w tym artykule przedstawimy Ci podstawową wiedzę na temat Active Directory i korzyści z wdrożenia Active Directory. Informacje o lasach, domenach, jednostce organizacyjnej i Witrynie, a także podstawowa znajomość protokołu LDAP (Lightweight Directory Access Protocol) i zasad grupy.
aktywny Katalog co to jest?
przede wszystkim dowiedzmy się czym jest Active Directory. Usługa Active Directory jest usługą katalogową (directory service), do której prawa autorskie są zarejestrowane przez firmę Microsoft i jest integralną częścią architektury systemu Windows. Podobnie jak inne usługi katalogowe, takie jak Novell Directory Services (NDS), Active Directory to system standardów i orientacji używany do automatyzacji zarządzania danymi użytkownika w sieci, bezpieczeństwa i alokacji zasobów, umożliwiając interakcję z innymi folderami. Dodaj do tego, że Usługa Active Directory została zaprojektowana specjalnie dla środowiska, w którym połączenie sieciowe jest dystrybuowane zgodnie z określonym.
Active Directory można uznać za nowy rozwój w porównaniu do Windows 2000 Server, który jest ulepszony i ulepszony w Windows Server 2003, stając się ważną częścią systemu operacyjnego. Windows Server 2003 Active Directory udostępnia łącze o nazwie Usługa katalogowa do wszystkich obiektów w sieci, w tym użytkowników, grup, komputera, drukarki, zasad i uprawnień.
w skrócie i ogólnie rzecz biorąc, Active Directory to 1 forma bazy danych z wyraźnym celem i osobno, jednak absolutnie nie jest to 1 zamiennik rejestru systemu Windows. Wyobrażasz sobie, jak to się robi, 1 klient sieci jest duży, są setki, tysiące pracowników, a każdy pracownik ma swoje imię (imię i nazwisko) różne, różne stanowiska, różne działy… i każdy serwer zarządzał klientem „sterty”, który musi mieć Active Directory, aby kategoryzować i przetwarzać pracę w optymalny sposób. Część danych w Active Directory jest dziedziczona, skalowana, uszeregowana … jasne i elastyczne.
dlaczego warto stosować Active Directory?
istnieje wiele powodów, aby wyjaśnić powyższe pytania. Microsoft Active Directory jest postrzegany jako krok w kierunku rozwoju znaczącej w porównaniu do Windows NT Server 4.0 domeny lub nawet autonomicznego serwera sieciowego. Active Directory ma silnik zarządzania zorientowany na całą sieć. Zapewnia również redundancję i automatyczne przełączanie po wdrożeniu dwóch lub więcej kontrolerów domeny w domenie.
Usługa Active Directory automatycznie zarządza komunikacją między kontrolerami domeny, aby zapewnić utrzymanie sieci. Użytkownicy mogą uzyskać dostęp do wszystkich zasobów w sieci za pośrednictwem pojedynczego logowania. Wszystkie zasoby w sieci są chronione przez dość silny mechanizm bezpieczeństwa, te mechanizmy bezpieczeństwa mogą sprawdzać tożsamość użytkownika i uprawnienia przy każdej wizycie w zasobach.
Active Directory pozwala w prosty sposób zwiększyć poziom, niższy poziom kontrolera domeny i serwera członkowskiego. System może być zarządzany i chroniony za pomocą zasad grupy zasady grupy. Jest to model organizacji, hierarchicznie elastyczny, umożliwiający łatwe zarządzanie i delegowanie obowiązków administracyjnych. Chociaż najważniejsze jest to, że Active Directory ma możliwość zarządzania milionami obiektów w domenie.
podstawowa jednostka Active Directory?
aktywny katalog sieciowy jest zorganizowany przy użyciu 4 typów jednostek miary lub kategorii struktury. Cztery ten blok jest podzielony na las, domenę, jednostkę organizacyjną i stronę internetową.
- lasy: grupa obiektów, atrybut i składnia atrybutu w usłudze Active Directory.
- domena: Grupa komputerów korzystających ze wspólnej polityki, nazwy i bazy danych naszych członków.
- jednostka organizacyjna( jednostka organizacyjna): Grupuj elementy w domenie, która to robi. Stworzyliśmy hierarchię architektoniczną dla domeny i zbudowaliśmy solidną strukturę Active Directory zgodnie z warunkami organizacji i geografią.
- strony internetowe: fizyczne grupowanie niezależnych elementów struktury i podziału. Witryna rozróżnia lokalizację, do której podłączone jest szybkie połączenie, a prędkość połączenia jest niska i jest określona przez jedną lub więcej podsieci IP.
Las nie ogranicza się do geografii ani topologii sieci. Las może składać się z wielu domen, każda domena ma wspólny schemat. Członkowie domeny tego samego lasu, nawet bez połączenia LAN lub WAN między nimi. Każda sieć prywatna może być również rodziną wielu niezależnych od siebie lasów. Zasadniczo dla każdego obiektu należy użyć drewna. Mimo to nadal konieczne jest przybycie do dodatku Leśnego w celu realizacji celów testowych i badawczych poza lasem, aby dołączyć do produkcji.
domena-domena służy jako elementy polityki prywatności i zadań administracyjnych. Wszystkie obiekty w domenie podlegają zasadom grupy, rozszerzeniu domeny. Podobnie każdy administrator domeny może zarządzać wszystkimi obiektami w domenie. Ponadto każda domena ma również bazę danych, jedyne konto w niej. Dlatego autentyczność jest jednym z głównych problemów domeny. Gdy konto użytkownika jest w pełni zweryfikowane pod kątem domeny, to konto użytkownika ma dostęp do zasobów w domenie.
do działania usługi Active Directory wymagana jest jedna lub więcej domen. Jak wspomniano wcześniej, domena Active Directory to zestaw komputerów, które współużytkują wspólny zestaw zasad, nazw i baz danych naszych członków. Domena musi mieć jeden lub więcej kontrolerów domeny (DC) i przechowywać bazę danych, utrzymywać zasady i zapewniać uwierzytelnianie w celu zalogowania się do domeny.
wcześniej w Windows NT domain controller primary – główny kontroler domeny (PDC) i domain controller backup – zapasowy kontroler domeny (BDC) to rola, którą można przypisać do serwera w sieci komputera korzystającego z systemu operacyjnego Windows. System Windows wykorzystał ideę domeny do zarządzania dostępem do zasobów sieciowych (aplikacji, drukarek itp.) dla grupy użytkowników. Użytkownicy muszą tylko zalogować się do domeny, aby uzyskać dostęp do zasobów, zasoby te mogą znajdować się na kilku różnych serwerach w sieci.
serwer znany jako PDC zarządza bazą danych user Master dla domeny. Jeden lub więcej innych serwerów jest zaprojektowanych jako BDC. PDC okresowo wysyła kopię bazy danych do BDC. BDC może działać jako PDC, jeśli serwer PDC jest uszkodzony, a także może pomóc zrównoważyć przepływ pracy, jeśli jest zbyt zajęty.
w systemie Windows 2000 Server, gdy kontroler domeny jest nadal obsługiwany, PDC serwera ról i BDC basic zostały zastąpione przez Active Directory. Użytkownicy nie będą również tworzyć rozgraniczenia domen w celu oddzielenia uprawnień administratora. W usłudze Active Directory Użytkownicy mogą w pełni delegować uprawnienia administracyjne w zależności od jednostki organizacyjnej. Domena nie jest ograniczona do liczby użytkowników 40.000. Domena Active Directory może zarządzać milionami obiektów. Ponieważ PDC i BDC już nie istnieją, należy użyć usługi Active Directory przy użyciu replikacji z wieloma wzorcami kopiowania, a wszystkie kontrolery domeny są poziomymi rzędami razem.
jednostki organizacyjne okazały się bardziej elastyczne i pozwalają na łatwiejsze zarządzanie niż domena. Jednostka organizacyjna pozwala uzyskać praktycznie nieograniczoną elastyczność, w razie potrzeby możesz przenosić, usuwać i tworzyć nową jednostkę organizacyjną. Chociaż domena ma również właściwości elastyczne. Mogą być niechlujni podczas tworzenia nowych, jednak proces ten może łatwo doprowadzić do zakłócenia środowiska w porównaniu z jednostką i należy go również unikać, jeśli to możliwe.
z definicji witryny zawierające podsieć IP mają niezawodną i szybką komunikację między hostem. Korzystając z witryny, możesz kontrolować i powoli zmniejszać ruch przesyłany przez globalną sieć link.
Kreator infrastruktury i katalog globalny:
jednym z innych głównych członków Active Directory jest kreator infrastruktury. Kreator infrastruktury ( IM) to domenowy FSMO (Elastyczny pojedynczy Kreator operacji), który działa jako automatyczna reakcja w celu skorygowania błędu (PHANTOM) w Bazie Danych Active Directory.
Phantom został utworzony na DC, wymaga odsyłacza do danych podstawowych między obiektem wewnątrz własnej bazy danych a obiektem z boku w lesie. Na przykład może zostać przechwycony, gdy dodasz określonego użytkownika z domeny do grupy w innej domenie z tym samym lasem. Fantomy tracą moc, gdy nie zawierają nowych aktualizacji danych, objawia się to podczas wprowadzania zmian w obiektach poza tym fantomem, wyrażonych na przykład podczas resetowania nazwy obiektu docelowego, przenoszenia w dowolne miejsce między domeną lub usuwania. Infrastruktura opanuj umiejętność znajdowania i rozwiązywania niektórych problemów. Wszelkie zmiany, które występują z powodu procesu korekcji błędów, są tworzone przez kopię dla wszystkich DC pozostałych w domenie.
Kreator infrastruktury jest czasami mylony z katalogiem globalnym( GC), ten komponent jest przeznaczony do zapisywania kopii tylko z uprawnieniami do odczytu dla domeny znajdującej się w lesie, używanej do uniwersalnej aplikacji grupy pamięci masowej i procesu logowania… Dzięki GC nie jest przechowywana pełna kopia wszystkich obiektów w lesie, dzięki czemu mogą tworzyć odsyłacze między domenami, które nie wymagają fantomu.
Active Directory i LDAP:
LDAP (Lightweight Directory Access Protocol) jest częścią Active Directory, jest to oprogramowanie protokołu umożliwiające hostowanie organizacji, osób lub innych zasobów, takich jak pliki i urządzenia, w sieci, nawet jeśli Twoja sieć jest publicznym Internetem lub intranetem w firmie.
w sieci katalog wskazuje, gdzie przechowywać jakie dane. W sieciach TCP / IP (w tym w Internecie) system nazw domen (DNS) to folder systemowy, który używa dołączonych nazw domen o określonym adresie sieciowym (pojedyncza lokalizacja w sieci). Mimo to możesz nie znać nazwy domeny, ale LDAP pozwala wyszukiwać określone domeny, nie wiedząc, gdzie są teraz.
katalog LDAP jest zorganizowany jako struktura drzewa składająca się po prostu z poziomu poniżej:
- katalog główny to gałęzie, podrzędne
- kraju, każdy kraj ma filie zależne
- organizacji, każda organizacja posiada filie
- jednostki organizacyjne (pododdziały, wydziały,…), jednostka posiada oddział
- jednostki (jednostki, w tym osoby, pliki i udziały, takie jak drukarka)
serwer LDAP katalog może być dystrybuowany między wieloma serwerami. Każdy serwer może mieć wspólną wersję i być zsynchronizowany w pętli.
administratorzy muszą zrozumieć LDAP podczas wyszukiwania informacji w usłudze Active Directory, należy utworzyć zapytanie LDAP przydatne podczas wyszukiwania informacji przechowywanych w bazie danych usługi Active Directory.
zasady zarządzania grupą i Active Directory:
jeśli chodzi o Active Directory, zdecydowanie powinniśmy zapoznać się z zasadami grupy. Administrator może używać zasad grupy w usłudze Active Directory w celu określenia ustawień użytkownika i komputera w sieci. Ta opcja jest konfigurowana i zapisywana w obiektach zasad grupy (obiekty zasad grupy), a następnie składniki te zostaną połączone z obiektami Active Directory, w tym domeną i witryną. Jest to podstawowy mechanizm stosowania zmian do komputera i Użytkownika w środowisku Windows.
za pomocą zarządzania zasadami grupy Administratorzy mogą konfigurować globalne ustawienia pulpitu na komputerze użytkownika, ograniczać lub zezwalać na dostęp do pliku lub folderu w sieci.
Dodaj do tego, że musieliśmy również zrozumieć, w jaki sposób używany jest obiekt zasad grupy. Obiekt zasad grupy jest stosowany w następującej kolejności: Zasady na komputerze lokalnym były używane wcześniej, a następnie są to Zasady witryny, zasady domeny, zasady są używane dla własnego działu. W pewnym momencie obiekt użytkownika lub komputera może należeć tylko do witryny lub domeny, więc otrzymają tylko obiekt zasad grupy powiązany z witryną lub domeną.
obiekt zasad grupy jest podzielony na dwie oddzielne sekcje: szablon zasad grupy (GPT) i Polityka grupy kontener (GPC). Szablon zasad grupy jest odpowiedzialny za zapisywanie ustawień utworzonych w obiekcie zasad grupy. Przechowuje ustawienia w strukturze folderów, a Rozmiar pliku jest duży. Aby zastosować te ustawienia do wszystkich obiektów użytkownika i komputerów, musisz utworzyć kopię GPT dla całej domeny w domenie.
kontener zasad grupy jest częścią obiektu zasad grupy i jest hostowany w usłudze Active Directory w domenie domeny. GPC jest odpowiedzialny za przechowywanie odniesień do rozszerzeń po stronie klienta (CSES), ścieżki GPT, ścieżki pakietu instalacyjnego i innych odniesień do obiektów zasad grupy. GPC nie zawiera żadnych dodatkowych informacji dotyczących odpowiedniego obiektu zasad grupy, ale jest niezbędnym składnikiem zasad grupy. Po skonfigurowaniu instalacji oprogramowania zasad GPC pomoże zachować odwołanie w obiekcie zasad grupy. Ponadto zachowuje również komunikację z innymi, a ścieżka jest zapisywana we właściwościach obiektu. Znajomość struktury GPC i sposobów uzyskiwania dostępu do ukrytych informacji przechowywanych w atrybucie będzie bardzo potrzebna, gdy trzeba zweryfikować problem związany z GP.
z Windows Server 2003 Microsoft wydał rozwiązanie do zarządzania zasadami grupy, jest to Zarządzanie zasadami grupy konsola (GPMC). GPMC udostępnia administratorowi interfejs zarządzania, który ułatwia wykonywanie zadań związanych z obiektem zasad grupy. Życzę powodzenia!