La campana.

Ci sono quelli che hanno letto questa notizia prima di te.
Iscriviti per ricevere articoli freschi.
E-mail
Nome
Cognome
Come vuoi leggere la campana
Senza spam.

Introduzione ai concetti di base di Active Directory. Active Directory Semplici parole (base) Quali sono diversi domini foreste

Condividere.
Condividere.
Tweet.
Piace
Piace

Nei nostri materiali passati, abbiamo smantellato domande generali sulle directory e sulla directory attiva. Ora è il momento di andare alla pratica. Ma non affrettarti a eseguire il server, prima di distribuire una struttura di dominio sulla rete, è necessario pianificarlo e avere un'idea chiara della nomina di singoli server e processi di interazione tra di loro.

Prima di creare il tuo primo controller di dominio, è necessario decidere sulla modalità operativa. La modalità di funzionamento determina le funzionalità disponibili e dipende dalla versione del sistema operativo utilizzato. Non prenderemo in considerazione tutte le modalità possibili tranne quelle che hanno pertinenza al momento. Tali modalità sono tre: Windows Server 2003, 2008 e 2008 R2.

La modalità Windows Server 2003 deve essere selezionata solo quando il server è già distribuito nell'infrastruttura su questo sistema operativo e si prevede di utilizzare uno o più server tali server come controller di dominio. In altri casi, è necessario selezionare la modalità Windows Server 2008 o 2008 R2 a seconda delle licenze acquistate. Va ricordato che la modalità di funzionamento del dominio può sempre essere sollevata, ma non sarà possibile abbassarlo (tranne che il ripristino dal backup), quindi si avvicina a questo problema è causato, tenendo conto di possibili estensioni, licenze in rami, ecc. eccetera.

Ora non considereremo il processo di creazione di un controller di dominio in dettaglio, torneremo a questo problema in seguito, e ora vogliamo attirare la vostra attenzione sul fatto che nella struttura di Active Directory completa dei controller di dominio dovrebbe essere non meno di due. Altrimenti, sei soggetto a un rischio inutile, poiché in caso di rifiuto del controller di dominio unico, la tua struttura ad completamente distrutto. Bene, se c'è un backup corrente e sarà possibile recuperare da esso, in ogni caso, tutto questo tempo la tua rete sarà completamente paralizzata.

Pertanto, immediatamente dopo aver creato il primo controller di dominio, è necessario distribuire il secondo, indipendentemente dalla dimensione della rete e del budget. Il secondo controller dovrebbe essere fornito nella fase di pianificazione e senza di esso per l'implementazione dell'annuncio non dovrebbe nemmeno essere preso. Inoltre, non è necessario combinare il ruolo del controller di dominio con altri ruoli del server, al fine di garantire l'affidabilità delle operazioni con la base AD sul disco, la memorizzazione nella cache della registrazione è disattivata, il che porta a una forte calo Le prestazioni del sottosistema del disco (questo spiega il carico lungo dei controller di dominio).

Di conseguenza, la nostra rete dovrebbe prendere il seguente modulo:

Contrariamente alla credenza popolare, tutti i controller nel dominio sono equivalenti, cioè. Ogni controller contiene informazioni complete su tutti gli oggetti di dominio e possono servire una richiesta client. Ma questo non significa che i controller siano intercambiabili, la mancanza di comprensione di questo momento porta spesso al fallimento dell'annuncio e della rete vicina dell'impresa. Perché sta succedendo? È tempo di ricordare il ruolo di FSMO.

Quando creiamo il primo controller, contiene tutti i ruoli disponibili ed è anche un catalogo globale, con l'avvento del secondo controller, il ruolo del proprietario dell'infrastruttura, l'host RID e l'emulatore PDC sono trasmessi. Cosa succederà se l'amministratore ha deciso di disabilitare temporaneamente il server DC1, ad esempio, per spazzolare la polvere? A prima vista, niente è terribile, beh, il dominio andrà alla modalità "sola lettura", ma funzionerà. Ma abbiamo dimenticato la directory globale e se le applicazioni vengono distribuite nella tua rete che richiede la sua disponibilità, ad esempio scambio, allora lo imparerai in precedenza di quanto tu rimuovi il coperchio dal server. Impara dagli utenti insoddisfatti e è improbabile che la leadership venga gioia.

Da quanto segue la conclusione: ci devono essere almeno due cataloghi globali nella foresta e meglio di tutti in ogni dominio. Dal momento che abbiamo un dominio nella foresta, entrambi i server dovrebbero essere directory globali, ciò ti consentirà di produrre uno qualsiasi dei server per la prevenzione, l'assenza temporanea di qualsiasi ruolo FSMO non porta all'errore di annunci, ma rende solo impossibile Crea nuovi oggetti.

Come amministratore di dominio, è necessario sapere chiaramente come vengono distribuiti i ruoli FSMO tra i server e quando si visualizza un server da operare per un lungo periodo di tempo per trasmettere questi ruoli ad altri server. E cosa succederà se il server contiene il ruolo di FSMO fallire irreversibilmente? Niente di terribile, come abbiamo già scritto, qualsiasi controller di dominio contiene tutte le informazioni necessarie e se tale fastidio è già accaduto, è necessario acquisire i ruoli necessari con uno dei controller, questo ti consentirà di ripristinare il lavoro completo di il servizio di directory.

Ci vuole tempo, la tua organizzazione sta crescendo e un ramo appare all'altra parte della città e è necessario includere la loro rete nell'infrastruttura complessiva dell'impresa. A prima vista, niente complicato, si configura il canale di comunicazione tra gli uffici e posiziona un controller aggiuntivo in esso. Tutto è buono, ma ce n'è uno ma. Non è possibile controllare questo server, e quindi l'accesso non autorizzato ad esso non è escluso, e l'amministratore locale ti fa dubbi sulle sue qualifiche. Come essere in una situazione del genere? Per questi scopi, c'è uno speciale tipo di controllore specifico: controller di dominio disponibile su Appena letto (RODC)Questa funzione è disponibile nelle modalità di funzionamento del dominio che iniziano con Windows Server 2008 e sopra.

Il controller di dominio è di sola lettura contiene una copia completa di tutti gli oggetti di dominio e può essere una directory globale, ma non consente alcuna modifica alla struttura dell'annuncio, consente inoltre di assegnare qualsiasi utente a un amministratore locale, che lo consentirà Per mantenere completamente questo server, ma di nuovo senza accesso ai servizi pubblicitari. Nel nostro caso, questo è ciò che "medico prescritto".

Ci allenammo nel ramo RODC, tutto funziona, sei calmo, ma gli utenti cominciano a lamentarsi del lungo ingresso nel sistema e delle bollette del traffico alla fine del mese mostrano in eccesso. Cosa sta succedendo? È tempo di ricordare ancora una volta sul controller equivalente nel dominio, il client può inviare la sua richiesta a qualsiasi controller di dominio, anche in un altro ramo. Tieni in considerazione il lento e, con un'elevata probabilità, il canale di comunicazione scaricato è il motivo del ritardo di ingresso.

Il seguente fattore avvelenamento della vita in questa situazione è la replica. Come sapete, tutte le modifiche apportate su uno dei controller di dominio vengono distribuite automaticamente ad altri ed è chiamato questo processo di replica, consente di avere una copia pertinente e coerente dei dati su ciascun controller. Il servizio di replica non conosce il nostro ramo e il canale lento di comunicazione e quindi tutte le modifiche dell'ufficio verranno immediatamente replicate al ramo, caricando il canale e aumentare il flusso del traffico.

Qui siamo arrivati \u200b\u200bvicino al concetto di siti pubblicitari che non dovrebbero essere confusi con i siti Internet. Siti Active Directory. Un metodo di divisione fisica della struttura del servizio di directory sull'area separata da altre aree da canali di comunicazione lenti e / o instabili. I siti sono creati sulla base di sottoreti e tutte le richieste del cliente vengono inviate principalmente ai controller del proprio sito, è anche estremamente desiderabile avere la sua directory globale in ciascun sito. Nel nostro caso, dovrai creare due siti: Sito dell'annuncio 1. per l'ufficio centrale e Sito AD 2. Per un ramo, più precisamente, uno, poiché per impostazione predefinita la struttura dell'annuncio contiene già il sito, che include tutti gli oggetti creati in precedenza. Considera come sta accadendo la replica di rete con diversi siti.

Supponiamo che la nostra organizzazione sia cresciuta un po 'e l'ufficio principale contiene l'intero quattro controller di dominio, la replica tra controller di un sito è chiamato intrautitario e si verifica istantaneamente. La topologia della replica si basa sul regime dell'anello con la condizione in modo che non ci siano più di tre passaggi di replica tra qualsiasi controller di dominio. Il circuito dell'anello viene salvato fino a 7 controller inclusivi, ciascun controller stabilisce una connessione con due vicini più vicini, con più controller, appaiono connessioni aggiuntive e l'anello totale in quanto si trasforma in un gruppo degli anelli sovrapposti l'uno sull'altro.

Intersayte. La replica si verifica altrimenti, in ciascun dominio uno dei server (Server-Bridgehead) viene selezionato automaticamente che stabilisce una connessione con un server simile di un altro sito. La replica predefinita avviene una volta ogni 3 ore (180 minuti), tuttavia, possiamo installare la propria pianificazione della replica e per salvare il traffico, tutti i dati vengono trasmessi in un modulo compresso. Se c'è solo RODC sul sito, la replica si verifica unidirezionale.

Naturalmente, ci sono interessati solo dai temi di molto profondi e in questo materiale ci hanno solo toccato leggermente, ma questa è la necessaria conoscenza minima che è necessario avere un'implementazione pratica della direttiva attiva nell'infrastruttura aziendale. Ciò eviterà errori stupidi durante la distribuzione e le situazioni avtrale durante la manutenzione e l'espansione della struttura, e ciascuno degli argomenti sollevati saranno discussi in modo più dettagliato.

Cosa aiuterà Active Directory. Specialisti?

darò una piccola lista di "yummy", che può essere ottenuto distribuendo Active Directory:

  • un singolo database di registrazione dell'utente, che è archiviata centralmente su uno o più server; Pertanto, quando il nuovo dipendente appare in ufficio, è necessario solo portarlo un account sul server e specificare quali workstation può accedere;
  • poiché tutte le risorse del dominio sono indicizzate, consente di cercare semplicemente e rapidamente gli utenti; Ad esempio, se è necessario trovare una stampante a colori nel dipartimento;
  • l'insieme dei permessi NTFS, le politiche di gruppo e la delegazione della gestione ti consentiranno di ottimizzare e distribuire i diritti tra i partecipanti al dominio;
  • i profili utente mobili consentono di memorizzare importanti informazioni e impostazioni di configurazione sul server; Infatti, se un utente con un profilo spostato nel dominio morirà a lavorare in un altro computer e introduce il suo nome utente e la sua password, vedrà il suo desktop con le impostazioni che lo hanno familiarità;
  • utilizzando le politiche di gruppo, è possibile modificare le impostazioni dei sistemi operativi utente, per risolvere l'utente per installare lo sfondo sul desktop prima delle impostazioni di sicurezza, nonché il software di diffusione del software, come il client di copia dell'ombra del volume, ecc.;
  • molti programmi (server proxy, server di database Dr.) Non solo la produzione di Microsoft oggi ha imparato a utilizzare l'autenticazione del dominio, quindi non è necessario creare un altro database utente e è possibile utilizzare quello esistente;
  • l'utilizzo dei servizi di installazione remoti rende più facile installare sistemi su lavori, ma, a sua volta, funziona solo quando viene implementato il servizio di directory.

E questo non è un elenco completo delle funzionalità, ma questo è in seguito. Ora cercherò di raccontare la logica della costruzione Active Directory.Ma di nuovo vale la pena scoprire su ciò che i nostri ragazzi vengono fatti da cosa Active Directory. - Questi sono domini, alberi, foreste, unità organizzative, gruppi di utenti e computer.

Domini -Questa è la principale unità logica della costruzione. Rispetto ai gruppi di lavoro domini d.C. - Questi sono un gruppo di sicurezza che dispongono di un singolo database di registrazione, mentre i gruppi di lavoro sono solo un'associazione logica di macchine. AD utilizza DNS Naming e DNS (Doman Name Server), non vince (servizio Nome Internet Windows - Nomi Internet), come nelle prime versioni NT. Pertanto, i nomi dei computer nel dominio hanno il modulo, ad esempio, Buh.work.com, dove Buh è il nome del computer nel dominio Work.com (anche se non è sempre il caso).

I gruppi di lavoro utilizzano nomi NetBIOS. Per posizionare una struttura di dominio ANNO DOMINI È possibile utilizzare il server DNS non da Microsoft. Ma deve essere compatibile con le bind 8.1.2 o superiore e supporta i record SRV (), nonché un protocollo di registrazione dinamico (RFC 2136). Ogni dominio ha almeno un controller di dominio su cui si trova il database centrale.

Alberi -Queste sono strutture multidimensionali. La radice di tale struttura è il dominio principale per il quale crei sussidiarie. In effetti, Active Directory utilizza un sistema di costruzione gerarchico simile alla struttura dei domini in DNS.

Se disponiamo di un dominio work.com (dominio di primo livello) e creiamo per lui due sussidiarie prima.work.com e Second.Work.com (qui prima e secondo sono i domini di secondo livello, e non un computer nel dominio, Come nel caso sopra descritto), quindi alla fine otterremo l'albero di dominio.

Gli alberi come costruzione logica vengono utilizzati quando è necessario dividere i rami dell'azienda, ad esempio, da caratteristiche geografiche o da alcune altre considerazioni organizzative.

ANNO DOMINI Aiuta a creare automaticamente una relazione di fiducia tra ogni dominio e le sue controllate.

Pertanto, la creazione del primo dominio.work.com porta all'organizzazione automatica delle relazioni di confidenza bilaterali tra i genitori.com e il bambino First.Work.com (simile a e per Second.Work.com). Pertanto, i permessi per una filiale possono essere applicati dal dominio genitore e viceversa. Non è difficile presumere che una relazione di fiducia esisterà per controllate.

Un'altra proprietà delle relazioni di fiducia è la transibilità. Otteniamo - per il dominio net.first.work.com viene creata la relazione di fiducia con il dominio work.com.

Foresta -Quindi, come gli alberi sono strutture multi-domestiche. Ma foresta - Questa è la combinazione di alberi con domini radice diversi.

Supponiamo di decidere di avere diversi domini con i nomi di work.com e home.net e creare filiali per loro, ma a causa del fatto che TLD (dominio di livello superiore) non è nel tuo controllo, in questo caso è possibile organizzare una foresta scegliendo Uno dei domini del primo livello è root. L'intero fascino della creazione della foresta in questo caso è a doppia faccia di fiducia tra i due domini e le loro controllate.

Tuttavia, quando si lavora con foreste e alberi è necessario ricordare quanto segue:

  • non è possibile aggiungere un dominio esistente all'albero
  • È impossibile includere un albero esistente nella foresta
  • se i domini sono collocati nella foresta, non possono essere spostati in un'altra foresta
  • non è possibile rimuovere un dominio con sussidiarie

Unità organizzative - Il principio può essere chiamato sottodomini. Consenti agli utenti negli account utente del dominio, nei gruppi di utenti, dei computer, delle risorse condivise, delle stampanti e dell'OU (unità organizzative). I vantaggi pratici della loro applicazione consiste nella possibilità di delegare i diritti per amministrare queste unità.

Basta inserire, è possibile assegnare administrator un dominio in grado di gestire OU, ma non avere diritti per amministrare l'intero dominio.

Una caratteristica importante dell'OU in contrasto con i gruppi è la possibilità di applicare le politiche del Gruppo a loro. "E perché non è possibile rompere il dominio originale in diversi domini invece di usare ou?" - tu chiedi.

Molti esperti consigliano di avere un dominio. La ragione di ciò è di decentrare l'amministrazione quando si crea un dominio aggiuntivo, poiché gli amministratori di ciascuno di questo dominio ricevono il controllo illimitato (ti ricorderò che quando si delega i diritti degli amministratori di OU, è possibile limitare il funzionario.

Oltre a questo, sarà necessario un altro controller per creare un nuovo dominio (anche una sussidiaria). Se hai due divisioni separate collegate da un canale lento di comunicazione, potrebbero sorgere problemi con la replica. In questo caso, due domini saranno più appropriati.

C'è anche un'altra applicazione di sfumatura delle politiche di gruppo: le politiche che definiscono le impostazioni della password e gli account di blocco possono essere utilizzati solo per i domini. Per OU, queste impostazioni politiche vengono ignorate.

Siti -Questo è un modo per dividere fisicamente il servizio di directory. Per definizione, il sito è un gruppo di computer collegati da rapidi canali di dati.

Se hai diverse filiali in diverse estremità del paese collegato da linee di comunicazione a bassa velocità, quindi per ogni ramo è possibile creare il proprio sito web. È fatto per aumentare l'affidabilità della replica della directory.

Tale annuncio di partizionamento non influisce sui principi della costruzione logica, quindi, entrambi il sito può contenere diversi domini e, al contrario, il dominio può contenere diversi siti. Ma una simile topologia del servizio del catalogo è la TAIT. Di regola, Internet è usato per comunicare con i rami - un mezzo molto non sicuro. Molte aziende utilizzano strumenti di protezione, come i firewall. Il servizio di directory nel suo lavoro utilizza circa una dozzina di porti e servizi e mezzo, l'apertura di cui passare il traffico dell'annuncio attraverso il firewall, infatti lo esporrà a "out". Il problem solving è l'uso della tecnologia di tunneling, nonché la disponibilità di un controller di dominio in ciascun sito per accelerare l'elaborazione delle richieste per i client pubblicitari.

La logica del nidificazione dei componenti del servizio di directory è presentato. Si può vedere che la foresta contiene due Dend Wood in cui il dominio radice dell'albero, a sua volta, può contenere OU e gruppi di oggetti, nonché di avere filiali (in questo caso ciascuna). I domini della figlia possono contenere anche gruppi di oggetti e ou e hanno sussidiarie (non ci sono loro in figura). Eccetera. Lascia che ti ricordi che l'ou può contenere OU, oggetti e gruppi di oggetti e gruppi possono contenere altri gruppi.

Gruppi di utenti e computer -utilizzato per scopi amministrativi e hanno lo stesso significato di quando utilizzato su macchine locali sulla rete. A differenza dell'UU, le politiche di gruppo non possono essere applicate ai gruppi, ma il controllo può essere delegato per loro. Come parte dello schema di Active Directory, si distingue due tipi di gruppi: Gruppi di sicurezza (applicare per delimitare i diritti di accesso agli oggetti di rete) e gruppi di distribuzione (utilizzati principalmente per distribuire i messaggi di posta, ad esempio, nel server Microsoft Exchange).

Sono divisi per l'area di azione:

  • gruppi universali può includere gli utenti all'interno della foresta, così come altri gruppi universali o gruppi globali di qualsiasi dominio nella foresta
  • gruppi di dominio globali. Può includere utenti di dominio e altri gruppi globali dello stesso dominio
  • gruppi di dominio locali Utilizzato per delimitare i diritti di accesso, possono includere utenti di dominio, oltre a gruppi universali e gruppi globali di qualsiasi dominio nella foresta
  • gruppi locali di computer - Gruppi che contengono SAM (Gestione account di sicurezza) di una macchina locale. La regione della loro distribuzione è limitata solo da questa macchina, ma possono includere gruppi di dominio locali in cui si trova il computer, oltre a gruppi universali e globali del loro dominio o dell'altro a cui si fidaranno. Ad esempio, è possibile abilitare l'utente dal Gruppo utente locale del dominio al gruppo Administrators della macchina locale, dandogli i diritti dell'amministratore, ma solo per questo computer

Il dominio è l'unità amministrativa principale nell'infrastruttura di rete dell'impresa, che include tutti gli oggetti di rete, come utenti, computer, stampanti, risorse condivise, ecc. L'aggregato (gerarchia) dei domini è chiamato foresta. Ogni azienda può avere un dominio esterno e interno.

Ad esempio, il sito è un dominio esterno su Internet, acquistato dal registratore dei virus. In questo dominio c'è il nostro sito Web e server di posta. Lankey.Local è un dominio del servizio di dominio di dominio di Active Directory, che ospita account utente, computer, stampanti, server e applicazioni aziendali. A volte i nomi di dominio esterni e interni sono fatti lo stesso.

Microsoft Active Directory è diventato lo standard del singolo catalogo dell'impresa. Il dominio di Active Directory è stato introdotto in quasi tutte le aziende del mondo, e in questo mercato, Microsoft non ha lasciato quasi concorrenti, la quota dello stesso servizio di directory Novell (NDS) è trascurabile e le società rimanenti migrano gradualmente in Active Directory .

Active Directory è un database distribuito che contiene tutti gli oggetti di dominio. L'ambiente di dominio di Active Directory è un singolo punto di autenticazione e autorizzazione di utenti e applicazioni in tutta l'azienda. È dall'organizzazione del dominio e la distribuzione di Active Directory inizia a costruire un'infrastruttura IT dell'impresa. Il database di Active Directory è memorizzato su server dedicati - Controller di dominio. Il servizio di Active Directory è il ruolo dei sistemi operativi del server Microsoft Windows Server. Al momento, Lanka viene introdotta da domini di Active Directory in base al sistema operativo Windows Server 2008 R2.

Distribuzione del servizio di directory di Active Directory rispetto al gruppo di lavoro (gruppo di lavoro) fornisce i seguenti vantaggi:

  • Punto di autenticazione unificato. Quando i computer funzionano nel gruppo di lavoro, non hanno un singolo database utente, ogni computer ha il suo. Pertanto, per impostazione predefinita, nessuno degli utenti ha accesso alla rete su un altro utente o server. E, come sai, il significato della rete è solo che gli utenti possono interagire. I dipendenti richiedono l'accesso congiunto a documenti o applicazioni. In un gruppo di lavoro su ciascun computer o server, dovrai aggiungere manualmente un elenco completo degli utenti che necessitano di accesso alla rete. Se improvvisamente, uno dei dipendenti vorrà cambiare la loro password, sarà necessario modificare su tutti i computer e i server. Bene, se la rete è composta da 10 computer, ma se ci sono 100 o 1000, l'uso del gruppo di lavoro sarà inaccettabile. Quando si utilizza il dominio Active Directory, tutti gli account utente vengono memorizzati in un singolo database e tutti i computer si rivolgono ad esso per l'autorizzazione. Tutti gli utenti del dominio sono inclusi nei gruppi pertinenti, ad esempio "Contabilità", "Cornici", "Dipartimento finanziario", ecc. Basta chiedere alle autorizzazioni una volta per alcuni gruppi e tutti gli utenti riceveranno l'accesso appropriato a documenti e applicazioni. Se un nuovo dipendente arriva alla Società, l'account è stato creato, che è incluso nel gruppo pertinente, ed è così! Dopo un paio di minuti, il nuovo dipendente ha accesso a tutte le risorse di rete a cui è necessario accedere, su tutti i server e i computer. Se un dipendente viene respinto, è sufficiente bloccare o eliminare il proprio account e perderà immediatamente l'accesso a tutti i computer, i documenti e le applicazioni.
  • Punto di gestione delle politiche unificate. In una rete peer-to-peer (gruppo di lavoro), tutti i computer sono uguali. Nessuno dei computer può gestire gli altri, tutti i computer sono configurati in modi diversi, è impossibile controllare né conformità con politiche uniformi o regole di sicurezza. Quando si utilizza una singola directory di Active Directory, tutti gli utenti e i computer sono distribuiti gerarchicamente da unità organizzative, ciascuna delle quali utilizza politiche di gruppo uniformi. I politici consentono di impostare impostazioni uniformi e impostazioni di sicurezza per un gruppo di computer e utenti. Quando si aggiunge un nuovo computer o utente al dominio, riceve automaticamente le impostazioni che corrispondono agli standard aziendali accettati. Anche l'utilizzo di polizze possono essere assegnate centralmente alle stampanti di rete degli utenti, impostare le applicazioni necessarie, impostare le impostazioni di sicurezza del browser Internet, configurare le applicazioni Microsoft Office, ecc.
  • Integrazione con applicazioni e attrezzature aziendali. Il grande vantaggio di Active Directory è uno standard LDAP che è supportato da centinaia di applicazioni, come server di posta (Exchange, Lotus, MDaemon), sistemi ERP (Dynamics, CRM), server proxy (ISA Server, Squad), ecc. E Questa non è solo applicazioni in Microsoft Windows, ma anche server basati su Linux. I vantaggi di tale integrazione è che l'utente non ha bisogno di ricordare un numero elevato di login e password per accedere a una particolare applicazione, in tutte le applicazioni l'utente ha le stesse credenziali, perché La sua autenticazione si verifica in una singola directory di Active Directory. Inoltre, il dipendente non è tenuto a inserire il nome utente e la password più volte, proprio quando si avvia il computer una volta effettuato il login, e in futuro l'utente autentica automaticamente in tutte le applicazioni. Windows Server da integrare con Active Directory fornisce il protocollo RADIUS, che è supportato da un gran numero di apparecchiature di rete. Pertanto, è possibile, ad esempio, per garantire l'autenticazione degli utenti del dominio quando si collega al router Cisco di VPN.
  • Archiviazione di configurazione dell'applicazione unificata. Alcune applicazioni memorizzano la loro configurazione in Active Directory, come Exchange Server o Office Communications Server. Distribuzione del servizio di directory Active Directory è un prerequisito per il funzionamento di queste applicazioni. Anche nel servizio directory, è possibile memorizzare la configurazione del server dei nomi di dominio DNS. La memorizzazione della configurazione delle applicazioni nel servizio di directory è vantaggiosa dal punto di vista della flessibilità e dell'affidabilità. Ad esempio, nel caso del fallimento completo del server di Exchange, la sua intera configurazione rimarrà intatta, perché Memorizzato in Active Directory. E per ripristinare la salute della posta aziendale, sarà sufficiente per reinstallare Exchange Server in modalità di ripristino.
  • Aumento del livello di sicurezza delle informazioni. L'utilizzo di Active Directory migliora significativamente la sicurezza della rete. Innanzitutto, questa è una stoccaggio singola e protetta di account. In una rete peer-to-peer, le credenziali dell'utente sono memorizzate sul database locale dei conti (SAM), che teoricamente è possibile hackerare, intagliato il computer. Nell'ambiente di dominio, tutte le password degli utenti del dominio sono memorizzate su server controller di dominio dedicati, che sono solitamente protetti dall'accesso esterno. In secondo luogo, quando si utilizza un ambiente di dominio per l'autenticazione, viene utilizzato il protocollo Kerberos, che è significativamente più sicuro di NTLM, utilizzato nei gruppi di lavoro. Inoltre, è possibile utilizzare l'autenticazione a due fattori utilizzando Smart card per immettere il sistema. Quelli. Per un dipendente avere accesso a un computer, sarà necessario inserire il tuo nome utente e password, nonché inserire la tua smart card.

Scalabilità e tolleranza agli errori del servizio di directory di Active Directory

Il servizio di directory di Microsoft Active Directory ha opzioni di ridimensionamento ampie. Nella foresta di Active Directory, è possibile creare oltre 2 miliardi di strutture, che consente di implementare servizi di directory in società con centinaia di migliaia di computer e utenti. La struttura gerarchica dei domini consente di ridimensionare in modo flessibile l'infrastruttura IT su tutte le filiali e le divisioni regionali delle società. Per ogni ramo o divisione dell'azienda, è possibile creare un dominio separato, con i propri politici, i propri utenti e gruppi. L'autorità amministrativa agli amministratori di sistema locale può essere delegata per ciascun dominio sussidiario. Allo stesso tempo, i domini della figlia sono obbediti dal genitore.

Inoltre, Active Directory consente di personalizzare la relazione di trust tra le foreste del dominio. Ogni azienda ha la sua foresta di dominio, ognuna delle quali ha le proprie risorse. Ma a volte è necessario fornire accesso alle loro risorse aziendali ai dipendenti delle società partner. Ad esempio, con la partecipazione ai progetti congiunti, i dipendenti dei partner di società possono lavorare insieme con documenti generali o applicazioni. A tal fine, le relazioni confidenziali possono essere configurate tra foreste di organizzazioni, che consentiranno ai dipendenti di un'organizzazione di autorizzare nel dominio di un altro.

La tolleranza agli errori del servizio di directory è fornita distribuendo 2 o più server - Controller di dominio in ciascun dominio. Esiste una replica automatica di tutte le modifiche tra i controller di dominio. In caso di fallimento di uno dei controller di dominio, il funzionamento della rete non è violato, perché I resti rimanenti. Un ulteriore livello di tolleranza agli errori fornisce la posizione dei server DNS sui controller di dominio in Active Directory, che consente a ciascun dominio di ottenere diversi server DNS che servono la zona di dominio principale. E in caso di fallimento di uno dei server DNS, le restanti opere continueranno a funzionare, e saranno disponibili, sia la lettura che il record, che non possono essere forniti utilizzando, ad esempio, il server Bind DNS basato su Linux.

Vantaggi di passare a Windows Server 2008 R2

Anche se la tua azienda è già stata distribuita dal servizio di directory di Active Directory in base a Windows Server 2003, è possibile ottenere una serie di vantaggi facendo clic su Windows Server 2008 R2. Windows Server 2008 R2 fornisce le seguenti funzionalità aggiuntive:

    Il controller di dominio è letto solo da RODC (controller di dominio di sola lettura). I controller di dominio memorizzano account utente, certificati e molte altre informazioni riservate. Se i server si trovano in CDA protetto, la sicurezza di queste informazioni può essere calma, ma cosa fare se il dominio Kotroller è nella filiale in un luogo disponibile pubblicamente. In questo caso, c'è la possibilità che il server demetterà gli aggressori e hackarlo. E quindi utilizzare questi dati per organizzare l'attacco sulla rete aziendale, al fine di furto o distruzione delle informazioni. È per evitare tali casi nelle filiali che i controller di dominio sono installati solo per la lettura (RODC). Innanzitutto, i controller RODC non memorizzano le password dell'utente, ma la memorizzano solo per accedere ad accedere, e in secondo luogo, usano la replicazione unilaterale, solo dai server centrali a un ramo, ma non in ritorno. E anche se gli aggressori svegliano il controller di dominio RODC, non riceveranno password utente e non possono causare danni alla rete principale.

    Ripristina oggetti di Active Directory remoto. Quasi tutti gli amministratori di sistema hanno affrontato la necessità di ripristinare l'account utente accidentalmente remoto o un intero gruppo di utenti. In Windows 2003, è stato necessario ripristinare il servizio di directory dal backup, che spesso non era, ma anche se fosse, il recupero occupato abbastanza a lungo. Windows Server 2008 R2 ha un paniere di Active Directory. Ora quando si elimina un utente o un computer, entra nel cestello, da cui può essere ripristinato in un paio di minuti entro 180 giorni, mantenendo tutti gli attributi iniziali.

    Gestione semplificata. In Windows Server 2008 R2, una serie di modifiche è stata effettuata significativamente ridotta il carico sugli amministratori di sistema e facilitando la gestione dell'infrastruttura IT. Ad esempio, tali strumenti sono apparsi come: Audit Active Directory Modifica, mostrando chi, cosa e quando è cambiato; Le politiche di complessità della password sono attribuite a livello di gruppi di utenti, in precedenza è stato possibile apportare solo a livello di dominio; Nuova gestione degli utenti e computer; Modelli di politica; Gestione utilizzando la riga di comando PowerShell, ecc.

Implementazione del servizio di directory di Active Directory

Il servizio di directory di Active Directory è il cuore dell'infrastruttura IT dell'impresa. In caso di fallimento, l'intera rete, tutti i server, il lavoro di tutti gli utenti sarà paralizzato. Nessuno può inserire il computer, accedere ai suoi documenti e applicazioni. Pertanto, il servizio di directory dovrebbe essere progettato e schierato attentamente progettato e impiegato, tenendo conto di tutte le sfumature possibili. Ad esempio, la struttura dei siti dovrebbe essere basata sulla topologia della rete fisica e sulla larghezza di banda della larghezza di banda tra rami o uffici aziendali, perché Da ciò dipende direttamente dalla velocità del login dell'utente nel sistema, nonché dalla replica tra i controller di dominio. Inoltre, in base alla topologia dei siti di Exchange Server 2007/2010, la posta è instradata. È inoltre necessario calcolare correttamente il numero e la posizione dei server di directory globali che memorizzano gli elenchi dei gruppi universali e molti altri attributi usati di tutti i domini forestali. Ecco perché le aziende laici le attività per l'implementazione, la riorganizzazione o la migrazione del servizio di directory di Active Directory sugli integratori di sistema. Tuttavia, è necessario non sbagliare quando si sceglie un integratore di sistema, dovrebbe essere verificato che sia certificato per questo tipo di lavoro e ha le competenze pertinenti.

LANKA è un integratore del sistema certificato e ha lo stato del partner certificato GOLD Microsoft. Lanka ha la competenza della piattaforma di datacenter (soluzioni avanzate di infrastrutture), che conferma la nostra esperienza e le nostre qualifiche in materia legate alla distribuzione di Active Directory e all'attuazione delle soluzioni Microsoft Server.


Tutti i lavori nei progetti eseguono gli ingegneri Microsoft MCSE certificati, MCITP, che hanno un'esperienza ricca in progetti ampi e complessi per costruire infrastrutture IT e implementano domini di Active Directory.

Lanci svilupperà un'infrastruttura IT, espandere il servizio di directory di Active Directory e fornirà il consolidamento di tutte le risorse disponibili dell'impresa in un unico spazio informativo. L'implementazione di Active Directory contribuirà a ridurre il costo cumulativo della proprietà del sistema informativo, nonché migliorare l'efficienza della condivisione delle risorse condivise. Lanka fornisce anche servizi per la migrazione dei domini, combinando e separando le infrastrutture IT in fusioni e acquisizioni, manutenzione e supporto dei sistemi informativi.

Esempi di alcuni progetti per l'implementazione di Active Directory, implementato da Lanka:

Cliente Descrizione Descrizione

In connessione con l'esecuzione di una transazione per l'acquisto del 100% delle azioni dei telai Sibur-Mounty, GUSC (successivamente ribattezzato OJSC "SDS-AZOT") delle società di holding dell'Unione business siberiana nel dicembre 2011, c'era bisogno di Separare l'infrastruttura IT di OAO -Azot "dalla rete che tiene Sibur.

La migrazione Lanci ha fatto una migrazione del servizio di directory di Active Directory della divisione FRANING MONTAGGIO SIBUR dalla rete di Holding Sibur a una nuova infrastruttura. Sono stati trasferiti anche account utente, computer e applicazioni. Secondo i risultati del progetto, un ringraziamento ricevuto dal cliente.
In connessione con la ristrutturazione del business, il servizio di directory Active Directory è stato implementato per l'ufficio centrale e 50 negozi di Mosca e regionali. Il servizio di directory ha fornito un'equazione centralizzata da tutte le risorse aziendali, nonché l'autenticazione e l'autorizzazione di tutti gli utenti.
Nell'ambito di un progetto integrato per creare un'infrastruttura IT dell'impresa, Lanci ha completato il dominio di Active Directory per la società di gestione e 3 divisioni regionali. È stato creato un sito separato per ogni ramo, ogni sito è stato distribuito 2 controller di dominio. Anche i servizi di certificazione sono stati implementati. Tutti i servizi sono stati distribuiti sulle macchine virtuali che eseguono Microsoft Hyper-V. La qualità del lavoro della società Lanka è stata contrassegnata con una recensione.
Nell'ambito di un progetto completo per creare un sistema informativo aziendale, un servizio di directory di Active Directory è stato distribuito in base a Windows Server 2008 R2. Il sistema è stato distribuito utilizzando la tecnologia di virtualizzazione del server che esegue Microsoft Hyper-V. Il servizio di directory ha fornito autenticazione uniforme e autorizzazione di tutti i dipendenti dell'ospedale e il tag ha fornito il funzionamento di applicazioni come Exchange, TMG, SQL, ecc.



Il servizio di directory Active Directory viene effettuato sul database R2 di Windows Server 2008. Al fine di ridurre i costi, l'installazione è fabbricata nel sistema di virtualizzazione del server in base a Microsoft Hyper-V.
Nell'ambito del quadro di un progetto completo per creare un'infrastruttura IT dell'impresa, è stato distribuito un servizio di directory su Windows Server 2008 R2. Tutti i controller di dominio sono stati implementati utilizzando il sistema di virtualizzazione del server Microsoft Hyper-V. La qualità del lavoro è confermata dal feedback dei clienti.


Nel più breve tempo possibile, le prestazioni del servizio di directory Active Directory vengono ripristinate nella situazione critica per gli affari. Specialisti "Lanka" Solo un paio d'ore ha ripristinato le prestazioni del dominio root e ha scritto le istruzioni per il recupero delle unità di replica 80 filiali. Per l'efficienza e la qualità del lavoro dal cliente è stato rivisto.
Come parte di un progetto integrato per la creazione di un'infrastruttura IT, è stato distribuito il dominio di Active Directory in base a Windows Server 2008 R2. La performance del servizio di directory è stata fornita utilizzando 5 controller di dominio distribuiti su un cluster di macchine virtuali. Il backup del servizio di directory è stato implementato utilizzando Microsoft Data Protection Manager 2010. La qualità del lavoro è confermata dalla revisione.

Come parte di un progetto completo per creare un sistema di informazione aziendale, un servizio di directory di servizio di Active Directory viene distribuito in base a Windows Server 2008. L'infrastruttura IT è stata costruita utilizzando la virtualizzazione Hyper-V. Dopo il completamento del progetto, è stato concluso un contratto per ulteriori manutenzione del sistema informativo. Il lavoro in questione è confermato dalla revisione.
Tecnologia petrolifera e gas Nell'ambito di un progetto integrato per creare un'infrastruttura IT, viene distribuita una singola directory di Active Directory sul database Windows Server 2008 R2. Il progetto è stato completato per 1 mese. Dopo il completamento del progetto, è stato concluso un contratto per ulteriore mantenimento del sistema. La qualità del lavoro è confermata dalla revisione.
L'Active Directory è effettuata in base a Windows Server 2008 come parte del progetto Exchange Server 2007.
Il servizio di directory Active Directory viene riorganizzato in base a Windows Server 2003 prima di implementare Exchange Server 2007. La qualità del lavoro è confermata dalla revisione.
Il servizio di directory Active Directory è effettuato sul database Windows Server 2003 R2. Dopo il completamento del progetto, è stato concluso un contratto per ulteriore manutenzione del sistema. La qualità del lavoro è confermata dalla revisione.

L'Active Directory è effettuata in base a Windows Server 2003. Dopo il completamento del progetto, il contratto è stato concluso per ulteriore supporto del sistema.

Servizio di directory esteso esteso e scalabile attivo directory (Catalogo attivo) consente di gestire efficacemente le risorse di rete.
Active Directory. - Questa è una memorizzazione dati organizzata gerarchicamente sugli oggetti di rete, fornendo strumenti convenienti per la ricerca e l'utilizzo di questi dati. Un computer su cui funziona Active Directory è chiamato controller di dominio. Quasi tutte le attività amministrative sono collegate con Active Directory.
La tecnologia Active Directory si basa sui protocolli Internet standard e aiuta a definire chiaramente la struttura di rete, in modo più dettagliato come distribuire da zero dominio Active Directory letti qui ..

Active Directory e DNS

In Active Directory, viene utilizzato un sistema di nome del dominio.

Amministrazione di Active Directory.

Con l'aiuto del servizio di Active Directory, vengono creati i computer, sono collegati al dominio, i computer sono controllati, controller di dominio e unità organizzative (OP).

L'amministrazione e il supporto sono progettati per gestire Active Directory. Gli strumenti elencati di seguito sono implementati e il modulo dello snap-in della console MMS (Microsoft Management Console):

  • Active Directory Utenti e computer (utenti e computer di Active Directory) ti consente di gestire utenti, gruppi, computer e divisioni organizzative (OP);
  • I domini e i trust di Active Directory (domini e trust di Active Directory) servono a lavorare con domini, alberi di dominio e foreste del dominio;
  • I siti e i servizi di Active Directory (sito e servizi di Active Directory) ti permette di gestire siti e sottoreti;
  • Il set risultante della politica) viene utilizzato per visualizzare l'attuale politica dell'utente o del sistema e pianificare le modifiche alle politiche.
  • Server Microsoft Windows 2003 È possibile accedere a questi snap direttamente dal menu Amministrazione (strumenti di amministrazione).

Un altro strumento di amministrazione è una directory schematica snap-in (schema di Active Directory) - consente di controllare e modificare lo schema di directory.

Utilità di riga di comando di Active Directory

Per gestire gli oggetti di Active Directory, ci sono strumenti di riga di comando che consentono una vasta gamma di attività amministrative:

  • DSADD - Aggiunge computer, contatti, gruppi, op e utenti a Active Directory.
  • DSGet - Visualizza le proprietà dei computer, dei contatti, dei gruppi, dell'OP, degli utenti, dei siti, dei Subnets e dei server registrati in Active Directory.
  • DSMOD - Modifica le proprietà dei computer, dei contatti, dei gruppi, dell'OP, degli utenti e dei server registrati in Active Directory.
  • DSmove: sposta un singolo oggetto in una nuova posizione all'interno del dominio o rinomina un oggetto senza muoversi.
  • DSQXJERY - Cerca computer, contatti, gruppi, op, utenti, siti, sottoreti e server in Active Directory per criteri specificati.
  • DSRM: rimuove un oggetto da Active Directory.
  • NTDSUTIL - consente di visualizzare informazioni sul sito, il dominio o il server, gestire le operazioni delle operazioni (master di operazioni) e mantenere il database di Active Directory.

Come sapete prima di implementare l'infrastruttura del server nell'impresa ed evitare momenti più spiacevoli alla fine della distribuzione, dovrebbe essere pianificato attentamente. In considerazione del fatto che i servizi di Active Directory si svolgono come repository centrale per la memorizzazione dei dati, nonché informazioni per l'implementazione di politiche e configurazioni, insieme agli scenari di accesso all'utente, ai computer e ai servizi di rete con supporto per le richieste di LDAP industriale, applicato alle richieste di scrittura e Modificare le informazioni nella directory, logica e la struttura fisica dell'organizzazione dovrebbe essere progettata in modo tale che la gestione anche nelle reti più grandi e più complesse forniva un singolo punto in cui possono essere distribuite le impostazioni in una varietà di sistemi. Dopo aver inventato la versione finale dei requisiti aziendali, il contratto livello di servizio, nonché documentato le informazioni ricevute, è necessario avviare la progettazione dell'infrastruttura logica e fisica dell'impresa. In questa fase, è necessario pianificare correttamente il numero, la struttura e la progettazione di foreste, di cui consisterà l'impresa, dove saranno distribuiti i servizi di dominio Active Directory.

A-Priory, foresta Il livello più alto della gerarchia della struttura logica dei servizi di dominio, che è considerato il limite della replica e della sicurezza nell'impresa ed è composto da uno o più domini di Active Directory. Il primo controller di dominio installato nella foresta è chiamato radice. La foresta contiene una singola descrizione della configurazione e un'istanza del catalogo dei circuiti. Questa è l'unica istanza della directory chiusa, in cui i dati non vengono replicati. Di conseguenza, la foresta imposta il perimetro della sicurezza dell'organizzazione. Insieme alla foresta, i seguenti componenti dei servizi di dominio Active Directory sono utilizzati:

  • Schema generale. Tutti i controller di dominio nella foresta utilizzano uno schema comune che viene memorizzato nei servizi di dominio di Active Directory nella sezione Directory Schema, ed è replicata a tutti i controller nella foresta. L'unico modo per distribuire due diversi schemi nell'organizzazione è quello di distribuire due foreste di hotel;
  • Generale Catalogo globale.. Il catalogo globale è chiamato sezione che memorizza le informazioni su ciascun oggetto nella foresta. Cioè, quando l'utente da un dominio è alla ricerca dell'oggetto di dominio nel secondo, i risultati della query forniscono esattamente la directory globale. La directory Global Global contiene informazioni su tutti gli oggetti in tutta la foresta. Pertanto, l'efficienza della ricerca di oggetti nella foresta e nella voce dell'utente in qualsiasi dominio forestale utilizzando UPN;
  • Directory di configurazione generale. La sezione di configurazione contiene oggetti che forniscono la struttura logica del posizionamento forestale - in particolare, la struttura del dominio e la topologia della replica. Gli oggetti memorizzati nella sezione di configurazione devono essere replicati tra tutti i controller di tutti i domini forestali e utilizzare un contenitore di configurazione. I dati di configurazione includono un elenco di tutti i domini, gli alberi e le foreste, nonché il collocamento di controller di dominio e directory globali. La sezione Directory di configurazione viene utilizzata anche da applicazioni di Active Directory come Exchange Server e il punto di condivisione;
  • Set generale delle operazioni forestali e degli amministratori. In qualsiasi database replicato, determinate modifiche dovrebbero essere effettuate solo da una replica, in quanto è inappropriata soddisfarli con tutti i partecipanti uguali. Un certo insieme limitato di operazioni non può essere eseguito in vari punti contemporaneamente, ma è possibile solo su un controller di dominio o solo in una foresta. Il controller di dominio che esegue ruoli speciali è chiamato master of Operations.. È aggiunta operazioni flessibili a maestro singolo. I servizi di dominio di Active Directory contengono cinque ruoli di maestri operativi, due ruoli sono forniti per la foresta e per il dominio - tre. Il ruolo del regime master e dei master del nome di dominio sono configurati a livello forestale. Ogni foresta ha un solo master dello schema e un dominio di denominazione master e due gruppi di sicurezza con le loro autorizzazioni univoci sono creati nel dominio della root della foresta. I maestri operativi saranno discussi in modo più dettagliato in uno dei seguenti articoli;
  • Configurazione generale della configurazione. Tutti i domini nella foresta sono automaticamente configurati per la fiducia in tutti gli altri domini forestali. Anche il concetto di relazioni di fiducia sarà considerato separatamente.

Quando si pianifica le foreste dell'impresa è necessaria principalmente per decidere quante foreste dovrebbe essere creata Active Directory. Successivamente, è necessario scegliere un modello forestale, così come in questa fase, viene creata una politica di modifica del regime, che delinea il cerchio delle persone con poteri di gestione, uno schema e regola il meccanismo delle modifiche amministrative che influenzano la foresta nel suo complesso . Tutto ciò imparerai in dettaglio da questo articolo.

Definizione di foreste e poteri

Prima di progettare uno schema forestale aziendale, è necessario prestare particolare attenzione ai requisiti di produzione che soddisferà la struttura dei servizi di dominio. I servizi di directory ci consentono di progettare una tale infrastruttura che sarà adattata per gruppi con vari ed esclusivi requisiti di gestione. Ai requisiti in cui le organizzazioni possono fornire organizzazioni nella progettazione di servizi di dominio di Directory Active Directory possono essere attribuiti:

  • Requisiti strutturali organizzativi. Enorme importanza nella progettazione della struttura forestale ha la corretta comprensione della struttura organizzativa dell'impresa. Per risparmiare fondi, alcune parti dell'organizzazione possono utilizzare un'infrastruttura comune, ma allo stesso tempo di lavorare indipendentemente dal resto dell'organizzazione. Ad esempio, uno di questi requisiti può essere considerato un isolamento temporaneo di un'unità aziendale specifica per un certo periodo che deve essere installato le directory delle applicazioni che modificano lo schema di Active Directory. In questo caso, se tale unità appartiene a una foresta, in cui si trovano le altre organizzazioni dell'organizzazione, l'organizzazione stessa può causare danni significativi. Pertanto, per raccogliere requisiti strutturali organizzativi, è meglio iniziare con la definizione di vari gruppi di principali di sicurezza che verranno utilizzati nei servizi di dominio di Active Directory. Successivamente, determinare quali gruppi dovrebbero funzionare separatamente dall'intera organizzazione. Se vengono rilevati tali gruppi nella tua organizzazione, determinare se possono danneggiare l'intera organizzazione. Di solito, i gruppi che hanno requisiti diversi dal resto dell'organizzazione sono collocati in foreste separate;
  • Requisiti legislativi. Nel processo di progettazione, è necessario anche avere un'idea dei requisiti legali che l'organizzazione deve rispettare. In alcune organizzazioni nel contratto commerciale è indicato che la legge richiede una determinata modalità di funzionamento, ad esempio, per limitare l'accesso a determinate risorse. La mancata osservanza di tali requisiti può comportare un contratto e, anche per l'accusa. Pertanto, durante il design della struttura delle foreste, con la raccolta di requisiti legali, inizia con la definizione di obblighi legali dell'organizzazione. Per rispettare i requisiti di sicurezza, in alcune organizzazioni è necessario lavorare in reti isolati interne;
  • Requisiti operativi. Dopo aver determinato i requisiti organizzativi strutturali e legali, è necessario effettuare una raccolta di requisiti operativi che influenzeranno lo sviluppo della struttura della foresta. A volte tali scenari si verificano quando qualsiasi parte dell'organizzazione impone restrizioni univoci sulla configurazione del servizio di directory, sulla disponibilità o sulla sicurezza di questo servizio o utilizza applicazioni che impongono restrizioni esclusive di directory. Le divisioni separate dell'organizzazione possono espandere le applicazioni mancanti in altre divisioni che cambiano lo schema di directory. I requisiti operativi unici possono utilizzare organizzazioni come le società militari o di hosting che forniscono servizi di alloggio. Al fine di determinare i requisiti operativi, è meglio iniziare con l'inventario dei gruppi operativi insieme ai requisiti operativi per ogni singolo gruppo;
  • Requisiti di comunicazione limitata. Infine, progettare la struttura della foresta, è importante identificare qualsiasi requisito di comunicazione limitato. Molte organizzazioni hanno rami con reti isolate che hanno una larghezza di banda limitata. Durante la progettazione della foresta, è meglio iniziare con la definizione di tutti i gruppi situati in remoto dall'ufficio centrale.

Dopo aver completato questo elenco di requisiti di base, è possibile passare alla fase di determinazione dei poteri di amministratori e proprietari di dati e servizi.

Nei servizi di dominio di Active Directory, vi sono molti tipi di attività amministrative, inclusa la configurazione dei dati e la gestione dei dati nel servizio directory. Nelle principali organizzazioni, i ruoli amministrativi dei servizi di dominio sono suddivisi in diverse categorie. Un metodo per descrivere varie categorie è dividere i proprietari di foreste, proprietari e amministratori di dati, nonché proprietari e amministratori di servizi.

  • I proprietari della foresta sono responsabili della selezione e del sostegno degli amministratori dei servizi, quindi dal proprietario del Trust della foresta segue la fiducia degli amministratori di servizi gestiti dal proprietario della foresta;
  • I proprietari e gli amministratori dei dati sono responsabili delle informazioni memorizzate nei servizi di dominio di Active Directory. I proprietari dei dati regolano le politiche e i processi di gestione dei dati e gli amministratori dei dati hanno i diritti e i privilegi della creazione di oggetti AD DS in una struttura determinata dai proprietari e dagli amministratori del servizio;
  • Gli amministratori dei proprietari e dei servizi sono responsabili del servizio di servizio di dominio e controllare completamente i dati e i servizi su tutti i controller forestali. I proprietari di servizi prendono decisioni riguardanti il \u200b\u200bnumero di foreste, domini e siti necessari per soddisfare i requisiti della società per il servizio di directory di Active Directory. E, a sua volta, gli amministratori dei servizi hanno le seguenti caratteristiche:
    • Modifica del software di sistema sui controller di dominio, ignorando qualsiasi controllo di sicurezza convenzionali, che consente di visualizzare tutti gli oggetti nel dominio e gestirli indipendentemente dal fatto che sia consentito negli elenchi di controllo degli accessi;
    • Eliminare gli errori associati agli elenchi di controllo degli accessi agli oggetti, che consente agli amministratori di servizio di leggere, modificare ed eliminare oggetti, indipendentemente dal fatto che sia consentito negli elenchi di controllo degli accessi;
    • Ripristinare le password e modificare l'iscrizione utente in gruppi;
    • Usando le politiche di sicurezza "Gruppi con accesso limitato"destinato a fornire a tutti gli utenti e gruppi di accesso amministrativo a qualsiasi computer collegato al dominio, che consente agli amministratori dell'utente di leggere, modificare ed eliminare oggetti, indipendentemente dal fatto che sia consentito negli elenchi di controllo degli accessi;
    • Avere accesso ad altri domini forestali modificando il software di sistema sui controller di dominio. Gli amministratori dei servizi possono visualizzare o modificare i dati di configurazione forestale, visualizzare o modificare i dati memorizzati in qualsiasi dominio, oltre a visualizzare o modificare i dati su qualsiasi computer affiliato al dominio.

A causa del fatto che gli amministratori dei servizi hanno tali poteri, è auspicabile che l'organizzazione abbia un numero minimo di amministratori di servizi. Per impostazione predefinita, i gruppi hanno "Dominio degli amministratori" Nella foresta principale, "Amministratori aziendali" e "Amministratori di schemi".

Creare una foresta sicura basata sui requisiti aziendali

Oltre ai requisiti di cui sopra, è necessario determinare se la struttura della foresta è autonoma o isolato.

Autonomia amministrativa Esegue il pieno controllo amministrativo su alcuni componenti della foresta a livello forestale, dominio o divisione. Al raggiungimento dell'autonomia, gli amministratori ottengono il diritto di gestire in modo indipendente le risorse. Ciononostante, l'autonomia non significa ricevere un controllo esclusivo. Ci sono amministratori con poteri più ampi che possono anche gestire queste risorse e, se necessario, possono privare i poteri degli amministratori subordinati. La struttura logica dei servizi di dominio è progettata con uno dei seguenti tipi di autonomia:

  • Autonomia dei servizi. L'autonomia dei servizi prevede la capacità di gestire l'infrastruttura, senza richiedere un controllo esclusivo, ovvero se il Gruppo deve apportare modifiche alla infrastruttura, allo spazio dei nomi o al regime senza il permesso del proprietario della foresta. I servizi di autonomia possono essere richiesti da gruppi che devono essere in grado di gestire il livello di servizio nei servizi di dominio di Active Directory o nei gruppi di cui è necessario disporre della possibilità di stabilire le directory delle applicazioni supportate che richiedono la modifica del regime;
  • Autonomia dei dati. Include il controllo su tutto o parte dei dati memorizzati nella directory o sui computer ordinari collegati al dominio. L'autonomia dei dati presuppone che un gruppo o un'impresa possa gestire i propri dati, nonché prendere decisioni amministrative sui dati e svolgere tutti i compiti necessari senza riferirsi alla decisione di un'altra autorità. Se non è necessario proteggere dati specifici da altri amministratori nella foresta, un determinato gruppo può fornire una richiesta che abbia l'opportunità di gestire i propri dati appartenenti a un progetto specifico.

Isolamento amministrativo Assume la ricezione del controllo esclusivo sul componente del catalogo. Nel caso dell'isolamento amministrativo, nessuno tranne che questi amministratori può ottenere il diritto di gestire le risorse e nessuno degli amministratori può privarli di questi diritti. Come nel caso dell'autonomia amministrativa, la struttura logica dei servizi di dominio è progettata con uno dei seguenti tipi di isolamento:

  • Servizi isolanti. I servizi isolanti consentono agli amministratori di controllare il lavoro dei servizi e può solo interferire con tali amministratori che sono dotati di tali permessi. Gruppi che mettono i requisiti per l'isolamento dei servizi richiedono che nessuno degli amministratori possa influire sul lavoro dei servizi di directory. Ad esempio, se la tua organizzazione fornisce servizi per l'hosting di siti Web ai client e per ciascun client richiede l'isolamento del servizio per garantire che le interruzioni dei servizi principali non influenzano gli altri clienti;
  • Isolamento dei dati. L'isolamento dei dati impedi tutti gli altri degli amministratori specificati per controllare il sottoinsieme dei dati nella directory o sui computer ordinari allegati al dominio e visualizzare questi dati. Gli amministratori dei servizi possono privare gli amministratori di queste capacità per gestire le risorse e gli amministratori dei dati non possono privare gli amministratori dei servizi di accesso alle risorse che controllano. A questo proposito, se il Gruppo richiede l'isolamento dei dati, tale gruppo dovrebbe anche essere responsabile per la somministrazione dei servizi. L'unico modo per tali gruppi di isolamento è creare una foresta separata per questi dati. Ad esempio, se la struttura finanziaria deve essere eseguita in modo che l'accesso ai clienti, che sono in giurisdizione separata, hanno solo utenti, amministratori e computer situati in questa giurisdizione. Poiché la gestione si fida comunque degli amministratori dei servizi di giurisdizione remota, quindi in questa istituzione è necessario isolare i dati dagli amministratori dei servizi che sono al di fuori di questa giurisdizione.

Oltre a questi semplici esempi, nei servizi di dominio di Active Directory ci sono ancora molti modi per implementare l'autonomia amministrativa e l'isolamento. Vale la pena ricordare che gli amministratori che richiedono solo l'autonomia dovrebbero essere inseriti con il fatto che altri amministratori con poteri amministrativi uguali o più ampi hanno pari o più opportunità per controllare la gestione dei servizi o dei dati, e gli amministratori che hanno bisogno di isolamento sono completamente monitorati dal Gestione dei servizi o dei dati. Molte aziende richiedono un'autonomia amministrativa con una garanzia relativa che gli amministratori di altre sezioni nella foresta non svolgeranno azioni dannose. Vale anche la pena notare che lo sviluppo di uno schema autonomo nel caso generale è più economico dello sviluppo di uno schema isolato.

Scegliere il numero di foreste richieste

Dopo aver completato tutti i requisiti di cui sopra, è necessario determinare il numero richiesto di foreste per l'infrastruttura dell'organizzazione. Per determinare quante foreste devono essere dispiegate, scoprire quali requisiti per l'autonomia e l'isolamento rendono ogni gruppo organizzazione, e quindi tutti questi requisiti implementano nei regimi dei modelli forestali. Non dovresti dimenticare che hai diviso una foresta è molto difficile per due. Quando si sviluppano foreste per la directory del sistema operativo della rete (NOS), solo una foresta sarà sufficiente. Nella maggior parte dei casi, l'implementazione dei servizi di dominio Active Directory viene eseguita in una foresta, come per molte aziende i vantaggi di un catalogo globale comune, relazioni di fiducia incorporato e la sezione generale della configurazione svolgono un ruolo più importante della separazione completa della piena separazione di tutti i ruoli amministrativi. Per determinare quante foreste userà la tua organizzazione, considerare le seguenti situazioni:

  • Determinare la necessità di isolamento o autonomia delle foreste. La necessità di isolamento limita la scelta dei regimi, in relazione a cui sarà necessario implementare almeno una foresta per la vostra organizzazione;
  • Per determinare il numero di foreste, è necessario trovare un equilibrio tra spese e vantaggi. Il modello con una foresta è il più economico che richiede i più piccoli costi amministrativi. Nella preferenza dell'operazione autonoma con servizi amministrativi, è economico fermarsi ai servizi di un gruppo IT affidabile, che ti consentirà di gestire i dati senza il costo della gestione del servizio stesso;
  • Due organizzazioni IT diverse e autonome non dovrebbero essere possedute dalla stessa foresta, poiché gli obiettivi dei loro gruppi IT possono essenzialmente dissipare, il che comporterà interruzioni nel processo di lavoro per ogni organizzazione. Pertanto, alcune aziende distribuiscono servizi forestali separati nelle zone smilitarizzate. Per migliorare la sicurezza della rete interna, molte organizzazioni distribuiscono server con accesso diretto a Internet in modo specifico in DMZ. Allo stesso tempo, è consentito utilizzare Gestione utente e computer in Active Directory, mantenendo l'isolamento della foresta interna;
  • Per motivi di sicurezza, l'accesso a specifiche informazioni di rete è consigliabile a fornire singole unità organizzative, mentre si utilizza la piena separazione dei dati di rete, in cui le informazioni su una foresta non vengono visualizzate nell'altra. È inappropriato trasferire l'amministrazione dei servizi a partner esterni, specialmente se riguarda un'organizzazione multinazionale in diversi paesi o regioni. In considerazione del fatto che le azioni di alcuni partner possono influire sui servizi forniti da altri, i partner devono essere conformi al contratto di livello di servizio, poiché questi gruppi non possono essere isolati l'uno dall'altro, poiché all'interno della foresta tutti i domini utilizzano connessioni riservate transanti;
  • Quando si utilizza un unico regime di implementazione dell'applicazione, con cambiamenti incompatibili nel regime per diverse divisioni nell'organizzazione, è preferibile creare foreste separate;
  • Le foreste separate sono distribuite anche se l'unità organizzativa non funziona con l'amministrazione centralizzata o non ha procedure amministrative centralizzate.

Definizione del modello della foresta

Dopo che la progettazione del servizio del catalogo è stata determinata dal numero di foreste, è selezionato uno dei seguenti modelli di quattro modelli Forest:

  • Modello di una foresta;
  • Organizzazione del modello forestale;
  • Modello forestale delle risorse;
  • Modello forestale con accesso limitato.\u003e? / Li

Modello di una foresta

Questo modello è il modello più semplice della foresta ed è considerato basso livello, poiché tutti gli oggetti di directory appartengono alla stessa foresta e tutte le risorse di rete controllavano un gruppo IT centralizzato. Tale progetto richiede spese amministrative minime ed è considerata la più economica tra tutti i modelli. Il modello di una foresta è una buona scelta per organizzazioni di piccole e medie dimensioni, dove funziona solo un gruppo IT e tutte le sue filiali sono gestite da questo gruppo dall'ufficio centrale.

Fico. 1. Modello di una foresta

Benefici Svantaggi
La possibilità di cooperazione. Exchange Email; rete internet condivisa; Documenti generali; Autenticazione generale, autorizzazione e meccanismo di ricerca.Incapacità di garantire. L'incapacità di garantire l'autonomia del servizio di una foresta, se non vi è alcun consenso per configurare la configurazione del servizio.
Autenticazione Kerberos.. Fornisce autenticazione reciproca e delega di poteri.È impossibile garantire l'isolamento dai proprietari di servizi. L'amministratore dell'organizzazione può annullare le impostazioni di sicurezza impostate dai proprietari di domini individuali.
Rapporti transtivi automatici Trust. Tra tutti i domini nella foresta ha creato le relazioni transtive transitive nell'ordine gerarchico.Problemi di replica dovuti al grande catalogo volumi. Il problema delle informazioni sul livello della foresta da replicare, in particolare dati di configurazione e schema; Il problema della replica delle informazioni sulla directory globale a tutti i server dei cataloghi forestali globali; Con un eccesso di informazioni, la replica diventa lenta inaccettabile
Un catalogo di oggetti globali. Le informazioni di tutti gli oggetti della foresta sono memorizzate nella directory in cui è possibile cercare

Organizzazione modello forestale

Conformemente a questo modello, viene creata una foresta separata di Active Directory per ogni unità, il modello Foresta è progettato secondo determinati criteri organizzativi. Ciò fornisce autonomia e isolamento di dati o servizi delle unità organizzative, mentre la foresta è configurata in modo tale da non avere accesso da fuori. Gli amministratori possono fornire accesso alle risorse in un'altra foresta. Se necessario, le unità possono avere relazioni di fiducia con altre foreste per l'uso generale delle risorse. Conti, risorse e gestione di loro, in questo modello vengono eseguiti in modo indipendente.

Fico. 2. Organizzazione del modello forestale

Benefici Svantaggi
Indipendenza dai proprietari di servizi. Ogni unità organizzativa ha la sua foresta, che garantisce l'autonomia dei dati e dei servizi.Implementazione ad alto costo. Il modello più costoso dal punto di vista dell'amministrazione associata alla formazione dei partecipanti, l'installazione di hardware e software aggiuntivi.
. I dati e i servizi sono completamente isolati dal proprietario in un'unità organizzativa separata.
. Un membro di ogni foresta non può essere automaticamente in tutte le relazioni di fiducia tra le foreste; Aumento del controllo delle relazioni di fiducia.

Questo modello può essere utilizzato in aziende con molte unità organizzative, nelle aziende in cui le singole unità sono pubblicate in diverse regioni nelle organizzazioni formate da fusione o acquisizione.

Risorse del modello della foresta

Questo modello consente alle divisioni di condividere una foresta servita da un gruppo IT separato, mentre altre unità per isolamento o autonomia possono distribuire una foresta separata. La gestione delle risorse in questo modello viene effettuata utilizzando una foresta separata che non contiene altri conti, ad eccezione di quelli necessari per la somministrazione di servizi e accesso alternativo alle risorse nella foresta. Per accedere ad altre foreste, le relazioni di fiducia sono stabilite tra loro. Nella maggior parte dei casi, è configurato il legame di confidenza unilaterale, sebbene le relazioni di fiducia bilaterali non siano escluse, i legami di fiducia esterni con autenticazione selettiva. Gestione degli account utente e dei gruppi sono isolati dalla gestione delle risorse creando singole foreste per ciascuna funzione. Le risorse condivise sono configurate sui server in una o più foreste di risorse.

Fico. 3. Risorse del modello della foresta

Benefici Svantaggi
Ridurre i costi dovuti all'uso complessivo delle risorse. Uso dei benefici del catalogo globale degli oggetti; I costi associati alla gestione forestale sono ridotti.Implementazione ad alto costo
Indipendenza dai proprietari di servizi. Garantire la piena autonomia dei dati dell'unità organizzativa durante la distribuzione di una nuova foresta.Mancanza di un unico catalogo di oggetti globali. Non c'è replicazione di cataloghi globali tra foreste.
Isolamento da proprietari di servizi. Garantire i dati completi dell'unità organizzativa isolando quando si dispiega una nuova foresta.Sfortunato per lo sviluppo di organizzazioni. Se ci sono cambiamenti significativi, la presenza di molte foreste porta a frequente movimento di dati da una foresta all'altra.
Esplisi esplicita delle relazioni di fiducia. Un membro di ciascuna foresta non può essere automaticamente in tutte le relazioni di fiducia tra le foreste.

Modello forestale con accesso limitato

Questo modello fornisce una variante del modello organizzativo delle foreste. Crea una foresta separata per la memorizzazione di account utente e risorse condivise, isolate da altre divisioni. Questa foresta è diversa dalla foresta organizzativa in quanto una relazione di fiducia non può essere configurata tra due domini. Fornisce isolamento amministrativo. Cioè, i conti degli utenti aziendali al di fuori della foresta non hanno il permesso o i diritti di accesso ai dati in questa foresta e dovrebbero applicare un account separato per accedere alla foresta con accesso limitato. Con questo modello, una foresta separata viene creata con account utente e dati, isolati dal resto dell'organizzazione. Dana Forest Model fornisce isolamento dei dati in violazione della privacy con gravi conseguenze. La mancanza di relazioni di fiducia rende impossibile fornire agli utenti altre foreste ai dati con accesso limitato.

Fico. 4. Modello forestale con accesso limitato

Benefici Svantaggi
Pieno isolamento delle risorse. Per la memorizzazione dei conti utente e per le risorse condivise, vengono create foreste isolate separate.Nessuna relazione di fiducia. L'incapacità di fornire risorse di una foresta per gli utenti di altre foreste.
Isolamento amministrativo. I conti utente al di fuori della foresta con accesso limitato non hanno i diritti di autorizzazione o di accesso a nessun dato in questa foresta.Creando conti separati. Gli utenti hanno un account per l'accesso alle risorse condivise e ad un account separato per l'accesso alle informazioni segrete, e ci devono essere due diverse workstation, una collegata all'organizzazione forestale e l'altra alla foresta con accesso limitato.
Fornire isolamento dei dati. Eliminare gravi conseguenze nel violare la riservatezza dei dati del progetto.Implementazione ad alto costo. I costi di amministrazione aumentano in proporzione al numero di foreste create a causa della formazione del personale, hardware e software aggiuntivi.
Supporta la rete fisica. Le organizzazioni che lavorano su progetti segreti creano foreste con accesso limitato nelle singole reti per supportare la sicurezza.Nessuna autenticazione Kerberos tra predefinito forestale. Due foreste non possono utilizzare il protocollo Kerberos per l'autenticazione per impostazione predefinita.
Mancanza di un unico catalogo di oggetti globali. Non c'è replicazione di cataloghi globali tra foreste.
Condividere.
Condividere.
Tweet.
Piace
Piace

Leggi anche

La campana.

Ci sono quelli che hanno letto questa notizia prima di te.
Iscriviti per ricevere articoli freschi.
E-mail
Nome
Cognome
Come vuoi leggere la campana
Senza spam.