La cloche.

Il y a ceux qui ont lu cette nouvelle devant vous.
Abonnez-vous pour recevoir des articles frais.
E-mail
Nom
Nom de famille
Comment voulez-vous lire la cloche
Sans spam

Introduction aux concepts de base de Active Directory. Active Directory Mots simples (base) Quels sont différents domaines des forêts

Partager.
Partager.
Tweet.
Comme.
Comme.

Dans nos documents passés, nous avons démantelé des questions générales sur les répertoires et Active Directory. Maintenant, il est temps d'aller à la pratique. Mais ne vous dépêchez pas de fonctionner au serveur, avant de déployer une structure de domaine sur votre réseau, il est nécessaire de planifier et d'avoir une idée précise de la nomination de serveurs individuels et de processus d'interaction entre eux.

Avant de créer votre premier contrôleur de domaine, vous devez décider de son mode de fonctionnement. Le mode de fonctionnement détermine les capacités disponibles et dépend de la version du système d'exploitation utilisé. Nous ne considérerons pas tous les modes possibles, à l'exception de ceux qui ont une pertinence pour le moment. Ces modes sont trois: Windows Server 2003, 2008 et 2008 R2.

Le mode Windows Server 2003 doit être sélectionné uniquement lorsque le serveur est déjà déployé dans votre infrastructure sur ce système d'exploitation et il est prévu d'utiliser un ou plusieurs serveurs de ce type en tant que contrôleurs de domaine. Dans d'autres cas, vous devez sélectionner le mode Windows Server 2008 ou 2008 R2 en fonction des licences achetées. Il convient de rappeler que le mode de fonctionnement du domaine peut toujours être soulevé, mais il ne sera pas possible de la baisser (sauf que la restauration de la sauvegarde), donc approche de cette question causant, en tenant compte des extensions possibles, des licences dans branches, etc. etc.

Nous n'envisagerons pas non plus le processus de création d'un contrôleur de domaine en détail, nous reviendrons à ce sujet plus tard, et nous souhaitons maintenant attirer votre attention sur le fait que, dans la structure Active Directory à part entière des contrôleurs de domaine. pas moins de deux. Sinon, vous êtes soumis à des risques inutiles, car en cas de refus du contrôleur de domaine unique, votre Structure Adra entièrement détruit. Eh bien, s'il y a une sauvegarde actuelle et qu'il sera possible de se remettre de celui-ci, en tout état de cause, tout ce temps sera complètement paralysé.

Par conséquent, immédiatement après la création du premier contrôleur de domaine, vous devez déployer la seconde, quelle que soit la taille du réseau et du budget. Le deuxième contrôleur doit être fourni au stade de la planification et sans cela pour le déploiement de l'annonce ne devrait même pas être pris. En outre, il n'est pas nécessaire de combiner le rôle du contrôleur de domaine avec aucun autre rôles de serveur, afin d'assurer la fiabilité des opérations avec la base de publicité sur le disque, la mise en cache d'enregistrement est désactivée, ce qui entraîne une chute forte Les performances du sous-système de disque (ceci explique la charge longue des contrôleurs de domaine).

En conséquence, notre réseau devrait prendre le formulaire suivant:

Contrairement à la croyance populaire, tous les contrôleurs du domaine sont équivalents, c'est-à-dire Chaque contrôleur contient des informations complètes sur tous les objets de domaine et peut servir une demande client. Mais cela ne signifie pas que les contrôleurs sont interchangeables, le manque de compréhension de ce moment conduit souvent à la défaillance de l'AD et du réseau à pied de l'entreprise. Pourquoi cela arrive-t-il? Il est temps de se souvenir du rôle de la FSMO.

Lorsque nous créons le premier contrôleur, il contient tous les rôles disponibles et est également un catalogue global, avec l'avènement du deuxième contrôleur, le rôle du propriétaire de l'infrastructure, l'hôte RLD et l'émulateur PDC sont transmis. Que se passera-t-il si l'administrateur a décidé de désactiver temporairement le serveur DC1, par exemple, de brosser la poussière? À première vue, rien n'est terrible, le domaine ira à «Lecture seule», mais cela fonctionnera. Mais nous avons oublié le répertoire global et si les candidatures sont déployées dans votre réseau nécessitant sa disponibilité, par exemple Exchange, vous en découvrirez plus tôt que vous ne supprimerez la couverture du serveur. Apprenez des utilisateurs insatisfaits, et le leadership est peu probable de venir ravir.

D'après ce qui suit la conclusion: il doit y avoir au moins deux catalogues mondiaux dans la forêt et le meilleur de tous dans chaque domaine. Depuis que nous avons un domaine dans la Forest One, les deux serveurs devraient être des répertoires mondiaux, cela vous permettra de générer l'un des serveurs de prévention, l'absence temporaire de tous les rôles de la FSMO ne conduit pas à une défaillance publicitaire, mais ne rend impossible que créer de nouveaux objets.

En tant qu'administrateur de domaine, vous devez clairement savoir comment les rôles FSMO sont distribués entre vos serveurs et lors de l'affichage d'un serveur de fonctionnement pendant une longue période pour transmettre ces rôles à d'autres serveurs. Et que se passera-t-il si le serveur contient le rôle de FSMO irréversiblement échoue? Comme nous l'avons déjà écrit, tout contrôleur de domaine contient toutes les informations nécessaires et si une telle nuisance est déjà arrivée, vous devrez capturer les rôles nécessaires avec l'un des contrôleurs, cela vous permettra de restaurer le travail complet de le service d'annuaire.

Cela prend du temps, votre organisation augmente et une branche apparaît à l'autre bout de la ville et il est nécessaire d'inclure leur réseau dans l'infrastructure globale de l'entreprise. À première vue, rien compliqué, vous configurez le canal de communication entre les bureaux et placez un contrôleur supplémentaire. Tout est bon, mais il y en a un mais. Vous ne pouvez pas contrôler ce serveur et donc un accès non autorisé à celui-ci n'est pas exclu et que l'administrateur local vous fait doutes sur ses qualifications. Comment être dans une telle situation? À ces fins, il existe un type spécial de contrôleur spécifiquement: contrôleur de domaine disponible sur juste lire (Rodc)Cette fonctionnalité est disponible dans les modes de fonctionnement de domaine commençant par Windows Server 2008 et supérieur.

Le contrôleur de domaine est en lecture seule contient une copie complète de tous les objets de domaine et peut être un répertoire global, mais cela ne permet aucune modification de la structure de la publicité, vous permet également d'attribuer n'importe quel utilisateur à un administrateur local, ce qui le permettra. Pour maintenir pleinement ce serveur, mais encore une fois sans accès aux services de publicité. Dans notre cas, c'est ce que "médecin prescrit".

Nous sommes installés dans la branche Rodc, tout fonctionne, vous êtes calme, mais les utilisateurs commencent à se plaindre de la longue entrée dans le système et les factures de trafic à la fin du mois de montrage. Que ce passe-t-il? Il est temps de se souvenir d'une fois de plus sur le contrôleur équivalent du domaine, le client peut envoyer sa demande à n'importe quel contrôleur de domaine, même dans une autre branche. Prenez en compte le lent et, avec une probabilité élevée, le canal de communication téléchargé est la raison du retard d'entrée.

La réplication de la vie d'empoisonnement des facteurs suivants dans cette situation. Comme vous le savez, toutes les modifications apportées sur l'un des contrôleurs de domaine sont automatiquement distribuées aux autres et s'appelle ce processus de réplication, il vous permet d'avoir une copie pertinente et cohérente des données sur chaque contrôleur. Le service de réplication ne connaît pas notre branche et notre canal de communication lente et donc toutes les modifications du bureau seront immédiatement reproduites à la branche, chargant le canal et augmenter le flux de trafic.

Nous nous sommes approchés ici du concept de sites publicitaires qui ne devraient pas être confondus avec des sites Internet. Sites Active Directory Une méthode de division physique de la structure du service d'annuaire sur la zone séparée d'autres zones par des canaux de communication lente et / ou instable. Des sites sont créés sur la base des sous-réseaux et toutes les demandes de client sont envoyées principalement aux contrôleurs de leur site, il est également extrêmement souhaitable de disposer de son répertoire mondial sur chaque site. Dans notre cas, vous devrez créer deux sites: Site d'annonce 1. Pour le bureau central et Site Ad. Pour une branche, plus précisément, une, car par défaut, la structure de la publicité contient déjà le site, qui inclut tous les objets créés précédemment. Pensez maintenant à ce que la réplication du réseau se passe avec plusieurs sites.

Nous supposons que notre organisation a grandi un peu et que le bureau principal contient tout le contrôleur de domaine complet, la réplication entre les contrôleurs d'un site est appelée. intrasite et se produit instantanément. La topologie de réplication est basée sur le schéma anneau avec la condition de sorte qu'il n'y ait pas plus de trois étapes de réplication entre tous les contrôleurs de domaine. Le circuit de l'anneau est enregistré jusqu'à 7 contrôleurs inclus, chaque contrôleur établit une connexion avec deux voisins les plus proches, avec plus de contrôleurs, des connexions supplémentaires apparaissent et la bague totale, car elle se transforme en groupe de bagues superposées.

Intersayte. La réplication se produit autrement, dans chaque domaine, l'un des serveurs (Server-Bridgehead) est automatiquement sélectionné qui établit une connexion avec un serveur similaire d'un autre site. La réplication par défaut se produit une fois toutes les 3 heures (180 minutes). Cependant, nous pouvons installer votre propre calendrier de réplication et économiser du trafic, toutes les données sont transmises sous une forme compressée. S'il n'y a que Rodc sur le site, la réplication se produit unidirectionnelle.

Bien sûr, nous ne sommes affectés que par les thèmes de très profond et dans ce matériau, nous ne les avons touchés que légèrement, mais il s'agit des connaissances minimales nécessaires pour que vous ayez besoin d'une mise en œuvre pratique de la Dirroie active dans l'infrastructure d'entreprise. Cela évitera des erreurs stupides lors du déploiement et du déploiement de situations lors de l'entretien et de l'expansion de la structure, et chacun des sujets surélevés sera discuté plus en détail.

Qu'est-ce qui va aider Active Directory. spécialistes?

je donnerai une petite liste de "délicieux", qui peut être obtenu en déployant Active Directory:

  • une seule base de données d'enregistrement de l'utilisateur, qui est stockée de manière centralisée sur un ou plusieurs serveurs; Ainsi, lorsque le nouvel employé apparaît dans le bureau, vous n'aurez besoin que de l'apporter un compte sur le serveur et de spécifier les stations de travail qu'il peut accéder;
  • Étant donné que toutes les ressources du domaine sont indexées, il permet de rechercher simplement et rapidement des utilisateurs; Par exemple, si vous avez besoin de trouver une imprimante couleur dans le département;
  • l'ensemble des permis NTFS, les politiques de groupe et la délégation de la direction vous permettront de régler et de distribuer les droits entre les participants du domaine;
  • les profils d'utilisateurs mobiles permettent de stocker des informations importantes et des paramètres de configuration sur le serveur; En fait, si un utilisateur avec un profil déplacé dans le domaine mourra fonctionner sur un autre ordinateur et introduit son nom d'utilisateur et son mot de passe, il verra son bureau avec les réglages familiers;
  • utilisation des stratégies de groupe, vous pouvez modifier les paramètres des systèmes d'exploitation de l'utilisateur, pour résoudre l'utilisateur à installer le papier peint sur le bureau avant les paramètres de sécurité, ainsi que de diffuser des logiciels logiciels, tels que le client Volume Shadow Copy Client, etc.
  • de nombreux programmes (serveurs de proxy, serveurs de base de données DR.) Non seulement la production de Microsoft a appris aujourd'hui à utiliser l'authentification de domaine. Vous n'avez donc pas besoin de créer une autre base de données d'utilisateurs et que vous pouvez utiliser l'existence;
  • l'utilisation de services d'installation à distance facilite l'installation de systèmes sur des emplois, mais cela ne fonctionne à son tour que lorsque le service d'annuaire est implémenté.

Et ce n'est pas une liste complète des fonctionnalités, mais c'est plus tard. Maintenant, je vais essayer de dire à la logique de la construction Active Directory.Mais encore une fois, il vaut la peine de trouver de ce que nos garçons sont faits de quoi Active Directory. - Ce sont des domaines, des arbres, des forêts, des unités organisationnelles, des groupes d'utilisateurs et des ordinateurs.

Domaines -C'est la principale unité logique de la construction. En comparaison avec les groupes de travail domaines AD. - Ce sont un groupe de sécurité qui possède une seule base de données d'enregistrement, tandis que les groupes de travail ne sont qu'une association logique de machines. AD utilise DNS Nommage et DNS (DOMAN NAME Server), pas WINS (Windows Internet Nom Service - Noms Internet), comme il se trouvait dans les premières versions NT. Ainsi, les noms des ordinateurs du domaine ont la forme, par exemple, buh.work.com, où BUH est le nom de l'ordinateur dans le domaine Work.com (bien que ce ne soit pas toujours le cas).

Les groupes de travail utilisent des noms NetBIOS. Placer une structure de domaine UN D Il est possible d'utiliser le serveur DNS non par Microsoft. Mais il doit être compatible avec la liaison 8.1.2 ou la hausse et la prise en charge des enregistrements SRV (), ainsi qu'un protocole d'enregistrement dynamique (RFC 2136). Chaque domaine comporte au moins un contrôleur de domaine sur lequel se trouve la base de données centrale.

Des arbres -Ce sont des structures multidimensionnelles. La racine d'une telle structure est le domaine principal pour lequel vous créez des filiales. En fait, Active Directory utilise un système de construction hiérarchique similaire à la structure des domaines dans DNS.

Si nous avons un domaine de travail.com (domaine de premier niveau) et créons-lui deux filiales First.work.com et second.work.com (ici premier et second sont les domaines de deuxième niveau, et non un ordinateur dans le domaine, Comme dans le cas décrit ci-dessus), alors à la fin, nous obtiendrons l'arborescence de domaine.

Les arbres comme une construction logique sont utilisés lorsque vous devez diviser les branches de la société, par exemple, par des caractéristiques géographiques ou d'autres considérations organisationnelles.

UN D Il aide à créer automatiquement une relation de confiance entre chaque domaine et ses filiales.

Ainsi, la création du domaine First.work.com conduit à l'organisation automatique des relations de confiance bilatérales entre les parents.com et l'enfant First.work.com (semblable à et pour second.work.com). Par conséquent, les permis d'une filiale peuvent être appliqués à partir du domaine parent et inversement. Il n'est pas difficile de supposer qu'une relation de confiance existe pour les filiales.

La transitivité est une autre propriété de relations de confiance. Nous obtenons - pour le domaine net.first.work.com est créé relation de confiance avec le domaine work.com.

Forêt -Donc, comme les arbres sont des structures multi-domestiques. Mais forêt - C'est la combinaison d'arbres avec des domaines racinaires différents.

Supposons que vous décidiez plusieurs domaines avec Work.com et des noms Home.Net et créez des filiales pour eux, mais en raison du fait que TLD (domaine de niveau supérieur) n'est pas dans votre contrôle, dans ce cas, vous pouvez organiser une forêt en choisissant L'un des domaines de premier niveau est la racine. L'ensemble du charme de la création de la forêt dans ce cas est une relation de confiance aux deux côtés entre les deux domaines et leurs filiales.

Cependant, lorsque vous travaillez avec des forêts et des arbres, il est nécessaire de rappeler les éléments suivants:

  • vous ne pouvez pas ajouter de domaine existant à l'arborescence
  • il est impossible d'inclure un arbre existant dans la forêt
  • si les domaines sont placés dans la forêt, ils ne peuvent pas être déplacés vers une autre forêt
  • vous ne pouvez pas supprimer un domaine ayant des filiales

Unités organisationnelles - Le principe peut être appelé sous-domaines. Autoriser les utilisateurs des comptes d'utilisateurs de domaine, des groupes d'utilisateurs, des ordinateurs, des ressources partagées, des imprimantes et d'autres ou d'autres OU (unités organisationnelles). Les avantages pratiques de leur application consistent en la possibilité de déléguer les droits d'administrer ces unités.

Mettez simplement, vous pouvez attribuer un administrateur dans un domaine capable de gérer ou non d'avoir des droits d'administration de l'ensemble du domaine.

Une caractéristique importante de l'OU contrairement aux groupes est la possibilité d'appliquer des politiques de groupe. "Et pourquoi n'est-il pas possible de casser le domaine d'origine en plusieurs domaines au lieu d'utiliser ou?" - tu demandes.

De nombreux experts conseillent d'avoir un domaine. La raison en est de décentraliser l'administration lors de la création d'un domaine supplémentaire, car les administrateurs de chacun de ces domaines reçoivent un contrôle illimité (je vais vous rappeler que lors de la délégation des droits des administrateurs de l'entreprise, vous pouvez limiter leur fonctionnement.

En plus de cela, un autre contrôleur sera nécessaire pour créer un nouveau domaine (même une filiale). Si vous avez deux divisions distinctes reliées par un canal de communication lente, des problèmes de réplication peuvent survenir. Dans ce cas, deux domaines seront plus appropriés.

Il existe également une autre application Nuance des politiques de groupe: les stratégies qui définissent les paramètres de mot de passe et les comptes de blocage ne peuvent être utilisées que pour les domaines. Pour ou, ces paramètres de stratégie sont ignorés.

Des sites -C'est un moyen de diviser physiquement le service d'annuaire. Par définition, le site est un groupe d'ordinateurs connectés par des canaux de données rapides.

Si vous avez plusieurs branches à différentes extrémités du pays connectées par des lignes de communication à basse vitesse, vous pouvez alors créer votre propre site Web. Il est fait pour augmenter la fiabilité de la réplication des répertoires.

Cette annonce de partitionnement n'affecte pas les principes de la construction logique. Par conséquent, le site peut contenir plusieurs domaines et, au contraire, le domaine peut contenir plusieurs sites. Mais une telle topologie du service de catalogue est Tait. En règle générale, Internet est utilisé pour communiquer avec les succursales - un support très dangereux. De nombreuses entreprises utilisent des outils de protection, tels que des pare-feu. Le service d'annuaire dans ses travaux utilise environ une douzaine de ports et de services, dont l'ouverture permettant de transmettre le trafic publicitaire via le pare-feu, en fait l'exposera à «sortir». La résolution de problèmes est l'utilisation de la technologie de tunneling, ainsi que la disponibilité d'un contrôleur de domaine dans chaque site afin d'accélérer le traitement des demandes de clients de la publicité.

La logique de la nidification des composants du service d'annuaire est présentée. On peut voir que la forêt contient deux bois d'arbre dans lesquels le domaine racine de l'arbre peut à son tour contenir ou des groupes d'objets, ainsi que des filiales (dans ce cas, chacune). Les domaines de la fille peuvent également contenir des groupes d'objets et une entreprise et avoir des filiales (il n'y en a pas sur la figure). Etc. Permettez-moi de vous rappeler que l'OU peut contenir ou, des objets et des groupes d'objets, et des groupes peuvent contenir d'autres groupes.

Groupes d'utilisateurs et d'ordinateurs -utilisé à des fins administratives et avoir la même signification que lorsqu'il est utilisé sur des machines locales sur le réseau. Contrairement à l'OU, les stratégies de groupe ne peuvent pas être appliquées aux groupes, mais le contrôle peut être délégué pour eux. Dans le cadre du schéma Active Directory, deux types de groupes sont distingués: des groupes de sécurité (s'appliquent aux droits d'accès Delimit aux objets de réseau) et aux groupes de distribution (utilisés principalement pour distribuer des messages électroniques, par exemple, dans le serveur Microsoft Exchange).

Ils sont divisés par la zone d'action:

  • groupes universels peut inclure des utilisateurs dans la forêt, ainsi que d'autres groupes universels ou groupes mondiaux de n'importe quel domaine dans la forêt.
  • groupes de domaine mondiaux Peut inclure des utilisateurs de domaine et d'autres groupes mondiaux du même domaine
  • groupes locaux de domaine Utilisé pour délimiter les droits d'accès, peut inclure des utilisateurs de domaine, ainsi que des groupes universels et des groupes mondiaux de n'importe quel domaine dans la forêt.
  • groupes locaux d'ordinateurs - Les groupes contenant SAM (gestionnaire de comptes de sécurité) d'une machine locale. La région de leur distribution n'est limitée que par cette machine, mais elle peut inclure des groupes de domaine locaux dans lesquels l'ordinateur est situé, ainsi que des groupes universels et mondiaux de leur domaine ou de l'autre auquel ils ont confiance. Par exemple, vous pouvez activer l'utilisateur du groupe d'utilisateurs local de domaine au groupe Administrateurs de la machine locale, lui donnant ainsi des droits d'administrateur, mais uniquement pour cet ordinateur.

Le domaine est la principale unité administrative de l'infrastructure réseau de l'entreprise, qui inclut tous les objets réseau, tels que les utilisateurs, les ordinateurs, les imprimantes, les ressources partagées, etc. L'agrégat (hiérarchie) des domaines s'appelle forêt. Chaque entreprise peut avoir un domaine externe et interne.

Par exemple, le site est un domaine externe sur Internet, acheté auprès du greffier de virus. Dans ce domaine, vous trouverez notre site Web et notre serveur de messagerie. LANKEY.LOCAL est un domaine de service de domaine Active Directory, qui héberge des comptes d'utilisateur, des ordinateurs, des imprimantes, des serveurs et des applications d'entreprise. Parfois, les noms de domaine externes et internes sont faits de la même manière.

Microsoft Active Directory est devenu la norme du catalogue unique de l'entreprise. Domaine Active Directory a été introduit dans presque toutes les entreprises du monde et sur ce marché, Microsoft n'a presque plus aucun concurrent, la part du même service d'annuaire Novell (NDS) est négligeable et les sociétés restantes migrent progressivement sur Active Directory. .

Active Directory est une base de données distribuée contenant tous les objets de domaine. L'environnement de domaine Active Directory est un point unique d'authentification et d'autorisation d'utilisateurs et d'applications à travers l'entreprise. Il provient de l'organisation du domaine et du déploiement Active Directory commence à construire une infrastructure informatique de l'entreprise. La base de données Active Directory est stockée sur des serveurs dédiés - des contrôleurs de domaine. Le service Active Directory est le rôle des systèmes d'exploitation de serveur Microsoft Windows Server. Pour le moment, Lanka est introduite par des domaines Active Directory basés sur le système d'exploitation R2 de Windows Server 2008 R2.

Le déploiement du service d'annuaire Active Directory Par rapport au groupe de travail (groupe de travail) donne les avantages suivants:

  • Point d'authentification unifié. Lorsque les ordinateurs fonctionnent dans le groupe de travail, ils ne disposent pas d'une seule base de données utilisateur, chaque ordinateur possède son propre ordinateur. Par conséquent, par défaut, aucun des utilisateurs n'a accès au réseau à un autre utilisateur ou au serveur. Et comme vous le savez, le sens du réseau est juste que les utilisateurs peuvent interagir. Les employés exigent un accès conjoint aux documents ou aux applications. Dans un groupe de travail sur chaque ordinateur ou serveur, vous devrez ajouter manuellement une liste complète des utilisateurs qui ont besoin d'un accès réseau. Si soudainement, l'un des employés voudra changer de mot de passe, il devra être modifié sur tous les ordinateurs et serveurs. Eh bien, si le réseau est composé de 10 ordinateurs, mais s'il y a 100 ou 1 000, l'utilisation du groupe de travail sera inacceptable. Lorsque vous utilisez le domaine Active Directory, tous les comptes d'utilisateurs sont stockés dans une seule base de données et tous les ordinateurs se tournent vers l'autorisation. Tous les utilisateurs de domaine sont inclus dans les groupes concernés, par exemple, "Comptabilité", "Cadres", "Département financier", etc. Il suffit de demander aux autorisations une fois pour certains groupes, et tous les utilisateurs recevront un accès approprié aux documents et aux applications. Si un nouvel employé vient à la société, le compte est créé, qui est inclus dans le groupe concerné, et c'est tout! Après quelques minutes, le nouvel employé a accès à toutes les ressources du réseau auxquelles elle doit être autorisée à accéder, sur tous les serveurs et ordinateurs. Si un employé est renvoyé, il suffit de bloquer ou de supprimer son compte, et il perdra immédiatement l'accès à tous les ordinateurs, documents et applications.
  • Point de gestion des politiques unifiées. Dans un réseau peer-to-peer (groupe de travail), tous les ordinateurs sont égaux. Aucun des ordinateurs ne peut gérer d'autres personnes, tous les ordinateurs sont configurés de différentes manières, il est impossible de contrôler ni de respecter les politiques uniformes ni les règles de sécurité. Lorsque vous utilisez un seul répertoire Active Directory, tous les utilisateurs et ordinateurs sont distribués hiérarchiquement par des unités organisationnelles, qui utilisent des stratégies de groupe uniforme. Les politiciens vous permettent de définir des paramètres uniformes et des paramètres de sécurité pour un groupe d'ordinateurs et d'utilisateurs. Lors de l'ajout d'un nouvel ordinateur ou d'un nouvel utilisateur au domaine, il reçoit automatiquement les paramètres correspondant aux normes d'entreprise acceptées. L'utilisation de stratégies peut également être affectée de manière centralisée aux imprimantes réseau des utilisateurs, définissez les applications nécessaires, définissez les paramètres de sécurité du navigateur Internet, configurer les applications Microsoft Office, etc.
  • Intégration avec les applications et l'équipement d'entreprise. Le gros avantage de Active Directory est une norme LDAP supportée par des centaines d'applications, telles que les serveurs de messagerie (Exchange, Lotus, MDaemon), ERP Systems (Dynamics, CRM), Serveurs de proxy (ISA Server, Squid), etc. et Ce n'est pas seulement des applications sous Microsoft Windows, mais également des serveurs basés sur Linux. Les avantages de cette intégration sont que l'utilisateur n'a pas besoin de se rappeler un grand nombre de connexions et de mots de passe pour accéder à une application particulière, dans toutes les applications que l'utilisateur a les mêmes informations d'identification, car Son authentification se produit dans un seul répertoire Active Directory. De plus, l'employé n'est pas tenu de saisir votre nom d'utilisateur et votre mot de passe plusieurs fois, juste lorsque vous démarrez l'ordinateur une fois connecté et à l'avenir, l'utilisateur s'authentifiera automatiquement dans toutes les applications. Windows Server à intégrer avec Active Directory fournit un protocole RADIUS, qui est pris en charge par un grand nombre d'équipements réseau. Ainsi, il est possible, par exemple, d'assurer l'authentification des utilisateurs de domaine lors de la connexion au routeur Cisco par VPN.
  • Stockage de configuration d'application unifié. Certaines applications stockent leur configuration dans Active Directory, telles que Exchange Server ou Office Communications Server. Le déploiement du service d'annuaire Active Directory est une condition préalable pour le fonctionnement de ces applications. Également dans le service d'annuaire, vous pouvez stocker la configuration du serveur de noms de domaine DNS. Stocker la configuration des applications dans le service d'annuaire est avantageuse du point de vue de la flexibilité et de la fiabilité. Par exemple, dans le cas de la défaillance complète du serveur Exchange, toute sa configuration restera intact, car Stocké dans Active Directory. Et pour restaurer la santé du courrier corporatif, il suffira de réinstaller le serveur Exchange en mode de récupération.
  • Augmentation du niveau de sécurité de l'information. Utiliser Active Directory améliore considérablement la sécurité du réseau. Tout d'abord, il s'agit d'un stockage unique et protégé des comptes. Dans un réseau peer-to-peer, les informations d'identification des utilisateurs sont stockées sur la base de données locale des comptes (SAM), que vous pouvez théoriquement pirater, sculpté l'ordinateur. Dans l'environnement de domaine, tous les mots de passe des utilisateurs de domaine sont stockés sur des serveurs de contrôleurs de domaine dédiés, généralement protégés de l'accès externe. Deuxièmement, lors de l'utilisation d'un environnement de domaine pour l'authentification, le protocole de Kerberos est utilisé, ce qui est nettement plus sûr que NTLM, utilisé dans les groupes de travail. De plus, vous pouvez utiliser une authentification à deux facteurs à l'aide de cartes à puce pour entrer dans le système. Ceux. Pour qu'un employé ait accès à un ordinateur, il sera nécessaire d'entrer votre nom d'utilisateur et votre mot de passe, ainsi que d'insérer votre carte à puce.

Évolutivité et tolérance aux pannes du service d'annuaire Active Directory

Le service d'annuaire Microsoft Active Directory dispose de vastes options d'échelle. Dans la forêt Active Directory, plus de 2 milliards d'installations peuvent être créés, ce qui vous permet de mettre en œuvre des services d'annuaire dans des entreprises de centaines de milliers d'ordinateurs et d'utilisateurs. La structure hiérarchique des domaines vous permet d'élaborer de manière flexible l'infrastructure informatique sur toutes les branches et divisions régionales des entreprises. Pour chaque branche ou division de la société, un domaine séparé peut être créé, avec ses propres politiciens, leurs utilisateurs et leurs groupes. L'autorité administrative aux administrateurs du système local peut être déléguée pour chaque domaine subsidiaire. Dans le même temps, les domaines de la fille sont obéis par le parent.

De plus, Active Directory vous permet de personnaliser la relation de confiance entre les forêts de domaine. Chaque entreprise a sa propre forêt de domaine, chacune ayant ses propres ressources. Mais il est parfois nécessaire de donner accès à leurs ressources d'entreprise aux employés des entreprises partenaires. Par exemple, avec la participation à des projets communs, les employés du partenaire des entreprises peuvent collaborer avec des documents ou des applications généraux. À cette fin, des relations confidentielles peuvent être configurées entre les forêts d'organisations, qui permettront aux employés d'une organisation d'autoriser dans le domaine d'un autre.

La tolérance à l'erreur du service d'annuaire est fournie en déployant 2 serveurs ou plus de contrôleurs de domaine dans chaque domaine. Il existe une réplication automatique de tous les changements entre les contrôleurs de domaine. En cas de défaillance de l'un des contrôleurs de domaine, le fonctionnement du réseau n'est pas violé, car Les restes restants. Un niveau supplémentaire de tolérance de défauts fournit l'emplacement des serveurs DNS sur les contrôleurs de domaine dans Active Directory, ce qui permet à chaque domaine d'obtenir plusieurs serveurs DNS servant la zone de domaine principale. Et en cas de défaillance de l'un des serveurs DNS, les travaux restants continueront de fonctionner, et ils seront disponibles, à la fois, à la fois et à l'enregistrement, qui ne peuvent pas être fournis, par exemple, le serveur de liaison DNS basé sur Linux.

Avantages de la commutation à Windows Server 2008 R2

Même si votre entreprise a déjà été déployée par le service Active Directory Directory basé sur Windows Server 2003, vous pouvez obtenir un certain nombre d'avantages en cliquant sur Windows Server 2008 R2. Windows Server 2008 R2 fournit les fonctionnalités supplémentaires suivantes:

    Le contrôleur de domaine est lu uniquement par RODC (contrôleur de domaine en lecture seule). Les contrôleurs de domaine stockent des comptes d'utilisateurs, des certificats et de nombreuses autres informations confidentielles. Si les serveurs sont situés dans le CDA protégé, la sécurité de ces informations peut être calme, mais que faire si le domaine du domaine est dans la branche d'un lieu disponible publiquement. Dans ce cas, il est possible que le serveur décoîte les attaquants et le pirater. Ensuite, utilisez ces données pour organiser l'attaque sur votre réseau d'entreprise, afin de faire du vol ou de la destruction d'informations. Il est d'empêcher de tels cas dans les branches que les contrôleurs de domaine ne sont installés que pour la lecture (RODC). Tout d'abord, les contrôleurs Rodc ne stockent pas les mots de passe utilisateur, mais ne les mettent en cache que pour accélérer l'accès, et deuxièmement, ils utilisent une réplication unilatérale, uniquement des serveurs centraux à une branche, mais pas de retour. Et même si les attaquants réveillent le contrôleur de domaine Rodc, ils ne recevront pas de mots de passe de l'utilisateur et ne peuvent pas endommager le réseau principal.

    Restaurer les objets Active Directory distants. Presque tous les administrateurs système ont été confrontés à la nécessité de restaurer le compte d'utilisateur accidentellement distant ou un groupe d'utilisateurs entier. Sous Windows 2003, il était nécessaire de restaurer le service d'annuaire de la sauvegarde, ce qui n'était souvent pas, mais même si elle était, la récupération occupait assez longtemps. Windows Server 2008 R2 possède un panier d'Active Directory. Maintenant, lorsque vous supprimez un utilisateur ou un ordinateur, il entre dans le panier, à partir duquel elle peut être restaurée dans quelques minutes dans les 180 jours tout en maintenant tous les attributs initiaux.

    Gestion simplifiée. Dans Windows Server 2008 R2, un certain nombre de modifications ont été apportées de manière significative la charge sur les administrateurs système et facilitant la gestion de l'infrastructure informatique. Par exemple, ces outils sont apparus comme suit: Audit Active Directory change, montrant qui, quoi et quand modifié; Les stratégies de complexité des mots de passe sont attribuées au niveau des groupes d'utilisateurs, auparavant, il était possible de faire uniquement au niveau de domaine; Nouvelle gestion des utilisateurs et ordinateurs; Modèles de politique; Gestion utilisant la ligne de commande PowerShell, etc.

Mise en œuvre Service d'annuaire Active Directory

Le service d'annuaire Active Directory est le cœur de l'infrastructure informatique de l'entreprise. En cas d'échec, l'ensemble du réseau, tous les serveurs, le travail de tous les utilisateurs sera paralysé. Personne ne peut entrer dans l'ordinateur, accéder à ses documents et applications. Par conséquent, le service d'annuaire doit être soigneusement conçu et déployé, en tenant compte de toutes les nuances possibles. Par exemple, la structure des sites doit être basée sur la topologie du réseau physique et la bande passante de canal entre les branches ou les bureaux de la société, car De cela dépend directement de la vitesse de connexion de l'utilisateur dans le système, ainsi que de la réplication entre les contrôleurs de domaine. De plus, sur la base de la topologie des sites Server Server 2007/2010, Mail est acheminé. Vous devez également calculer correctement le nombre et l'emplacement des serveurs de répertoires globaux qui stockent les listes de groupes universels et de nombreux autres attributs fréquemment utilisés de tous les domaines forestiers. C'est pourquoi les entreprises déposent des tâches de mise en œuvre, de réorganisation ou de migration du service d'annuaire Active Directory sur les intégrateurs de systèmes. Néanmoins, il est nécessaire de ne pas se tromper lors du choix d'un intégrateur de système, il convient de vérifier qu'il est certifié pour ce type de travail et possède les compétences pertinentes.

Lanka est un intégrateur de système certifié et possède le statut de partenaire certifié Microsoft Gold. Lanka a la compétence de la plate-forme Datacenter (solutions d'infrastructure avancées), qui confirme notre expérience et nos qualifications en matière de déploiement d'Active Directory et de la mise en œuvre des solutions Microsoft Server.


Tous les travaux dans des projets effectuent des ingénieurs Certifiés Microsoft MCSE, MCITP, qui ont une riche expérience dans des projets volumineux et complexes sur la construction d'infrastructures informatiques et implémenter des domaines Active Directory.

Lanci développera une infrastructure informatique, développera le service d'annuaire Active Directory et fournira la consolidation de toutes les ressources disponibles de l'entreprise dans un espace d'information unique. La mise en œuvre de Active Directory contribuera à réduire le coût cumulatif de la propriété du système d'information et à améliorer l'efficacité du partage des ressources partagées. Lanka fournit également des services aux domaines migrateurs, combinant et séparant les infrastructures informatiques dans les fusions et acquisitions, la maintenance et le soutien des systèmes d'information.

Exemples de projets de mise en œuvre Active Directory, mis en œuvre par Lanka:

Client Description Description

Dans le cadre de l'exécution d'une transaction pour l'achat de 100% des actions de Sibur-Founty Cadres, OJSC (a ensuite renommé OJSC "SDS-AZOT") des sociétés de portefeuille d'affaires de Sibérie en décembre 2011, il était nécessaire de Séparez l'infrastructure informatique de OAO -AZOT "du réseau tenant sibur.

La migration de Lanci a mis en place une migration du service d'annuaire Active Directory de la division de frontières de la montagne Sibur du réseau de holding Sibur vers une nouvelle infrastructure. Les comptes d'utilisateurs, les ordinateurs et les applications ont également été transférés. Selon les résultats du projet, un merci reçu du client.
Dans le cadre de la restructuration de l'entreprise, le service d'annuaire Active Directory a été déployé pour le bureau central et 50 magasins régionaux de Moscou. Le service d'annuaire a fourni une équation centralisée par toutes les ressources d'entreprise, ainsi que l'authentification et l'autorisation de tous les utilisateurs.
Dans le cadre d'un projet intégré visant à créer une infrastructure informatique de l'entreprise, LANCI a complété le domaine Active Directory pour la société de gestion et 3 divisions régionales. Un site séparé a été créé pour chaque branche, chaque site a été déployé 2 contrôleurs de domaine. Les services de certificats ont également été déployés. Tous les services ont été déployés sur les machines virtuelles exécutant Microsoft Hyper-V. La qualité des travaux de la société Lanka a été marquée d'un examen.
Dans le cadre d'un projet complet de création d'un système d'information d'entreprise, un service d'annuaire Active Directory a été déployé en fonction de Windows Server 2008 R2. Le système a été déployé à l'aide de la technologie de virtualisation du serveur exécutant Microsoft Hyper-V. Le service d'annuaire fournissait une authentification uniforme et une autorisation de tous les employés de l'hôpital et la balise a fourni le fonctionnement d'applications telles que Exchange, TMG, SQL, etc.



Le service d'annuaire Active Directory est effectué sur la base de données Windows Server 2008 R2. Afin de réduire les coûts, l'installation est fabriquée dans le système de virtualisation du serveur basé sur Microsoft Hyper-V.
Dans le cadre d'un projet complet visant à créer une infrastructure informatique de l'entreprise, un service d'annuaire sur Windows Server 2008 R2 a été déployé. Tous les contrôleurs de domaine ont été déployés à l'aide du système de virtualisation du serveur Microsoft Hyper-V. La qualité du travail est confirmée à partir des commentaires des clients.


Dans le temps le plus court possible, les performances du service d'annuaire Active Directory sont restaurées dans la situation critique pour les entreprises. Spécialistes "Lanka" Il suffit de restaurer la performance du domaine racine et a écrit les instructions de récupération des unités de branche de réplication 80. Pour que l'efficacité et la qualité des travaux du client aient été examinées.
Dans le cadre d'un projet intégré pour la création d'une infrastructure informatique, le domaine Active Directory basé sur Windows Server 2008 R2 a été déployé. Les performances du service d'annuaire ont été fournies à l'aide de 5 contrôleurs de domaine déployés sur un cluster de machines virtuelles. La sauvegarde du service d'annuaire a été mise en œuvre à l'aide de Microsoft Data Protection Manager 2010. La qualité des travaux est confirmée par l'examen.

Dans le cadre d'un projet complet de construction d'un système d'information d'entreprise, un service de répertoire de services Active Directory est déployé en fonction de Windows Server 2008. L'infrastructure informatique a été construite à l'aide de la virtualisation Hyper-V. Une fois le projet terminé, un contrat de maintenance ultérieure du système d'information a été conclu. Les travaux interrogés sont confirmés par examen.
Technologie de pétrole et de gaz Dans le cadre d'un projet intégré de créer une infrastructure informatique, un seul répertoire Active Directory sur la base de données Windows Server 2008 R2 est déployé. Le projet a été achevé pendant 1 mois. Après l'achèvement du projet, un contrat de maintenance ultérieure du système a été conclu. La qualité du travail est confirmée par l'examen.
L'Active Directory est effectué sur la base de Windows Server 2008 dans le cadre du projet Exchange Server 2007.
Le service d'annuaire Active Directory est réorganisé sur la base de Windows Server 2003 avant de mettre en œuvre Exchange Server 2007. La qualité de travail est confirmée par examen.
Le service d'annuaire Active Directory est effectué sur la base de données Windows Server 2003 R2. Après avoir terminé le projet, un contrat de maintenance ultérieure du système a été conclu. La qualité du travail est confirmée par l'examen.

Active Directory est effectué sur la base de Windows Server 2003. Une fois le projet terminé, le contrat a été conclu pour un soutien supplémentaire du système.

Le service de répertoire Active Directory Extended et évolutif Active Directory (catalogue actif) vous permet de gérer efficacement les ressources du réseau.
Active Directory. - Il s'agit d'un stockage de données organisé hiérarchiquement sur des objets réseau, fournissant des outils pratiques pour la recherche et l'utilisation de ces données. Un ordinateur sur lequel fonctionne Active Directory est appelé contrôleur de domaine. Presque toutes les tâches administratives sont connectées à Active Directory.
La technologie Active Directory est basée sur des protocoles Internet standard et aide à définir clairement la structure du réseau, plus en détail comment déployer à partir de zéro domaine Active Directory lire ici.

Active Directory et DNS

Dans Active Directory, un système de noms de domaine est utilisé.

Administrer Active Directory.

Avec l'aide du service Active Directory, les ordinateurs sont créés, ils sont connectés au domaine, les ordinateurs sont contrôlés, des contrôleurs de domaine et des unités organisationnelles (OP).

Administration et support sont conçus pour gérer Active Directory. Les outils énumérés ci-dessous sont implémentés et la forme du composant logiciel enfichable MMS Console (Console Microsoft Management):

  • Les utilisateurs et ordinateurs Active Directory (utilisateurs et ordinateurs Active Directory) vous permettent de gérer les utilisateurs, les groupes, les ordinateurs et les divisions organisationnelles (OP);
  • Les domaines et les fiducies Active Direct (domaines et fiducies de répertoires actifs) seraient à travailler avec des domaines, des arbres de domaine et des forêts de domaine;
  • Sites et services Active Directory (Sites et services Active Directory) vous permet de gérer des sites et des sous-réseaux;
  • L'ensemble de la politique résultante) est utilisé pour afficher la politique actuelle de l'utilisateur ou du système et de planifier des modifications apportées aux politiques.
  • Server Microsoft Windows 2003 Vous pouvez accéder à ces clichés directement dans le menu d'administration (outils administratifs).

Un autre outil d'administration est un répertoire schématique insplustant (schéma Active Directory) - vous permet de contrôler et de modifier le schéma de répertoire.

Utilitaires de ligne de commande Active Directory

Pour gérer les objets Active Directory, il existe des outils de ligne de commande permettant une large gamme de tâches administratives:

  • DSADD - ajoute des ordinateurs, des contacts, des groupes, des op et des utilisateurs à Active Directory.
  • DSGET - Affiche les propriétés des ordinateurs, des contacts, des groupes, des op, des utilisateurs, des sites, des sous-réseaux et des serveurs enregistrés dans Active Directory.
  • DSMOD - Modifie les propriétés des ordinateurs, des contacts, des groupes, op, des utilisateurs et des serveurs enregistrés dans Active Directory.
  • DSMOVE - Déplace un seul objet à un nouvel emplacement dans le domaine ou renomme un objet sans bouger.
  • Dsqxjery - Rechercher des ordinateurs, des contacts, des groupes, op, utilisateurs, sites, sous-réseaux et serveurs dans Active Directory pour des critères spécifiés.
  • DSRM - Supprime un objet de Active Directory.
  • NTDSUTIL - vous permet de visualiser des informations sur le site, le domaine ou le serveur, gérer les opérations des opérations (Opérations Masters) et maintenir la base de données Active Directory.

Comme vous le savez avant de mettre en œuvre l'infrastructure de serveur dans l'entreprise et évitez les moments les plus désagréables à la fin du déploiement, il devrait être soigneusement planifié. Compte tenu du fait que les services Active Directory se déroulent en tant que référentiel central pour stocker des données, ainsi que des informations permettant de mettre en œuvre des stratégies et des configurations, ainsi que des scénarios de connexion à l'utilisateur, des ordinateurs et des services réseau avec prise en charge de la norme LDAP industrielle, appliquées pour écrire des demandes et Changer des informations dans le répertoire, logique et la structure physique de l'organisation doit être conçue de manière à ce que la gestion même dans les réseaux les plus importants et les plus complexes a fourni un point unique dans lequel les paramètres de divers systèmes peuvent être déployés. Après avoir créé la version finale des exigences opérationnelles, l'accord de niveau de service, ainsi que la documentation des informations reçues, vous devez commencer à concevoir l'infrastructure logique et physique de l'entreprise. À ce stade, vous devez bien planifier le nombre, la structure et la conception de forêts, dont l'entreprise consistera, où les services de domaine Active Directory seront déployés.

Un prieuré, forêt Le niveau le plus élevé de la hiérarchie de la structure logique des services de domaine, considérée comme la limite de la réplication et de la sécurité dans l'entreprise et consiste en un ou plusieurs domaines Active Directory. Le premier contrôleur de domaine installé dans la forêt est appelé racine. La forêt contient une seule description de la configuration et une instance du catalogue de circuit. Ceci est la seule instance de répertoire fermée, où les données ne sont pas répliquées. En conséquence, la forêt fixe le périmètre de la sécurité de l'organisation. Avec la forêt, les composants de services de domaine Active Directory suivants sont utilisés:

  • Régime général. Tous les contrôleurs de domaine de la forêt utilisent un schéma commun stocké dans les services de domaine Active Directory dans la section Directory Schema et est répliquée à tous les contrôleurs de la forêt. Le seul moyen de déployer deux systèmes différents de l'organisation est de déployer deux forêts de l'hôtel;
  • Catalogue Général Global. Le catalogue global s'appelle une section qui stocke des informations sur chaque objet dans la forêt. C'est-à-dire que lorsque l'utilisateur d'un domaine recherche l'objet de domaine dans la seconde, les résultats de la requête fournissent exactement le répertoire global. Le répertoire général global contient des informations sur tous les objets de l'ensemble de la forêt. Ainsi, l'efficacité de la recherche d'objets dans la forêt et la saisie de l'utilisateur dans tout domaine forestier utilisant UPN;
  • Répertoire de configuration générale. La section de configuration contient des objets fournissant la structure logique de la placement forestière - en particulier la structure de domaine et la topologie de réplication. Les objets stockés dans la section de configuration doivent être reproduits entre tous les contrôleurs de tous les domaines forestiers et utiliser un conteneur de configuration. Les données de configuration comprennent une liste de tous les domaines, arbres et forêts, ainsi que l'emplacement des contrôleurs de domaine et des répertoires mondiaux. La section Répertoire de configuration est également utilisée par des applications Active Directory telles que Exchange Server and Share Point;
  • Ensemble général d'opérations forestières et d'administrateurs. Dans toute base de données répliquée, certaines modifications ne doivent être effectuées que par une réplique, car il est inapproprié de les réaliser avec tous les participants égaux. Un certain ensemble d'opérations limitées ne peut être effectuée dans divers endroits en même temps, mais vous ne pouvez que sur un contrôleur de domaine ou uniquement dans une forêt. Le contrôleur de domaine effectuant des rôles spéciaux est appelé maître des opérations. Des opérations simples-maître flexibles y sont ajoutées. Les services de domaine Active Directory contiennent cinq rôles de maîtrise des opérations, deux rôles sont fournis pour la forêt et pour le domaine - trois. Le rôle du schéma maître et les maîtres de nom de domaine sont configurés au niveau de la forêt. Chaque forêt n'a qu'un seul maître de schéma et un domaine de nommage principal, et deux groupes de sécurité avec leurs autorisations uniques sont créés dans le domaine racine de la forêt. Les maîtres des opérations seront discutés plus en détail dans l'un des articles suivants;
  • Configuration de confiance générale. Tous les domaines de la forêt sont automatiquement configurés pour la confiance dans tous les autres domaines forestiers. Le concept de relations de confiance sera également considéré séparément.

Lors de la planification des forêts de l'entreprise, il est nécessaire de décider du nombre de forêts Active Directory. Après cela, vous devez choisir un modèle forestier, ainsi qu'à ce stade, une politique de modification de schéma est créée, qui décrit le cercle des personnes ayant des pouvoirs de gestion, un système et régule le mécanisme de modifications administratives affectant la forêt dans son ensemble. . Tout cela vous apprendrez dans les détails de cet article.

Définition de forêt et de pouvoirs

Avant de concevoir un programme de forêts d'entreprise, vous devez accorder une attention particulière aux exigences de production qui satisferont la structure des services de domaine. Les services d'annuaire permettent de concevoir une telle infrastructure qui sera adaptée aux groupes avec des exigences de gestion différentes et uniques. Aux exigences que les organisations peuvent fournir aux organisations de la conception des services de domaine Active Directory peuvent être attribuées:

  • Exigences structurelles organisationnelles. Une importance énorme dans la conception de la structure forestière a la bonne compréhension de la structure organisationnelle de l'entreprise. Afin de sauvegarder des fonds, certaines parties de l'organisation peuvent utiliser une infrastructure commune, mais en même temps de travailler indépendamment du reste de l'organisation. Par exemple, l'une de ces exigences peut être considérée comme une isolation temporaire d'une unité d'entreprise spécifique pour une certaine période qui doit être installée des annuaires d'application qui modifient le système Active Directory. Dans ce cas, si une telle unité appartient à une forêt, dans laquelle les autres organisations de l'Organisation sont situées, l'organisation elle-même peut causer des dommages importants. Par conséquent, pour collecter des exigences structurelles organisationnelles, il est préférable de commencer par la définition de divers groupes de directeurs de sécurité qui seront utilisés dans les services de domaine de Active Directory. Après cela, déterminez quels groupes doivent travailler séparément de l'ensemble de l'organisation. Si de tels groupes de votre organisation sont détectés, déterminez s'il peut endommager l'ensemble de l'organisation. Habituellement, des groupes qui ont des exigences différentes du reste de l'organisation sont placés dans des forêts séparées;
  • Exigences législatives. Dans le processus de conception, vous devez également avoir une idée des exigences légales que l'organisation doit se conformer. Dans certaines organisations du contrat commercial, il est indiqué que la loi exige un certain mode d'opération, par exemple, de limiter l'accès à certaines ressources. Le non-respect de ces exigences peut conduire à un contrat et, voire, à l'accusation. Par conséquent, lors de la conception de la structure des forêts, avec la collecte d'exigences légales, commencez par la définition des obligations légales de l'organisation. Pour se conformer aux exigences de sécurité, il est nécessaire de travailler dans des réseaux isolés internes;
  • Exigences opérationnelles. Après avoir déterminé les exigences structurelles et légales organisationnelles, vous devez créer une collection de besoins opérationnels qui affecteront le développement de la structure de la forêt. Parfois, de tels scénarios se produisent lorsque toute partie de l'organisation impose des restrictions uniques sur la configuration du service d'annuaire, sur la disponibilité ou la sécurité de ce service ou utilise des applications qui imposent des restrictions de répertoire uniques. Les divisions distinctes de l'organisation peuvent élargir les applications manquantes dans d'autres divisions qui modifient le système d'annuaire. Les exigences opérationnelles uniques peuvent utiliser des organisations telles que des entreprises militaires ou d'hébergement offrant des services d'hébergement. Afin de déterminer les exigences opérationnelles, il est préférable de commencer par l'inventaire des groupes opérationnels ainsi que des exigences opérationnelles pour chaque groupe;
  • Exigences de la communication limitée. Enfin, pour concevoir la structure de la forêt, il est important d'identifier toute exigence de communication limitée. De nombreuses organisations ont des branches avec des réseaux isolés qui ont une bande passante limitée. Lors de la conception de la forêt, il est préférable de commencer par la définition de tous les groupes situés à distance du bureau central.

Après avoir terminé cette liste des exigences de base, vous pouvez procéder au stade de la détermination des pouvoirs des administrateurs et des propriétaires de données et des services.

Dans les services de domaine Active Directory, il existe de nombreux types d'activités administratives, y compris la configuration de données et la gestion des données dans le service d'annuaire. Dans les grandes organisations, les rôles administratifs des services de domaine sont divisés en plusieurs catégories. Une méthode de décrivant diverses catégories consiste à diviser les propriétaires des forêts, des propriétaires et des administrateurs de données, ainsi que des propriétaires et des administrateurs de services.

  • Les propriétaires forestiers sont responsables de la sélection et du soutien des administrateurs de services, de sorte que le titulaire de la Fiducie de la forêt suit la confiance des administrateurs de services gérés par le propriétaire de la forêt;
  • Les propriétaires et les administrateurs de données sont responsables des informations stockées dans les services de domaine Active Directory. Les propriétaires de données régissent les politiques et les processus de gestion des données et les administrateurs de données ont les droits et privilèges de la création d'objets AD DS dans une structure déterminée par les propriétaires et les administrateurs du service;
  • Les administrateurs propriétaires et services sont responsables du service de services de domaine et contrôlent pleinement les données et services sur tous les contrôleurs forestiers. Les propriétaires de services prennent des décisions concernant le nombre de forêts, domaines et sites nécessaires pour répondre aux exigences de la société pour le service d'annuaire Active Directory. Et, à son tour, les administrateurs de services ont les caractéristiques suivantes:
    • Modification du logiciel système sur les contrôleurs de domaine, contourner les contrôles de sécurité classiques, ce qui vous permet de visualiser tous les objets du domaine et de les gérer, que ce soit autorisé dans les listes de contrôle d'accès;
    • Élimination des erreurs associées aux listes de contrôle d'accès aux objets, ce qui permet aux administrateurs de services de lire, de modifier et de supprimer des objets, que ce soit autorisé dans les listes de contrôle d'accès;
    • Réinitialiser les mots de passe et modifier l'adhésion des utilisateurs en groupes;
    • Utilisation de politiques de sécurité "Groupes avec accès limité"destiné à fournir à tous les utilisateurs et groupes d'accès administratif à n'importe quel ordinateur attaché au domaine, ce qui permet aux administrateurs d'utilisateurs de lire, de modifier et de supprimer des objets, que cela soit autorisé dans les listes de contrôle d'accès;
    • Avoir accès à d'autres domaines forestiers en modifiant le logiciel système sur les contrôleurs de domaine. Les administrateurs de services peuvent afficher ou modifier des données de configuration forestière, afficher ou modifier des données stockées dans n'importe quel domaine, ainsi que la vue ou modifier des données sur n'importe quel ordinateur affilié au domaine.

En raison du fait que les administrateurs de services ont de tels pouvoirs, il est souhaitable que l'organisation ait un nombre minimal d'administrateurs de services. Par défaut, les groupes ont "Administrateurs de domaine" Dans la forêt root, "Enterprise Administrateurs" et "Administrateurs de régime".

Créer une forêt sûre basée sur les exigences générales

Outre les exigences ci-dessus, vous devez déterminer si la structure de la forêt est autonome ou isolée.

Autonomie administrative Exécute un contrôle administratif complet sur certains composants forestiers au niveau forestier, domaine ou division. En atteignant l'autonomie, les administrateurs obtiennent le droit de gérer indépendamment les ressources. Néanmoins, l'autonomie ne signifie pas recevoir un contrôle exclusif. Il existe des administrateurs ayant des pouvoirs plus larges pouvant également gérer ces ressources et, si nécessaire, peuvent priver les pouvoirs des administrateurs subordonnés. La structure logique des services de domaine est conçue avec l'un des types d'autonomie suivants:

  • Autonomie des services. L'autonomie des services implique la capacité de gérer l'infrastructure, sans nécessiter de contrôle unique, c'est-à-dire que si le groupe doit modifier l'infrastructure, l'espace de noms ou le schéma sans l'autorisation du propriétaire de la forêt. Les groupes d'autonomie peuvent être requis par des groupes qui doivent être en mesure de gérer le niveau de service dans des services de domaine ou des groupes de domaine Active Directory que vous devez avoir la possibilité d'établir des annuaires d'application qui nécessitent de modifier le système;
  • Autonomie des données. Comprend le contrôle sur tout ou partie des données stockées dans le répertoire ou sur des ordinateurs ordinaires connectés au domaine. L'autonomie des données suppose qu'un groupe ou une entreprise peut gérer ses propres données, ainsi que prendre des décisions administratives sur les données et effectuer toutes les tâches nécessaires sans faire référence à la décision à une autre autorité. S'il n'est pas nécessaire de protéger des données spécifiques d'autres administrateurs dans la forêt, un certain groupe peut donner une demande de gérer ses données appartenant à un projet spécifique.

Isolement administratif Il suppose la réception du contrôle exclusif sur le composant de catalogue. Dans le cas de l'isolement administratif, personne à l'exception de ces administrateurs ne peut avoir le droit de gérer les ressources et aucun des administrateurs ne peut les priver de ces droits. Comme dans le cas de l'autonomie administrative, la structure logique des services de domaine est conçue avec l'un des types d'isolation suivants:

  • Services isolants. Les services isolant permet aux administrateurs de contrôler le travail des services et ne peuvent interférer que ces administrateurs fournis avec de tels permis. Les groupes qui mettent les exigences en matière d'isolement des services exigent qu'aucun des administrateurs ne puisse affecter les travaux des services d'annuaire. Par exemple, si votre organisation fournit des services d'hébergement de sites Web aux clients et que chaque client nécessite une isolation de service afin de garantir que les interruptions de services principales n'influencent pas les autres clients;
  • Isolement des données. L'isolation des données empêche tous les administrateurs spécifiés de contrôler le sous-ensemble de données dans le répertoire ou sur des ordinateurs ordinaires attachés au domaine et affichez ces données. Les administrateurs de services peuvent priver les administrateurs de ces capacités pour gérer les ressources et les administrateurs de données ne peuvent pas priver les administrateurs de services d'accès aux ressources qu'ils contrôlent. À cet égard, si le groupe nécessite une isolation des données, un tel groupe devrait également être responsable de l'administration de services. La seule façon pour ces groupes d'isolation est de créer une forêt séparée pour ces données. Par exemple, si la structure financière doit être effectuée de manière à ce que l'accès aux clients, qui se trouvent dans une juridiction distincte, n'avoir que des utilisateurs, des administrateurs et des ordinateurs situés dans cette juridiction. Étant donné que la direction fait pleinement confiance aux administrateurs de services de juridiction à distance, il est donc nécessaire d'isoler les données des administrateurs de services qui sont en dehors de cette juridiction.

En plus de ces exemples simples, dans les services de domaine Active Directory, il existe encore de nombreuses façons de mettre en œuvre une autonomie administrative et une isolation. Il convient de rappeler que les administrateurs qui n'ont besoin que d'une autonomie ne nécessitant que l'autonomie ne disposent que d'autres pouvoirs administratifs égaux ou plus vastes ont une égalité ou plus de possibilités de contrôler la gestion des services ou des données et les administrateurs ayant besoin d'isolement sont pleinement surveillés par la gestion des services ou des données. De nombreuses entreprises ont besoin d'une autonomie administrative avec une garantie relative que les administrateurs d'autres sections de la forêt n'effectueront pas d'actions malveillantes. Il convient également de noter que le développement d'un système autonome dans l'affaire général est moins cher que le développement d'un système isolé.

Choisir le nombre de forêts requises

Une fois que vous avez terminé toutes les exigences ci-dessus, vous devez déterminer le nombre requis de forêts pour l'infrastructure de l'organisation. Pour déterminer combien de forêts doivent être déployées, déterminez quelles exigences en matière d'autonomie et d'isolation rendent chaque groupe d'organisations, puis toutes ces exigences sont appliquées dans les systèmes de modèles forestiers. Vous ne devriez pas oublier que vous avez divisé une forêt est très difficile pour deux. Lorsque vous développez des forêts pour le répertoire du système d'exploitation de réseau (NOS), une seule forêt suffira. Dans la plupart des cas, le déploiement de services de domaine Active Directory est effectué dans une forêt, quant à de nombreuses entreprises, les avantages d'un catalogue global commun, de relations de confiance intégrées et de la section générale de la configuration jouent un rôle plus important que la séparation complète. de tous les rôles administratifs. Afin de déterminer combien de forêts utiliseront votre organisation, considérez les situations suivantes:

  • Déterminer le besoin d'isolation ou d'autonomie des forêts. Le besoin d'isolement limite le choix des régimes, en ce qui concerne lesquels il sera nécessaire de déployer au moins une forêt pour votre organisation;
  • Pour déterminer le nombre de forêts, il est nécessaire de trouver un équilibre entre les dépenses et les avantages. Le modèle avec une forêt est le plus économique nécessitant les coûts administratifs les plus petits. Dans la préférence de l'opération autonome avec les services administratifs, il est économique de s'arrêter sur les services d'un groupe informatique fiable, ce qui vous permettra de gérer des données sans le coût de la gestion du service lui-même;
  • Deux organisations informatiques différentes et autonomes ne doivent pas appartenir à la même forêt, car les objectifs de leurs groupes informatiques peuvent essentiellement dissiper, ce qui entraînera des interruptions du processus de travail pour chaque organisation. Par conséquent, certaines entreprises déploient des services forestiers distincts dans des zones démilitarisées. Pour améliorer la sécurité du réseau interne, de nombreuses organisations déploient des serveurs avec un accès Internet direct spécifiquement dans DMZ. Dans le même temps, il est permis d'utiliser la gestion des utilisateurs et les ordinateurs dans Active Directory, en maintenant l'isolation de la forêt intérieure;
  • Pour des raisons de sécurité, l'accès à des informations de réseau spécifiques est souhaitable de fournir des unités organisationnelles individuelles, tout en utilisant la séparation complète des données réseau, où des informations sur une forêt ne sont pas affichées dans l'autre. Il est inapproprié de transférer l'administration des services aux partenaires externes, en particulier si elle concerne une organisation multinationale dans différents pays ou régions. Compte tenu du fait que les actions de certains partenaires peuvent affecter les services fournis par d'autres personnes, les partenaires doivent se conformer à l'accord de niveau de service, car ces groupes ne peuvent être isolés les uns des autres, car à l'intérieur de la forêt, tous les domaines utilisent des connexions confidentielles transitives;
  • Lors de l'utilisation d'un système de déploiement unique de l'application, avec des modifications incompatibles dans le système de divisions différentes de l'organisation, il est préférable de créer des forêts distinctes;
  • Des forêts séparées sont également déployées si l'unité organisationnelle ne fonctionne pas avec une administration centralisée ou ne prend pas de procédures administratives centralisées.

Définition du modèle forestier

Une fois la conception du service de catalogue ayant été déterminée par le nombre de forêts, l'un des quatre modèles de forêt modèle suivants est sélectionné:

  • Modèle d'une forêt;
  • Organisation modèle forestière;
  • Modèle de forêt de ressources;
  • Modèle forestier avec accès limité.\u003e? / Li

Modèle d'une forêt

Ce modèle est le modèle le plus simple de la forêt et est considéré comme de bas niveau, car tous les objets d'annuaire appartiennent à la même forêt et à toutes les ressources réseau contrôlaient un groupe informatique centralisé. Un tel projet nécessite des dépenses administratives minimales et est considérée comme la plus rentable entre tous les modèles. Le modèle d'une forêt est un bon choix pour les organisations de petite et moyenne taille, où seul un groupe informatique exploite et toutes ses branches sont gérées par ce groupe du bureau central.

Figure. 1. Modèle d'une forêt

Avantages désavantages
La possibilité de coopération. Echange de courriels; Réseau Internet partagé; Documents généraux; Authentification générale, autorisation et mécanisme de recherche.Incapacité à assurer. L'incapacité d'assurer l'autonomie du service d'une forêt, s'il n'y a pas de consentement à configurer la configuration du service.
Authentification Kerberos. Fournit une authentification mutuelle et une délégation de pouvoirs.Il est impossible d'assurer l'isolement des propriétaires de services. L'administrateur de l'organisation peut annuler les paramètres de sécurité définis par les propriétaires de domaines individuels.
Relations de confiance transitives automatiques. Entre tous les domaines de la forêt crée des relations de confiance transitives dans l'ordre hiérarchique.Problèmes de réplication dues aux grands volumes de catalogue. Le problème des informations de niveau forestier à reproduire, en particulier des données de configuration et un schéma; Le problème de la réplication des informations de répertoire globales à tous les serveurs de catalogues forestiers mondiaux; Avec un excès d'informations, la réplication devient lente inacceptable
Un catalogue d'objets globaux. Les informations de tous les objets forestiers sont stockées dans le répertoire dans lequel vous pouvez rechercher

Organisation des modèles forestiers

Conformément à ce modèle, une forêt séparée d'Active Directory est créée pour chaque unité, le modèle forestier est conçu selon certains critères d'organisation. Cela fournit une autonomie et une isolation de données ou de services des unités d'organisation, tandis que la forêt est configurée de manière à ne pas avoir accès de l'extérieur. Les administrateurs peuvent fournir un accès aux ressources dans une autre forêt. Si nécessaire, des unités peuvent avoir des relations de confiance avec d'autres forêts pour l'utilisation globale des ressources. Les comptes, les ressources et la gestion d'eux, dans ce modèle sont effectués de manière indépendante.

Figure. 2. Organisation des modèles forestiers

Avantages désavantages
Indépendance des propriétaires de services. Chaque unité organisationnelle a sa propre forêt, ce qui garantit l'autonomie des données et des services.Mise en œuvre à coût élevé. Le modèle le plus cher du point de vue de l'administration associée à la formation des assistants, l'installation de matériel et logiciels supplémentaires.
. Les données et les services sont entièrement isolés du propriétaire dans une unité d'organisation distincte.
. Un membre de chaque forêt ne peut pas automatiquement être dans toutes les relations de confiance entre les forêts; Contrôle accru des relations de confiance.

Ce modèle peut être utilisé dans des entreprises possédant de nombreuses unités organisationnelles, dans des entreprises où des unités individuelles sont affichées dans différentes régions des organisations formées par la fusion ou l'acquisition.

Ressources de modèle forestier

Ce modèle permet aux divisions de partager une forêt desservie par un groupe informatique distinct, tandis que d'autres unités d'isolement ou d'autonomie peuvent déployer une forêt séparée. La gestion des ressources dans ce modèle est effectuée à l'aide d'une forêt séparée qui ne contient pas d'autres comptes, à l'exception de celles nécessaires à l'administration de services et à un accès alternatif aux ressources de la forêt. Pour accéder à d'autres forêts, les relations de confiance sont établies entre elles. Dans la plupart des cas, une liaison de confiance unilatérale est configurée, bien que des relations de confiance bilatérales ne soient pas exclues, des liens de confiance externes avec une authentification sélective. La gestion des comptes d'utilisateurs et des groupes sont isolés de la gestion des ressources en créant des forêts individuelles pour chaque fonction. Les ressources partagées sont configurées sur des serveurs dans une ou plusieurs forêts de ressources.

Figure. 3. Ressources de modèle forestier

Avantages désavantages
Réduire les coûts en raison de l'utilisation globale des ressources. Utilisation des avantages du catalogue global d'objets; Les coûts associés à la gestion forestière sont réduits.Mise en œuvre à coût élevé
Indépendance des propriétaires de services. Assurer la pleine autonomie des données de l'unité organisationnelle lors du déploiement d'une nouvelle forêt.Manque d'un seul catalogue d'objets globaux. Il n'y a pas de réplication de catalogues mondiaux entre les forêts.
Isolement des propriétaires de services. Assurer une isolation complète des données de l'unité organisationnelle lors du déploiement d'une nouvelle forêt.Malheureux pour les organisations en développement. S'il y a des changements importants, la présence de nombreuses forêts conduit à un mouvement fréquent de données d'une forêt à une autre.
Établissement explicite des relations de confiance. Un membre de chaque forêt ne peut automatiquement être dans toutes les relations de confiance entre les forêts.

Modèle forestier avec accès limité

Ce modèle fournit une variante du modèle organisationnel des forêts. Il crée une forêt séparée pour stocker des comptes d'utilisateurs et des ressources partagées, isolées d'autres divisions. Cette forêt est différente de la forêt organisationnelle en ce sens qu'une relation de confiance ne peut pas être configurée entre deux domaines. Il fournit une isolation administrative. C'est-à-dire que les comptes d'utilisateurs d'entreprises en dehors de la forêt ne disposent pas d'autorisation ni de droits d'accès aux données dans cette forêt et doivent appliquer un compte séparé pour accéder à la forêt avec un accès limité. Avec ce modèle, une forêt séparée est créée avec des comptes d'utilisateurs et des données, isolés du reste de l'organisation. Dana Forest Model fournit une isolation de données en violation de la vie privée avec des conséquences graves. L'absence de relations de confiance rend impossible à fournir aux utilisateurs d'autres forêts aux données avec un accès limité.

Figure. 4. Modèle forestier avec accès limité

Avantages désavantages
Isolement complet des ressources. Pour stocker des comptes d'utilisateurs et des ressources partagées, des forêts isolées distinctes sont créées.Pas de relation de confiance. L'incapacité de fournir des ressources d'une forêt pour les utilisateurs d'autres forêts.
Isolement administratif. Les comptes d'utilisateurs en dehors de la forêt avec un accès limité ne disposent pas d'autorisation ni de droits d'accès à aucune donnée dans cette forêt.Créer des comptes séparés. Les utilisateurs ont un compte d'accès aux ressources partagées et à un compte séparé pour l'accès à des informations secrètes, et il doit y avoir deux postes de travail différents, celui connecté à l'organisation forestière et l'autre à la forêt avec un accès limité.
Fournir une isolation de données. Éliminer les conséquences graves pour violer la confidentialité des données du projet.Mise en œuvre à coût élevé. Les coûts d'administration augmentent proportionnellement au nombre de forêts créées en raison de la formation du personnel, du matériel et des logiciels supplémentaires.
Soutenir le réseau physique. Les organisations travaillant sur des projets secrètes créent des forêts avec un accès limité chez des réseaux individuels pour soutenir la sécurité.Aucune authentification Kerberos entre la défaillance de la forêt. Deux forêts ne peuvent pas utiliser le protocole Kerberos pour l'authentification par défaut.
Manque d'un seul catalogue d'objets globaux. Il n'y a pas de réplication de catalogues mondiaux entre les forêts.
Partager.
Partager.
Tweet.
Comme.
Comme.

Lire aussi

La cloche.

Il y a ceux qui ont lu cette nouvelle devant vous.
Abonnez-vous pour recevoir des articles frais.
E-mail
Nom
Nom de famille
Comment voulez-vous lire la cloche
Sans spam