زنگ.

کسانی هستند که این خبر را قبل از شما خوانده اند.
مشترک شدن برای دریافت مقالات تازه.
پست الکترونیک
نام
نام خانوادگی
چگونه می خواهید زنگ را بخوانید
بدون هرزنامه

مقدمه ای بر مفاهیم اساسی دایرکتوری فعال. دایرکتوری فعال کلمات ساده (پایه) دامنه جنگل های مختلف چیست؟

اشتراک گذاری.
اشتراک گذاری.
توییت.
پسندیدن
پسندیدن

در مواد گذشته ما، سؤالات کلی درباره دایرکتوری ها و دایرکتوری های فعال را از بین بردیم. اکنون وقت آن رسیده است که به تمرین بروید. اما قبل از استقرار ساختار دامنه در شبکه خود، عجله نکنید، لازم است آن را برنامه ریزی کنید و ایده ای روشن از انتصاب سرورهای فردی و فرایندهای تعامل بین آنها داشته باشید.

قبل از ایجاد اولین کنترل کننده دامنه خود، باید در حالت عملیات خود تصمیم بگیرید. حالت عملیات قابلیت های موجود را تعیین می کند و بستگی به نسخه سیستم عامل مورد استفاده دارد. ما تمام حالت های ممکن را به جز کسانی که در حال حاضر ارتباط دارند را در نظر نمی گیریم. چنین حالت هایی وجود دارد: ویندوز سرور 2003، 2008 و 2008 R2.

حالت ویندوز سرور 2003 باید تنها زمانی انتخاب شود که سرور در حال حاضر در زیرساخت های شما در این سیستم عامل مستقر شده است و برنامه ریزی شده است که از یک یا چند سرور به عنوان کنترل کننده های دامنه استفاده شود. در موارد دیگر، شما نیاز به انتخاب حالت ویندوز سرور 2008 یا 2008 R2 بسته به مجوز خریداری شده است. لازم به ذکر است که نحوه بهره برداری از دامنه همیشه می تواند مطرح شود، اما امکان کاهش آن نخواهد بود (به جز بازگرداندن پشتیبان)، بنابراین رویکرد این مسئله باعث می شود، با توجه به برنامه های افزودنی، مجوزها شاخه ها، و غیره و غیره.

ما اکنون فرآیند ایجاد یک کنترل کننده دامنه را در نظر نمی گیریم، بعدا به این مسئله بازگردیم، و اکنون می خواهیم توجه خود را به این واقعیت جلب کنیم که در ساختار دایرکتوری فعال کامل از کنترل کننده های دامنه باید باشد نه کمتر از دو. در غیر این صورت، شما در معرض خطر غیر ضروری هستید، زیرا در صورت امتناع از کنترل کننده دامنه منحصر به فرد، ساختار شما می شود کاملا تخریب شده است. خوب، اگر یک پشتیبان فعلی وجود داشته باشد و در هر صورت ممکن است از آن بازیابی شود، در هر صورت، تمام این مدت شبکه شما به طور کامل فلج خواهد شد.

بنابراین، بلافاصله پس از ایجاد اولین کنترل کننده دامنه، شما باید دوم را بدون در نظر گرفتن اندازه شبکه و بودجه قرار دهید. کنترل دوم باید در مرحله برنامه ریزی ارائه شود و بدون آن برای استقرار آگهی حتی نباید انجام شود. همچنین لازم نیست که نقش کنترل کننده دامنه را با هر نقش دیگر سرور ترکیب کنید تا اطمینان حاصل شود که قابلیت اطمینان عملیات با پایه تبلیغ بر روی دیسک، ذخیره سازی ضبط خاموش است، که منجر به کاهش شدید می شود عملکرد زیرسیستم دیسک (این بار بار طولانی کنترل های دامنه را توضیح می دهد).

به عنوان یک نتیجه، شبکه ما باید فرم زیر را انجام دهد:

بر خلاف باور عمومی، تمام کنترل کننده ها در دامنه معادل هستند، به همین ترتیب هر کنترلر حاوی اطلاعات کامل در مورد تمام اشیاء دامنه است و می تواند به درخواست مشتری خدمت کند. اما این بدان معنا نیست که کنترل کننده ها قابل تعویض هستند، عدم درک این لحظه اغلب منجر به شکست آگهی می شود و شبکه Nearee از شرکت. چرا این اتفاق می افتد؟ وقت آن است که در مورد نقش FSMO به یاد داشته باشید.

هنگامی که اولین کنترل کننده را ایجاد می کنیم، شامل تمامی نقش های موجود است و همچنین یک کاتالوگ جهانی است، با ظهور کنترل کننده دوم، نقش مالک زیرساخت، میزبان خلاص شدن و شبیه ساز PDC منتقل می شود. چه اتفاقی خواهد افتاد اگر مدیر تصمیم گرفت به طور موقت سرور DC1 را غیر فعال کند، به عنوان مثال، به قلم مو از گرد و غبار استفاده کند؟ در نگاه اول، هیچ چیز وحشتناک نیست، به خوبی، دامنه به حالت "فقط خواندن" بروید، اما کار خواهد کرد. اما ما در مورد دایرکتوری جهانی فراموش کرده ایم و اگر برنامه ها در شبکه شما مستقر شوند، به عنوان مثال تبادل نیاز به دسترسی به آن، پس از آن شما قبل از حذف پوشش از سرور، یاد خواهید گرفت. از کاربران ناراضی یاد بگیرید و رهبری بعید به نظر می رسد لذت ببرد.

از آنچه به دنبال نتیجه گیری می شود: باید حداقل دو کاتالوگ جهانی در جنگل وجود داشته باشد، و بهترین همه در هر دامنه. از آنجایی که ما یک دامنه در جنگل داریم، هر دو سرور باید دایرکتوری های جهانی باشند، این به شما این امکان را می دهد که هر یک از سرورهای پیشگیری را تولید کنید، عدم وجود موقت هر نقش FSMO منجر به شکست آگهی نمی شود، اما تنها آن را غیر ممکن می سازد ایجاد اشیاء جدید

به عنوان یک مدیر دامنه، شما باید به وضوح بدانید که چگونه نقش FSMO بین سرورهای شما توزیع می شود و هنگام نمایش یک سرور از کار برای مدت زمان طولانی برای انتقال این نقش ها به سرورهای دیگر. و چه اتفاقی خواهد افتاد اگر سرور شامل نقش FSMO غیر قابل برگشت ناپایدار شود؟ هیچ چیز وحشتناک، همانطور که قبلا نوشته ایم، هر کنترل کننده دامنه شامل تمام اطلاعات لازم است و اگر چنین مزاحم در حال حاضر اتفاق افتاده است، شما باید نقش های لازم را با یکی از کنترل کننده ها ضبط کنید، این به شما این امکان را می دهد که کار کامل را بازگردانید خدمات دایرکتوری

زمان لازم است، سازمان شما در حال رشد است و یک شاخه در انتهای دیگر شهر ظاهر می شود و نیاز به شامل شبکه خود را به زیرساخت کلی شرکت می کند. در نگاه اول، هیچ چیز پیچیده نیست، کانال ارتباطی بین دفاتر را پیکربندی می کنید و یک کنترل کننده اضافی را در آن قرار دهید. همه چیز خوب است، اما یکی وجود دارد اما. شما نمی توانید این سرور را کنترل کنید، و بنابراین دسترسی غیر مجاز به آن حذف نشده است، و مدیر محلی شما باعث شک و تردید شما در مورد مدارک تحصیلی او می شود. چگونه چنین وضعیتی داشته باشیم؟ برای این اهداف، نوع خاصی از کنترلر وجود دارد به طور خاص: کنترل کننده دامنه موجود در فقط خواندن (RODC)این ویژگی در حالت های عملیات دامنه با شروع از ویندوز سرور 2008 و بالاتر در دسترس است.

کنترل کننده دامنه فقط خواندنی است که فقط یک کپی کامل از تمام اشیاء دامنه دارد و می تواند یک دایرکتوری جهانی باشد، اما این امکان را نمی دهد که هیچ تغییری در ساختار آگهی نیز اجازه ندهد، همچنین به شما اجازه می دهد هر کاربر را به یک مدیر محلی اختصاص دهید، که به آن امکان می دهد برای به طور کامل این سرور را حفظ کنید، اما دوباره بدون دسترسی به خدمات تبلیغاتی. در مورد ما، این چیزی است که "دکتر تجویز" است.

ما در شعبه RODC راه اندازی کردیم، همه چیز کار می کند، شما آرام هستید، اما کاربران شروع به شکایت در مورد ورود طولانی به سیستم و صورتحساب های ترافیک در پایان ماه نشان می دهند. چه اتفاقی می افتد؟ وقت آن است که بار دیگر در مورد کنترل کننده معادل در دامنه به یاد داشته باشید، مشتری می تواند درخواست خود را به هر کنترل کننده دامنه، حتی در شاخه دیگری ارسال کند. به نظر می رسد آهسته و، با احتمال بالا، کانال ارتباطات دانلود شده دلیل تاخیر ورود است.

زندگی مسمومیت عامل زیر در این وضعیت تکرار است. همانطور که می دانید، تمام تغییرات ساخته شده در یکی از کنترلر های دامنه به طور خودکار به دیگران توزیع می شود و این فرآیند تکثیر نامیده می شود، به شما این امکان را می دهد که یک کپی مرتبط و سازگار از داده ها را در هر کنترلر داشته باشید. سرویس تکثیر در مورد شعبه ما و کانال آهسته ارتباطات نمی داند و بنابراین تمام تغییرات در دفتر بلافاصله به شاخه، بارگذاری کانال و افزایش جریان ترافیک تکرار می شود.

در اینجا ما به مفهوم سایت های تبلیغاتی نزدیک شدیم که نباید با سایت های اینترنتی اشتباه گرفته شود. سایت های فعال دایرکتوری یک روش تقسیم فیزیکی ساختار سرویس دایرکتوری بر روی منطقه جدا شده از مناطق دیگر توسط کانال های ارتباطی آهسته و یا ناپایدار. سایت ها بر اساس زیر شبکه ها ایجاد می شوند و تمام درخواست های مشتری به طور عمده به کنترل کننده های سایت خود ارسال می شود، همچنین بسیار مطلوب است که دایرکتوری جهانی خود را در هر سایت داشته باشد. در مورد ما، شما باید دو سایت را ایجاد کنید: سایت تبلیغاتی 1 برای دفتر مرکزی و سایت تبلیغاتی 2 برای یک شاخه، دقیق تر، یکی، از آن به طور پیش فرض ساختار آگهی در حال حاضر شامل سایت، که شامل تمام اشیاء قبلا ایجاد شده است. در حال حاضر در نظر بگیرید که چگونه تکرار شبکه با چندین سایت اتفاق می افتد.

ما فرض می کنیم که سازمان ما کمی رشد کرده است و دفتر اصلی شامل کل چهار کنترل کننده دامنه است، تکرار بین کنترل کننده های یک سایت نامیده می شود رویه و بلافاصله اتفاق می افتد توپولوژی تکثیر بر اساس طرح حلقه با شرایط است تا بیش از سه مرحله تکرار بین هر کنترل کننده دامنه وجود داشته باشد. مدار حلقه تا 7 کنترل کننده ذخیره می شود، هر کنترلر ارتباط با دو نزدیکترین همسایگان را ایجاد می کند، با کنترلر های بیشتر، اتصالات اضافی ظاهر می شود و کل حلقه به عنوان یک گروه از حلقه ها به یکدیگر متصل می شود.

Intersayte تکرار در غیر این صورت، در هر دامنه یکی از سرورها (Server-Bridgehead) به طور خودکار انتخاب می شود که ارتباط برقرار می کند با یک سرور مشابه از یک سایت دیگر. تکرار پیش فرض یک بار در هر 3 ساعت (180 دقیقه) اتفاق می افتد، با این حال، ما می توانیم برنامه تکراری خود را نصب کنیم و ترافیک را ذخیره کنیم، تمام داده ها در فرم فشرده منتقل می شوند. اگر فقط RODC در سایت وجود داشته باشد، تکرار به صورت یک طرفه رخ می دهد.

البته، ما تنها تحت تاثیر تم های بسیار عمیق و در این مواد ما تنها کمی آنها را لمس کردیم، اما این حداقل دانش ضروری است که شما باید یک اجرای عملی مدیریت فعال را به زیرساخت های سازمانی داشته باشید. این در هنگام استقرار و گسترش ساختار، از اشتباهات احمقانه جلوگیری خواهد کرد و هر یک از موضوعات مطرح شده در جزئیات بیشتر مورد بحث قرار خواهد گرفت.

چه چیزی کمک خواهد کرد دایرکتوری فعال متخصصان؟

من یک لیست کوچک از "جالب" را ارائه می دهم که می تواند با استفاده از دایرکتوری فعال به دست آید:

  • یک پایگاه داده تنها از ثبت نام کاربر، که به طور مرکزی در یک یا چند سرور ذخیره می شود؛ بنابراین، هنگامی که کارمند جدید در دفتر ظاهر می شود، شما فقط باید آن را یک حساب کاربری در سرور داشته باشید و مشخص کنید کدام ایستگاه های کاری می توانند دسترسی داشته باشند؛
  • از آنجا که تمام منابع دامنه نمایه شده اند، این امکان را به سادگی و به سرعت جستجو می کند؛ به عنوان مثال، اگر شما نیاز به پیدا کردن یک چاپگر رنگی در بخش؛
  • مجموعه ای از مجوز NTFS، سیاست های گروهی و هیئت مدیره به شما این امکان را می دهد که شما را به لحاظ تنظیم و توزیع حقوق بین شرکت کنندگان دامنه؛
  • پروفیل های کاربر متحرک امکان ذخیره اطلاعات مهم و تنظیمات پیکربندی را در سرور فراهم می کند؛ در حقیقت، اگر یک کاربر با یک نمایه منتقل شده در دامنه، در رایانه دیگری کار کند و نام کاربری و رمز عبور خود را معرفی کند، دسکتاپ خود را با تنظیمات آشنا به آن می بیند؛
  • با استفاده از سیاست های گروهی، می توانید تنظیمات سیستم عامل های کاربر را تغییر دهید تا کاربر را برای نصب تصویر زمینه بر روی دسکتاپ قبل از تنظیمات امنیتی، و همچنین انتشار نرم افزار های نرم افزاری مانند مشتری Copy Copy، و غیره را تغییر دهید.
  • بسیاری از برنامه ها (سرورهای پروکسی، سرورهای پایگاه داده DR.) نه تنها تولید مایکروسافت امروز آموخته است که از احراز هویت دامنه استفاده کند، بنابراین شما مجبور نیستید یک پایگاه داده دیگر را ایجاد کنید، و شما می توانید از موجود استفاده کنید؛
  • با استفاده از خدمات نصب از راه دور، سیستم های نصب را آسانتر می کند، اما، به نوبه خود، تنها زمانی کار می کند که سرویس دایرکتوری اجرا شود.

و این یک لیست کامل از ویژگی ها نیست، اما این بعدا است. حالا سعی خواهم کرد منطق ساخت و ساز را بگویم دایرکتوری فعالاما دوباره این ارزش را از آنچه پسران ما از آنچه ساخته می شوند، ارزش پیدا می کنند دایرکتوری فعال - اینها دامنه ها، درختان، جنگل ها، واحدهای سازمانی، گروهی از کاربران و رایانه ها هستند.

دامنه -این واحد اصلی منطقی ساخت و ساز است. در مقایسه با گروه های کاری دامنه های تبلیغاتی - اینها یک گروه امنیتی هستند که یک پایگاه داده ثبت نام واحد دارند، در حالی که گروه های کاری فقط یک ارتباط منطقی ماشین هستند. آگهی با استفاده از نامگذاری DNS و DNS (Doman Name Server)، برنده نیست (سرویس نام اینترنت ویندوز - نام های اینترنتی)، همانطور که در نسخه های اولیه NT بود. بنابراین، نام رایانه های موجود در دامنه، به عنوان مثال، buh.work.com، جایی که Buh نام کامپیوتر در دامنه کار است (اگر چه این همیشه مورد نیست).

گروه های کاری از نام NetBIOS استفاده می کنند. برای قرار دادن یک ساختار دامنه آگهی ممکن است از سرور DNS نه توسط مایکروسافت استفاده کنید. اما باید با Bind 8.1.2 یا بالاتر و از سوابق SRV ()، و همچنین یک پروتکل ثبت نام پویا (RFC 2136) سازگار باشد. هر دامنه دارای حداقل یک کنترل کننده دامنه است که در آن پایگاه مرکزی واقع شده است.

درختان -اینها ساختارهای چند بعدی هستند. ریشه چنین ساختاری دامنه اصلی است که برای شرکت های تابعه ایجاد می کنید. در واقع، دایرکتوری فعال از یک سیستم ساخت سلسله مراتبی شبیه به ساختار دامنه های DNS استفاده می کند.

اگر ما یک دامنه work.com (دامنه سطح اول) داشته باشیم و دو شرکت تابعه اول را برای او ایجاد کنیم. Workwork.com و second.work.com (در اینجا اولین و دوم دامنه های سطح دوم، و نه یک کامپیوتر در دامنه، همانطور که در مورد شرح داده شده است)، سپس در پایان ما درخت دامنه را دریافت خواهیم کرد.

درختان به عنوان یک ساختار منطقی استفاده می شود زمانی که شما نیاز به تقسیم شاخه های شرکت، به عنوان مثال، از طریق ویژگی های جغرافیایی، و یا از برخی از ملاحظات سازمانی دیگر.

آگهی این کمک می کند تا به طور خودکار ایجاد یک رابطه اعتماد بین هر دامنه و شرکت های تابعه آن.

بنابراین، ایجاد دامنه first.work.com منجر به سازمان اتوماتیک روابط اعتماد دوجانبه بین والدین و کودکان First.Work.com (شبیه به و برای second.work.com) می شود. بنابراین، مجوز برای یک شرکت تابعه را می توان از دامنه پدر و مادر استفاده کرد، و بالعکس. فرض بر این نیست که یک رابطه اعتماد برای شرکت های تابعه وجود دارد.

یکی دیگر از ویژگی های اعتماد روابط، انتقال است. ما دریافت می کنیم - برای domain net.first.work.com ارتباط اعتماد با دامنه Work.com ایجاد می شود.

جنگل -بنابراین، مانند درختان ساختارهای چند منظوره هستند. ولی جنگل - این ترکیبی از درختان با دامنه های مختلف ریشه است.

فرض کنید شما تصمیم به داشتن دامنه های مختلف با نام Work.com و home.net و ایجاد شرکت های تابعه برای آنها، اما با توجه به این واقعیت است که TLD (دامنه سطح بالا) در کنترل شما نیست، در این مورد شما می توانید یک جنگل را با انتخاب یک جنگل سازماندهی کنید یکی از دامنه های سطح اول ریشه است. کل جذابیت ایجاد جنگل در این مورد روابط متقابل دو طرفه بین دو دامنه و شرکت های تابعه آنها است.

با این حال، هنگام کار با جنگل ها و درختان لازم است به یاد داشته باشید:

  • شما نمیتوانید دامنه موجود را به درخت اضافه کنید
  • غیرممکن است که یک درخت موجود در جنگل وجود داشته باشد
  • اگر دامنه ها در جنگل قرار گیرند، آنها نمی توانند به جنگل دیگری منتقل شوند
  • شما نمی توانید دامنه را از طریق شرکت های تابعه حذف کنید

واحدهای سازمانی - اصل می تواند subdomains نامیده شود. اجازه دهید کاربران در حساب کاربری دامنه، گروه های کاربر، کامپیوتر، منابع به اشتراک گذاشته شده، چاپگرها و دیگر OU (واحدهای سازمانی). مزایای عملی کاربرد آنها شامل امکان اعطای حقوق این واحدها است.

نگران نباشید، می توانید مدیر را در یک دامنه اختصاص دهید که می تواند OU را مدیریت کند، اما نه داشتن حقوق برای مدیریت کل دامنه.

یکی از ویژگی های مهم OU در مقایسه با گروه ها امکان استفاده از سیاست های گروهی به آنها است. "و چرا این امکان وجود دارد که دامنه اصلی را به جای استفاده از OU از بین ببرد؟" - تو پرسیدی.

بسیاری از کارشناسان توصیه می کنند که یک دامنه داشته باشند. دلیل این امر این است که در هنگام ایجاد یک دامنه اضافی، مدیریت را غیرفعال کنید، زیرا مدیران هر یک از این دامنه کنترل نامحدود را دریافت می کنند (من به شما یادآوری می کنم که هنگام اعطای حقوق مدیران OU، شما می توانید عملکرد خود را محدود کنید.

علاوه بر این، کنترل کننده دیگری برای ایجاد یک دامنه جدید (حتی یک شرکت تابعه) مورد نیاز خواهد بود. اگر دو بخش جداگانه ای را که توسط کانال آهسته ارتباط برقرار شده اند، مشکلی با تکرار داشته باشید، ممکن است بوجود آید. در این مورد، دو دامنه مناسب تر خواهد بود.

همچنین کاربرد دیگری از سیاست های گروهی وجود دارد: سیاست هایی که تنظیمات رمز عبور را تعریف می کنند و حساب های مسدود شده را می توان تنها برای دامنه ها استفاده کرد. برای OU، این تنظیمات سیاست نادیده گرفته می شود.

سایت های -این یک راه برای تقسیم خدمات دایرکتوری است. با تعریف، این سایت یک گروه از رایانه های متصل شده توسط کانال های داده سریع است.

اگر چندین شاخه در انتهای مختلف کشور با خطوط ارتباطی کم سرعت داشته باشید، برای هر شاخه ای که می توانید وب سایت خود را ایجاد کنید. این کار برای افزایش قابلیت اطمینان از تکرار دایرکتوری انجام شده است.

چنین آگهی پارتیشن بندی بر اصول ساخت و ساز منطقی تاثیر نمی گذارد، بنابراین، هر دو سایت ممکن است شامل چندین دامنه باشند و برعکس، دامنه ممکن است شامل چندین سایت باشد. اما چنین توپولوژی خدمات کاتالوگ Tait است. به عنوان یک قاعده، اینترنت برای برقراری ارتباط با شاخه ها استفاده می شود - یک رسانه بسیار ناامن است. بسیاری از شرکت ها از ابزارهای حفاظتی مانند فایروال استفاده می کنند. سرویس دایرکتوری در کار خود در مورد یک و نیم دوازده پورت و خدمات استفاده می کند، باز کردن آن برای انتقال ترافیک تبلیغاتی از طریق فایروال، در واقع آن را به "خارج" افشا می کند. حل مسئله استفاده از تکنولوژی تونل زنی، و همچنین دسترسی به یک کنترل کننده دامنه در هر سایت برای سرعت بخشیدن به پردازش درخواست ها برای مشتریان تبلیغاتی است.

منطق لانه سازی اجزای خدمات دایرکتوری ارائه شده است. دیده می شود که جنگل حاوی دو چوب Dend است که در آن دامنه ریشه درخت، به نوبه خود، ممکن است شامل OU و گروه های اشیاء، و همچنین برای شرکت های تابعه (در این مورد، هر کدام). دامنه های دختر همچنین می توانند شامل گروه های اشیاء و OU باشند و دارای شرکت های تابعه باشند (هیچ کدام در شکل وجود ندارد). و غیره. اجازه دهید به شما یادآوری کنم که OU ممکن است حاوی OU، اشیاء و گروه های اشیاء باشد و گروه ها ممکن است شامل گروه های دیگر باشند.

گروهی از کاربران و رایانه -برای اهداف اداری مورد استفاده قرار می گیرد و معنای مشابهی را که در دستگاه های محلی در شبکه استفاده می شود، دارد. بر خلاف OU، سیاست های گروهی را نمی توان به گروه ها اعمال کرد، اما کنترل می تواند برای آنها اعطا شود. به عنوان بخشی از طرح دایرکتوری فعال، دو نوع گروه متمایز هستند: گروه های امنیتی (اعمال محدودیت دسترسی به حقوق به اشیاء شبکه) و گروه های توزیع (به طور عمده برای توزیع پیام های ایمیل، به عنوان مثال، در سرور مایکروسافت تبادل) استفاده می شود.

آنها توسط منطقه عمل تقسیم می شوند:

  • گروه های جهانی ممکن است شامل کاربران درون جنگل، و همچنین سایر گروه های جهانی یا گروه های جهانی هر دامنه در جنگل باشد
  • گروه های دامنه جهانی ممکن است شامل کاربران دامنه و دیگر گروه های جهانی از همان دامنه باشد
  • گروه های محلی دامنه مورد استفاده برای محدود کردن حقوق دسترسی، ممکن است شامل کاربران دامنه، و همچنین گروه های جهانی و گروه های جهانی هر دامنه در جنگل باشد
  • گروه های محلی کامپیوترها - گروه هایی که شامل سام (مدیر حساب امنیتی) یک دستگاه محلی هستند. منطقه توزیع آنها تنها توسط این دستگاه محدود شده است، اما آنها ممکن است شامل گروه های محلی محلی که در آن کامپیوتر واقع شده است، و همچنین گروه های جهانی و جهانی از دامنه خود و یا دیگری که به آن اعتماد دارند. به عنوان مثال، شما می توانید کاربر را از گروه کاربر دامنه محلی به گروه مدیران دستگاه محلی فعال کنید، به این ترتیب به او حقوق مدیر خود را ارائه می دهد، اما فقط برای این رایانه

دامنه واحد اصلی اداری در زیرساخت های شبکه ای از شرکت است که شامل تمام اشیاء شبکه مانند کاربران، رایانه ها، پرینترها، منابع مشترک و غیره می باشد. مجموع (سلسله مراتب) دامنه ها، جنگل نامیده می شود. هر شرکت ممکن است یک دامنه خارجی و داخلی داشته باشد.

به عنوان مثال، سایت یک دامنه خارجی در اینترنت است که از ثبت کننده ویروس خریداری شده است. در این دامنه وب سایت ما و سرور ایمیل ما وجود دارد. lankey.Local یک دامنه سرویس دامنه دایرکتوری فعال است که میزبان حساب های کاربری، رایانه ها، چاپگرها، سرورها و برنامه های شرکت های بزرگ است. گاهی اوقات نام دامنه های خارجی و داخلی یکسان هستند.

دایرکتوری مایکروسافت فعال به عنوان استاندارد کاتالوگ واحد شرکت تبدیل شده است. دامنه Active Directory در تقریبا تمام شرکت های جهان معرفی شده است و در این بازار، مایکروسافت تقریبا هیچ رقبای را ترک نکرده است، سهم همان سرویس دایرکتوری Novell (NDS) ناچیز است و شرکت های باقی مانده به تدریج در دایرکتوری فعال مهاجرت می کنند .

Active Directory یک پایگاه داده توزیع شده است که شامل تمام اشیاء دامنه است. محدوده دامنه دایرکتوری فعال یک نقطه از احراز هویت و مجوز کاربران و برنامه های کاربردی در سراسر شرکت است. این از سازمان دامنه است و مستقر سازی دایرکتوری فعال شروع می شود ساخت زیرساخت فناوری اطلاعات شرکت. پایگاه داده Active Directory در سرورهای اختصاصی ذخیره می شود - کنترل کننده های دامنه. سرویس Active Directory نقش سیستم عامل های سرور مایکروسافت ویندوز سرور است. در حال حاضر، لانکا توسط حوزه های دایرکتوری فعال بر اساس سیستم عامل ویندوز سرور 2008 R2 معرفی شده است.

استقرار سرویس دایرکتوری دایرکتوری فعال در مقایسه با گروه کاری (Workgroup) مزایای زیر را می دهد:

  • نقطه ی یکپارچه احراز هویت هنگامی که کامپیوترها در گروه کاری کار می کنند، آنها یک پایگاه داده واحد را ندارند، هر کامپیوتر دارای خودش است. بنابراین، به طور پیش فرض، هیچکدام از کاربران به شبکه یا سرور دیگری دسترسی ندارند. و، همانطور که می دانید، معنای شبکه فقط این است که کاربران می توانند تعامل داشته باشند. کارکنان نیاز به دسترسی مشترک به اسناد یا برنامه های کاربردی دارند. در یک گروه کاری بر روی هر کامپیوتر یا سرور، شما باید به صورت دستی یک لیست کامل از کاربران را که نیاز به دسترسی به شبکه دارند اضافه کنید. اگر ناگهان، یکی از کارکنان می خواهد رمز عبور خود را تغییر دهد، باید در تمام رایانه ها و سرورها تغییر کند. خوب، اگر شبکه شامل 10 کامپیوتر باشد، اما اگر 100 یا 1000 وجود داشته باشد، استفاده از گروه کاری غیر قابل قبول خواهد بود. هنگام استفاده از دامنه Active Directory، تمام حساب های کاربری در یک پایگاه داده ذخیره می شوند، و تمام رایانه ها به آن اجازه می دهند تا مجوز را به خود اختصاص دهند. تمام کاربران دامنه در گروه های مربوطه، به عنوان مثال، "حسابداری"، "فریم ها"، "بخش مالی"، و غیره گنجانده شده است. به اندازه کافی برای درخواست مجوز یک بار برای گروه های خاص، و همه کاربران دسترسی مناسب به اسناد و برنامه های کاربردی دریافت خواهند کرد. اگر یک کارمند جدید به شرکت می آید، حساب ایجاد شده است، که در گروه مربوطه گنجانده شده است، و این آن است! پس از چند دقیقه، کارمند جدید به تمام منابع شبکه دسترسی پیدا می کند که باید در تمام سرورها و رایانه ها مجاز به دسترسی آن باشد. اگر یک کارمند اخراج شود، کافی است که حساب خود را مسدود یا حذف کنید، و بلافاصله دسترسی به تمام رایانه ها، اسناد و برنامه های کاربردی را از دست خواهد داد.
  • نقطه مدیریت سیاست های یکپارچه. در یک شبکه همکار به همکار (Workgrup)، تمام رایانه ها برابر هستند. هیچکدام از کامپیوترها نمیتوانند دیگران را مدیریت کنند، تمام کامپیوترها به روش های مختلف پیکربندی شده اند، غیرممکن است که هیچ پیروی از سیاست های یکنواخت یا قوانین امنیتی را کنترل نکنم. هنگام استفاده از یک دایرکتوری دایرکتوری فعال، تمام کاربران و رایانه ها سلسله مراتبی توسط واحدهای سازمانی توزیع می شوند، که هر کدام از آنها از سیاست های یکنواخت استفاده می کنند. سیاستمداران به شما اجازه می دهند تنظیمات یکنواخت و تنظیمات امنیتی را برای یک گروه از رایانه ها و کاربران تنظیم کنید. هنگام اضافه کردن یک رایانه یا کاربر جدید به دامنه، به طور خودکار تنظیمات را دریافت می کند که مطابق با استانداردهای شرکت های پذیرفته شده مطابقت دارد. همچنین با استفاده از سیاست ها می تواند به طور مرکزی به چاپگرهای شبکه های کاربران اختصاص داده شود، برنامه های لازم را تنظیم، تنظیم تنظیمات امنیتی مرورگر اینترنت، پیکربندی برنامه های مایکروسافت آفیس و غیره
  • ادغام با برنامه های کاربردی و تجهیزات شرکت. مزیت بزرگ دایرکتوری فعال یک استاندارد LDAP است که توسط صدها برنامه کاربردی پشتیبانی می شود، مانند سرورهای پست الکترونیکی (Exchange، Lotus، Mdaemon)، سیستم های ERP (Dynamics، CRM)، سرورهای پروکسی (سرور ISA، Squid) و غیره پشتیبانی می شود. این نه تنها برنامه های کاربردی تحت مایکروسافت ویندوز، بلکه همچنین سرورها بر اساس لینوکس است. مزایای چنین ادغام این است که کاربر نیازی به به یاد داشته باشید تعداد زیادی از logins و کلمه عبور برای دسترسی به یک برنامه خاص، در تمام برنامه های کاربردی کاربر دارای همان اعتبار، زیرا احراز هویت آن در یک دایرکتوری دایرکتوری فعال رخ می دهد. علاوه بر این، کارمند چندین بار نام کاربری و رمز عبور خود را وارد نمی کند، فقط زمانی که کامپیوتر را یک بار وارد سیستم شوید، و در آینده، کاربر به طور خودکار در تمام برنامه ها تأیید می کند. ویندوز سرور برای ادغام با Active Directory پروتکل Radius را فراهم می کند که توسط تعداد زیادی از تجهیزات شبکه پشتیبانی می شود. بنابراین، به عنوان مثال، ممکن است، برای اطمینان از احراز هویت کاربران دامنه هنگام اتصال به روتر سیسکو توسط VPN.
  • ذخیره سازی پیکربندی نرم افزار یکپارچه. برخی از برنامه های کاربردی پیکربندی خود را در دایرکتوری فعال مانند سرور Exchange Server یا Office Communications ذخیره می کنند. استقرار سرویس دایرکتوری دایرکتوری Active یک پیش شرط برای عملیات این برنامه ها است. همچنین در سرویس دایرکتوری، شما می توانید پیکربندی سرور نام دامنه DNS را ذخیره کنید. ذخیره سازی پیکربندی برنامه های کاربردی در سرویس دایرکتوری از نقطه نظر انعطاف پذیری و قابلیت اطمینان سودمند است. به عنوان مثال، در مورد شکست کامل سرور Exchange، کل پیکربندی آن دست نخورده باقی خواهد ماند، زیرا ذخیره شده در دایرکتوری فعال و برای بازگرداندن سلامت ایمیل های شرکتی، به اندازه کافی برای نصب مجدد سرور Exchange در حالت بازیابی کافی خواهد بود.
  • افزایش سطح امنیت اطلاعات. با استفاده از دایرکتوری فعال، امنیت شبکه را به طور قابل توجهی بهبود می بخشد. اول، این یک ذخیره سازی تک و حفاظت از حساب ها است. در یک شبکه همکار به همجنسگرایان، اعتبار کاربر در پایگاه داده محلی حساب ها (SAM) ذخیره می شود، که از لحاظ نظری می توانید هک کنید، کامپیوتر را حک کرد. در محیط دامنه، تمام رمزهای عبور کاربران دامنه بر روی سرورهای اختصاصی دامنه اختصاصی ذخیره می شوند که معمولا از دسترسی خارجی محافظت می شوند. ثانیا، هنگام استفاده از یک محیط دامنه برای احراز هویت، پروتکل Kerberos مورد استفاده قرار می گیرد که به طور قابل توجهی ایمن تر از NTLM است که در گروه های کاری استفاده می شود. علاوه بر این، شما می توانید از احراز هویت دو عامل با استفاده از کارت های هوشمند برای ورود به سیستم استفاده کنید. کسانی که. برای یک کارمند برای دسترسی به کامپیوتر، لازم است وارد نام کاربری و رمز عبور خود، و همچنین کارت هوشمند خود را وارد کنید.

مقیاس پذیری و تحمل گسل خدمات دایرکتوری دایرکتوری فعال

سرویس دایرکتوری مایکروسافت فعال دایرکتوری دارای گزینه های مقیاس گسترده ای است. در جنگل فعال دایرکتوری، بیش از 2 میلیارد امکانات را می توان ایجاد کرد، که به شما امکان می دهد خدمات دایرکتوری را در شرکت ها با صدها هزار کامپیوتر و کاربران اجرا کنید. ساختار سلسله مراتبی دامنه ها به شما امکان انعطاف پذیری زیرساخت فناوری اطلاعات در تمام شاخه ها و تقسیمات منطقه ای شرکت ها را می دهد. برای هر شاخه یا بخش شرکت، یک دامنه جداگانه را می توان با سیاستمداران خود، کاربران و گروه های خود ایجاد کرد. اداره اداری به مدیران سیستم محلی می تواند برای هر دامنه فرعی اعطا شود. در عین حال، دامنه های دختر از والدین اطاعت می شوند.

علاوه بر این، Active Directory به شما اجازه می دهد تا رابطه اعتماد بین جنگل های دامنه را سفارشی کنید. هر شرکت دارای دامنه دامنه خود است که هر کدام دارای منابع خاص خود هستند. اما گاهی لازم است که دسترسی به منابع شرکتی خود را به کارکنان شرکت های شرکای شرکتی فراهم کنیم. به عنوان مثال، با مشارکت در پروژه های مشترک، کارکنان شرکت های شریک می توانند با اسناد عمومی یا برنامه های کاربردی همکاری کنند. برای این منظور، روابط محرمانه را می توان بین جنگل های سازمان ها پیکربندی کرد، که به کارکنان اجازه می دهد تا از یک سازمان اجازه دهند که در حوزه دیگری مجاز باشند.

تحمل گسل خدمات دایرکتوری با استفاده از 2 یا بیشتر سرورها - کنترل کننده دامنه در هر دامنه ارائه می شود. یک تکرار خودکار از تمام تغییرات بین کنترل کننده های دامنه وجود دارد. در صورت شکست یکی از کنترل کننده های دامنه، عملیات شبکه نقض نمی شود، زیرا باقی مانده باقی مانده است. سطح اضافی از تحمل خطا، محل سرورهای DNS را بر روی کنترل کننده های دامنه در دایرکتوری فعال فراهم می کند، که به هر دامنه اجازه می دهد چندین سرورهای DNS را به کار خود برساند. و در صورت شکست یکی از سرورهای DNS، آثار باقیمانده ادامه خواهد یافت و آنها در دسترس خواهند بود، هر دو خواندن و در رکورد، که نمی توانند از آن استفاده کنند، به عنوان مثال، DNS Bind Server بر اساس لینوکس ارائه می شود.

مزایای تعویض به ویندوز سرور 2008 R2

حتی اگر شرکت شما قبلا توسط سرویس دایرکتوری فعال دایرکتوری بر اساس ویندوز سرور 2003 مستقر شده است، می توانید چندین مزیت را با کلیک روی ویندوز سرور 2008 R2 دریافت کنید. ویندوز سرور 2008 R2 ویژگی های اضافی زیر را فراهم می کند:

    کنترل کننده دامنه تنها توسط RODC (کنترل کننده دامنه فقط خواندنی) خوانده می شود. کنترل کننده های دامنه حساب کاربری، گواهینامه ها و بسیاری از اطلاعات محرمانه دیگر را ذخیره می کنند. اگر سرورها در CDA محافظت شده باشند، پس ایمنی این اطلاعات می تواند آرام باشد، اما اگر Domain Kotroller در شعبه در یک مکان عمومی در دسترس باشد، چه باید بکنید. در این مورد، امکان وجود دارد که سرور مهاجمان را از بین ببرد و آن را هک کند. و سپس از این داده ها برای سازماندهی حمله به شبکه شرکت های بزرگ خود، به منظور سرقت یا تخریب اطلاعات استفاده کنید. این امر جلوگیری از چنین مواردی در شاخه هایی است که کنترل کننده های دامنه فقط برای خواندن نصب می شوند (RODC). اول، کنترل کننده های RODC کلمه عبور کاربر را ذخیره نمی کنند، اما تنها آنها را برای سرعت بخشیدن به آنها ذخیره نمی کنند، و در مرحله دوم، آنها از تکثیر یک طرفه استفاده می کنند، تنها از سرورهای مرکزی به یک شاخه، اما نه بازگشت. و حتی اگر مهاجمان کنترل کننده دامنه RODC را از بین ببرند، کلمه عبور کاربر دریافت نمی کنند و نمی توانند به شبکه اصلی آسیب برسانند.

    بازگرداندن اشیاء دایرکتوری فعال از راه دور. تقریبا هر مدیر سیستم با نیاز به بازگرداندن حساب کاربری تصادفی از راه دور یا یک گروه کامل از کاربران مواجه شد. در ویندوز 2003، لازم بود که سرویس دایرکتوری را از نسخه پشتیبان تهیه کرد، که اغلب نه، اما حتی اگر او بود، بهبودی بسیار طولانی بود. ویندوز سرور 2008 R2 دارای یک سبد دایرکتوری فعال است. در حال حاضر هنگامی که یک کاربر یا رایانه را حذف می کنید، آن را به سبد منتقل می کنید، از آن می توان آن را در عرض چند دقیقه در عرض 180 روز بازسازی کرد، در حالی که تمام ویژگی های اولیه را حفظ می کند.

    مدیریت ساده در ویندوز سرور 2008 R2، تعدادی از تغییرات به طور قابل توجهی کاهش بار در مدیران سیستم و تسهیل مدیریت زیرساخت های فناوری اطلاعات. به عنوان مثال، چنین ابزارهایی به نظر می رسد: تغییرات Audit Active Directory تغییرات، نشان دادن چه کسی، چه و چه زمانی تغییر؛ سیاست های پیچیدگی رمز عبور در سطح گروه های کاربر نسبت داده شده است، قبلا تنها در سطح دامنه امکان پذیر بود؛ مدیریت جدید کاربر و رایانه؛ قالب های سیاست؛ مدیریت با استفاده از خط فرمان PowerShell، و غیره

پیاده سازی سرویس دایرکتوری دایرکتوری فعال

راهنمای دایرکتوری Active Directory قلب زیرساخت فناوری اطلاعات شرکت است. در صورت شکست آن، کل شبکه، تمام سرورها، کار همه کاربران فلج خواهد شد. هیچ کس نمی تواند کامپیوتر را وارد کند، به اسناد و برنامه های خود دسترسی پیدا کند. بنابراین، سرویس دایرکتوری باید با دقت طراحی و مستقر شود، با توجه به همه تفاوت های ظریف احتمالی. به عنوان مثال، ساختار سایت ها باید بر اساس توپولوژی شبکه فیزیکی و پهنای باند کانال بین شاخه ها یا دفاتر شرکت باشد، زیرا از این به طور مستقیم بستگی به سرعت ورود کاربر به سیستم، و همچنین تکرار بین کنترل کننده های دامنه دارد. علاوه بر این، بر اساس توپولوژی Server Exchange Server 2007/2010، پست الکترونیکی روت شده است. شما همچنین باید به درستی محاسبه تعداد و مکان سرورهای دایرکتوری جهانی که لیست گروه های جهانی را ذخیره می کنند و بسیاری از ویژگی های اغلب استفاده شده از تمام دامنه های جنگل را ذخیره می کنند. به همین دلیل است که شرکت ها وظایف را برای پیاده سازی، سازماندهی مجدد یا مهاجرت سرویس دایرکتوری دایرکتوری فعال در سیستم های انتگرال سیستم ارائه می دهند. با این وجود، لازم نیست هنگام انتخاب یکپارچه سازی سیستم اشتباه نگیرید، باید تأیید شود که برای این نوع کار تایید شده است و دارای صلاحیت های مربوطه است.

لانکا یکپارچه سیستم گواهی شده است و دارای وضعیت شریک گواهینامه مایکروسافت طلا است. لانکا دارای صلاحیت پلت فرم Datacenter (راه حل های پیشرفته زیربنایی) است که تجربه و مدارک تحصیلی ما را در مسائل مربوط به استقرار دایرکتوری فعال و پیاده سازی راه حل های مایکروسافت سرور تایید می کند.


تمام کار در پروژه ها، مهندسین MCSE مایکروسافت MCSE، MCITP را که دارای تجربه غنی در پروژه های بزرگ و پیچیده در ساخت زیرساخت های فناوری اطلاعات هستند، انجام می دهند و دامنه های فعال دایرکتوری را اجرا می کنند.

Lanci یک زیرساخت فناوری اطلاعات را توسعه می دهد، سرویس دایرکتوری دایرکتوری فعال را گسترش می دهد و تثبیت تمام منابع موجود در شرکت را به یک فضای اطلاعات واحد ارائه می دهد. پیاده سازی دایرکتوری فعال به کاهش هزینه تجمعی مالکیت سیستم اطلاعات کمک می کند و همچنین کارایی به اشتراک گذاری منابع مشترک را بهبود می بخشد. لانکا همچنین خدماتی را برای مهاجرت دامنه ها، ترکیب و جداسازی زیرساخت های فناوری اطلاعات در ادغام ها و ادغام ها، تعمیر و نگهداری و پشتیبانی از سیستم های اطلاعاتی فراهم می کند.

نمونه هایی از برخی از پروژه های پیاده سازی دایرکتوری فعال، اجرا شده توسط لانکا:

مشتری شرح شرح

در ارتباط با اجرای معامله برای خرید 100٪ از سهام فریم های Sibur-Mounty، OJSC (پس از آن به نام OJSC "SDS-Azot") از شرکت های برگزاری اتحادیه کسب و کار سیبری در دسامبر 2011، نیاز به آن وجود داشت زیرساخت فناوری اطلاعات Oao -azot را جدا کنید "از شبکه برگزاری Sibur.

مهاجرت Lanci مهاجرت از خدمات دایرکتوری دایرکتوری Active Directory بخش Sibur-Mount را از شبکه برگزاری Sibur به یک زیرساخت جدید ساخته است. حساب های کاربری، کامپیوترها و برنامه های کاربردی نیز منتقل شدند. با توجه به نتایج پروژه، از مشتری دریافت شده است.
در ارتباط با بازسازی کسب و کار، سرویس دایرکتوری دایرکتوری فعال برای اداره مرکزی و 50 مسکو و مغازه های منطقه ای مستقر شد. سرویس دایرکتوری یک معادله متمرکز را با تمام منابع سازمانی ارائه داد، و همچنین احراز هویت و مجوز همه کاربران.
در چارچوب یک پروژه یکپارچه برای ایجاد زیرساخت فناوری اطلاعات شرکت، Lanci دامنه دایرکتوری فعال را برای شرکت مدیریت و 3 بخش های منطقه ای تکمیل کرده است. یک سایت جداگانه برای هر شاخه ایجاد شد، هر سایت 2 کنترل کننده دامنه نصب شد. خدمات گواهینامه نیز مستقر شدند. تمام خدمات در ماشین های مجازی مستقر شده اند که مایکروسافت Hyper-V را اجرا می کنند. کیفیت کار شرکت لانکا با بررسی مشخص شد.
به عنوان بخشی از یک پروژه جامع برای ایجاد یک سیستم اطلاعات شرکتی، یک سرویس دایرکتوری دایرکتوری فعال بر اساس ویندوز سرور 2008 R2 مستقر شد. این سیستم با استفاده از تکنولوژی مجازی سازی سرور در حال اجرا مایکروسافت Hyper-V مستقر شد. سرویس دایرکتوری تأیید هویت و مجوز تمام کارکنان بیمارستان را ارائه داد و این برچسب عملیات برنامه های کاربردی مانند Exchange، TMG، SQL و غیره را ارائه داد.



سرویس دایرکتوری دایرکتوری فعال در پایگاه داده ویندوز سرور 2008 R2 ساخته شده است. به منظور کاهش هزینه ها، نصب در سیستم مجازی سازی سرور بر اساس مایکروسافت Hyper-V تولید می شود.
در چارچوب یک پروژه جامع برای ایجاد زیرساخت فناوری اطلاعات شرکت، یک سرویس دایرکتوری در ویندوز سرور 2008 R2 مستقر شد. تمام کنترل کننده های دامنه با استفاده از سیستم مجازی سازی مایکروسافت Hyper-V سرور مستقر شدند. کیفیت کار از بازخورد مشتری تایید شده است.


در کوتاه ترین زمان ممکن، عملکرد سرویس دایرکتوری فعال دایرکتوری در وضعیت حیاتی برای کسب و کار بازسازی می شود. متخصصان "لانکا" فقط چند ساعت عملکرد دامنه ریشه را بازسازی کردند و دستورالعمل هایی را برای بازیابی واحدهای شعاعی تکرار کردند. برای کارایی و کیفیت کار از مشتری بررسی شد.
به عنوان بخشی از یک پروژه یکپارچه برای ایجاد زیرساخت فناوری اطلاعات، دامنه دایرکتوری فعال بر اساس ویندوز سرور 2008 R2 مستقر شد. عملکرد سرویس دایرکتوری با استفاده از 5 کنترل کننده دامنه که بر روی خوشه ای از ماشین های مجازی مستقر شده بود، ارائه شد. پشتیبان گیری از سرویس دایرکتوری با استفاده از Microsoft Data Protection Protection Manager 2010 انجام شد. کیفیت کار توسط بررسی تایید شده است.

به عنوان بخشی از یک پروژه جامع برای ساخت یک سیستم اطلاعات شرکتی، سرویس دایرکتوری دایرکتوری فعال بر اساس ویندوز سرور 2008 مستقر شده است. زیرساخت فناوری اطلاعات با استفاده از مجازی سازی Hyper-V ساخته شده است. پس از اتمام پروژه، قرارداد نگهداری بیشتر سیستم اطلاعاتی به پایان رسید. کار مورد سوال توسط بررسی تایید شده است.
فن آوری نفت و گاز به عنوان بخشی از یک پروژه یکپارچه برای ایجاد زیرساخت فناوری اطلاعات، یک دایرکتوری دایرکتوری فعال در پایگاه داده ویندوز سرور 2008 R2 مستقر شده است. این پروژه به مدت 1 ماه تکمیل شد. پس از اتمام پروژه، یک قرارداد برای نگهداری بیشتر سیستم به پایان رسید. کیفیت کار توسط بررسی تایید شده است.
دایرکتوری فعال بر اساس ویندوز سرور 2008 به عنوان بخشی از پروژه Exchange Server 2007 ساخته شده است.
سرویس دایرکتوری دایرکتوری فعال بر اساس ویندوز سرور 2003 قبل از اجرای Exchange Server 2007 دوباره سازماندهی می شود. کیفیت کار توسط بررسی تایید شده است.
سرویس دایرکتوری دایرکتوری فعال در پایگاه داده ویندوز سرور 2003 R2 ساخته شده است. پس از اتمام پروژه، یک قرارداد برای نگهداری بیشتر از سیستم به پایان رسید. کیفیت کار توسط بررسی تایید شده است.

دایرکتوری فعال بر اساس ویندوز سرور 2003 ساخته شده است. پس از اتمام پروژه، قرارداد برای حمایت بیشتر از سیستم به پایان رسید.

Active Directory-Extended و Scalable Active Directory Directory Directory (کاتالوگ فعال) به شما امکان می دهد تا به طور موثر مدیریت منابع شبکه را مدیریت کنید.
دایرکتوری فعال - این یک ذخیره سازی داده های سلسله مراتبی سازمان یافته در مورد اشیاء شبکه است، ارائه ابزار مناسب برای جستجو و استفاده از این داده ها. یک کامپیوتر که در آن کارهای Active Directory کار می کند، یک کنترل کننده دامنه نامیده می شود. تقریبا تمام وظایف اداری با دایرکتوری فعال متصل می شوند.
فناوری دایرکتوری فعال بر اساس پروتکل های استاندارد اینترنت است و به طور واضح ساختار شبکه را تعریف می کند، در جزئیات بیشتر نحوه استفاده از Zero Domain Active Active Directory را بخوانید ..

دایرکتوری فعال و DNS

در دایرکتوری فعال، یک سیستم نام دامنه استفاده می شود.

مدیریت دایرکتوری فعال

با کمک سرویس دایرکتوری فعال، رایانه ها ایجاد می شوند، آنها به دامنه متصل می شوند، کامپیوترها کنترل می شوند، کنترل کننده های دامنه و واحدهای سازمانی (OP).

مدیریت و پشتیبانی برای مدیریت دایرکتوری فعال طراحی شده است. ابزارهای ذکر شده در زیر اجرا می شوند و شکل MMS Console Snap-in (کنسول مدیریت مایکروسافت):

  • کاربران Active Directory و رایانه ها (کاربران دایرکتوری فعال و رایانه ها) به شما اجازه می دهد تا کاربران، گروه ها، کامپیوترها و بخش های سازمانی را مدیریت کنید (OP)؛
  • دامنه های دایرکتوری فعال (دامنه های دایرکتوری فعال و تراست ها) به کار با دامنه ها، درختان دامنه و جنگل های دامنه کمک می کند؛
  • سایت های دایرکتوری فعال و خدمات (سایت دایرکتوری فعال و خدمات) به شما اجازه می دهد تا سایت ها و زیرمجموعه ها را مدیریت کنید؛
  • مجموعه ای از سیاست های نتیجه) برای مشاهده سیاست فعلی کاربر یا سیستم و برنامه ریزی تغییرات در سیاست ها استفاده می شود.
  • مایکروسافت ویندوز 2003 سرور شما می توانید به طور مستقیم از منوی اداری (ابزارهای اداری) به این ضربه ها دسترسی پیدا کنید.

یکی دیگر از ابزار مدیریت یک دایرکتوری اسکایپ اسکیت (Active Directory Schema) - به شما امکان کنترل و تغییر طرح دایرکتوری را می دهد.

نرم افزار خط فرمان Active Directory

برای مدیریت اشیاء دایرکتوری فعال، ابزارهای خط فرمان وجود دارد که به طیف گسترده ای از وظایف اداری اجازه می دهد:

  • DSADD - اضافه می کند کامپیوترها، مخاطبین، گروه ها، OP و کاربران به دایرکتوری فعال.
  • DSGET - خواص کامپیوترها، مخاطبین، گروه ها، OP، کاربران، سایت ها، subnets و سرورهای ثبت شده در دایرکتوری فعال را نمایش می دهد.
  • DSMOD - خواص کامپیوترها، مخاطبین، گروه ها، OP، کاربران و سرورهای ثبت شده در دایرکتوری فعال را تغییر می دهد.
  • DSMove - یک شی واحد را به یک مکان جدید در دامنه حرکت می دهد یا یک شی بدون حرکت را تغییر می دهد.
  • DSQXJERY - جستجوی کامپیوترها، مخاطبین، گروه ها، OP، کاربران، سایت ها، زیر شبکه ها و سرورها در دایرکتوری فعال برای معیارهای مشخص شده.
  • DSRM - یک شی از دایرکتوری فعال را حذف می کند.
  • ntdsutil - به شما اجازه می دهد اطلاعات مربوط به سایت، دامنه یا سرور را مشاهده کنید، مدیریت عملیات عملیات (کارشناسی ارشد عملیات) و نگه داشتن پایگاه داده Active Directory.

همانطور که می دانید قبل از اجرای زیرساخت های سرور در شرکت و جلوگیری از لحظات ناخوشایند در پایان استقرار، باید با دقت برنامه ریزی شود. با توجه به این واقعیت که خدمات دایرکتوری فعال به عنوان یک مخزن مرکزی برای ذخیره سازی داده ها، و همچنین اطلاعاتی برای اجرای سیاست ها و پیکربندی ها، همراه با سناریوهای ورود به سیستم کاربر، رایانه ها و خدمات شبکه با پشتیبانی از استاندارد LDAP صنعتی، اعمال می شود تا درخواست های نوشتن و تغییر اطلاعات در دایرکتوری، منطقی و ساختار فیزیکی سازمان باید طراحی شود تا مدیریت حتی در بزرگترین و پیچیده ترین شبکه ها، یک نقطه واحد را ارائه دهد که در آن تنظیمات در سیستم های مختلف می تواند مستقر شود. پس از پایان نسخه نهایی نیازهای کسب و کار، توافق سطح خدمات، و همچنین اطلاعات دریافت شده، شما باید شروع به طراحی زیرساخت های منطقی و فیزیکی شرکت کنید. در این مرحله، شما باید به درستی برنامه ریزی کنید، ساختار و طراحی جنگل ها، که از آن شرکت ها تشکیل می شود، جایی که خدمات دامنه فعال دایرکتوری مستقر خواهد شد.

a-priory، جنگل بالاترین سطح سلسله مراتب ساختار منطقی خدمات دامنه، که به عنوان مرز تکراری و امنیت در شرکت محسوب می شود و شامل یک یا چند دامنه دایرکتوری فعال است. اولین کنترل کننده دامنه نصب شده در جنگل نامیده می شود ریشه. جنگل شامل یک توضیح پیکربندی تک و یک نمونه از کاتالوگ مدار است. این تنها نمونه دایرکتوری بسته است، جایی که داده ها تکرار نمی شوند. بر این اساس، جنگل محیط امنیتی سازمان را تنظیم می کند. همراه با جنگل، اجزای خدمات دامنه دایرکتوری زیر استفاده می شود:

  • طرح کلی. تمام کنترل کننده های دامنه در جنگل از یک طرح رایج استفاده می کنند که در بخش دایرکتوری Active Directory در بخش دایرکتوری Schema ذخیره می شود و به تمام کنترل کننده ها در جنگل تکرار می شود. تنها راه اعزام دو طرح مختلف در سازمان این است که دو جنگل هتل را مستقر کنید؛
  • کاتالوگ جهانی. کاتالوگ جهانی یک بخش است که اطلاعات مربوط به هر شی را در جنگل ذخیره می کند. یعنی زمانی که کاربر از یک دامنه در جستجوی شیء دامنه در مرحله دوم است، نتایج پرس و جو دقیقا دایرکتوری جهانی را ارائه می دهد. دایرکتوری General Global حاوی اطلاعاتی درباره تمام اشیاء در کل جنگل است. بنابراین، کارایی جستجو برای اشیاء در جنگل و ورود کاربر در هر دامنه جنگل با استفاده از UPN؛
  • دایرکتوری کلی پیکربندی. بخش پیکربندی شامل اشیائی است که ساختار منطقی قرار دادن جنگل را فراهم می کند - به ویژه ساختار دامنه و توپولوژی تکثیر. اشیاء ذخیره شده در بخش پیکربندی باید در میان تمام کنترل کننده های تمام حوزه های جنگلی تکرار شوند و از یک ظرف پیکربندی استفاده کنند. داده های پیکربندی شامل لیستی از تمام دامنه ها، درختان و جنگل ها و همچنین قرار دادن کنترل کننده های دامنه و دایرکتوری های جهانی است. بخش دایرکتوری پیکربندی نیز توسط برنامه های کاربردی Active Directory مانند Exchange Server و نقطه به اشتراک گذاری استفاده می شود؛
  • مجموعه عمومی عملیات جنگل ها و مدیران. در هر پایگاه داده تکرار شده، تغییرات خاصی باید تنها توسط یک ماکت ساخته شود، زیرا این امر نامناسب است که آنها را با تمام شرکت کنندگان برابر برآورده سازد. یک مجموعه محدود از عملیات خاص را نمی توان در مکان های مختلف در همان زمان انجام داد، اما شما فقط می توانید در یک کنترل کننده دامنه یا تنها در یک جنگل. کنترل کننده دامنه اجرای نقش های ویژه نامیده می شود کارشناسی ارشد. عملیات تک تک استاد انعطاف پذیر به آن اضافه شده است. خدمات دامنه دایرکتوری فعال شامل پنج نقش کارشناسی ارشد عملیات، دو نقش برای جنگل ارائه شده است، و برای دامنه - سه. نقش طرح اصلی و اساتید نام دامنه در سطح جنگل پیکربندی شده است. هر جنگل تنها یک رشته اساسی و یک دامنه نامگذاری استاد دارد و دو گروه امنیتی با مجوز های منحصر به فرد خود در دامنه ریشه جنگل ایجاد می شوند. کارشناسی ارشد عملیات در یکی از مقالات زیر بحث خواهد شد.
  • پیکربندی اعتماد عمومی. تمام دامنه ها در جنگل به طور خودکار برای اعتماد به نفس در تمام دامنه های دیگر جنگل پیکربندی می شوند. مفهوم روابط اعتماد نیز به طور جداگانه در نظر گرفته خواهد شد.

هنگام برنامه ریزی جنگل های شرکت، عمدتا مورد نیاز است تا تصمیم بگیرد که چگونه بسیاری از دایرکتوری های فعال جنگل باید ایجاد شوند. پس از آن، شما باید یک مدل جنگل را انتخاب کنید، و همچنین در این مرحله، یک سیاست اصلاح طرح ایجاد شده است، که دایره ای از افراد با قدرت های مدیریت، یک طرح را مشخص می کند و مکانیسم اصلاحات اداری را که به طور کلی بر جنگل تاثیر می گذارد تنظیم می کند . همه اینها شما در جزئیات از این مقاله یاد خواهید گرفت.

تعریف جنگل و قدرت

قبل از طراحی یک طرح جنگل سازمانی، شما باید توجه ویژه ای به الزامات تولید داشته باشید که ساختار خدمات دامنه را برآورده می کند. خدمات دایرکتوری به ما اجازه می دهد تا چنین زیرساخت هایی را طراحی کنیم که برای گروه هایی با نیازهای مدیریت مختلف و منحصر به فرد سازگار شود. به الزامات که سازمان ها می توانند سازمان ها را در طراحی خدمات دامنه Active Directory ارائه دهند، می توانند نسبت داده شوند:

  • الزامات سازمانی سازمانی. اهمیت زیادی در طراحی ساختار جنگل، درک صحیح از ساختار سازمانی سازمانی دارد. به منظور ذخیره بودجه، بخش های خاصی از سازمان می توانند از یک زیرساخت مشترک استفاده کنند، اما در عین حال به طور مستقل از بقیه سازمان کار می کنند. به عنوان مثال، یکی از این الزامات ممکن است عایق موقت یک واحد سازمانی خاص برای یک دوره خاص مورد توجه قرار گیرد که نیاز به نصب دایرکتوری های کاربردی دارد که طرح دایرکتوری فعال را تغییر می دهند. در این مورد، اگر چنین واحد متعلق به یک جنگل باشد، که سازمان های دیگر سازمان در آن قرار دارند، سازمان خود می تواند باعث آسیب جدی شود. بنابراین، برای جمع آوری نیازهای ساختاری سازمانی، بهتر است با تعریف گروه های مختلفی از اصول ایمنی که در خدمات دامنه Active Directory استفاده می شود، شروع شود. پس از آن، تعیین کنید که کدام گروه ها باید به طور جداگانه از کل سازمان کار کنند. اگر چنین گروه هایی در سازمان شما شناسایی شوند، تعیین می کنند که آیا آنها می توانند به کل سازمان آسیب برسانند. معمولا گروه هایی که نیازهای مختلفی از بقیه سازمان دارند، در جنگل های جداگانه قرار می گیرند؛
  • الزامات قانونی. در فرایند طراحی، شما همچنین باید ایده ای از الزامات قانونی داشته باشید که سازمان باید مطابق با آن باشد. در برخی از سازمان های قرارداد کسب و کار نشان داده شده است که قانون نیاز به یک حالت خاص از عملیات، به عنوان مثال، محدود کردن دسترسی به منابع خاص. عدم رعایت چنین الزاماتی ممکن است منجر به یک قرارداد شود و حتی به پیگرد قانونی منجر شود. بنابراین، در طول طراحی ساختار جنگل ها، با مجموعه ای از الزامات قانونی، با تعریف تعهدات قانونی سازمان آغاز می شود. برای رعایت الزامات ایمنی، در برخی از سازمان ها لازم است که در شبکه های جدا شده داخلی کار کنیم؛
  • نیازمندیهای عملیاتی. پس از تعیین شرایط سازمانی و قانونی سازمانی، شما باید مجموعه ای از الزامات عملیاتی را ایجاد کنید که بر توسعه ساختار جنگل تاثیر می گذارد. گاهی اوقات چنین سناریوهایی رخ می دهد زمانی که هر بخشی از سازمان محدودیت های منحصر به فرد را بر روی پیکربندی سرویس دایرکتوری، در دسترس بودن یا امنیت این سرویس اعمال می کند یا از برنامه های کاربردی استفاده می کند که محدودیت های منحصر به فرد دایرکتوری را اعمال می کند. تقسیمات جداگانه سازمان می تواند برنامه های کاربردی از دست رفته در بخش های دیگر را که طرح دایرکتوری را تغییر می دهند، گسترش دهد. الزامات عملیاتی منحصر به فرد می تواند از سازمان هایی مانند شرکت های نظامی یا میزبانی ارائه خدمات مسکن استفاده کند. به منظور تعیین الزامات عملیاتی، بهتر است با موجودی گروه های عملیاتی همراه با شرایط عملیاتی برای هر گروه فردی شروع کنید.
  • الزامات ارتباطات محدود. در نهایت، برای طراحی ساختار جنگل، مهم است که هر گونه الزامات ارتباطی محدود را شناسایی کنیم. بسیاری از سازمان ها دارای شاخه هایی با شبکه های جدا شده هستند که پهنای باند محدودی دارند. هنگام طراحی جنگل، بهتر است با تعریف همه گروه های واقع از دفتر مرکزی شروع کنید.

پس از اتمام این فهرست از الزامات اساسی، می توانید به مرحله تعیین قدرت مدیران و صاحبان داده ها و خدمات مراجعه کنید.

در خدمات دامنه Active Directory، انواع مختلفی از فعالیت های اداری، از جمله پیکربندی داده ها و مدیریت داده ها در سرویس دایرکتوری وجود دارد. در سازمان های اصلی، نقش های اداری خدمات دامنه به چندین دسته تقسیم می شود. یکی از روش های توصیف دسته های مختلف تقسیم صاحبان جنگل ها، صاحبان و مدیران داده، و همچنین صاحبان و مدیران خدمات است.

  • صاحبان جنگل مسئول انتخاب و حمایت از مدیران خدمات هستند، بنابراین از صاحب اعتماد جنگل به دنبال اعتماد به نفس مدیران خدمات اداره شده توسط صاحب جنگل؛
  • صاحبان و مدیران داده مسئول اطلاعاتی هستند که در خدمات دامنه Active Directory ذخیره می شوند. صاحبان داده ها سیاست ها و فرآیندهای مدیریت داده ها را تنظیم می کنند و مدیران داده دارای حقوق و امتیازات ایجاد اشیاء AD DS در یک ساختار است که توسط صاحبان و مدیران خدمات تعیین می شود؛
  • مدیران صاحبان و خدمات مسئول خدمات خدمات دامنه هستند و به طور کامل کنترل داده ها و خدمات را در تمام کنترل کننده های جنگل کنترل می کنند. صاحبان خدمات تصمیم گیری در مورد تعداد جنگل ها، حوزه ها و سایت های لازم برای انجام نیازهای شرکت برای سرویس دایرکتوری دایرکتوری فعال می کنند. و، به نوبه خود، مدیران خدمات دارای ویژگی های زیر هستند:
    • تغییر نرم افزار سیستم بر روی کنترل کننده های دامنه، دور زدن هر چک امنیتی متعارف، که به شما اجازه می دهد همه اشیاء را در دامنه مشاهده کنید و آنها را بدون در نظر گرفتن آنها در لیست های کنترل دسترسی مجاز کنید؛
    • از بین بردن خطاهای مرتبط با لیست های کنترل دسترسی به اشیاء، که به مدیران سرویس اجازه می دهد تا اشیاء را بخوانند، تغییر و حذف کنند، صرف نظر از اینکه آیا در لیست های کنترل دسترسی مجاز است؛
    • بازنشانی کلمه عبور و تغییر عضویت کاربر در گروه ها؛
    • با استفاده از سیاست های امنیتی "گروه ها با دسترسی محدود"در نظر گرفته شده برای ارائه تمام کاربران و گروه های دسترسی اداری به هر کامپیوتر متصل به دامنه، که به مدیران کاربر اجازه می دهد تا اشیاء را بخواند، تغییر و حذف کنند، صرف نظر از اینکه آیا در لیست های کنترل دسترسی مجاز است؛
    • دسترسی به سایر زمینه های جنگل را با تغییر نرم افزار سیستم بر روی کنترل کننده های دامنه دسترسی داشته باشید. مدیران خدمات می توانند داده های پیکربندی جنگل را مشاهده یا تغییر دهند، مشاهده یا تغییر داده های ذخیره شده در هر دامنه، و همچنین مشاهده یا تغییر داده ها در هر کامپیوتر وابسته به دامنه.

با توجه به این واقعیت که مدیران خدمات چنین قدرتهایی دارند، مطلوب است که سازمان دارای حداقل تعداد مدیران خدمات باشد. به طور پیش فرض، گروه ها دارند "مدیران دامنه" در جنگل ریشه، "مدیران سازمانی" و "مدیران طرح".

ایجاد یک جنگل امن بر اساس الزامات شرکتی

علاوه بر الزامات فوق، شما باید تعیین کنید که آیا ساختار جنگل مستقل یا جدا شده است.

خودمختاری اداری کنترل کامل اداری را بر برخی از اجزای جنگل در سطح جنگل، دامنه یا تقسیم اجرا می کند. پس از رسیدن به خودمختاری، مدیران حق را به طور مستقل مدیریت منابع را دریافت می کنند. با این وجود، خودمختاری به معنای دریافت کنترل منحصر به فرد نیست. مدیران دارای قدرت های گسترده تر هستند که می توانند این منابع را نیز مدیریت کنند و در صورت لزوم، می توانند قدرت مدیران زیرمجموعه را محروم کنند. ساختار منطقی خدمات دامنه با یکی از انواع زیر استقلال طراحی شده است:

  • استقلال خدمات. استقلال خدمات شامل توانایی مدیریت زیرساخت ها، بدون نیاز به کنترل تنها، یعنی اگر گروه نیاز به تغییر در زیرساخت ها، فضای نام یا طرح بدون اجازه صاحب جنگل داشته باشد. خدمات خودمختاری ممکن است توسط گروه هایی که باید بتوانند سطح خدمات را در خدمات دامنه فعال یا گروه های فعال مدیریت می کنند، مورد نیاز باشد که شما باید توانایی ایجاد راهنمایی های برنامه های کاربردی را که نیاز به تغییر طرح را دارند، مدیریت کنید؛
  • خودمختاری داده ها. شامل کنترل بر تمام یا بخشی از داده های ذخیره شده در دایرکتوری یا رایانه های معمولی که به دامنه متصل می شوند. استقلال داده ها فرض می کند که یک گروه یا سرمایه گذاری می تواند داده های خود را مدیریت کند، و همچنین تصمیمات اداری را بر داده ها و انجام وظایف لازم بدون اشاره به تصمیم به مقام دیگری انجام دهد. اگر نیازی به حفاظت از داده های خاص از مدیران دیگر در جنگل وجود نداشته باشد، یک گروه خاص می تواند درخواست کند که این فرصت را برای مدیریت داده های خود که متعلق به یک پروژه خاص است، ارائه دهد.

انزوای اداری این دریافت کنترل منحصر به فرد بر اجزای کاتالوگ را فرض می کند. در مورد انزوای اداری، هیچ کس جز این مدیران نمی تواند حق مدیریت منابع را دریافت کند، و هیچ یک از مدیران نمی توانند آنها را از این حقوق محروم کنند. همانطور که در مورد استقلال اداری، ساختار منطقی خدمات دامنه با یکی از انواع زیر طراحی شده است:

  • خدمات عایق. خدمات جداسازی اجازه می دهد تا مدیران بتوانند کار خدمات را کنترل کنند و تنها می توانند با مدیران که با چنین مجوز ارائه می شوند، دخالت کنند. گروه هایی که الزامات مربوط به انزوای خدمات را تعیین می کنند، نیاز به هیچ یک از مدیران نمی توانند بر کار خدمات دایرکتوری تاثیر بگذارند. به عنوان مثال، اگر سازمان شما خدماتی را برای میزبانی وب به مشتریان ارائه دهد و برای هر مشتری نیاز به انزوای خدمات برای اطمینان از اینکه وقفه های خدمات اصلی بر سایر مشتریان تاثیر نمی گذارد؛
  • جداسازی داده ها. جداسازی داده ها به سایر مدیران مشخص شده منجر به کنترل زیر مجموعه داده ها در دایرکتوری یا رایانه های معمولی متصل به دامنه و مشاهده این داده ها می شود. مدیران خدمات ممکن است مدیران این قابلیت ها را محروم کنند تا منابع را مدیریت کنند و مدیران داده ها نمی توانند مدیران خدمات دسترسی را به منابع خود کنترل کنند. در این راستا، اگر گروه نیاز به جداسازی داده ها داشته باشد، چنین گروهی نیز باید مسئول اداره خدمات باشد. تنها راه برای چنین گروه های عایق، ایجاد یک جنگل جداگانه برای این داده ها است. به عنوان مثال، اگر ساختار مالی باید انجام شود، به طوری که دسترسی به مشتریان، که در صلاحیت های جداگانه هستند، تنها کاربران، مدیران و رایانه های واقع در این صلاحیت دارند. از آنجایی که مدیریت به طور کامل مدیران خدمات صلاحیت های حوزه ای را به طور کامل اعتماد می کند، بنابراین در این موسسه لازم است که داده ها را از مدیران خدمات که خارج از این صلاحیت هستند، جدا شود.

علاوه بر این نمونه های ساده، در خدمات دامنه Active Directory هنوز راه های زیادی برای پیاده سازی خودمختاری و انزوا اداری وجود دارد. لازم به یادآوری است که مدیران که نیاز به خودمختاری دارند باید با این واقعیت که سایر مدیران با قدرت های اداری مساوی یا گسترده تر فرصت های برابر یا بیشتر برای کنترل مدیریت خدمات یا داده ها داشته باشند، مطرح شود و مدیران که به انزوا نیاز دارند، به طور کامل تحت نظارت قرار می گیرند مدیریت خدمات یا داده ها. بسیاری از شرکت ها نیاز به استقلال اداری با تضمین نسبی دارند که مدیران از بخش های دیگر در جنگل اقدامات مخرب را انجام نمی دهند. همچنین لازم به ذکر است که توسعه یک طرح مستقل در پرونده عمومی ارزان تر از توسعه یک طرح جدا شده است.

انتخاب تعداد جنگل های مورد نیاز

پس از اتمام تمام الزامات فوق، شما باید تعداد مورد نیاز جنگل ها را برای زیرساخت های سازمان تعیین کنید. برای تعیین اینکه چگونه بسیاری از جنگل ها باید مستقر شوند، بدانید که کدام الزامات برای خودمختاری و انزوا، هر گروه سازمان را ایجاد می کند و سپس تمام این الزامات در طرح های مدل های جنگل پیاده سازی می شود. شما نباید فراموش کنید که شما یک جنگل را تقسیم می کنید، برای دو نفر بسیار دشوار است. هنگام توسعه جنگل ها برای دایرکتوری سیستم عامل شبکه (NOS)، تنها یک جنگل کافی خواهد بود. در اغلب موارد، استقرار خدمات دامنه دایرکتوری فعال در یک جنگل انجام می شود، زیرا بسیاری از شرکت ها مزایای یک کاتالوگ جهانی مشترک، روابط داخلی داخلی و بخش عمومی پیکربندی نقش مهمی از جدایی کامل ایفا می کنند از تمام نقش های اداری. به منظور تعیین اینکه چگونه بسیاری از جنگل ها از سازمان شما استفاده می کنند، شرایط زیر را در نظر بگیرید:

  • نیاز به عایق بندی یا خودمختاری جنگل ها را تعیین کنید. نیاز به انزوا، انتخاب طرح ها را محدود می کند، در ارتباط با آن لازم است حداقل یک جنگل برای سازمان خود را مستقر کند؛
  • برای تعیین تعداد جنگل ها، لازم است تعادل بین هزینه ها و مزایا را پیدا کنید. مدل با یک جنگل ارزان ترین است که نیاز به کوچکترین هزینه های اداری دارد. در اولویت عملیات خودمختار با خدمات اداری، اقتصادي است که در خدمات گروه IT قابل اعتماد متوقف شود، که به شما اجازه می دهد اطلاعات را بدون هزینه مدیریت خدمات خود مدیریت کنید؛
  • دو سازمان متفاوت و مستقل فناوری اطلاعات نباید متعلق به همان جنگل باشند، زیرا اهداف گروه های فناوری اطلاعات خود می توانند اساسا از بین بروند، که موجب وقفه در روند کاری برای هر سازمان می شود. بنابراین، برخی از شرکت ها خدمات جنگل های جداگانه را در مناطق تخریب می کنند. برای بهبود امنیت شبکه داخلی، بسیاری از سازمان ها سرورها را با دسترسی مستقیم به اینترنت به طور خاص در DMZ مستقر می کنند. در عین حال، مجاز به استفاده از مدیریت کاربر و رایانه ها در دایرکتوری فعال، حفظ عایق جنگل درونی استفاده می شود؛
  • به دلایل امنیتی، دسترسی به اطلاعات شبکه خاص توصیه می شود برای ارائه واحدهای سازمانی فردی، در حالی که با استفاده از جداسازی کامل داده های شبکه، جایی که اطلاعات مربوط به یک جنگل در دیگری نمایش داده نمی شود. این امر برای انتقال اداره خدمات به شرکای خارجی نامناسب است، به خصوص اگر آن را به یک سازمان چند ملیتی در کشورهای مختلف یا مناطق مربوطه مربوط می شود. با توجه به این واقعیت که اقدامات برخی از شرکا ممکن است بر خدمات ارائه شده توسط دیگران تاثیر بگذارد، شرکا باید با توافق سطح خدمات مطابقت داشته باشند، زیرا این گروه ها نمی توانند از یکدیگر جدا شوند، زیرا در داخل جنگل تمام دامنه ها از ارتباطات محرمانه تر استفاده می کنند؛
  • هنگام استفاده از یک طرح کاربردی منحصر به فرد برنامه کاربردی، با تغییرات ناسازگار در طرح تقسیمات مختلف در سازمان، ترجیح داده می شود که جنگل های جداگانه ایجاد شود؛
  • جنگل های جداگانه نیز مستقر هستند اگر واحد سازمانی با دولت متمرکز کار نمی کند یا روش های اداری متمرکز را انجام نمی دهد.

تعریف مدل جنگل

پس از طراحی خدمات کاتالوگ توسط تعداد جنگل ها تعیین شد، یکی از مدل های چهار مدل جنگل زیر انتخاب شده است:

  • مدل یک جنگل؛
  • سازمان مدل جنگل؛
  • مدل جنگل منابع؛
  • مدل جنگل با دسترسی محدود\u003e؟ / لی

مدل یک جنگل

این مدل ساده ترین مدل جنگل است و در سطح پایین در نظر گرفته شده است، زیرا تمام اشیاء دایرکتوری متعلق به همان جنگل هستند و تمام منابع شبکه کنترل یک گروه IT متمرکز شده است. چنین پروژه ای نیاز به حداقل هزینه های اداری دارد و بیشترین هزینه را در میان تمام مدل ها در نظر گرفته است. مدل یک جنگل انتخاب خوبی برای سازمان های کوچک و متوسط \u200b\u200bاست، جایی که تنها یک گروه IT عمل می کند و تمام شاخه های آن توسط این گروه از اداره مرکزی اداره می شود.

شکل. 1. مدل یک جنگل

فواید معایب
امکان همکاری. ایمیل های مبادله؛ شبکه اینترنت به اشتراک گذاشته شده؛ اسناد عمومی؛ احراز هویت عمومی، مجوز و مکانیزم جستجو.ناتوانی در اطمینان از. ناتوانی در تضمین استقلال خدمات یک جنگل، اگر هیچ رضایت برای پیکربندی پیکربندی سرویس وجود ندارد.
احراز هویت Kerberos. احراز هویت متقابل و اعطای قدرت را فراهم می کند.جداسازی از صاحبان خدمات غیرممکن است. مدیر این سازمان ممکن است تنظیمات امنیتی تعیین شده توسط صاحبان دامنه های فردی را لغو کند.
روابط اعتماد انتقال اتوماتیک. بین تمام دامنه های جنگل روابط اعتماد ترجیحی را در نظم سلسله مراتبی ایجاد کرد.مشکلات تکراری به دلیل حجم کل کاتالوگ. مشکل اطلاعات سطح جنگل به تکرار، به ویژه داده های پیکربندی و طرح؛ مشکل تکثیر اطلاعات دایرکتوری جهانی به تمام سرورهای کاتالوگ های جنگل های جهانی؛ با بیش از حد اطلاعات، تکرار آهسته غیر قابل قبول می شود
یک کاتالوگ شیء جهانی. اطلاعات تمام اشیاء جنگل در دایرکتوری که می توانید جستجو کنید ذخیره می شود

سازمان مدل جنگل

مطابق با این مدل، یک جنگل جداگانه از دایرکتوری فعال برای هر واحد ایجاد می شود، مدل جنگل بر اساس معیارهای سازماندهی خاص طراحی شده است. این امر استقلال و جداسازی داده ها یا خدمات واحدهای سازمان را فراهم می کند، در حالی که جنگل به گونه ای پیکربندی شده است که از خارج از خارج دسترسی ندارد. مدیران می توانند دسترسی به منابع را در جنگل دیگری فراهم کنند. در صورت لزوم، واحدها ممکن است ارتباطات اعتماد با سایر جنگل ها برای استفاده کلی از منابع داشته باشند. حساب ها، منابع و مدیریت آنها، در این مدل به طور مستقل انجام می شود.

شکل. 2. سازمان مدل جنگل

فواید معایب
استقلال از صاحبان خدمات. هر واحد سازمانی دارای جنگل خود است که استقلال داده ها و خدمات را تضمین می کند.پیاده سازی هزینه بالا. گران ترین مدل از نقطه نظر مدیریت مرتبط با آموزش همراهان، نصب سخت افزار و نرم افزار اضافی است.
. داده ها و خدمات به طور کامل از صاحب یک واحد سازمانی جداگانه جدا شده اند.
. یک عضو از هر جنگل نمی تواند به طور خودکار در همه روابط اعتماد بین جنگل ها باشد؛ افزایش کنترل روابط اعتماد.

این مدل را می توان در شرکت های بسیاری از واحدهای سازمانی مورد استفاده قرار داد، در شرکت هایی که واحدهای فردی در مناطق مختلف سازمان هایی که توسط ادغام یا خرید تشکیل شده اند ارسال می شود.

منابع مدل جنگل

این مدل اجازه می دهد تا تقسیمات برای به اشتراک گذاشتن یک جنگل از یک گروه جداگانه IT، در حالی که سایر واحدهای جداسازی یا خودمختاری می توانند یک جنگل جداگانه را مستقر کنند. مدیریت منابع در این مدل با استفاده از یک جنگل جداگانه انجام می شود که شامل حسابهای دیگر نیست، به جز موارد لازم برای اداره خدمات و دسترسی جایگزین به منابع در جنگل. برای دسترسی به دیگر جنگل ها، روابط اعتماد بین آنها بین آنها ایجاد می شود. در بیشتر موارد، پیوند اعتماد به نفس یک طرفه پیکربندی شده است، هرچند روابط اعتماد دوجانبه حذف نمی شود، اعتماد خارجی با احراز هویت انتخابی. مدیریت حساب های کاربری و گروه ها از مدیریت منابع جدا شده از طریق ایجاد جنگل های فردی برای هر تابع جدا شده اند. منابع مشترک در سرورها در یک یا چند جنگل منابع پیکربندی شده اند.

شکل. 3. منابع مدل جنگل

فواید معایب
کاهش هزینه ها به دلیل استفاده کلی از منابع. استفاده از مزایای کاتالوگ جهانی اشیاء؛ هزینه های مرتبط با مدیریت جنگل کاهش می یابد.پیاده سازی هزینه بالا
استقلال از صاحبان خدمات. اطمینان از استقلال کامل داده های واحد سازمانی در هنگام استفاده از یک جنگل جدید.عدم وجود یک کاتالوگ شیء جهانی. هیچ تکرار کاتالوگ های جهانی بین جنگل ها وجود ندارد.
جداسازی از صاحبان خدمات. اطمینان از جداسازی داده های واحد سازمانی کامل در هنگام استفاده از یک جنگل جدید.متاسفانه برای سازمان های در حال توسعه. اگر تغییرات قابل توجهی وجود داشته باشد، حضور بسیاری از جنگل ها منجر به حرکت مکرر داده ها از یک جنگل به دیگری می شود.
ایجاد صریح روابط اعتماد. عضو هر جنگل نمی تواند به طور خودکار در روابط اعتماد بین جنگل ها باشد.

مدل جنگل با دسترسی محدود

این مدل نوعی از مدل سازمانی جنگل ها را فراهم می کند. این یک جنگل جداگانه برای ذخیره سازی حساب های کاربری و منابع مشترک، جدا شده از سایر بخش ها ایجاد می کند. این جنگل از جنگل های سازمانی متفاوت است، در حالی که یک رابطه اعتماد نمی تواند بین دو حوزه پیکربندی شود. این انزوای اداری را فراهم می کند. به عبارت دیگر، حساب های کاربر کسب و کار خارج از جنگل اجازه یا حقوق دسترسی داده ها را در این جنگل ندارند و باید یک حساب جداگانه برای دسترسی به جنگل با دسترسی محدود اعمال کنند. با استفاده از این مدل، یک جنگل جداگانه با حساب های کاربری و داده ها، جدا شده از بقیه سازمان ایجاد می شود. مدل جنگل دانا، انزوا اطلاعات را در نقض حریم خصوصی با عواقب جدی ارائه می دهد. فقدان روابط اعتماد به نفس باعث می شود که کاربران با سایر جنگل ها به داده های دسترسی محدود ارائه دهند.

شکل. 4. مدل جنگل با دسترسی محدود

فواید معایب
جداسازی کامل منابع. برای ذخیره سازی حساب های کاربر و منابع به اشتراک گذاشته شده، جنگل های عایق جداگانه ایجاد می شوند.بدون اعتماد به نفس. ناتوانی در ارائه منابع یک جنگل برای کاربران دیگر جنگل ها.
انزوای اداری. حساب های کاربر خارج از جنگل با دسترسی محدود مجوز یا دسترسی به هر گونه اطلاعاتی در این جنگل ندارند.ایجاد حساب های جداگانه. کاربران یک حساب کاربری برای دسترسی به منابع مشترک و یک حساب جداگانه برای دسترسی به اطلاعات مخفی دارند و باید دو ایستگاه کاری مختلفی داشته باشند، یکی از آنها متصل به سازمان جنگل، و دیگری به جنگل با دسترسی محدود است.
ارائه جداسازی داده ها. برای از بین بردن عواقب جدی در نقض محرمانه بودن اطلاعات پروژه.پیاده سازی هزینه بالا. هزینه های اداری نسبت به تعداد جنگل های ایجاد شده به دلیل آموزش پرسنل، سخت افزار و نرم افزار اضافی افزایش می یابد.
پشتیبانی از شبکه فیزیکی. سازمان هایی که در پروژه های مخفی کار می کنند، جنگل ها را با دسترسی محدود در شبکه های فردی برای حمایت از امنیت ایجاد می کنند.هیچ احراز هویت Kerberos بین پیش فرض جنگل. دو جنگل نمی توانند از پروتکل Kerberos برای احراز هویت به طور پیش فرض استفاده کنند.
عدم وجود یک کاتالوگ شیء جهانی. هیچ تکرار کاتالوگ های جهانی بین جنگل ها وجود ندارد.
اشتراک گذاری.
اشتراک گذاری.
توییت.
پسندیدن
پسندیدن

همچنین بخوانید

زنگ.

کسانی هستند که این خبر را قبل از شما خوانده اند.
مشترک شدن برای دریافت مقالات تازه.
پست الکترونیک
نام
نام خانوادگی
چگونه می خواهید زنگ را بخوانید
بدون هرزنامه