în acest articol vă vom prezenta câteva cunoștințe de bază despre Active Directory și care sunt beneficiile în implementarea Active Directory. Informațiile despre păduri, domenii, unitatea organizațională și site-ul, precum și cunoștințele de bază ale LDAP (Lightweight Directory Access Protocol) și Politica de grup.
Active Directory ce este?
în primul rând să mergem să aflăm dacă Active Directory este ceea ce. Active Directory este un serviciu de director (directory service) a fost înregistrat drept de autor de către Microsoft, este o parte integrantă a arhitecturii Windows. Ca și alte servicii de director, cum ar fi Novell Directory Services (NDS), Active Directory este un sistem de standarde și focalizare, utilizat pentru automatizarea gestionării rețelei de date ale utilizatorului, securitate și resurse sunt distribuite, ceea ce permite interacțiunea cu celălalt folder. Adăugați la acel Active Directory este conceput special pentru mediul conexiunea la rețea este alocată în funcție de un anumit.
Active Directory poate fi considerat o nouă dezvoltare în comparație cu Windows 2000 Server și crește și se termină mai bine în Windows Server 2003, devenind o parte importantă a sistemului de operare. Windows Server 2003 Active Directory oferă o referință se numește un serviciu de director, la toate obiectele dintr-o rețea, inclusiv utilizatori, grupuri, calculator, imprimantă, Politica și permisiunea.
pe scurt și general, Active Directory este 1 Formular de bază de date cu scop clar și separat, cu toate acestea nu este absolut 1 înlocuitor pentru registrul Windows. Vă imaginați acest lucru făcut, 1 client de rețea mare există sute, mii de angajați, și fiecare angajat a primit numele său (nume și prenume) diferite, diferite locuri de muncă, diferite departamente… și fiecare server a gestionat clientul” pile ” care trebuie să aibă Active Directory pentru a clasifica și gestiona munca într-un mod optim. Porțiunea de date din Active Directory sunt moștenite, scalare, rang… clar și flexibil.
de ce trebuie să impuneți Active Directory?
există o serie de motive pentru a explica întrebările de mai sus. Microsoft Active Directory este privit ca un pas spre dezvoltarea semnificativă în comparație cu domeniul Windows NT Server 4.0 sau chiar cu serverul de rețea independent. Active Directory are un mecanism de guvernare se concentrează pe întreaga rețea. De asemenea, oferă redundanță și failover automată atunci când două sau mai multe controler de domeniu este implementat într-un domeniu.
Active Directory va gestiona automat comunicarea dintre controlerul de domeniu pentru a se asigura că rețeaua este menținută. Utilizatorii pot accesa toate resursele din rețea printr-o singură conectare. Toate resursele din rețea sunt protejate de un mecanism de securitate este destul de puternic, aceste mecanisme de securitate pot verifica identificarea utilizatorului și puterile fiecărei vizite pentru resurse.
Active Directory permite creșterea nivelului, nivelul inferior controlerul de domeniu și serverul membru într-un mod ușor. Sistemul poate fi gestionat și protejat prin politici de grup Politici de grup. Acesta este un model de organizare, ierarhic flexibil, care permite gestionarea ușoară și responsabilitățile administrative delegate. Deși cel mai important este încă Active Directory are capacitatea de a gestiona milioane de obiecte într-un domeniu.
unitatea de bază a Active Directory?
rețeaua Active Directory este organizat folosind 4 tip de unitate sau structura Categorie. Patru această unitate este împărțită în pădure, domeniu, unitate organizațională și site.
- păduri: grup de obiecte, atributul și sintaxa atributului în Active Directory.
- domeniu: grup de computere care împărtășesc o politică comună, numele și o bază de date a membrilor noștri.
- unitate organizațională( OU): grupați elementele din domeniul care o face. Am creat o ierarhie arhitecturală pentru domeniu și am creat o structură fermă a Active Directory în funcție de condițiile de organizare și geografie.
- site-uri: gruparea fizică a componentelor independente ale structurii și OU. Site-ul distinge între locația este conectată prin conexiunea de mare viteză și viteza de conectare este scăzută și este definită de una sau mai multe subrețele IP.
pădurea nu este restricționată de geografie sau de topologia rețelei. O pădure poate consta din mai multe domenii, fiecare domeniu împărtășește o schemă generală. Membrii domeniului aceleiași păduri, chiar și fără a conecta LAN sau WAN între ele. Fiecare o rețea privată, de asemenea, poate fi o familie de multe pădure independent. În general, ar trebui utilizată o pădure pentru fiecare entitate. În ciuda acestui fapt, încă mai trebuie să vină la suplimentul forestier pentru punerea în aplicare a scopurilor de testare și de cercetare în afara pădurii să se alăture producției.
domeniul – domeniu servește ca elemente din Politica de confidențialitate și sarcinile de administrare. Toate obiectele dintr-un domeniu sunt supuse politicilor de grup, extensiei de domeniu. În mod similar, orice administrator de domeniu poate gestiona toate obiectele dintr-un domeniu. În plus, fiecare domeniu are și o bază de date, singurul cont al acestuia. Prin urmare, autenticitatea este una dintre problemele de bază ale domeniului. Atunci când un cont de utilizator complet verificat împotriva unui domeniu care acest cont de utilizator are acces la resursele din cadrul domeniului.
Active Directory necesită unul sau mai multe domenii pentru a funcționa. Așa cum am menționat mai devreme, un domeniu Active Directory este un set de partajare a computerului un set comun de politici, nume și baze de date membrii noștri. Un domeniu trebuie să aibă unul sau mai multe controler de domeniu (DC) și să salveze baza de date, menținând politicile și să furnizeze autentificarea pentru conectarea la domeniu.
anterior în Windows NT domain controller primary – primary domain controller (PDC) și domain controller backup – Backup domain controller (BDC) este rolul poate fi atribuit unui server într-o rețea computerul utilizând sistemul de operare Windows. Windows a folosit ideea unui domeniu pentru a gestiona accesul la resursele de rețea (aplicații, imprimante etc.) pentru un grup de utilizatori. Utilizatorii trebuie doar să vă conectați într-un domeniu pot accesa resurse, aceste resurse pot fi localizate pe un număr de servere diferite din rețea.
server cunoscut sub numele de PDC, gestionarea bazei de date user Master pentru domeniu. Unul sau un număr de alte servere este proiectat ca BDC. PDC trimite periodic baza de date copie la BDC. Un BDC poate juca un rol ca PDC dacă serverul PDC este buggy și poate ajuta, de asemenea, la echilibrarea fluxului de lucru dacă este prea ocupat.
cu Windows 2000 Server, atunci când controlerul de domeniu este încă menținută, rolul server PDC și BDC basic a fost înlocuit cu Active Directory. De asemenea, utilizatorii nu vor crea distincția de domeniu pentru a împărți privilegiul de administrator. În Active Directory, utilizatorii pot delega complet privilegii de administrare, pe baza OU. Domeniul nu este restricționat de un număr de 40.000 de utilizatori. Domeniul Active Directory poate gestiona milioane de obiecte. Deoarece nu mai există PDC și BDC ar trebui să Active Directory folosind copie replicare multi-master, și toate controlerul de domeniu sunt rândurile orizontale împreună.
unitățile organizaționale s-au dovedit mai flexibile și permit o gestionare mai ușoară decât domeniul. OU vă permit să obțineți posibilități flexibile aproape nelimitate, puteți muta, șterge și de a crea ou nou, dacă este necesar. Deși domeniul are și proprietăți flexibile. Ele pot fi scruffy crea noi, cu toate acestea, acest proces este ușor de a duce la mediu pauză în comparație cu OU și ar trebui să fie, de asemenea, evitate, dacă este posibil.
prin definiție, Site-urile care conțin subrețea IP au legătura de comunicare fiabilitate și rapid între gazdă. Prin utilizarea site-ului, sunteți capabil de a controla și de a reduce cantitatea de trafic transmis pe link-ul WAN încet.
Infrastructure Master și Global Catalog:
una dintre celelalte părți principale din Active Directory este Infrastructure Master. Infrastructure Master (IM) este un FSMO la nivel de domeniu (flexibil single Master of Operations) are rolul de a răspunde în procesul automat pentru a corecta eroarea (phantom) în baza de date Active Directory.
Phantom a fost creat pe DC, este nevoie de o bază de date de referință încrucișată între un obiect în interiorul bazei de date proprii și un obiect din partea în pădure. De exemplu, poate fi prins atunci când adăugați un anumit utilizator dintr-un domeniu la un grup într-un alt domeniu cu aceeași pădure. Phantom va pierde forța atunci când acestea nu conțin noi actualizări de date, Acest lucru apare ca modificări sunt făcute la obiecte în afara că Phantom, exprimate, de exemplu, atunci când obiectul țintă este resetat la numele, muta undeva între domeniu, sau șterge. Infrastructura stăpânește capacitatea de a localiza și repara o parte din fantomă. Orice modificări care apar ca urmare a procesului de remedieri de erori sunt create copie la toate DC stânga în domeniu.
Master infrastructura este uneori confundat cu catalogul Global (GC), acest ingredient este de a menține o copie citit doar permisiunea pentru domeniul este situat într-o pădure, folosit pentru grupul de stocare App universal și procesul de conectare,… Prin GC salvați o copie, nu este completă a tuturor obiectelor din interiorul pădurii, astfel încât acestea să poată crea referința încrucișată între domenii nu este nevoie de fantomă.
Active Directory și LDAP:
LDAP (Lightweight Directory Access Protocol) face parte din Active Directory, este un software de protocol care permite poziționarea organizației, a individului sau a altor resurse, cum ar fi fișierele și dispozitivele într-o rețea, chiar dacă rețeaua dvs. este Internetul public sau intranetul din companie.
într-o rețea, un director vă spune unde să stocați ce date acolo. În rețelele TCP / IP (inclusiv internetul), domain name system (DNS) este un folder de sistem utilizat nume de domenii atașate cu o anumită adresă de rețea (locație unică în rețea). Chiar și așa, este posibil să nu cunoașteți numele domeniului, dar LDAP vă permite să căutați specificul fără să știți că sunt poziționate acum.
directorul LDAP este organizat într-o structură arborescentă constă pur și simplu din nivelul de mai jos:
- directorul rădăcină sunt ramuri, fiica
- țară, fiecare țară au filiale fiica
- organizații, fiecare organizație au filiale fiica
- unități organizatorice (unități, departamente,…), OU au ramura
- persoane fizice (persoane fizice, inclusiv persoane, fișiere și resurse partajate ,cum ar fi o imprimantă)
un director LDAP poate fi distribuit între mai multe servere. Fiecare server poate avea o versiune a întregului și poate fi sincronizat în ciclu.
administratorii trebuie să înțeleagă LDAP atunci când caută informațiile din Active Directory trebuie să creeze interogarea LDAP utilă atunci când caută informațiile stocate în baza de date Active Directory.
Politica de gestionare a grupului și Active Directory:
când vine vorba de Active Directory, cu siguranță trebuie să ne referim la Politica de grup. Administratorul poate utiliza Politica de grup în Active Directory pentru a defini setările utilizatorului și computerul din rețea. Această setare este configurată și stocată în obiecte de politică de grup (GPO), aceste componente vor fi apoi combinate cu obiectele Active Directory, inclusiv domeniul și site-ul. Acesta este mecanismul major pentru aplicarea modificării la computer și utilizator în mediul Windows.
prin management, Politica de grup, administratorii pot configura Global settings desktop pe computerul utilizatorilor, restricționa sau permite accesul pentru fișierul sau folderul din interiorul rețea.
adauga la faptul că, de asemenea, a trebuit să înțeleagă GPO este folosit și cum. Obiectul politicii de grup se aplică în următoarea ordine: Politica de pe mașina locală să fie utilizate înainte, atunci acesta este site-ul de politică, politica de domeniu, politica este utilizată pentru OU propriu. La un moment dat, un obiect al unui utilizator sau computer poate aparține doar unui site sau unui domeniu, astfel încât acesta va primi doar GPO legat de site sau domeniu.
GPO este împărțit în două secțiuni separate: șablonul de politică de grup (GPT) și containerul de politică de grup (GPC). Șablonul de politică de grup are responsabilitatea de a salva setările create în interiorul GPO. Stochează setările într-o structură de foldere și fișierul mare. Pentru a aplica aceste setări pentru toate obiectele de utilizator și GPT calculator trebuie să fie creat copie pentru toate DC în domeniu.
Container Politica de grup este parte a GPO și este găzduit în Active Directory pe DC în domeniu. GPC este responsabil pentru păstrarea referinței pentru extensiile Client Side (CSEs), calea către GPT, calea către pachetul de instalare și ce aspecte alte referințe ale GPO. GPC nu conține mai multe informații legate de GPO corespunzătoare cu ea, cu toate acestea, este o componentă necesară a Politicii de grup. Când instalarea software-ului de politică este configurată, GPC va ajuta la menținerea legăturii în interiorul GPO. În plus, păstrează și relațiile de legătură altele și calea este stocată în proprietățile obiectului. Cunoașteți structura GPC și modul de accesare a informațiilor ascunse stocate în atribut va fi foarte necesar atunci când trebuie să verificați o problemă legată de GP.
cu Windows Server 2003, Microsoft a lansat o soluție pentru a gestiona politica de grup, este Group Policy Management Console (GPMC). GPMC da administratorului un management de interfață simplifică sarcinile sunt legate de GPO. Vă doresc succes!