Терминал үйлчилгээний холболт болон компьютерт холбогдох сүлжээний холболтыг хаах ёстой. Техникийн дэмжлэг болон администраторуудад зориулсан компьютеруудыг үйлчлүүлэгчийн компьютерийн сүлжээнээс хандах хандалтыг хязгаарлахын тулд тусдаа VLAN-д байрлуулах хэрэгтэй.
Хэрэглэгчдэд админ эрх олгох
Хэрэв та хэрэглэгчдэд администраторын эрхийг өгөх шаардлагатай бол ямар ч тохиолдолд тэдний өдөр тутмын дансыг компьютерийн локал администраторын бүлэгт бүү оруулаарай. Өдөр тутмын ажлын данс үргэлж эрхээр хязгаарлагдах ёстой. Үүнд орон нутгийн нэр төрлийн тусдаа захиргааны бүртгэл үүсгэж, энэ бүртгэлийг бодлогын дагуу локал администраторуудын бүлэгт нэмж, зөвхөн хэрэглэгчийн компьютер дээр зүйлийн түвшний зорилтот тохиргоог ашиглан ашиглахыг хязгаарлана. Хэрэглэгч Run AS механизмыг ашиглан энэ бүртгэлийг ашиглах боломжтой болно.
Нууц үгийн бодлого
Нарийвчилсан нууц үгийн бодлогыг ашиглан хэрэглэгчид болон администраторуудад зориулсан тусдаа нууц үгийн бодлогыг бий болго. Хэрэглэгчийн нууц үг нь дор хаяж 8 тэмдэгтээс бүрдэх бөгөөд дор хаяж улиралд нэг удаа солигдох нь зүйтэй. Администраторууд хоёр сар тутамд нууц үгээ солих нь зүйтэй бөгөөд энэ нь дор хаяж 10-15 тэмдэгтээс бүрдэх бөгөөд нарийн төвөгтэй байдлын шаардлагыг хангасан байх ёстой.

Домэйн болон локал бүлгүүдийн бүрэлдэхүүн. Хязгаарлагдмал бүлгүүдийн механизм
Домэйн компьютер дээрх домэйн болон локал бүлгүүдийн бүрэлдэхүүнийг Хязгаарлагдмал бүлгүүдийн механизмыг ашиглан зөвхөн автомат горимд удирдах ёстой. Яагаад үүнийг зөвхөн ийм байдлаар хийх шаардлагатай байгааг би дараах жишээгээр тайлбарлах болно. Ихэвчлэн Active Directory домэйн эвдэрсэний дараа администраторууд өөрсдийгөө Домэйн админууд, Enterprise админууд гэх мэт домэйны бүлгүүдэд нэмж, шаардлагатай бүлгүүдэд техникийн дэмжлэг үзүүлэх инженерүүдийг нэмж, бусад хэрэглэгчдийг бүлгүүдэд хуваарилдаг. Энэ домэйныг удирдах явцад эрх олгох үйл явц олон удаа давтагддаг бөгөөд өчигдөр та нягтлан бодогч Нина Петровнаг 1С администраторын бүлэгт түр нэмсэн бөгөөд өнөөдөр та түүнийг энэ бүлгээс хасах хэрэгтэй гэдгийг санахад маш хэцүү байх болно. Хэрэв компани хэд хэдэн администратортой бөгөөд үе үе ижил төстэй хэв маягаар хэрэглэгчдэд эрх олгодог бол нөхцөл байдал улам дордох болно. Жилийн дараа хэнд ямар эрх оногдсоныг тодорхойлох бараг боломжгүй болно. Тиймээс бүлгүүдийн бүрэлдэхүүнийг зөвхөн бүлгийн бодлогоор хянаж байх ёстой бөгөөд энэ нь өргөдөл бүрт бүх зүйлийг цэгцлэх болно.
Баригдсан бүлгүүдийн бүрэлдэхүүн
Бүртгэлийн операторууд, нөөцлөх операторууд, крипт операторууд, зочид, хэвлэх операторууд, серверийн операторууд гэх мэт суулгагдсан бүлгүүд домэйн болон үйлчлүүлэгч компьютер дээр хоосон байх ёстой гэдгийг хэлэх нь зүйтэй. Эдгээр бүлгүүд нь хуучин системүүдтэй хоцрогдсон нийцтэй байхын тулд үндсэндээ хэрэгтэй бөгөөд эдгээр бүлгүүдийн хэрэглэгчдэд системд хэт их эрх олгогдсон тул давуу эрх нэмэгдүүлэх халдлага хийх боломжтой болдог.

Орон нутгийн администраторын бүртгэлүүд
Хязгаарлагдмал бүлгүүдийн механизмыг ашигласнаар та локал компьютер дээрх локал администраторын бүртгэлийг түгжих, зочны бүртгэлийг түгжих, локал компьютер дээрх локал администраторын бүлгийг устгах ёстой. Дотоод администраторын бүртгэлд нууц үг тохируулахдаа бүлгийн удирдамжийг хэзээ ч бүү ашиглаарай. Энэ механизм аюулгүй биш тул нууц үгийг бодлогоос шууд татаж авах боломжтой. Гэхдээ хэрэв та локал администраторын бүртгэлийг хаахгүй гэж шийдсэн бол LAPS механизмыг ашиглан нууц үгээ зөв тохируулж, эргүүлээрэй. Харамсалтай нь LAPS тохиргоо бүрэн автоматжаагүй байгаа тул Active Directory схемд атрибутуудыг гараар нэмэх, тэдэнд эрх олгох, бүлгүүдийг хуваарилах гэх мэт шаардлагатай болно. Тиймээс локал администраторын бүртгэлийг хаах нь илүү хялбар байдаг.
Үйлчилгээний дансууд.
Үйлчилгээг эхлүүлэхийн тулд үйлчилгээний бүртгэл болон gMSA механизмыг ашиглана уу (Windows 2012 болон түүнээс дээш систем дээр боломжтой)

Бүлгийн бодлого
Бодлогуудыг үүсгэх/өөрчлөхөөс өмнө баримтжуулах.
Бодлого гаргахдаа "Бодлого - бүлэг" зарчмыг ашиглана. Өөрөөр хэлбэл, бодлого үүсгэхийн өмнө эхлээд энэ бодлогод зориулж бүлэг үүсгэж, Баталгаажсан хэрэглэгчдийн бүлгийг бодлогын хамрах хүрээнээс хасч, үүсгэсэн бүлгийг нэмнэ үү. Бодлогыг OU-д биш, харин домэйны үндэстэй холбож, бодлогын бүлэгт объект нэмэх замаар түүний хэрэглээний хамрах хүрээг зохицуулна. Ийм механизм нь бодлогоо ОУ-тай холбохоос илүү уян хатан, ойлгомжтой гэж би бодож байна. (Энэ бол OU Architecture хэсэгт миний бичсэн зүйл).
Бодлогын хамрах хүрээг үргэлж тохируулна. Хэрэв та зөвхөн хэрэглэгчдэд зориулсан бодлого үүсгэсэн бол компьютерийн бүтцийг идэвхгүй болгож, эсрэгээр зөвхөн компьютерт зориулсан бодлогыг үүсгэсэн бол хэрэглэгчийн бүтцийг идэвхгүй болгоно уу. Эдгээр тохиргооны ачаар бодлогыг илүү хурдан хэрэгжүүлэх болно.
Power Shell ашиглан бодлогын өдөр тутмын нөөцлөлтийг тохируулснаар тохиргооны алдаа гарсан тохиолдолд тохиргоог анхны тохиргоо руу нь буцаах боломжтой.
Төв дэлгүүрийн загварууд (Төв дэлгүүр)
Windows 2008-аас эхлэн Group Policy ADMX загваруудыг SYSVOL-д төв дэлгүүрт хадгалах боломжтой болсон. Үүнээс өмнө анхдагчаар бүх бодлогын загваруудыг дотооддоо, үйлчлүүлэгч дээр хадгалдаг байсан. ADMX загваруудыг төв дэлгүүрт байрлуулахын тулд %SystemDrive%\Windows\PolicyDefinitions хавтасны агуулгыг клиент системээс (Windows 7/8/8.1) дэд хавтастай хамт домайн хянагчийн %SystemDrive%\Windows\SYSVOL\domain руу хуулна уу. \Бодлого\PolicyDefinitions лавлах контент нэгтгэсэн боловч орлуулах зүйлгүй. Дараа нь та хамгийн эртнийх нь серверийн системээс ижил хуулбарыг хийх хэрэгтэй. Эцэст нь серверийн хамгийн сүүлийн хувилбараас хавтас болон файлуудыг хуулахдаа нэгтгэж, солих хуулбарыг хийнэ үү.

ADMX загваруудыг хуулж байна

Нэмж дурдахад Microsoft Office, Adobe бүтээгдэхүүн, Google бүтээгдэхүүн болон бусад програм хангамжийн бүтээгдэхүүний ADMX загваруудыг төв хадгалах санд байрлуулж болно. Програм хангамж үйлдвэрлэгчийн вэбсайт руу орж, Group Policy ADMX загварыг татаж аваад, өөрийн домэйн хянагч дээрх %SystemDrive%\Windows\SYSVOL\domain\Policies\PolicyDefinitions хавтас руу задлаарай. Одоо та өөрт хэрэгтэй програм хангамжийн бүтээгдэхүүнээ бүлгийн бодлогоор удирдах боломжтой.
WMI шүүлтүүрүүд
WMI шүүлтүүр нь тийм ч хурдан биш тул зүйлийн түвшний зорилтот байдлыг илүүд үздэг. Гэхдээ хэрэв зүйлийн түвшний зорилтот ашиглах боломжгүй бөгөөд та WMI ашиглахаар шийдсэн бол "Зөвхөн үйлчлүүлэгчийн үйлдлийн системүүд", "Зөвхөн серверийн үйлдлийн системүүд", шүүлтүүрүүд гэх мэт хамгийн нийтлэг шүүлтүүрүүдийг нэн даруй үүсгэхийг зөвлөж байна. "Windows 7", "Windows 8", "Windows 8.1", "Windows 10"-ыг шүүдэг. Хэрэв танд WMI шүүлтүүрийн бэлэн багц байгаа бол дараа нь хүссэн шүүлтүүрээ хүссэн бодлогод хэрэглэхэд хялбар байх болно.

Active Directory үйл явдлуудад аудит хийх
Домэйн хянагч болон бусад сервер дээр үйл явдлын аудитыг идэвхжүүлэхээ мартуузай. Би дараах объектуудын аудитыг идэвхжүүлэхийг зөвлөж байна.

• Компьютерийн дансны менежментийг аудит - Амжилт, бүтэлгүйтэл
• Дансны удирдлагын бусад үйл явдлуудад аудит хийх - Амжилт, бүтэлгүйтэл
• Аудитын аюулгүй байдлын бүлгийн удирдлага - Амжилт, бүтэлгүйтэл
• Хэрэглэгчийн дансны менежментийг шалгах - Амжилт, бүтэлгүйтэл

• Аудитын Kerberos Authentication Service - алдаа
• Бүртгэлд нэвтэрсэн бусад үйл явдлуудад аудит хийх - бүтэлгүйтэл
• Аудитын аудитын бодлогын өөрчлөлт - Амжилт, бүтэлгүйтэл

Аудитыг хэсэгт тохируулсан байх ёстой Аудитын дэвшилтэт бодлогын тохиргоомөн тохиргоог хэсэгт оруулахаа мартуузай Орон нутгийн бодлого/Аюулгүй байдлын сонголтууд - Аудитын бодлогын ангиллын тохиргоог хүчингүй болгохын тулд аудитын бодлогын дэд ангиллын тохиргоог (Windows Vista эсвэл түүнээс хойшхи) хүчээр хийнэ үү., энэ нь дээд түвшний тохиргоог дарж, дэвшилтэт тохиргоог ашиглах болно.

Нарийвчилсан аудитын тохиргоо

Вэб дээр энэ сэдэвт зориулсан хангалттай тооны нийтлэл байгаа тул би аудитын тохиргооны талаар дэлгэрэнгүй ярихгүй. Аудитыг идэвхжүүлэхээс гадна аюулгүй байдлын чухал үйл явдлуудын талаарх и-мэйл анхааруулгыг тохируулах хэрэгтэй гэдгийг би нэмж хэлье. Маш олон тооны үйл явдлуудтай системүүдэд бүртгэлийн файлуудыг цуглуулах, дүн шинжилгээ хийх тусдаа серверүүдийг зориулах нь зүйтэй гэдгийг анхаарч үзэх нь зүйтэй.

Скриптүүдийг удирдах, цэвэрлэх
Ижил төрлийн, байнга давтагдах бүх үйлдлийг удирдлагын скрипт ашиглан гүйцэтгэх ёстой. Эдгээр үйлдлүүдийн дунд: хэрэглэгчийн бүртгэл үүсгэх, администраторын бүртгэл үүсгэх, бүлэг үүсгэх, OU үүсгэх гэх мэт. Скриптийн объектууд нь скриптүүддээ синтакс шалгалтыг бий болгосноор Active Directory объектын нэрлэлтийн логикийг хүндэтгэх боломжийг танд олгоно.
Мөн бүлгүүдийн бүрэлдэхүүнийг автоматаар хянах, домэйнд удаан хугацаагаар холбогдоогүй хэрэглэгчид болон компьютеруудыг тодорхойлох, бусад стандартын зөрчлийг илрүүлэх гэх мэт цэвэрлэх скрипт бичих нь зүйтэй.
Би стандартыг дагаж мөрдөж байгаа эсэхэд хяналт тавих, үндсэн үйл ажиллагааг гүйцэтгэхэд удирдлагын скрипт ашиглахыг албан ёсны тодорхой зөвлөмж гэж үзээгүй. Гэхдээ би өөрөө скрипт ашиглан автомат горимд шалгалт, процедурыг илүүд үздэг, учир нь энэ нь маш их цаг хэмнэж, олон алдааг арилгадаг бөгөөд мэдээжийн хэрэг, удирдлагын талаарх миний бага зэрэг Unix хандлага энд хэд хэдэн команд бичихэд хялбар үед нөлөөлдөг. цонхнууд дээр дарахаас илүү .

Гарын авлагын удирдлага
Захиргааны үйл ажиллагааны нэг хэсгийг та болон танай хамт олон гараар хийх шаардлагатай болно. Эдгээр зорилгын үүднээс би mmc консолыг нэмэлт хэрэгсэл болгон ашиглахыг зөвлөж байна.
Дараа нь авч үзэх болно, таны домэйн хянагч нь Server Core горимд ажиллах ёстой, өөрөөр хэлбэл, AD орчныг бүхэлд нь удирдах нь зөвхөн таны компьютерээс консол ашиглан хийгдэх ёстой. Active Directory-г удирдахын тулд та компьютер дээрээ Remote Server Administration Tools суулгах хэрэгтэй. Консолууд нь Active Directory администраторын эрх бүхий хэрэглэгчийн хувьд таны компьютер дээр хяналтыг шилжүүлсэн байх ёстой.
Консол ашиглан Active Directory удирдах урлаг нь тусдаа нийтлэл, магадгүй тусдаа сургалтын видео бичлэг шаарддаг тул энд би зөвхөн зарчмын тухай ярьж байна.

Домэйн хянагч
Аливаа домэйнд дор хаяж хоёр хянагч байх ёстой. Домэйн хянагч нь аль болох цөөн үйлчилгээтэй байх ёстой. Та домэйн хянагчаас файлын сервер хийж болохгүй, эсвэл түүн дээр терминал серверийн үүргийг нэмэгдүүлэх ёсгүй. WoW64-ийн дэмжлэгийг бүрмөсөн устгаснаар Server Core үйлдлийн системийг домэйн хянагч дээр ажиллуулснаар шаардлагатай шинэчлэлтүүдийн тоог эрс багасгаж, аюулгүй байдлыг нь нэмэгдүүлнэ.
Майкрософт өмнө нь агшин зуурын зургуудаас сэргээх үед хуулбарлах зөрчилдөөнийг шийдвэрлэхэд хэцүү байсан тул домэйн хянагчдыг виртуалчлахаас татгалзаж байсан. Өөр шалтгаан байсан байж магадгүй, би тодорхой хэлж чадахгүй. Одоо гипервизорууд хянагчдаа агшин зуурын зурагнаас сэргээхийг хэлж сурсан бөгөөд энэ асуудал алга болсон. Би хянагчдыг ямар ч хормын хувилбар авалгүйгээр үргэлж виртуалчилдаг байсан, учир нь яагаад домэйн хянагч дээр ийм зүйл хийх шаардлагатай байгааг би ойлгохгүй байна. Миний бодлоор стандарт хэрэгслийг ашиглан домэйн хянагчийг нөөцлөх нь илүү хялбар байдаг. Тиймээс би боломжтой бүх домэйн хянагчдыг виртуалчлахыг зөвлөж байна. Энэ тохиргоо нь илүү уян хатан байх болно. Домэйн хянагчдыг виртуалчлахдаа тэдгээрийг өөр өөр физик хостууд дээр байрлуул.
Хэрэв та домэйн хянагчийг хамгаалалтгүй физик орчинд эсвэл байгууллагынхаа салбарт байрлуулах шаардлагатай бол энэ зорилгоор RODC ашиглана уу.

FSMO-ийн үүрэг, үндсэн болон хоёрдогч хянагч
Домэйн хянагч FSMO үүрэг нь шинэхэн администраторуудын оюун санаанд айдас төрүүлсээр байна. Ихэнхдээ шинэхэн хүмүүс хуучирсан баримт бичгүүдийг ашиглан Active Directory-г судалж эсвэл хаа нэгтээ ямар нэг зүйл уншсан бусад админуудын түүхийг сонсдог.
Таван + 1 дүрүүдийн хувьд дараахь зүйлийг товчхон хэлэх хэрэгтэй. Windows Server 2008-аас эхлэн үндсэн болон хоёрдогч домайн хянагч байхгүй болсон. Таван домэйн хянагчийн үүрэг бүгд зөөврийн боловч нэгээс олон домэйн хянагч дээр зэрэг байршуулах боломжгүй. Хэрэв бид жишээлбэл, 4 дүрийн эзэн байсан хянагчдаас нэгийг нь аваад устгавал бид эдгээр бүх үүргийг бусад хянагч руу хялбархан шилжүүлэх боломжтой бөгөөд домэйнд ямар ч аймшигтай зүйл тохиолдохгүй, юу ч эвдэрэхгүй. Тодорхой үүрэгтэй холбоотой ажлын талаархи бүх мэдээллийг эзэмшигч нь Active Directory-д шууд хадгалдаг тул энэ нь боломжтой юм. Хэрэв бид дүрээ өөр хянагч руу шилжүүлбэл энэ нь юуны түрүүнд Active Directory-д хадгалагдсан мэдээллийг хүсч, үйлчилж эхэлнэ. Домэйн нь үүрэг эзэмшигчгүйгээр нэлээд удаан оршин тогтнох боломжтой. Active Directory-д үргэлж байх ёстой цорын ганц "үүрэг" бөгөөд үүнгүйгээр бүх зүйл маш муу байх болно, энэ нь дэлхийн каталог (GC) бөгөөд үүнийг домэйн дэх бүх хянагч авч явах боломжтой. Би домэйн дэх хянагч бүрт GC үүргийг оноож өгөхийг зөвлөж байна, илүү их байх тусмаа сайн. Мэдээжийн хэрэг, та домэйн хянагч дээр GC үүргийг суулгах ёсгүй тохиолдлуудыг олж болно. За яахав, тэгэх албагүй бол хэрэггүй. Фанатизмгүйгээр зөвлөмжийг дагаж мөрдөөрэй.

DNS үйлчилгээ
DNS үйлчилгээ нь Active Directory-ийн үйл ажиллагаанд чухал ач холбогдолтой бөгөөд жигд ажиллах ёстой. DNS үйлчилгээг домэйн хянагч бүрт хамгийн сайн суулгаж, DNS бүсүүдийг Active Directory-д хадгалдаг. Хэрэв та DNS бүсүүдийг хадгалахдаа Active Directory ашиглах бол домэйн хянагч дээрх TCP / IP холболтын шинж чанарыг тохируулж, хянагч бүр өөр DNS серверийг үндсэн DNS сервертэй болгож, хоёрдогч DNS серверийг тохируулах боломжтой. хаяг 127.0.0.1. Active Directory үйлчилгээг хэвийн эхлүүлэхийн тулд ажиллаж байгаа DNS шаардлагатай бөгөөд DNS-г эхлүүлэхийн тулд Active Directory үйлчилгээ нь DNS бүсийг өөртөө агуулж байгаа тул ажиллаж байх ёстой тул энэ тохиргоо шаардлагатай.
Бүх сүлжээндээ урвуу хайлтын бүсүүдийг тохируулж, PTR бүртгэлийг автоматаар аюулгүй шинэчлэхийг идэвхжүүлээрэй.
Би танд хуучирсан DNS бүртгэлээс бүсийг автоматаар цэвэрлэхийг (dns scavenging) идэвхжүүлэхийг зөвлөж байна.
Хэрэв таны газарзүйн байршилд өөр хурдан сервер байхгүй бол аюулгүй Yandex серверүүдийг DNS дамжуулагч гэж зааж өгөхийг зөвлөж байна.

Сайтууд ба хуулбар
Ихэнх администраторууд сайтуудыг компьютеруудын газарзүйн бүлэг гэж үзэх хандлагатай байдаг. Жишээлбэл, Москвагийн сайт, Санкт-Петербургийн сайт. Сүлжээний хуулбарлах урсгалыг тэнцвэржүүлэх, салгах зорилгоор Active Directory-г сайт болгон хуваах ажлыг хийсэнтэй холбоотой ийм үзэл бодол гарч ирэв. Москва дахь домайн хянагч нар одоо Санкт-Петербургт арван компьютерийн данс үүсгэсэн гэдгийг мэдэх шаардлагагүй. Тиймээс өөрчлөлтийн талаархи ийм мэдээллийг хуваарийн дагуу цагт нэг удаа дамжуулж болно. Эсвэл зурвасын өргөнийг хэмнэхийн тулд өдөрт нэг удаа, зөвхөн шөнийн цагаар өөрчлөлтүүдийг давтаж болно.
Сайтуудын талаар би ингэж хэлэх болно: сайтууд нь компьютеруудын логик бүлгүүд юм. Сайн сүлжээний холболтоор хоорондоо холбогдсон компьютерууд. Мөн сайтууд нь бага зурвасын өргөнтэй холболтоор хоорондоо холбогддог бөгөөд энэ нь бидний цаг үед ховор тохиолддог зүйл юм. Тиймээс би Active Directory-ийг хуулбарлах урсгалыг тэнцвэржүүлэхийн тулд бус харин сүлжээний ачааллыг ерөнхийд нь тэнцвэржүүлэх, сайтын компьютерээс ирсэн үйлчлүүлэгчийн хүсэлтийг хурдан боловсруулах зорилгоор сайтуудад хуваадаг. Би жишээгээр тайлбарлая. Байгууллагын 100 мегабитийн дотоод сүлжээ байдаг бөгөөд үүнд хоёр домэйн хянагч үйлчилдэг бөгөөд энэ байгууллагын хэрэглээний серверүүд өөр хоёр клоуд хянагчтай хамт байрладаг үүл байдаг. Би ийм сүлжээг хоёр сайт болгон хуваах бөгөөд ингэснээр дотоод сүлжээн дэх хянагч нар дотоод сүлжээнээс үйлчлүүлэгчийн хүсэлтийг боловсруулж, үүл дэх хянагч нь програмын серверээс хүсэлтийг боловсруулах болно. Нэмж дурдахад, энэ нь DFS болон Exchange үйлчилгээнүүдийн хүсэлтийг салгах болно. Одоо би секундэд 10 мегабитээс бага хурдтай интернет сувгийг ховор хардаг тул би мэдэгдэлд суурилсан хуулбарыг идэвхжүүлэх болно, энэ нь Active Directory-д ямар нэгэн өөрчлөлт ормогц өгөгдлийг хуулбарлах явдал юм.

Дүгнэлт
Хүний хувиа хичээсэн байдал яагаад нийгэмд тийм ч таатай бус, хаа нэгтээ гүн гүнзгий ойлголттой байх нь туйлын сөрөг сэтгэл хөдлөлийг бий болгодог талаар өнөөдөр өглөө бодлоо. Хүн төрөлхтөн бие бялдар, оюуны нөөц баялгаа хуваалцаж сураагүй бол энэ дэлхий дээр оршин тогтнохгүй байх байсан гэсэн хариулт л миний толгойд орж ирсэн. Тийм ч учраас би энэ нийтлэлийг тантай хуваалцаж байгаа бөгөөд миний зөвлөмжүүд системээ сайжруулахад тусалж, алдааг олж засварлахад бага цаг зарцуулах болно гэж найдаж байна. Энэ бүхэн нь бүтээлч ажилд илүү их цаг хугацаа, эрч хүчийг гаргахад хүргэнэ. Бүтээлч, эрх чөлөөтэй хүмүүсийн ертөнцөд амьдрах нь илүү таатай байдаг.
Боломжтой бол Active Directory байгуулах мэдлэг, туршлагаасаа сэтгэгдэл дээр хуваалцвал сайн байна.
Бүгдэд нь амар амгалан, сайн сайхан!

Та сайтыг хөгжүүлэхэд тусалж, зарим хөрөнгийг шилжүүлж болно

Тэмдэглэл: Энэхүү лекц нь Active Directory лавлах үйлчилгээний үндсэн ойлголтуудыг тайлбарладаг. Сүлжээний аюулгүй байдлын удирдлагын практик жишээг өгөв. Бүлгийн бодлогын механизмыг тодорхойлсон. Лавлах үйлчилгээний дэд бүтцийг удирдах үед сүлжээний администраторын даалгаврын талаарх ойлголтыг өгдөг.

Орчин үеийн сүлжээнүүд нь ихэвчлэн олон төрлийн програм хангамжийн платформ, олон төрлийн техник хангамж, програм хангамжаас бүрддэг. Хэрэглэгчид янз бүрийн сүлжээний нөөцөд хандахын тулд олон тооны нууц үгийг санахаас өөр аргагүй болдог. Хандалтын эрх нь түүний ажиллаж буй нөөцөөс хамааран нэг ажилтанд өөр өөр байж болно. Энэ бүх харилцан хамаарал нь администратор болон хэрэглэгчээс дүн шинжилгээ хийх, цээжлэх, сурахад асар их цаг хугацаа шаарддаг.

Лавлах үйлчилгээг хөгжүүлснээр ийм нэг төрлийн бус сүлжээг удирдах асуудлыг шийдэх гарц олдсон. Лавлах үйлчилгээ нь сүлжээний хэмжээ, үйлдлийн систем, техник хангамжийн нарийн төвөгтэй байдлаас үл хамааран хаанаас ч хамаагүй ямар ч нөөц, үйлчилгээг удирдах боломжийг олгодог. Хэрэглэгчийн талаарх мэдээллийг лавлах үйлчилгээнд нэг удаа оруулж, дараа нь бүх сүлжээнд ашиглах боломжтой болно. Имэйл хаяг, бүлгийн гишүүнчлэл, янз бүрийн үйлдлийн системтэй ажиллахад шаардлагатай нэвтрэх эрх, бүртгэлүүд - энэ бүхэн автоматаар үүсгэгдэж, шинэчлэгддэг. Администраторын лавлах үйлчилгээнд хийсэн аливаа өөрчлөлтийг сүлжээ даяар нэн даруй шинэчилдэг. Администраторууд ажлаас халагдсан ажилчдын талаар санаа зовох шаардлагагүй болсон - лавлах үйлчилгээнээс хэрэглэгчийн бүртгэлийг устгаснаар тэд өмнө нь тухайн ажилтанд олгосон сүлжээний нөөцөд хандах бүх эрхийг автоматаар устгах боломжтой болно.

Одоогийн байдлаар янз бүрийн компаниудын лавлах үйлчилгээний ихэнх нь стандартад суурилдаг X.500. Лавлах үйлчилгээнд хадгалагдсан мэдээлэлд хандахын тулд ихэвчлэн протокол ашигладаг. (LDAP). TCP/IP сүлжээний хурдацтай хөгжлийг дагаад LDAP нь лавлах үйлчилгээ болон лавлахад чиглэсэн хэрэглээний стандарт болж байна.

Лавлах үйлчилгээ Active Directory нь Windows систем дээр суурилсан корпорацийн сүлжээний логик бүтцийн үндэс суурь юм. Нөхцөл " Каталог"өргөн утгаараа" гэсэн үг Лавлах", а лавлах үйлчилгээкорпорацийн сүлжээ нь корпорацийн төвлөрсөн лавлах юм. Корпорацийн лавлах нь янз бүрийн төрлийн объектуудын талаарх мэдээллийг агуулж болно. Лавлах үйлчилгээ Active Directory нь үндсэндээ Windows сүлжээний аюулгүй байдлын систем дээр суурилсан хэрэглэгч, бүлэг, компьютерийн дансуудыг агуулдаг. Дансуудыг логик бүтэц болгон зохион байгуулдаг: домэйн, мод, ой, зохион байгуулалтын нэгж.

Хичээлийн материалыг судлах үүднээс "Сүлжээ захиргаа"Зааварчилгааг дараах байдлаар үзэх бүрэн боломжтой: эхлээд энэ хэсгийн эхний хэсгийг (үндсэн ойлголтоос эхлээд домэйн хянагч суулгах хүртэл), дараа нь "Файл ба хэвлэх үйлчилгээ" рүү орж, "Файл ба хэвлэх үйлчилгээ" -ийг судал. "Active Directory Service Directory" руу буцаж, лавлах үйлчилгээний илүү дэвшилтэт ойлголтуудыг мэдэж аваарай.

6.1 Үндсэн нэр томьёо, ойлголтууд (ой, мод, домэйн, зохион байгуулалтын нэгж). AD нэрийн орон зайг төлөвлөж байна. Домэйн хянагчуудыг суулгаж байна

Аюулгүй байдлын удирдлагын загварууд: Ажлын хэсгийн загвар ба төвлөрсөн домэйн загвар

Дээр дурдсанчлан лавлах үйлчилгээний гол зорилго нь сүлжээний аюулгүй байдлыг удирдах явдал юм. Сүлжээний аюулгүй байдлын үндэс нь сүлжээний нөөцөд хандах хандалтыг хянадаг хэрэглэгчид, бүлгүүд, компьютеруудын дансны (данс) мэдээллийн сан юм. Active Directory лавлах үйлчилгээний талаар ярихаасаа өмнө лавлах үйлчилгээний мэдээллийн сан байгуулах, нөөцөд хандах хандалтыг удирдах хоёр загварыг харьцуулж үзье.

Загвар "Ажлын хэсэг"

Энэхүү корпорацийн сүлжээний аюулгүй байдлын удирдлагын загвар нь хамгийн энгийн загвар юм. Энэ нь жижиг хэмжээтэй ашиглахад зориулагдсан үе тэнгийн сүлжээнүүд(3–10 компьютер) бөгөөд Windows NT/2000/XP/2003 үйлдлийн системтэй сүлжээнд байгаа компьютер бүр өөрийн дансны локал мэдээллийн сантай байдаг бөгөөд энэхүү локал мэдээллийн сан нь энэ компьютерийн нөөцөд хандах хандалтыг хянадаг. Бүртгэлийн орон нутгийн мэдээллийн санг мэдээллийн сан гэж нэрлэдэг САМ (Аюулгүй байдлын бүртгэлийн менежер) бөгөөд үйлдлийн системийн бүртгэлд хадгалагдана. Бие даасан компьютеруудын мэдээллийн сан нь бие биенээсээ бүрэн тусгаарлагдсан бөгөөд ямар ч байдлаар холбогдоогүй байна.

Ийм загварыг ашиглан хандалтын хяналтын жишээг Зураг дээр үзүүлэв. 6.1.

Цагаан будаа. 6.1.

Энэ жишээ нь хоёр сервер (SRV-1 ба SRV-2) болон хоёр ажлын станцыг (WS-1 ба WS-2) харуулж байна. Тэдний SAM мэдээллийн сангууд нь SAM-1, SAM-2, SAM-3, SAM-4 гэсэн шошготой (Зураг дээр SAM мэдээллийн санг зууван хэлбэрээр харуулсан). Өгөгдлийн сан бүр User1 болон User2 хэрэглэгчийн бүртгэлтэй. SRV-1 сервер дээрх Хэрэглэгч1-ийн бүтэн нэр нь "SRV-1\User1", WS-1 ажлын станц дээрх Хэрэглэгч1-ийн бүтэн нэр "WS-1\User1" шиг харагдах болно. SRV-1 сервер дээр Folder хавтас үүссэн гэж төсөөлөөд үз дээ, үүнд хандах хандалтыг Хэрэглэгч1 - унших (R), Хэрэглэгч2 - унших, бичих (RW) хэрэглэгчдэд сүлжээгээр олгодог. Энэ загварын гол зүйл бол SRV-1 компьютер нь SRV-2, WS-1, WS-2 компьютерууд болон сүлжээн дэх бусад бүх компьютеруудын дансны талаар юу ч "мэддэггүй" явдал юм. Хэрэв User1 нэртэй хэрэглэгч WS-2 (эсвэл тэдний хэлснээр "User1 локал нэрээр WS-2 компьютер дээр нэвтэрдэг") гэх мэт компьютер дээр нэвтэрсэн бол энэ компьютерээс нэвтрэхийг оролдох үед сүлжээ, SRV-1 сервер дээрх хавтас, сервер нь хэрэглэгчээс хэрэглэгчийн нэр, нууц үгийг асуух болно (ижил хэрэглэгчийн нэртэй хэрэглэгчид ижил нууц үгтэй байхаас бусад тохиолдолд).

"Ажлын хэсэг" загварыг сурахад хялбар, Active Directory-ийн нарийн төвөгтэй ойлголтуудыг сурах шаардлагагүй. Гэхдээ олон тооны компьютер, сүлжээний нөөц бүхий сүлжээнд ашиглах үед хэрэглэгчийн нэр, нууц үгээ удирдахад маш хэцүү болдог - та компьютер бүр дээр ижил нууц үгтэй ижил дансуудыг гараар үүсгэх хэрэгтэй (энэ нь өөрийн нөөцийг бусадтай хуваалцах боломжийг олгодог). сүлжээ), энэ нь маш их хөдөлмөр шаарддаг, эсвэл бүх хэрэглэгчдэд зориулсан нэг нууц үгтэй (эсвэл огт нууц үггүй) нэг данс үүсгэх нь мэдээллийн хамгаалалтын түвшинг эрс бууруулдаг. Тиймээс "Ажлын хэсэг" загварыг зөвхөн 3-аас 10 компьютертэй сүлжээнд ашиглахыг зөвлөж байна (мөн бүр илүү сайн - 5-аас ихгүй), хэрэв бүх компьютеруудын дунд Windows Server системтэй нэг ч компьютер байхгүй бол.

домэйн загвар

Домэйн загварт сүлжээнд байгаа бүх компьютерт ашиглах боломжтой нэг лавлах үйлчилгээний мэдээллийн сан байдаг. Үүнийг хийхийн тулд тусгай серверүүдийг сүлжээнд суулгасан болно домэйн хянагчЭнэ мэдээллийн санг хатуу диск дээрээ хадгалдаг. Зураг дээр. 6.2. домэйн загварын диаграммыг үзүүлэв. DC-1 ба DC-2 серверүүд нь домэйн хянагч бөгөөд дансны домэйн мэдээллийн санг хадгалдаг (хянагч бүр мэдээллийн сангийн өөрийн хуулбарыг хадгалдаг боловч серверүүдийн аль нэг дээрх мэдээллийн санд хийсэн бүх өөрчлөлтийг бусад хянагчдад хуулбарладаг).

Цагаан будаа. 6.2.

Энэ загварт, жишээлбэл, домэйны гишүүн болох SRV-1 сервер дээр Фолдер хавтсанд хуваалцсан хандалт олгогдсон бол энэ нөөцөд хандах эрхийг зөвхөн локал хэрэглэгчийн бүртгэлд ч олгохгүй. Энэ серверийн SAM мэдээллийн сан, гэхдээ хамгийн чухал нь домэйн мэдээллийн санд хадгалагдсан дансны бүртгэлүүд юм. Зураг дээр Folder хавтас руу нэвтрэх эрхийг SRV-1 компьютерийн нэг локал данс болон хэд хэдэн домэйн дансанд (хэрэглэгч ба хэрэглэгчийн бүлгүүд) өгсөн болно. Домэйн аюулгүй байдлын удирдлагын загварт хэрэглэгч өөрийн компьютерт ("нэвтрэх") нэвтэрдэг домэйн дансБүртгэл хийгдсэн компьютерээс үл хамааран шаардлагатай сүлжээний нөөцөд хандах боломжтой болно. Компьютер бүр дээр олон тооны локал данс үүсгэх шаардлагагүй, бүх оруулгууд үүсдэг домайн мэдээллийн санд нэг удаа. Мөн домэйн мэдээллийн сангийн тусламжтайгаар хийгддэг төвлөрсөн хандалтын хяналтсүлжээний нөөцөд сүлжээнд байгаа компьютерийн тооноос үл хамааран.

Active Directory лавлах үйлчилгээний зорилго

Лавлах (лавлах) нь хэрэглэгчид, бүлгүүд, компьютерууд, сүлжээний принтерүүд, файл хуваалцах гэх мэт янз бүрийн мэдээллийг хадгалах боломжтой - бид эдгээр бүх объектыг дуудах болно. Лавлах нь мөн объектын өөрийнх нь тухай эсвэл түүний шинж чанаруудын тухай мэдээллийг хадгалдаг. Жишээлбэл, хэрэглэгчийн тухай лавлахад хадгалагдсан шинж чанарууд нь тэдний менежерийн нэр, утасны дугаар, хаяг, нэвтрэх нэр, нууц үг, харьяалагддаг бүлгүүд гэх мэт байж болно. Каталогийн санг хэрэглэгчдэд хэрэгтэй болгохын тулд каталогтой харилцах үйлчилгээ байх ёстой. Жишээлбэл, та лавлахыг хэрэглэгчийг баталгаажуулах мэдээллийн агуулах, эсвэл объектын талаарх мэдээллийг хайж олохын тулд асуулга илгээх газар болгон ашиглаж болно.

Active Directory нь эдгээр жижиг объектуудыг үүсгэх, зохион байгуулахаас гадна домэйн, OU (байгууллагын нэгж), сайт зэрэг том объектуудыг хариуцдаг.

Active Directory лавлах үйлчилгээний хүрээнд хэрэглэгдэх үндсэн нэр томъёонуудыг доороос уншина уу.

Лавлах үйлчилгээ Active Directory (AD гэж товчилсон) нь дараах боломжуудыг хангаснаар корпорацийн цогц орчныг үр ашигтай ажиллуулах боломжийг олгодог.

• Онлайнаар нэг удаа нэвтрэх; Хэрэглэгчид нэг хэрэглэгчийн нэр, нууц үгээр сүлжээнд нэвтэрч, сүлжээний бүх нөөц, үйлчилгээнд (сүлжээний дэд бүтцийн үйлчилгээ, файл болон хэвлэх үйлчилгээ, программ болон мэдээллийн сангийн сервер гэх мэт) хандах боломжтой хэвээр байна;
• Мэдээллийн нууцлал. Active Directory-д суурилуулсан баталгаажуулалт болон нөөцийн хандалтын хяналт нь сүлжээний төвлөрсөн аюулгүй байдлыг хангадаг;
• Төвлөрсөн удирдлага. Администраторууд корпорацийн бүх нөөцийг төвлөрсөн байдлаар удирдах боломжтой;
• Бүлгийн бодлогыг ашиглан удирдлага. Компьютер ачаалах эсвэл хэрэглэгч системд нэвтрэх үед бүлгийн бодлогын шаардлагыг хангасан; тэдгээрийн тохиргоонууд хадгалагдана бүлгийн бодлогын объектууд( GPO ) ба сайт, домэйн эсвэл байгууллагын нэгжид байрлах бүх хэрэглэгчийн болон компьютерийн бүртгэлд хамаарах;
• DNS интеграцчилал. Лавлах үйлчилгээний үйл ажиллагаа нь DNS үйлчилгээний үйл ажиллагаанаас бүрэн хамаардаг. Хариуд нь DNS серверүүд Active Directory мэдээллийн санд бүсийн талаарх мэдээллийг хадгалах боломжтой;
• Лавлах өргөтгөл. Администраторууд каталогийн схемд шинэ объектын анги нэмэх эсвэл одоо байгаа ангиудад шинэ шинж чанарууд нэмэх боломжтой;
• Өргөтгөх чадвар. Active Directory үйлчилгээ нь нэг домэйн болон олон домэйныг домэйн мод болгон нэгтгэж, хэд хэдэн домэйн модноос ойг байгуулж болно;
• Мэдээллийн хуулбар. Active Directory нь олон мастер схемд нэмэлт зардлын хуулбарыг ашигладаг ( олон мастер), ямар ч домэйн хянагч дээрх Active Directory мэдээллийн санг өөрчлөх боломжийг танд олгоно. Домэйн дэх хэд хэдэн хянагч байгаа нь алдааг тэсвэрлэх чадвар, сүлжээний ачааллыг хуваарилах боломжийг олгодог;
• Лавлах асуулгын уян хатан байдал. Active Directory мэдээллийн санг өөрийн шинж чанаруудыг (жишээлбэл, хэрэглэгчийн нэр эсвэл имэйл хаяг, принтерийн төрөл эсвэл байршил гэх мэт) ашиглан аливаа AD объектыг хурдан хайхад ашиглаж болно;
• Стандарт програмчлалын интерфейс. Програм хангамж хөгжүүлэгчдийн хувьд лавлах үйлчилгээ нь лавлахын бүх функцид (хэрэгслүүд) хандах боломжийг олгодог бөгөөд хүлээн зөвшөөрөгдсөн стандарт, програмчлалын интерфейсийг (API) дэмждэг.

Active Directory-д олон төрлийн объект үүсгэж болно. Объект нь Каталогийн өвөрмөц объект бөгөөд ихэвчлэн түүнийг дүрслэх, танихад туслах олон шинж чанартай байдаг. Хэрэглэгчийн бүртгэл нь объектын жишээ юм. Энэ объектын төрөл нь нэр, овог, нууц үг, утасны дугаар, хаяг гэх мэт олон шинж чанартай байж болно. Үүний нэгэн адил хуваалцсан хэвлэгч нь Active Directory доторх объект байж болох ба түүний шинж чанарууд нь нэр, байршил гэх мэт. Объектын шинж чанарууд нь тухайн объектыг танихад туслахаас гадна лавлах доторх объектуудыг хайх боломжийг олгодог.

Нэр томьёо

Лавлах үйлчилгээ Windows Server нь нийтээр хүлээн зөвшөөрөгдсөн технологийн стандартууд дээр бүтээгдсэн. Лавлах үйлчилгээний анхны стандарт нь байсан X.500, энэ нь анги тус бүрийн объектын анги, шинж чанаруудын багцыг хоёуланг нь өргөжүүлэх чадвартай мод шиг шаталсан сангуудыг бий болгох зорилготой юм. Гэсэн хэдий ч энэхүү стандартыг практикт хэрэгжүүлэх нь гүйцэтгэлийн хувьд үр ашиггүй болох нь батлагдсан. Дараа нь X.500 стандартын үндсэн дээр лавлах барилгын стандартын хялбаршуулсан (хөнгөн) хувилбарыг боловсруулсан. LDAP (Хөнгөн лавлах хандалтын протокол). LDAP протокол нь X.500-ийн бүх үндсэн шинж чанаруудыг (шаталсан лавлах бүтээх систем, өргөтгөх чадвар, өргөтгөх чадвар ), гэхдээ нэгэн зэрэг энэ стандартыг практикт үр дүнтэй хэрэгжүүлэх боломжийг олгодог. Нөхцөл " хөнгөн жинтэй " (" хөнгөн жинтэй") LDAP-ийн нэрээр протоколыг боловсруулах гол зорилгыг тусгасан болно: үндсэн ажлуудыг шийдвэрлэхэд хангалттай функциональ хүчин чадалтай, гэхдээ лавлах үйлчилгээг үр ашиггүй болгодог нарийн төвөгтэй технологиор хэт ачаалалгүй лавлах үйлчилгээг бий болгох хэрэгсэл бий болгох. Одоогийн байдлаар LDAP нь мэдээллийн онлайн лавлах руу нэвтрэх стандарт арга бөгөөд төрөл бүрийн бүтээгдэхүүнүүдэд үндсэн үүрэг гүйцэтгэдэг. баталгаажуулалтын системүүд, цахим шуудангийн программууд болон цахим худалдааны програмууд. Өнөөдөр зах зээл дээр 60 гаруй арилжааны LDAP серверүүд байгаа бөгөөд тэдгээрийн 90 орчим хувь нь бие даасан LDAP лавлах серверүүд, үлдсэнийг нь бусад хэрэглээний бүрэлдэхүүн хэсэг болгон санал болгож байна.

LDAP протокол нь клиент програмын хийж чадах лавлах үйлдлүүдийн хүрээг тодорхой тодорхойлдог. Эдгээр үйлдлүүд нь таван бүлэгт хуваагдана:

• лавлахтай холбоо тогтоох;
• дотор нь мэдээлэл хайх;
• түүний агуулгыг өөрчлөх;
• объект нэмэх;
• объектыг устгах.

LDAP-аас бусад лавлах үйлчилгээ Active Directory нь мөн баталгаажуулалтын протоколыг ашигладаг Керберосболон лавлах үйлчилгээний бүрэлдэхүүн хэсгүүдийн сүлжээг хайх DNS үйлчилгээ (домайн хянагч, дэлхийн каталогийн серверүүд, Kerberos үйлчилгээ гэх мэт).

Домэйн

Active Directory аюулгүй байдлын системийн үндсэн нэгж нь домэйн. Домэйн нь захиргааны хариуцлагын бүсийг бүрдүүлдэг. Домэйн мэдээллийн сан нь дансуудыг агуулдаг хэрэглэгчид, бүлгүүдболон компьютерууд. Лавлах удирдлагын ихэнх функцууд нь домэйны түвшинд ажилладаг (хэрэглэгчийн баталгаажуулалт, нөөцийн хандалтын хяналт, үйлчилгээний хяналт, хуулбарлах хяналт, аюулгүй байдлын бодлого).

Active Directory домэйн нэр нь DNS нэрийн талбар дахь нэрсийн нэгэн адил хэв маягийг дагадаг. Мөн энэ нь санамсаргүй тохиолдол биш юм. DNS үйлчилгээ нь домэйны бүрэлдэхүүн хэсгүүдийг олох хэрэгсэл юм - үндсэндээ домэйн хянагч.

Домэйн хянагч- Active Directory мэдээллийн сангийн энэ домэйнд тохирох хэсгийг хадгалдаг тусгай серверүүд. Домэйн хянагчийн үндсэн функцууд:

• Active Directory мэдээллийн санг хадгалах(каталогт агуулагдсан мэдээлэлд нэвтрэх, түүний дотор энэ мэдээллийг удирдах, өөрчлөх ажлыг зохион байгуулах);
• МЭ-ийн өөрчлөлтүүдийн синхрончлол(AD мэдээллийн санд өөрчлөлтийг аль ч домэйн хянагч дээр хийж болно, аль нэг хянагч дээр хийсэн өөрчлөлтийг бусад хянагч дээр хадгалагдсан хуулбаруудтай синхрончлох болно);
• хэрэглэгчийн баталгаажуулалт(аль ч домэйн хянагч нь үйлчлүүлэгчийн системд нэвтэрч буй хэрэглэгчдийн итгэмжлэлийг шалгадаг).

Домэйн бүрт дор хаяж хоёр домэйн хянагч суулгахыг зөвлөж байна - нэгдүгээрт, хянагч эвдэрсэн тохиолдолд Active Directory мэдээллийн баазыг алдахаас хамгаалах, хоёрдугаарт, ачааллыг controllers.it.company.ru хооронд хуваарилах. дэд домайнтай dev.it.company.ru , Мэдээллийн технологийн үйлчилгээний програм хангамж хөгжүүлэх хэлтэст зориулж бүтээсэн.

• лавлах үйлчилгээний удирдлагын төвлөрлийг сааруулах (жишээлбэл, компани нь газарзүйн хувьд бие биенээсээ алслагдсан салбартай, төвлөрсөн удирдлага нь техникийн шалтгааны улмаас хүндрэлтэй байгаа тохиолдолд);
• гүйцэтгэлийг сайжруулах (олон тооны хэрэглэгчид, серверүүдтэй компаниудын хувьд домэйн хянагчийн гүйцэтгэлийг нэмэгдүүлэх асуудал хамааралтай);
• хуулбарыг илүү үр дүнтэй удирдах (хэрэв домэйн хянагч нар хоорондоо хол зайд байгаа бол нэгд нь хуулбарлах нь удаан үргэлжилж, синхрончлолгүй өгөгдлийг ашиглахад асуудал үүсгэж болзошгүй);
ойн үндэс домэйн ( ойн үндэс домэйн), энэ домэйныг устгах боломжгүй (энэ нь ойн тохиргоо болон түүнийг үүсгэдэг домэйн модны талаарх мэдээллийг хадгалдаг).

Байгууллагын нэгжүүд (ОД).

Зохион байгуулалтын нэгжүүд (Зохион байгуулалтын нэгжүүд, о) - зорилгоор объектуудыг бүлэглэх зорилгоор бүтээгдсэн МЭ доторх савнууд захиргааны эрхийг шилжүүлэхболон бүлгийн бодлогыг хэрэгжүүлэхдомэйнд. OP байна зөвхөн домэйн дотормөн нэгтгэж болно зөвхөн өөрийн домэйны объектууд. OP-уудыг бие биендээ байрлуулж болох бөгөөд энэ нь домэйн доторх мод шиг нарийн төвөгтэй савны шатлалыг бий болгож, удирдлагын илүү уян хатан хяналтыг хэрэгжүүлэх боломжийг олгодог. Нэмж дурдахад компанийн удирдлагын шатлал, зохион байгуулалтын бүтцийг тусгах зорилгоор OP-уудыг үүсгэж болно.

Глобал лавлах

Глобал лавлахжагсаалт юм бүх объектууд Active Directory ойд байдаг. Өгөгдмөл байдлаар, домэйн хянагч нь зөвхөн өөрсдийн домайн дахь объектын мэдээллийг агуулна. Глобал каталогийн сервернь ойд байгаа объект бүрийн талаарх мэдээллийг (хэдийгээр эдгээр объектуудын бүх шинж чанарууд биш ч) хадгалдаг домэйн хянагч юм.

Active Directory

Active Directory("Идэвхтэй лавлахууд", МЭ) - LDAP-корпорацын лавлах үйлчилгээний нийцтэй хэрэгжилт Microsoftгэр бүлийн үйлдлийн системд зориулагдсан Windows NT. Active Directoryадминистраторуудад хэрэглэгчийн тогтвортой туршлагын тохиргоог хангахын тулд бүлгийн бодлогыг ашиглах, бүлгийн бодлого эсвэл дамжуулан олон компьютерт программ хангамжийг байрлуулах боломжийг олгодог. Системийн төвийн тохиргооны менежер(өмнө Microsoft системийн удирдлагын сервер), үйлдлийн систем, хэрэглээний болон серверийн програм хангамжийн шинэчлэлтийг Шинэчлэх үйлчилгээг ашиглан сүлжээнд байгаа бүх компьютерт суулгана Windows сервер . Active Directoryхүрээлэн буй орчны өгөгдөл, тохиргоог төвлөрсөн мэдээллийн санд хадгалдаг. сүлжээнүүд Active Directoryянз бүрийн хэмжээтэй байж болно: хэдэн арван хэдэн сая объект хүртэл.

Гүйцэтгэл Active Directory 1999 онд болсон бөгөөд уг бүтээгдэхүүнийг анх гаргасан Windows 2000 сервер, дараа нь гарсан даруйд нь өөрчилж, сайжруулсан Windows Server 2003. Дараа нь Active Directoryонд сайжруулсан Windows Server 2003 R2, Windows Server 2008болон Windows Server 2008 R2гэж өөрчилсөн Active Directory Domain Services. Лавлах үйлчилгээг өмнө нь дуудаж байсан NT лавлах үйлчилгээ (NTDS), энэ нэрийг зарим гүйцэтгэгдэх файлуудаас олж болно.

Хувилбаруудаас ялгаатай Windowsөмнө Windows 2000протоколыг голчлон ашигласан NetBIOSсүлжээ, үйлчилгээний зориулалттай Active Directory-тай нэгдсэн DNSболон TCP/IP. Анхдагч баталгаажуулалтын протокол нь Керберос. Хэрэв үйлчлүүлэгч эсвэл програм нь баталгаажуулалтыг дэмждэггүй бол Керберос, протоколыг ашиглаж байна NTLM .

Төхөөрөмж

Объектууд

Active Directoryобъектуудаас бүрдсэн шаталсан бүтэцтэй. Объектууд нь нөөц (хэвлэгч гэх мэт), үйлчилгээ (имэйл гэх мэт), хэрэглэгчийн болон компьютерийн бүртгэл гэсэн гурван үндсэн ангилалд хуваагддаг. Active DirectoryОбъектуудын тухай мэдээлэл өгөх, объектуудыг зохион байгуулах, тэдгээрт хандах хандалтыг хянах, аюулгүй байдлын дүрмийг тогтоох боломжийг олгодог.

Объектууд нь бусад объектуудад (аюулгүй байдал ба түгээлтийн бүлгүүдэд) зориулсан сав байж болно. Объект нь нэрээр нь өвөрмөц байдлаар тодорхойлогддог бөгөөд түүнд агуулагдах шинж чанарууд ба өгөгдөлтэй байдаг; Сүүлийнх нь эргээд объектын төрлөөс хамаарна. Атрибутууд нь объектын бүтцийг бүрдүүлэгч суурь бөгөөд схемд тодорхойлогддог. Схем нь ямар төрлийн объект байж болохыг тодорхойлдог.

Схем нь өөрөө хоёр төрлийн объектоос бүрдэнэ: схем ангийн объектууд ба схемийн шинж чанарын объектууд. Нэг схем ангийн объект нь нэг объектын төрлийг тодорхойлдог Active Directory(жишээ нь, Хэрэглэгчийн объект) ба нэг схемийн шинж чанарын объект нь тухайн объектод байж болох шинж чанарыг тодорхойлдог.

Аттрибутын объект бүрийг хэд хэдэн өөр схемийн ангийн объектод ашиглаж болно. Эдгээр объектуудыг схемийн объект (эсвэл мета өгөгдөл) гэж нэрлэдэг бөгөөд шаардлагатай бол схемийг өөрчлөх, нэмэх боломжийг танд олгоно. Гэсэн хэдий ч схемийн объект бүр нь объектын тодорхойлолтуудын нэг хэсэг юм Active Directory, иймээс эдгээр объектыг идэвхгүй болгох эсвэл өөрчлөх нь ноцтой үр дагаварт хүргэж болзошгүй тул эдгээр үйлдлийн үр дүнд бүтэц өөрчлөгдөх болно. Active Directory. Схемийн объектын өөрчлөлт автоматаар тархдаг Active Directory. Схемийн объектыг үүсгэсний дараа устгах боломжгүй, зөвхөн идэвхгүй болгох боломжтой. Ихэвчлэн бүх схемийн өөрчлөлтийг сайтар төлөвлөдөг.

Контейнертөстэй обьектЭнэ нь бас шинж чанартай бөгөөд нэрийн орон зайд харьяалагддаг гэсэн утгаараа, гэхдээ объектоос ялгаатай нь контейнер нь тодорхой зүйлийг илэрхийлдэггүй: энэ нь бүлэг объект эсвэл бусад савыг агуулж болно.

Бүтэц

Бүтцийн дээд түвшин нь ой юм - бүх объект, шинж чанар, дүрмийн цуглуулга (шинж чанарын синтакс). Active Directory. Ой нь шилжилтийн замаар холбогдсон нэг буюу хэд хэдэн модыг агуулдаг итгэлцлийн харилцаа . Мод нь нэг буюу хэд хэдэн домэйныг агуулж байгаа бөгөөд транзит итгэлцлийн харилцаагаар шаталсан байна. Домэйн нь DNS нэрийн бүтцээр тодорхойлогддог - нэрийн орон зай.

Домэйн дахь объектуудыг контейнер болгон бүлэглэж болно - OU. Байгууллагын нэгжүүд нь домэйн дотор шатлал үүсгэх, түүний удирдлагыг хялбарчлах, компанийн зохион байгуулалт ба/эсвэл газарзүйн бүтцийг загварчлах боломжийг танд олгоно. Active Directory. Хэлтэс нь бусад хэлтсүүдийг агуулж болно. корпораци Microsoftаль болох цөөн домэйн ашиглахыг зөвлөж байна Active Directory, мөн бүтэц, бодлогод хуваагдлыг ашиглах. Бүлгийн бодлогыг ихэвчлэн байгууллагын нэгжүүдэд тусгайлан ашигладаг. Бүлгийн бодлого нь өөрөө объект юм. Захиргааны эрх мэдлийг шилжүүлж болох хамгийн доод түвшин нь хэлтэс юм.

Хуваах өөр нэг арга Active Directoryбайна сайтууд , эдгээр нь сүлжээний сегмент дээр суурилсан физик (логик гэхээсээ илүү) бүлэглэх арга юм. Сайтууд нь бага хурдны сувгаар (жишээлбэл, дэлхийн сүлжээгээр, виртуал хувийн сүлжээ ашиглан) болон өндөр хурдны сувгаар (жишээлбэл, дотоод сүлжээгээр) холбогдсон сайтуудад хуваагддаг. Сайт нь нэг буюу хэд хэдэн домэйн агуулж болох ба домайн нь нэг буюу хэд хэдэн сайт агуулж болно. Зураг төсөл боловсруулах үед Active DirectoryСайтуудын хооронд өгөгдлийг синхрончлох үед үүссэн сүлжээний урсгалыг анхаарч үзэх нь чухал юм.

Дизайны гол шийдвэр Active Directoryмэдээллийн дэд бүтцийг шаталсан домэйн болон дээд түвшний хэлтэс болгон хуваах шийдвэр юм. Энэ хэлтэст хэрэглэгддэг ердийн загварууд нь компанийн функциональ хэлтэс, газарзүйн байршил, компанийн мэдээллийн дэд бүтцэд гүйцэтгэх үүргүүдээр хуваагдах явдал юм. Эдгээр загваруудын хослолыг ихэвчлэн ашигладаг.

Физик бүтэц ба хуулбарлалт

Бие махбодийн хувьд мэдээлэл нь ашигласан нэг буюу хэд хэдэн ижил төстэй домэйн хянагч дээр хадгалагддаг Windows NTХэдийгээр үндсэн домэйн хянагчийг дуурайж болох "нэг мастер үйлдлүүд" гэж нэрлэгддэг сервер нь зарим үйлдлүүдэд хадгалагддаг боловч үндсэн болон нөөц домэйн хянагчууд. Домэйн хянагч бүр өгөгдлийн унших/бичих хуулбарыг хадгалдаг. Нэг хянагч дээр хийсэн өөрчлөлтүүд нь хуулбарлах явцад бүх домэйн хянагчтай синхрончлогддог. Үйлчилгээ өөрөө байдаг серверүүд Active Directoryсуулгаагүй боловч домэйнд багтсан Active Directory, гишүүн сервер гэж нэрлэдэг.

хуулбарлах Active Directoryхүсэлтийн дагуу гүйцэтгэнэ. Үйлчилгээ Мэдлэгийн тууштай байдлыг шалгагчурсгалыг удирдахын тулд системд тодорхойлсон сайтуудыг ашигладаг хуулбарлах топологийг бий болгодог. Сайт доторх хуулбарыг тогтмол, автоматаар гүйцэтгэнэ (хуулбарлах түншүүдэд өөрчлөлтийн талаар мэдэгдэх замаар). Сайтуудын хоорондох хуулбарыг сайтын суваг бүрт тохируулж болно (сувгийн чанараас хамаарч) - суваг бүрт өөр "хувь" (эсвэл "зардал") оноож болно (жишээ нь). DS3, , ISDNгэх мэт) ба хуулбарлах урсгалыг өгөгдсөн холбоосын тооцооны дагуу хязгаарлаж, хуваарилж, чиглүүлэх болно. Хуулбарлах өгөгдөл нь "оноо" бага бол сайтын холбоосын гүүрээр дамжуулан олон сайтуудаар дамжих боломжтой боловч AD нь сайт хоорондын холбоосын хувьд шилжилтийн холбоосоос бага оноог автоматаар оноодог. Сайтаас сайт руу хуулбарлах ажлыг сайт бүрийн гүүрэн серверүүд гүйцэтгэдэг бөгөөд дараа нь өөрсдийн сайт дахь домэйн хянагч бүрт хийсэн өөрчлөлтийг хуулбарладаг. Домайн доторх хуулбар нь протоколын дагуу явагддаг RPCпротокол IP, хөндлөн домайн - мөн протоколыг ашиглаж болно SMTP.

Хэрэв бүтэц Active DirectoryЭнэ нь хэд хэдэн домэйн агуулдаг тул объект хайх асуудлыг шийдвэрлэхэд ашигладаг дэлхийн каталог: Ойд байгаа бүх объектыг агуулсан домайн хянагч, гэхдээ хязгаарлагдмал шинж чанаруудтай (хэсэгчилсэн хуулбар). Каталог нь тодорхойлсон дэлхийн каталогийн серверүүд дээр хадгалагдаж, домайн хоорондын хүсэлтэд үйлчилдэг.

Нэг хостын чадвар нь олон хостын хуулбарыг зөвшөөрөхгүй үед хүсэлтийг шийдвэрлэх боломжийг олгодог. Ийм үйлдлүүдийн таван төрөл байдаг: Домэйн хянагч эмуляц (PDC эмулятор), харьцангуй танигч хост (харьцангуй танигчийн мастер эсвэл RID мастер), дэд бүтцийн хост (дэд бүтцийн мастер), схемийн хост (схемийн мастер), домэйн нэрлэх хост (домэйн нэрлэх мастер) ). Эхний гурван үүрэг нь домэйн дотор өвөрмөц, сүүлийн хоёр нь бүхэл бүтэн ойд өвөрмөц байдаг.

суурь Active Directoryгурван логик дэлгүүр эсвэл "хуваалт" болгон хувааж болно. Уг схем нь загвар юм Active Directoryмөн бүх объектын төрлүүд, тэдгээрийн анги, шинж чанарууд, шинж чанарын синтаксийг тодорхойлдог (бүх мод ижил схемтэй тул нэг ойд байдаг). Тохиргоо нь ой мод, модны бүтэц юм Active Directory. Домэйн нь тухайн домэйнд үүсгэсэн объектуудын талаарх бүх мэдээллийг хадгалдаг. Эхний хоёр дэлгүүр нь ойн бүх домэйн хянагчдад хуулбарлагдсан, гурав дахь хуваалт нь домэйн бүрийн доторх хуулбар хянагчуудын хооронд бүрэн хуулбарлагдаж, дэлхийн каталогийн серверүүдэд хэсэгчлэн хуулбарлагддаг.

нэрлэх

Active Directoryдараах объектын нэрлэх форматыг дэмждэг: ерөнхий төрлийн нэрс UNC, URLболон LDAP URL. Хувилбар LDAP X.500 нэрлэх форматыг дотооддоо ашигладаг Active Directory.

Объект бүр байдаг онцгой нэр (Англи) онцгой нэр, Д.Н). Жишээлбэл, нэртэй хэвлэгчийн объект HPLaser3Маркетингийн OU болон foo.org домэйн нь дараах DN-тэй байна: CN=HPLaser3,OU=Маркетинг,DC=foo,DC=org , энд CN нь нийтлэг нэр, OU хэсэг, DC нь домэйн юм. объектын ангилал. Онцлог нэр нь энэ жишээн дээрх дөрвөн хэсгээс илүү олон хэсэгтэй байж болно. Объектууд бас канон нэртэй байдаг. Эдгээр нь урвуу дарааллаар бичигдсэн, таних тэмдэггүй, налуу зураасыг тусгаарлагч болгон ашигласан онцгой нэрс юм: foo.org/Marketing/HPLaser3 . Контейнер доторх объектыг тодорхойлохын тулд ашиглана уу харьцангуй онцгой нэр : CN=HPLaser3. Объект бүр дэлхийн хэмжээнд өвөрмөц танигчтай ( GUID) нь өвөрмөц бөгөөд өөрчлөгддөггүй 128 битийн мөр юм Active Directoryхайх, хуулбарлахад зориулагдсан. Зарим объектууд бас хэрэглэгчийн үндсэн нэртэй байдаг ( UPN, дагуу RFC 822) форматаар объект@домайн.

UNIX-тэй нэгтгэх

-тэй харилцах янз бүрийн түвшин Active Directoryихэнх тохиолдолд хэрэгжүүлэх боломжтой UNIX-стандарт нийцсэн үйлдлийн системүүд шиг LDAPүйлчлүүлэгчид, гэхдээ ийм системүүд ихэвчлэн бүрэлдэхүүн хэсгүүдтэй холбоотой ихэнх шинж чанаруудыг ойлгодоггүй Windowsбүлгийн бодлого, нэг талын итгэлцлийг дэмжих зэрэг.

Гуравдагч талын борлуулагчид нэгтгэхийг санал болгодог Active Directoryплатформ дээр UNIX, үүнд UNIX, линукс, MacOS Xболон хэд хэдэн програм дээр суурилсан Java, бүтээгдэхүүний багцтай:

Схемийн нэмэлтүүдийг нийлүүлсэн Windows Server 2003 R2 RFC 2307-тэй нягт холбоотой шинж чанаруудыг ерөнхийд нь ашиглах боломжтой. RFC 2307 үндсэн хэрэгжүүлэлтүүд, nss_ldap болон pam_ldap, санал болгож байна PADL.com, эдгээр шинж чанаруудыг шууд дэмждэг. Бүлгийн гишүүнчлэлийн стандарт схем нь RFC 2307bis (санал болгож буй) дагуу хийгддэг. Windows Server 2003 R2шинж чанаруудыг бий болгох, засварлахад зориулсан Microsoft Management Console-г агуулдаг.

Өөр нэг хувилбар бол өөр лавлах үйлчилгээг ашиглах явдал юм 389 лавлах сервер(өмнө Fedora лавлах сервер, FDS), eB2Bcom ViewDS v7.1 XML идэвхжүүлсэн лавлахэсвэл Sun Java системийн лавлах сервер-аас Sun Microsystems-тай хоёр талын синхрончлолыг гүйцэтгэдэг Active Directory, Ингэснээр үйлчлүүлэгчид үед "туссан" интеграцийн хэрэгжүүлэх UNIXболон линуксбаталгаажуулсан байна FDS, болон үйлчлүүлэгчид Windowsбаталгаажуулсан байна Active Directory. Өөр нэг сонголт бол ашиглах явдал юм OpenLDAPтунгалаг давхарлах боломжтой, алсын серверийн элементүүдийг өргөжүүлэх LDAPорон нутгийн мэдээллийн санд хадгалагдсан нэмэлт шинж чанарууд.

Active Directoryашиглан автоматжуулсан Powershell .

Уран зохиол

• Рэнд Моримото, Кентон Гардинер, Майкл Ноэл, Жо Кока Microsoft Exchange Server 2003. Бүрэн гарын авлага = Microsoft Exchange Server 2003 нээлтээ хийлээ. - М .: "Уильямс", 2006. - S. 1024. - ISBN 0-672-32581-0

бас үзнэ үү

Холбоосууд

Тэмдэглэл

Microsoft Windows бүрэлдэхүүн хэсгүүд
Үндсэн
Үйлчилгээ удирдлага
Хэрэглээ	DVD Maker-тэй холбоо барина уу Факс болон сканнердах Internet ExplorerСэтгүүл Томруулагч хэвлэл мэдээллийн төв Windows Media Player Хамтын ажиллагааны хөтөлбөр Windows Mobile Device Center Хөдөлгөөний төвӨгүүлэгч Paint Хувийн дүрийн засварлагч Алсын тусламж Яриа танихүгийн дэвсгэр Тэмдэглэлийн дэвтэр Хажуугийн самбар дуу бичлэгХуанли Тооцоологч Хайч Мэйл тэмдгийн хүснэгт түүхэн: Кино бүтээгч NetMeeting Outlook Express Хөтөлбөрийн менежер Файл менежер зургийн цомог
Тоглоомууд
OS цөм
Үйлчилгээ
Файл системүүд
Сервер	Active Directory Байршуулах үйлчилгээ Файл хуулбарлах үйлчилгээ DNS домэйнууд Фолдер дахин чиглүүлэх Hyper-V IIS Media Services MSMQ Сүлжээний хандалтын хамгаалалт (NAP) UNIX-д зориулсан хэвлэх үйлчилгээ Алсын дифференциал шахалт Алсын зайнаас суурилуулах үйлчилгээ Эрхийн удирдлагын үйлчилгээ Роуминг хэрэглэгчийн профайл SharePoint Системийн нөөцийн менежер Алсын ширээний компьютер WSUS Бүлгийн бодлого Түгээмэл гүйлгээний зохицуулагч
Архитектур
Аюулгүй байдал
Тохиромжтой байдал

Microsoft
АСААЛТТАЙ
Серверийн програм хангамж
Технологи
Интернет
Тоглоомууд
Техник хангамж аюулгүй байдал
Боловсрол
Тусгай зөвшөөрөл олгох
Дэд хэсгүүд

Юу туслах вэ Active Directoryмэргэжилтнүүд?

Би Active Directory-г байршуулснаар олж болох "сайн зүйлс"-ийн жижиг жагсаалтыг өгөх болно:

• нэг буюу хэд хэдэн сервер дээр төвлөрсөн байдлаар хадгалагддаг нэг хэрэглэгчийн бүртгэлийн мэдээллийн сан; Тиймээс, оффис дээр шинэ ажилтан гарч ирэх үед та зөвхөн сервер дээр түүнд данс үүсгэж, ямар ажлын станцад хандах боломжтойг зааж өгөх хэрэгтэй;
• бүх домэйны нөөцийг индексжүүлсэн тул энэ нь хэрэглэгчдэд энгийн бөгөөд хурдан хайх боломжийг олгодог; жишээ нь, хэрэв та хэлтэст өнгөт принтер олох шаардлагатай бол;
• NTFS зөвшөөрөл, бүлгийн бодлого, хяналтын хуваарилалтыг хослуулах нь домэйн гишүүдийн хооронд эрхийг нарийн тохируулах, хуваарилах боломжийг танд олгоно;
• роуминг хэрэглэгчийн профайл нь сервер дээр чухал мэдээлэл, тохиргооны тохиргоог хадгалах боломжийг олгодог; үнэн хэрэгтээ, хэрэв домэйн дэх роуминг профайлтай хэрэглэгч өөр компьютер дээр ажиллахаар суугаад хэрэглэгчийн нэр, нууц үгээ оруулбал тэрээр ердийн тохиргоотой ширээний компьютерээ харах болно;
• бүлгийн бодлогуудыг ашигласнаар та хэрэглэгчийн үйлдлийн системийн тохиргоог өөрчилж, хэрэглэгчдэд ширээний компьютер дээр ханын цаас тавихаас эхлээд аюулгүй байдлын тохиргоо хүртэл өөрчлөх, түүнчлэн сүлжээгээр програм хангамжийг түгээх боломжтой, жишээлбэл, Volume Shadow Copy клиент гэх мэт;
• Өнөөдөр зөвхөн Microsoft-ын үйлдвэрлэсэн олон програмууд (прокси серверүүд, өгөгдлийн сангийн серверүүд гэх мэт) домэйн баталгаажуулалтыг ашиглаж сурсан тул та өөр хэрэглэгчийн мэдээллийн сан үүсгэх шаардлагагүй, харин одоо байгаа нэгийг нь ашиглаж болно;
• Зайнаас суурилуулах үйлчилгээг ашиглах нь ажлын станцууд дээр системийг суурилуулах ажлыг хөнгөвчлөх боловч эргээд зөвхөн суулгагдсан лавлах үйлчилгээтэй ажилладаг.

Энэ бол функцүүдийн бүрэн жагсаалт биш, гэхдээ дараа нь илүү ихийг хэлэх болно. Одоо би барилгын логикийг хэлэхийг хичээх болно Active Directory, гэхдээ манай хөвгүүд юугаар бүтээгдсэн бэ гэдгийг дахин олж мэдэх нь зүйтэй Active DirectoryЭдгээр нь Домэйн, Мод, Ой мод, Байгууллагын нэгж, Хэрэглэгч, Компьютерийн бүлгүүд юм.

Домэйн -Энэ бол барилгын үндсэн логик нэгж юм. Ажлын хэсгүүдтэй харьцуулахад AD домэйнуудЭдгээр нь нэг бүртгэлийн суурьтай хамгаалалтын бүлгүүд бөгөөд ажлын хэсэг нь машинуудын логик бүлэглэл юм. AD нь NT-ийн өмнөх хувилбаруудад байсан шиг WINS (Windows Интернэт Нэрийн Үйлчилгээ) биш харин нэрлэх, хайх үйлчилгээнд DNS (Домэйн Нэрийн Сервер) ашигладаг. Тиймээс, домэйн дэх компьютерийн нэрс нь жишээлбэл, buh.work.com бөгөөд buh нь work.com домэйн дэх компьютерийн нэр юм (хэдийгээр энэ нь үргэлж тийм байдаггүй).

Ажлын хэсгүүд нь NetBIOS нэрийг ашигладаг. Домэйн бүтцийг байршуулах МЭТа Microsoft-ын бус DNS сервер ашиглаж байж магадгүй. Гэхдээ энэ нь BIND 8.1.2 буюу түүнээс дээш хувилбартай нийцэж, SRV() бичлэгүүд болон Динамик бүртгэлийн протоколыг (RFC 2136) дэмждэг байх ёстой. Домэйн бүр дор хаяж нэг домэйн хянагчтай бөгөөд төв мэдээллийн санг байршуулдаг.

Мод -Эдгээр нь олон домэйн бүтэц юм. Энэ бүтцийн үндэс нь таны хүүхэд домэйн үүсгэх үндсэн домэйн юм. Үнэн хэрэгтээ Active Directory нь DNS дахь домайнуудын бүтэцтэй төстэй шаталсан бүтцийн системийг ашигладаг.

Хэрэв бид work.com домэйнтэй (эхний түвшний домэйн) түүнд зориулж хоёр хүүхэд домэйн үүсгэвэл, first.work.com болон second.work.com (энд эхний болон хоёрдугаар түвшний хоёр дахь түвшний домэйнууд байгаа бөгөөд энэ нь компьютерт байгаа компьютер биш юм. домэйн, дээр дурдсан тохиолдлын адил), үр дүнд нь бид домэйн модыг олж авдаг.

Модыг логик бүтэц болгон, жишээлбэл, газарзүйн онцлог, эсвэл бусад зохион байгуулалтын шалтгаанаар компанийн салбаруудыг тусгаарлах шаардлагатай үед ашигладаг.

МЭдомэйн тус бүр болон түүний хүүхэд домайнуудын хооронд автоматаар итгэлцлийн харилцааг бий болгоход тусалдаг.

Тиймээс, first.work.com домэйныг үүсгэснээр эцэг эх ажил.com болон хүүхдийн first.work.com (second.work.com-той адил) хоёр талын итгэлцлийн харилцааг автоматаар зохион байгуулахад хүргэдэг. Тиймээс, зөвшөөрлийг эх домэйноос хүүхэд домэйнд болон эсрэгээр хэрэглэж болно. Итгэлцлийн харилцаа нь хүүхдийн домайнуудад ч бий болно гэж таамаглахад хэцүү биш юм.

Итгэлцлийн харилцааны өөр нэг шинж чанар бол шилжилт хөдөлгөөн юм. Бид авах - net.first.work.com домэйнд зориулж work.com домэйнтэй итгэлцлийн харилцаа үүсгэсэн.

Ой мод -Модны нэгэн адил тэдгээр нь олон домэйн бүтэц юм. Гэхдээ ойнь өөр өөр язгуур домайнтай моднуудын нэгдэл юм.

Та work.com болон home.net нэртэй олон домэйнтэй байхаар шийдэж, тэдэнд зориулж хүүхдийн домэйн үүсгэхээр шийдсэн гэж бодъё, гэхдээ tld (дээд түвшний домэйн) таны мэдэлд байдаггүй тул энэ тохиолдолд та эхнийхээс аль нэгийг нь сонгон ойг зохион байгуулж болно гэж бодъё. түвшний домэйнууд нь үндэс юм. Энэ тохиолдолд ойг бий болгохын гоо үзэсгэлэн нь эдгээр хоёр домэйн болон тэдгээрийн хүүхдийн домэйн хоорондын хоёр талын итгэлцлийн харилцаа юм.

Гэсэн хэдий ч ой, модтой ажиллахдаа дараахь зүйлийг санаарай.

• та одоо байгаа домайныг мод руу нэмэх боломжгүй
• Та ойд байгаа модыг оруулах боломжгүй
• хэрэв домэйныг ойд байрлуулсан бол тэдгээрийг өөр ой руу шилжүүлэх боломжгүй
• та хүүхэд домэйнтэй домэйнийг устгах боломжгүй

Байгууллагын нэгжүүд -зарчмын хувьд дэд домайн гэж нэрлэж болно. Домэйн дахь хэрэглэгчийн бүртгэл, хэрэглэгчийн бүлгүүд, компьютер, хуваалцсан нөөц, принтер болон бусад OU (Байгууллагын нэгж) -ийг бүлэглэх боломжийг танд олгоно. Тэдгээрийг ашиглахын практик ашиг нь эдгээр нэгжийг удирдах эрхийг шилжүүлэх чадвар юм.

Энгийнээр хэлбэл, OU-г удирдаж чадах администраторыг домэйнд томилох боломжтой боловч домэйныг бүхэлд нь удирдах эрхгүй.

OU-ийн нэг чухал онцлог нь бүлгүүдээс ялгаатай нь тэдэнд бүлгийн бодлогыг хэрэгжүүлэх чадвар юм. "Яагаад анхны домайныг OU ашиглахын оронд олон домэйнд хувааж болохгүй гэж?" - Та асуух.

Олон мэргэжилтнүүд боломжтой бол нэг домэйнтэй байхыг зөвлөж байна. Үүний шалтгаан нь нэмэлт домэйн үүсгэх үед захиргааны төвлөрлийг сааруулах явдал юм, учир нь ийм домэйн бүрийн администраторууд хязгааргүй хяналтыг хүлээн авдаг (OU администраторуудад эрхийг шилжүүлэхдээ тэдгээрийн үйл ажиллагааг хязгаарлаж болно гэдгийг танд сануулъя).

Нэмж дурдахад, шинэ домэйн үүсгэхийн тулд (хүүхэд ч гэсэн) өөр хянагч хэрэгтэй болно. Хэрэв та удаан харилцаа холбооны сувгаар холбогдсон хоёр тусдаа хэлтэстэй бол хуулбарлах асуудал гарч болзошгүй. Энэ тохиолдолд хоёр домэйнтэй байх нь илүү тохиромжтой байх болно.

Бүлгийн бодлогыг хэрэгжүүлэх өөр нэг нюанс бий: нууц үгийн тохиргоо болон дансны түгжээг тодорхойлсон бодлогыг зөвхөн домэйнд хэрэглэж болно. OU-н хувьд эдгээр бодлогын тохиргоог үл тоомсорлодог.

Сайтууд -Энэ нь лавлах үйлчилгээг биечлэн салгах арга юм. Тодорхойлолтоор сайт гэдэг нь өгөгдлийн хурдан холбоосоор холбогдсон компьютеруудын бүлэг юм.

Хэрэв та улс орны өөр өөр хэсэгт бага хурдны холбооны шугамаар холбогдсон хэд хэдэн салбартай бол салбар бүрт өөрийн вэбсайтыг үүсгэж болно. Энэ нь лавлах хуулбарлах найдвартай байдлыг сайжруулахын тулд хийгддэг.

AD-ийн ийм хуваалт нь логик бүтээцийн зарчимд нөлөөлөхгүй тул сайт нь хэд хэдэн домэйн агуулж болох ба эсрэгээр домэйн хэд хэдэн сайтыг агуулж болно. Гэхдээ энэ лавлах үйлчилгээний топологи нь олон зүйлээр дүүрэн байдаг. Дүрмээр бол интернетийг салбаруудтай харилцахад ашигладаг - энэ нь маш аюулгүй орчин юм. Олон компаниуд галт хана гэх мэт хамгаалалтын арга хэмжээг ашигладаг. Лавлах үйлчилгээ нь ажилдаа нэгээс хагас арав орчим порт, үйлчилгээг ашигладаг бөгөөд AD урсгалыг галт ханаар дамжуулж нээх нь түүнийг "гадаа" харуулах болно. Асуудлын шийдэл нь туннелийн технологийг ашиглах, түүнчлэн AD үйлчлүүлэгчдийн хүсэлтийг боловсруулах ажлыг хурдасгахын тулд сайт бүрт домэйн хянагч байх явдал юм.

Лавлах үйлчилгээний бүрэлдэхүүн хэсгүүдийн үүрлэх логикийг үзүүлэв. Ойд хоёр домэйн мод агуулагдаж байгаа бөгөөд модны үндсэн домэйн нь эргээд OU болон объектын бүлгүүдийг агуулж болохоос гадна хүүхэд домэйнтэй (энэ тохиолдолд тус бүр нэг) байж болохыг харж болно. Хүүхдийн домэйнууд нь мөн объектын бүлгүүд болон OU-уудыг агуулж болох ба хүүхэд домэйнтэй байж болно (тэдгээрийг зурагт үзүүлээгүй). гэх мэт. OU нь OU, объект, бүлэг объектуудыг агуулж болох ба бүлгүүд нь бусад бүлгүүдийг агуулж болохыг сануулъя.

Хэрэглэгч ба компьютерийн бүлгүүд -захиргааны зорилгоор ашигладаг бөгөөд сүлжээн дэх локал машин дээр ашиглахтай ижил утгатай. OU-ээс ялгаатай нь Бүлгийн бодлогыг бүлгүүдэд хэрэглэх боломжгүй, гэхдээ тэдгээрт хяналтыг шилжүүлж болно. Active Directory схемийн хүрээнд хоёр төрлийн бүлэг байдаг: хамгаалалтын бүлгүүд (сүлжээний объектуудад хандах эрхийг ялгахад ашигладаг) ба түгээлтийн бүлгүүд (жишээлбэл, Microsoft Exchange Server дээр шуудангийн мессеж илгээхэд ашигладаг).

Тэдгээрийг хамрах хүрээний дагуу дараахь байдлаар ангилдаг.

• бүх нийтийн бүлгүүдойн доторх хэрэглэгчид болон бусад бүх нийтийн бүлгүүд эсвэл ойн аль ч домэйны глобал бүлгүүдийг багтааж болно
• домэйн глобал бүлгүүддомайн хэрэглэгчид болон ижил домэйны бусад глобал бүлгүүдийг багтааж болно
• Домэйн орон нутгийн бүлгүүдхандалтын эрхийг ялгахад ашигладаг бөгөөд энэ нь домэйн хэрэглэгчид, түүнчлэн ойн аль ч домэйны бүх нийтийн бүлгүүд болон глобал бүлгүүдийг багтааж болно.
• орон нутгийн компьютерийн бүлгүүд– дотоод машины SAM (аюулгүй байдлын бүртгэлийн менежер)-д агуулагдах бүлгүүд. Тэдний хамрах хүрээ нь зөвхөн энэ төхөөрөмжөөр хязгаарлагдах боловч тэдгээр нь компьютер байрладаг домэйны локал бүлгүүд, мөн өөрсдийн итгэдэг домэйны бүх нийтийн болон глобал бүлгүүдийг багтааж болно. Жишээлбэл, та Хэрэглэгчид домэйны локал бүлгийн хэрэглэгчийг локал машины администраторын бүлэгт оруулж, түүнд захиргааны эрх өгөх боломжтой, гэхдээ зөвхөн энэ компьютерт зориулагдсан болно.