Dzwon.

Są ci, którzy przeczytali tę wiadomość przed tobą.
Subskrybuj odbieranie artykułów świeżych.
E-mail
Nazwa
Nazwisko
Jak chcesz przeczytać dzwonek
Bez spamu

Wprowadzenie do podstawowych koncepcji usługi Active Directory. Proste słowa Active Directory (podstawa) Czym są różne domeny lasy

Dzielić.
Dzielić.
Ćwierkać.
Lubić
Lubić

W naszych poprzednich materiałach zdemontowaliśmy ogólne pytania dotyczące katalogów i usługi Active Directory. Teraz nadszedł czas, aby iść do praktyki. Ale nie spiesz się, aby uruchomić na serwerze, przed wdrożeniem struktury domeny w sieci, konieczne jest zaplanowanie go i mieć jasną ideę wizyty indywidualnych serwerów i procesów interakcji między nimi.

Przed utworzeniem pierwszego kontrolera domeny musisz wybrać w trybie pracy. Tryb działania określa dostępne możliwości i zależy od wersji używanego systemu operacyjnego. Nie uwzględnimy wszystkich możliwych trybów, z wyjątkiem tych, którzy mają w tej chwili mający znaczenie. Temperatura takich trybów to trzy: Windows Server 2003, 2008 i 2008 R2.

Tryb systemu Windows Server 2003 powinien być wybrany tylko wtedy, gdy serwer jest już wdrażany w infrastrukturze w tym operacyjnym i planuje się użyć jednego lub więcej takich serwerów jako kontrolerów domeny. W innych przypadkach musisz wybrać tryb Windows Server 2008 lub 2008 R2 w zależności od zakupionego licencji. Należy pamiętać, że tryb działania domeny może być zawsze podniesiony, ale nie będzie możliwe, aby obniżyć go (z wyjątkiem przywracania z kopii zapasowej), więc podejście do tego problemu powoduje, biorąc pod uwagę możliwe rozszerzenia, licencje gałęzie itp. itp.

Nie będziemy teraz rozważyć procesu tworzenia kontrolera domeny szczegółowo, wrócimy do tego problemu później, a teraz chcemy zwrócić uwagę na fakt, że w pełnej powierzchni Active Directory Struktura kontrolerów domeny powinna być nie mniej niż dwa. W przeciwnym razie podlega niepotrzebnemu ryzyku, ponieważ w przypadku odmowy unikalnego kontrolera domeny, reklama struktury w pełni zniszczony. Cóż, jeśli istnieje aktualny kopia zapasowa i będzie możliwe odzyskanie od niego, w każdym razie, cały ten czas będzie całkowicie sparaliżowany.

Dlatego natychmiast po utworzeniu pierwszego kontrolera domeny, musisz wdrożyć drugi, niezależnie od wielkości sieci i budżetu. Drugi kontroler powinien być dostarczany na etapie planowania i bez niego do wdrożenia reklamy nie należy nawet podjąć. Ponadto nie jest konieczne łączenie roli kontrolera domeny z żadnymi innymi ról serwerów, w celu zapewnienia niezawodności operacji z bazą reklamy na dysku, buforowanie nagrywania jest wyłączone, co prowadzi do ostrego spadku Wydajność podsystemu dysku (to wyjaśnia długie obciążenie kontrolerów domeny).

W rezultacie nasza sieć powinna podjąć następującą formę:

Wbrew popularnym przekonaniu, wszystkie kontrolery w domenie są równoważne, tj. Każdy kontroler zawiera pełne informacje o wszystkich obiektach domeny i może obsługiwać żądanie klienta. Nie oznacza to jednak, że kontrolery są wymienne, brak zrozumienia tej chwili często prowadzi do awarii reklamy i sieć BLISEE przedsiębiorstwa. Dlaczego to się dzieje? Nadszedł czas, aby zapamiętać rolę FSMO.

Gdy tworzymy pierwszy kontroler, zawiera wszystkie dostępne role, a także jest także globalnym katalogiem, wraz z pojawieniem się drugiego kontrolera, roli właściciela infrastruktury, host RID i emulator PDC są przesyłane. Co się stanie, gdyby administrator zdecydował się tymczasowo wyłączyć serwer DC1, na przykład, szczotki z kurzu? Na pierwszy rzut oka nic nie jest straszne, cóż, domena przejdzie do trybu "tylko odczytu", ale będzie działać. Ale zapomnieliśmy o globalnym katalogu, a jeśli aplikacje są wdrażane w sieci, która wymaga jej dostępności, na przykład wymiana, dowiesz się o tym wcześniej, niż wyjmujesz pokrywę z serwera. Ucz się od niezadowolonych użytkowników, a przywództwo jest mało prawdopodobne, aby zachwycić.

Z tego, co przestrzega wniosku: w lesie musi istnieć co najmniej dwa globalne katalogi i najlepsze ze wszystkich w każdej dziedzinie. Ponieważ mamy domenę w lesie jeden, oba serwery powinny być globalnym katalogiem, pozwoli to przedostać się z serwerami do zapobiegania, tymczasowa brak jakichkolwiek ról FSMO nie prowadzi do awarii AD, ale tylko uniemożliwia Utwórz nowe obiekty.

Jako administrator domeny należy wyraźnie wiedzieć, jak role FSMO są dystrybuowane między serwerami i wyświetlając serwer od pracy przez długi czas, aby przekazać te role do innych serwerów. A co się stanie, jeśli serwer zawiera rolę FSMO nieodwracalnie zawiedzie? Nic strasznego, jak już napisaliśmy, dowolny kontroler domeny zawiera wszystkie niezbędne informacje, a jeśli taka uciążliwość już się wydarzyła, będziesz musiał uchwycić niezbędne role z jednym z kontrolerów, pozwoli to przywrócić pełną pracę Usługa katalogów.

Potrzeba czasu, twoja organizacja rośnie, a oddział pojawia się na drugim końcu miasta i istnieje potrzeba dołączenia ich sieci do ogólnej infrastruktury przedsiębiorstwa. Na pierwszy rzut oka nic skomplikowanego skonfigurujesz kanał komunikacyjny między biurami i umieścić dodatkowy kontroler w nim. Wszystko jest dobre, ale jest jeden, ale. Nie można kontrolować tego serwera, a zatem nieautoryzowany dostęp do niej nie jest wykluczony, a lokalny administrator powoduje wątpliwości co do jego kwalifikacji. Jak być w takiej sytuacji? W tych celach specyficznie jest specjalny typ kontrolera: kontroler domeny dostępny właśnie czytaj (RODC)Ta funkcja jest dostępna w trybach operacji domeny, począwszy od Windows Server 2008 i powyżej.

Kontroler domeny jest tylko do odczytu, zawiera pełną kopię wszystkich obiektów domeny i może być globalnym katalogiem, ale nie zezwala na żadne zmiany w strukturze reklamowej, umożliwia przypisanie dowolnego użytkownika administratora lokalnego, co pozwoli na to Aby w pełni zachować ten serwer, ale ponownie bez dostępu do usług reklamowych. W naszym przypadku jest to "przepisany lekarz".

Skonstruowaliśmy w oddziale RODC, wszystko działa, jesteś spokojny, ale użytkownicy zaczynają narzekać na długi wejście do systemu i rachunków ruchu na koniec miesiąca pokazać nadmiar. Co się dzieje? Nadszedł czas, aby ponownie pamiętać o równoważnym sterowniku w domenie, klient może wysłać jego żądanie do dowolnego kontrolera domeny, nawet w innym oddziale. Weź pod uwagę powolny i, z dużym prawdopodobieństwem pobrany kanał komunikacji jest powodem opóźnienia wejścia.

Poniższe życie zatrucie czynnika w tej sytuacji jest replikacja. Jak wiesz, wszystkie zmiany dokonane na jednym z kontrolerów domeny są automatycznie dystrybuowane do innych i nazywa się tym procesem replikacji, umożliwia posiadanie odpowiedniej i konsekwentnej kopii danych na każdym sterowniku. Usługa replikacji nie wie o naszym oddziale i powolnym kanale komunikacji i dlatego wszystkie zmiany w biurze będą natychmiast replikowane do gałęzi, ładując kanał i zwiększenie przepływu ruchu.

Tutaj zbliżyliśmy się do koncepcji witryn reklamowych, które nie powinny być mylone z stronami internetowymi. Witryny Active Directory. Sposób fizycznego podziału struktury usługi katalogowej na obszarze oddzielone od innych obszarów przez powolne i / lub niestabilne kanały komunikacyjne. Witryny są tworzone na podstawie podsieci, a wszystkie żądania klienta są wysyłane przede wszystkim do kontrolerów ich witryny, jest również niezwykle pożądane, aby mieć swój światowy katalog w każdej witrynie. W naszym przypadku będziesz musiał utworzyć dwie strony: Strona reklamy 1. dla centralnego biura i Strona reklamy 2. Dla gałęzi, dokładniej, jeden, ponieważ domyślnie struktura reklamy zawiera już witrynę, która zawiera wszystkie wcześniej utworzone obiekty. Teraz rozważ, w jaki sposób replikacja sieci dzieje się z kilkoma stronami.

Zakładamy, że nasza organizacja wzrosła trochę, a główne biuro zawiera cały cztery kontroler domeny, replikacja między kontrolerami jednego miejsca jest nazywana intresita i występuje natychmiast. Topologia replikacji opiera się na schemacie pierścieniowym warunkiem, aby nie było więcej niż trzy etapy replikacji między dowolnymi kontrolerami domeny. Obwód dzwonka jest zapisywany do 7 sterowników, każdy sterownik ustanawia połączenie z dwoma najbliższymi sąsiadami, z większą liczbą kontrolerów, pojawiają się dodatkowe połączenia i całkowity pierścień, ponieważ zamienia się w grupę pierścieni nałożonych na siebie.

Intressayte. Replikacja występuje w przeciwnym razie, w każdej domeny jeden z serwerów (Server-Bridghead) jest wybierany automatycznie, który ustanawia połączenie z podobnym serwerem innej witryny. Domyślna replikacja występuje raz na 3 godziny (180 minut), jednak możemy zainstalować swój własny harmonogram replikacji i zapisywanie ruchu, wszystkie dane są przesyłane w postaci sprężonej. Jeśli na miejscu znajduje się tylko RODC, replikacja występuje jednorazowo.

Oczywiście dotknęliśmy się tylko tematami bardzo głębokich iw tym materiale tylko nieznacznie je dotknęliśmy, ale jest to niezbędna minimalna wiedza, którą musisz mieć praktyczną realizację aktywnego Directiry do infrastruktury przedsiębiorstwa. Spowoduje to uniknięcie głupich błędów podczas wdrażania i Avral sytuacji podczas serwisowania i rozszerzenia struktury, a każdy z podniesionymi tematów zostanie omówiony bardziej szczegółowo.

Co pomoże Active Directory. Specjaliści?

dam małą listę "Yummy", który można uzyskać przez wdrażanie Active Directory:

  • pojedyncza baza danych rejestracji użytkownika, która jest przechowywana centralnie na jednym lub kilku serwerach; W ten sposób, gdy nowy pracownik pojawia się w biurze, będziesz musiał tylko przynieść konto na serwerze i określić, które stacje robocze mogą uzyskać dostęp;
  • ponieważ wszystkie zasoby domeny są indeksowane, umożliwia po prostu i szybkie wyszukiwanie użytkowników; Na przykład, jeśli chcesz znaleźć kolorową drukarkę w dziale;
  • zestaw zezwoleń NTFS, zasad grupy i delegacji zarządzania pozwolą Ci na dostarczenie i dystrybuować prawa między uczestnikami domeny;
  • ruchome profile użytkowników umożliwiają przechowywanie ważnych informacji i ustawień konfiguracyjnych na serwerze; W rzeczywistości, jeśli użytkownik z przeniesionym profilem w domenie umrze pracować w innym komputerze i wprowadza swoją nazwę użytkownika i hasło, zobaczy jego pulpit z ustawieniami znajomymi;
  • korzystanie z zasad grupy, można zmienić ustawienia systemów operacyjnych użytkowników, aby rozwiązać użytkownik, aby zainstalować tapetę na pulpicie przed ustawieniami zabezpieczeń, a także rozpowszechniane oprogramowanie oprogramowania, takie jak klient kopiowania cienia głośności itp.;
  • wiele programów (serwery proxy, serwery bazy danych dr.) Nie tylko produkcja Microsoft już dziś nauczyła się używać uwierzytelniania domeny, więc nie musisz tworzyć innej bazy danych użytkownika i możesz użyć istniejącego;
  • korzystanie z usług instalacji zdalnej ułatwia instalację systemów pracy, ale z kolei działa tylko wtedy, gdy obsługa katalogu jest wdrażana.

I to nie jest pełna lista funkcji, ale jest to później. Teraz spróbuję powiedzieć logikę budowy Active Directory.Ale warto znaleźć się z tego, co nasi chłopcy są wykonane z tego, co Active Directory. - Są to domeny, drzewa, lasy, jednostki organizacyjne, grupy użytkowników i komputerów.

Domeny -Jest to główna logalna jednostka konstrukcji. W porównaniu z grupami roboczymi reklama domów. - Są to grupa zabezpieczająca, która ma pojedynczą bazę danych rejestracji, podczas gdy grupy robocze są tylko logicznym stowarzyszeniem maszyn. AD wykorzystuje Naming Naming DNS i DNS (Domin Name Server), a nie WINS (Windows Internet Name Service - Nazwy internetowe), jak w wersji wczesnych NT. W ten sposób nazwy komputerów w domenie mają na przykład formularz, na przykład buh.work.com, gdzie Buh jest nazwą komputera w domenie Work.com (chociaż nie zawsze jest to przypadek).

Grupy robocze używają nazw NetBIOS. Aby umieścić strukturę domeny OGŁOSZENIE Możliwe jest użycie serwera DNS nie przez Microsoft. Ale musi być kompatybilny z wiązaniem 8.1.2 lub wyższym i wspierać rekordy SRV (), a także dynamicznego protokołu rejestracyjnego (RFC 2136). Każda domena ma co najmniej jeden kontroler domeny, na którym znajduje się centralna baza danych.

Drzewa -Są to konstrukcje wielowymiarowe. Korzeń takiej struktury jest domena główna, dla której tworzysz spółki zależne. W rzeczywistości Active Directory wykorzystuje hierarchiczny system konstrukcyjny podobny do struktury domen w DNS.

Jeśli mamy domenę pracy.com (domena pierwszego poziomu) i utworzyć dla niego dwa filmy filii.Cor.com i drugie.Work.com (tutaj pierwsze i drugie domeny na poziomie, a nie komputer w domenie, a nie komputer w domenie, Podobnie jak w przypadku opisanej powyżej), w końcu dostaniemy drzewo domeny.

Drzewa jako logiczna konstrukcja są używane, gdy trzeba podzielić oddziały Spółki, na przykład przez cechy geograficzne lub z innych rozważań organizacyjnych.

OGŁOSZENIE Pomaga automatycznie utworzyć relację zaufania między każdą domenie a jej spółkami zależnymi.

Tak więc utworzenie domeny First.Work.com prowadzi do automatycznej organizacji obustronnych stosunków zaufania między rodzicami i dzieckiem First.Work.com (podobnie jak i na drugie.Work.com). Dlatego zezwolenia na jednostkę zależną mogą być stosowane z domeny nadrzędnej i odwrotnie. Nie trudno jest założyć, że relacja zaufania będzie istniała dla jednostek zależnych.

Inną własnością relacji zaufania jest tranzytatywność. Dostajemy - dla domeny Net.First.Work.com są tworzone relacje zaufania z dziedziną domeny.com.

Las -Podobnie jak drzewa są konstrukcjami wielowarstwowymi. Ale las - Jest to połączenie drzew z różnymi domenami korzenia.

Załóżmy, że zdecydujesz się mieć kilka domen z nazwami pracy i home.net oraz tworzyć dla nich spółki zależne, ale ze względu na fakt, że TLD (domena na najwyższym poziomie) nie jest w kontroli, w tym przypadku możesz zorganizować las, wybierając Jeden z pierwszych domen jest root. Cały urok stworzenia lasu w tym przypadku jest dwustronne stosunki zaufania między dwoma domenami a ich spółkami zależnymi.

Jednak podczas pracy z lasami i drzewami konieczne jest zapamiętanie następujących:

  • nie możesz dodać istniejącej domeny do drzewa
  • niemożliwe jest włączenie istniejącego drzewa w lesie
  • jeśli domeny są umieszczone w lesie, nie mogą być przeniesione do innego lasu
  • nie możesz usunąć domeny o jednostkach zależnych

Jednostki organizacyjne - Zasada można nazwać subdomenami. Zezwalaj użytkownikom na konta użytkowników domeny, grupy użytkowników, komputery, udostępniane zasoby, drukarki i inne jednostki organizacyjne). Praktyczne korzyści z ich zastosowania polega na możliwości delegowania praw do podawania tych jednostek.

Wystarczy umieścić, możesz przypisać administratora w domenie, który może zarządzać ou, ale nie posiadający praw do podania całej domeny.

Ważną cechą ou w przeciwieństwie do grup jest możliwość stosowania do nich zasad grupy. "I dlaczego nie jest możliwe złamanie oryginalnej domeny do kilku domen zamiast używać ou?" - ty pytasz.

Wielu ekspertów radzi sobie z jedną domeną. Powodem tego jest zdecentryzować administrację podczas tworzenia dodatkowej domeny, ponieważ administratorzy każdej takiej domeny otrzymują nieograniczoną kontrolę (przypominam Ci, że przy definiowaniu praw administratorów OU możesz ograniczyć ich funkcjonalne.

Oprócz tego potrzebny będzie inny kontroler do utworzenia nowej domeny (nawet spółki zależnej). Jeśli masz dwa oddzielne podziały związane przez powolny kanał komunikacji, mogą pojawić się problemy z replikacją. W takim przypadku dwie domeny będzie bardziej odpowiednie.

Istnieje również kolejna nuansowa stosowanie zasad grupy: zasady określające ustawienia haseł i konta blokujące mogą być używane tylko do domen. Dla ou te ustawienia zasad są ignorowane.

Witryny -Jest to sposób na fizycznie podzielić usługi katalogowej. Z definicji witryna jest grupą komputerów związanych z szybkim kanałami danych.

Jeśli masz kilka gałęzi na różnych końcach kraju połączonego przez linie komunikacyjne o niskiej prędkości, a następnie dla każdej gałęzi możesz utworzyć własną stronę internetową. Odbywa się, aby zwiększyć niezawodność replikacji katalogów.

Taka reklama partycjonowania nie wpływa na zasady konstrukcji logicznej, dlatego obie strona może zawierać kilka domen, i przeciwnie, domena może zawierać kilka witryn. Ale taka topologia usługi katalogowej jest tait. Z reguły internet służy do komunikacji z oddziałami - bardzo niebezpieczne medium. Wiele firm wykorzystuje narzędzia ochronne, takie jak firewalle. Usługa katalogów w pracy wykorzystuje około półtora tuzina portów i usług, których otwarcie, którego otwarcie, aby przekazać ruch reklamowy za pośrednictwem zaporę, w rzeczywistości wystąpi go do "out". Rozwiązywanie problemów jest korzystanie z technologii tunelowania, a także dostępność kontrolera domeny w każdej witrynie, aby przyspieszyć przetwarzanie żądań dla klientów AD.

Przedstawiono logikę zagnieżdżenia składników usługi katalogowej. Można go zauważyć, że las zawiera dwa Dend Drewno, w którym domena główna drzewa, z kolei, może zawierać ou i grupy obiektów, a także posiadać spółki zależne (w tym przypadku każdy). Domeny córki mogą również zawierać grupy obiektów i ou i mieć spółki zależne (nie ma ich na rysunku). Itp. Pozwól mi przypomnieć, że OU może zawierać ou, obiekty i grupy obiektów, a grupy mogą zawierać inne grupy.

Grupy użytkowników i komputerów -używane do celów administracyjnych i mają takie samo znaczenie, jak w przypadku używanych na lokalnych maszynach w sieci. W przeciwieństwie do OU, polityki grupy nie mogą być stosowane do grup, ale kontrola może być dla nich delegowana. W ramach schematu usługi Active Directory są wyróżnione dwa typy grup: Grupy bezpieczeństwa (Zastosuj, aby ograniczyć prawa dostępu do obiektów sieciowych) i grupy dystrybucyjne (używane głównie do dystrybucji wiadomości pocztowych, na przykład na serwerze Microsoft Exchange).

Są podzielone przez obszar działania:

  • uniwersalne grupy Może zawierać użytkowników w lesie, a także inne grupy uniwersalne lub grupy globalne dowolnej domeny w lesie
  • globalne grupy domeny. Może zawierać użytkowników domeny i inne grupy globalne o tej samej domenie
  • lokalne grupy domeny Służy do ograniczania praw dostępu, mogą obejmować użytkowników domeny, a także grupy uniwersalne i grupy globalne dowolnej domeny w lesie
  • lokalne grupy komputerów - grupy zawierające SAM (Menedżer konta Security) lokalnej maszyny. Region ich dystrybucji jest ograniczony tylko przez tę maszynę, ale mogą obejmować lokalne grupy domeny, w których znajduje się komputer, a także uniwersalne i globalne grupy ich domeny lub drugiej, której ufają. Na przykład możesz włączyć użytkownika z lokalnej grupy użytkowników domeny do grupy Administratorzy Maszyny lokalnej, dając w ten sposób prawa administratora, ale tylko dla tego komputera

Domena jest główną jednostką administracyjną w infrastrukturze sieciowej przedsiębiorstwa, które obejmuje wszystkie obiekty sieciowe, takie jak użytkownicy, komputery, drukarki, wspólne zasoby itp. Kruszywo (hierarchia) domen nazywana jest lasem. Każda firma może mieć domenę zewnętrzną i wewnętrzną.

Na przykład witryna jest domeną zewnętrzną w Internecie, który został zakupiony od rejestratora wirusa. W tej dziedzinie znajduje się nasza strona internetowa i serwer poczty. Lankey.Local to domena serwisowa domeny Active Directory, która organizuje konta użytkowników, komputery, drukarki, serwery i aplikacje korporacyjne. Czasami nazwy domen zewnętrznych są wykonane tak samo.

Microsoft Active Directory stał się standardem pojedynczego katalogu przedsiębiorstwa. Domena Active Directory została wprowadzona w prawie wszystkich firmach na świecie, a na tym rynku Microsoft nie ma prawie żadnych konkurentów, udział tego samego serwisu Directory Novella (NDS) jest znikome, a pozostałe firmy stopniowo migrują w Active Directory .

Active Directory to rozproszona baza danych zawierająca wszystkie obiekty domeny. Środowisko domeny Active Directory jest jednym punktem uwierzytelniania i autoryzacji użytkowników i zastosowań w całym przedsiębiorstwie. Pochodzi z organizacji domeny i wdrażania Active Directory rozpoczyna budowanie infrastruktury IT przedsiębiorstwa. Baza danych Active Directory jest przechowywany na serwerach dedykowanych - kontrolerów domeny. Usługa usługi Active Directory jest rolą Systemów operacyjnych Serwer Microsoft Windows Server. W tej chwili Lanka jest wprowadzana przez domeny usługi Active Directory oparte na systemie operacyjnym Windows Server 2008 R2.

Wdrażanie usługi katalogowej usługi Active Directory w porównaniu do grupy roboczej (Workgroup) podaje następujące zalety:

  • Jednolity punkt uwierzytelnienia. Gdy komputery pracują w grupie roboczej, nie mają jednej bazy danych użytkownika, każdy komputer ma swój własny. Dlatego domyślnie żaden z użytkowników nie ma dostępu do sieci do innego użytkownika lub serwera. I, jak wiesz, znaczenie sieci jest tylko tym, że użytkownicy mogą wchodzić w interakcje. Pracownicy wymagają wspólnego dostępu do dokumentów lub aplikacji. W grupie roboczej na każdym komputerze lub serwera będziesz musiał ręcznie dodać pełną listę użytkowników, którzy potrzebują dostępu do sieci. Jeśli nagle jeden z pracowników będzie chciał zmienić swoje hasło, należy go zmienić na wszystkich komputerach i serwerach. Cóż, jeśli sieć składa się z 10 komputerów, ale jeśli jest 100 lub 1000, stosowanie grupy roboczej będzie niedopuszczalne. Podczas korzystania z domeny Active Directory wszystkie konta użytkowników są przechowywane w jednej bazie danych, a wszystkie komputery zwracają się do niego do autoryzacji. Wszyscy użytkownicy domeny są zawarte w odpowiednich grupach, na przykład "księgowości", "ramek", "Departament Finansowy" itp. Wystarczy poprosić o uprawnienia raz na niektóre grupy, a wszyscy użytkownicy otrzymają odpowiedni dostęp do dokumentów i aplikacji. Jeśli nowy pracownik przychodzi do firmy, konta jest tworzone, które jest zawarte w odpowiedniej grupie, i to jest! Po kilku minutach nowy pracownik dostaje dostęp do wszystkich zasobów sieciowych, do których musi mieć dostęp do wszystkich serwerów i komputerów. Jeśli pracownik zostanie zwolniony, wystarczy zablokować lub usunąć swoje konto, i natychmiast utraci dostęp do wszystkich komputerów, dokumentów i aplikacji.
  • Ujednolicony punkt zarządzania zasadami. W sieci peer-to-peer (Workgroup) wszystkie komputery są równe. Żaden z komputerów nie może zarządzać innymi, wszystkie komputery są skonfigurowane na różne sposoby, niemożliwe jest kontrolowanie ani zgodności z jednolitymi zasadami lub zasadami bezpieczeństwa. Podczas korzystania z jednego katalogu Active Directory, wszyscy użytkownicy i komputery są hierarchicznie dystrybuowane przez jednostki organizacyjne, z których każdy stosuje jednolity zasad grupy. Politycy pozwalają ustawić jednolite ustawienia i ustawienia zabezpieczeń dla grupy komputerów i użytkowników. Podczas dodawania nowego komputera lub użytkownika do domeny automatycznie odbiera ustawienia pasujące do akceptowanych standardów korporacyjnych. Również stosowanie zasad można centralnie przypisywane do drukarek sieciowych użytkowników, ustaw niezbędne aplikacje, ustaw ustawienia zabezpieczeń przeglądarki internetowej, skonfiguruj aplikacje Microsoft Office itp.
  • Integracja z aplikacjami i urządzeniami korporacyjnymi. Dużą zaletą Direction Directory jest standard LDAP, który jest obsługiwany przez setki aplikacji, takich jak serwery pocztowe (wymiana, lotos, MDaemon), systemy ERP (Dynamics, CRM), serwery proxy (serwer ISA, kalmary) itp To nie tylko aplikacje w systemie Microsoft Windows, ale także serwery oparte na Linuksie. Zalety takiej integracji jest to, że użytkownik nie musi pamiętać dużej liczby loginów i haseł, aby uzyskać dostęp do konkretnego zastosowania, we wszystkich zastosowaniach użytkownik ma te same poświadczenia, ponieważ Jego uwierzytelnianie występuje w jednym katalogu Active Directory. Ponadto pracownik nie jest zobowiązany do wprowadzenia nazwy użytkownika i hasła kilka razy, tylko po uruchomieniu komputera po zalogowaniu, aw przyszłości użytkownik automatycznie uwierzytelnia się we wszystkich zastosowaniach. Serwer systemu Windows do integracji z Active Directory zapewnia protokół RADIUS, który jest obsługiwany przez dużą liczbę urządzeń sieciowych. W ten sposób możliwe jest, na przykład, aby zapewnić uwierzytelnianie użytkowników domeny podczas łączenia się z routerem Cisco przez VPN.
  • Ujednolicona pamięć masowa konfiguracji aplikacji. Niektóre aplikacje przechowują swoją konfigurację w Active Directory, takich jak serwer Exchange lub Serwer komunikacji Office Communications. Wdrażanie usługi katalogów Active Directory jest warunkiem wstępnym działalności tych aplikacji. Również w usłudze katalogowej można przechowywać konfigurację serwera nazw domeny DNS. Przechowywanie konfiguracji aplikacji w usłudze katalogowej jest korzystne z punktu widzenia elastyczności i niezawodności. Na przykład w przypadku całkowitej awarii serwera Exchange, jego cała konfiguracja pozostanie nietknięta, ponieważ Zapisane w Active Directory. I przywrócić zdrowie poczty korporacyjnej, wystarczy ponownie zainstalować serwer Exchange w trybie odzyskiwania.
  • Zwiększony poziom bezpieczeństwa informacji. Korzystanie z usługi Active Directory znacznie poprawia bezpieczeństwo sieci. Po pierwsze, jest to pojedyncze i chronione przechowywanie kont. W sieci peer-to-peer, poświadczenia użytkownika są przechowywane na lokalnej bazie danych kont (SAM), które teoretycznie można hackować, wyrywać komputer. W środowisku domeny wszystkie hasła użytkowników domeny są przechowywane na serwerach dedykowanych kontrolerów domeny, które są zwykle chronione przed dostępem zewnętrznym. Po drugie, przy użyciu środowiska domeny do uwierzytelniania stosuje się protokół Kerberos, który jest znacznie bezpieczniejszy niż NTLM, stosowany w grupach roboczych. Ponadto można użyć uwierzytelniania dwuczęściowego za pomocą kart inteligentnych, aby wejść do systemu. Te. Aby pracownik miał dostęp do komputera, konieczne będzie wprowadzenie nazwy użytkownika i hasła, a także włóż kartę inteligentną.

Skalowalność i tolerancja błędu usługi katalogów Active Directory

Usługa katalogu Microsoft Active Directory ma obszerne opcje skalowania. W Lasie Active Directory można utworzyć ponad 2 miliardy urządzeń, co pozwala na wdrożenie usług katalogowych w firmach z setkami tysięcy komputerów i użytkowników. Hierarchiczna struktura domen pozwala elastycznie skalować infrastrukturę IT we wszystkich oddziałach i regionalnych podziały firm. Dla każdego oddziału lub podziału firmy można utworzyć oddzielną domenę, z własnymi politykami, ich użytkownikami i grupami. Urząd administracyjny administratorów systemu lokalnego można delegować dla każdej domeny spółki zależnej. Jednocześnie domeny córki są posłuszni przez rodzic.

Ponadto Active Directory umożliwia dostosowanie relacji zaufania między lasami domeny. Każda firma ma swój własny las domeny, z których każdy ma własne zasoby. Ale czasami konieczne jest zapewnienie dostępu do swoich zasobów korporacyjnych do pracowników firm partnerskich. Na przykład, z udziałem we wspólnych projektach, pracownicy firm firm może współpracować z ogólnymi dokumentami lub aplikacjami. W tym celu stosunki poufne mogą być skonfigurowane między lasami organizacji, które pozwolą pracownikom z jednej organizacji do autoryzacji w domenie innego.

Tolerancja błędów usługi katalogowej jest dostarczana przez wdrażanie 2 lub więcej serwerów - kontrolerów domeny w każdej domenie. Istnieje automatyczna replikacja wszystkich zmian między kontrolerami domeny. W przypadku awarii jednego z kontrolerów domeny, operacja sieci nie jest naruszana, ponieważ Pozostałe pozostałości. Dodatkowy poziom tolerancji błędów zapewnia lokalizację serwerów DNS w kontrolerach domeny w Active Directory, który umożliwia każdą domenę, aby uzyskać kilka serwerów DNS obsługujących główną strefę domeny. W przypadku awarii jednego z serwerów DNS pozostałe prace będą nadal działać, a będą dostępne, zarówno odczyt, jak i na rekordowi, których nie można dostarczyć, na przykład DNS Bind Server oparty na Linux.

Zalety przełączania na Windows Server 2008 R2

Nawet jeśli Twoja firma została już wdrożona przez usługę katalogów Active Directory na podstawie systemu Windows Server 2003, możesz uzyskać wiele zalet, klikając Windows Server 2008 R2. Windows Server 2008 R2 zapewnia następujące dodatkowe funkcje:

    Kontroler domeny jest odczytywany tylko przez RODC (regulator domeny tylko do odczytu). Kontrolery domeny przechowują konta użytkowników, certyfikaty i wiele innych informacji poufnych. Jeśli serwery znajdują się w chronionej CDA, bezpieczeństwo tych informacji może być spokojne, ale co zrobić, jeśli Kotroller domeny jest w branży w publicznie dostępnym miejscu. W tym przypadku istnieje możliwość, że serwer zmniejszy atakującego i włamaj go. A następnie użyj tych danych do organizowania ataku w sieci korporacyjnej, w celu kradzieży lub zniszczenia informacji. Jest to zapobieganie takich przypadkach w gałęziach, że kontrolery domeny są instalowane tylko do odczytu (RODC). Najpierw sterowniki RODC nie przechowują haseł użytkowników, ale tylko pamięć podręczna, aby przyspieszyć dostęp, a po drugie, używają jednostronnej replikacji, tylko z centralnych serwerów do gałęzi, ale nie z powrotem. A nawet jeśli atakujący budzą kontroler domeny RODC, nie otrzymają haseł użytkowników i nie mogą spowodować uszkodzenia sieci głównej.

    Przywróć obiekty zdalne usługi Active Directory. Prawie każdy administrator systemu stanęł przed koniecznością przywrócenia przypadkowego zdalnego konta użytkownika lub całej grupy użytkowników. W systemie Windows 2003 konieczne było przywrócenie usługi katalogowej z kopii zapasowej, co często nie było, ale nawet jeśli była, ożywienie zajmowane dość długi czas. Windows Server 2008 R2 ma koszyk Active Directory. Teraz po usunięciu użytkownika lub komputera, wchodzi do koszyka, z którego można go przywrócić za kilka minut w ciągu 180 dni, zachowując wszystkie wstępne atrybuty.

    Uproszczone zarządzanie. W systemie Windows Server 2008 R2 wprowadzono wiele zmian znacznie zmniejszone obciążenie administratorami systemowymi i ułatwiając zarządzanie infrastrukturą IT. Na przykład takie narzędzia pojawiły się jako: Audyt zmienia się Active Directory, pokazując, kto, co i po zmianie; Polityka złożoności haseł przypisuje się na poziomie grup użytkowników, wcześniej można było wykonać tylko na poziomie domeny; Nowe zarządzanie użytkownikami i komputery; Szablony zasad; Zarządzanie przy użyciu linii poleceń PowerShell itp.

Wdrażanie usługi katalogowej usługi Active Directory

Usługa katalogu Active Directory to serce infrastruktury IT przedsiębiorstwa. W przypadku jego awarii całą siecią, wszystkie serwery, praca wszystkich użytkowników będą sparaliżowane. Nikt nie może wejść do komputera, uzyskać dostęp do swoich dokumentów i aplikacji. Dlatego usługa katalogowa powinna być starannie zaprojektowana i wdrożona, biorąc pod uwagę wszystkie możliwe niuanse. Na przykład struktura witryn powinna opierać się na fizycznej topologii sieciowej i przepustowości kanałowej między oddziałami lub biurami firmowymi, ponieważ Od tego bezpośrednio zależy od prędkości logowania użytkownika do systemu, a także replikacji między kontrolerami domeny. Ponadto oparte na topologii witryn Exchange Server 2007/2010, poczta jest kierowana. Musisz także poprawnie obliczyć numer i lokalizację serwerów Global Directory, które przechowują listy grup uniwersalnych, a wiele innych często używanych atrybutów wszystkich domen leśnych. Dlatego firmy zajmują się zadaniami w zakresie wdrażania, reorganizacji lub migracji usługi katalogowej usługi Active Directory w integratorach systemu. Niemniej jednak konieczne jest, aby nie mylić się przy wyborze integratora systemu, należy go zweryfikować, że jest certyfikowany dla tego rodzaju pracy i ma odpowiednie kompetencje.

Lanka jest certyfikowanym integratorem systemu i ma status partnera Microsoft Gold Certified. Lanka ma kompetencje platformy Datacenter (zaawansowane rozwiązania infrastrukturalne), co potwierdza nasze doświadczenie i kwalifikacje w sprawach związanych z wdrażaniem usługi Active Directory i wdrożenie rozwiązań Microsoft Server.


Wszystkie prace w projektach wykonują certyfikat Microsoft MCSE inżynierów, MCITP, które mają bogate doświadczenie w dużych i złożonych projektach na budowaniu infrastruktur i wdrożenia domen Active Directory.

LANCI opracuje infrastrukturę IT, rozszerzy usługę katalogów Active Directory i zapewni konsolidację wszystkich dostępnych zasobów przedsiębiorstwa w pojedynczej przestrzeni informacyjnej. Wdrożenie Active Directory pomoże zmniejszyć skumulowany koszt posiadania systemu informacyjnego, a także poprawić skuteczność udostępniania wspólnych zasobów. Lanka świadczy również usługi dla migracji domen, łącząc i oddzielając infrastrukturę IT w fuzjach i przejęciach, konserwacji i wsparciu systemów informatycznych.

Przykłady niektórych projektów do wdrażania usługi Active Directory, realizowane przez Lankę:

Klient Opis Opis.

W związku z wykonywaniem transakcji na zakup 100% udziałów Ramki Sibur-Mounty, OJSC (następnie przemianowany OJSC "SDS-AZOT") spółek holdingowych Sips-AZOT w grudniu 2011 roku, była potrzeba Oddziel infrastrukturę IT OAO -AZOT "z sieć gospodarstwa Sibur.

Migracja LANCI przeprowadziła migrację usługi katalogowej usługi Active Directory Service of Sibur-Mountal Fualing Division z sieci Holding Sibur do nowej infrastruktury. Przesyłano również konta użytkowników, komputery i aplikacje. Zgodnie z wynikami projektu, podziękowania otrzymane od klienta.
W związku z restrukturyzacją firmy usługa katalogowa Active Directory została wdrożona dla centralnego biura i 50 Moskwy i regionalnych sklepów. Usługa katalogów zapewniła scentralizowane równanie przez wszystkie zasoby przedsiębiorstwa, a także uwierzytelnianie i autoryzacja wszystkich użytkowników.
W ramach zintegrowanego projektu, aby utworzyć infrastrukturę IT Enterprise, LANCI zakończył domenę Active Directory dla firmy zarządzającej i 3 podziałów regionalnych. Dla każdej gałęzi powstała oddzielna strona, każda strona została wdrożona 2 kontroler domeny. Rozstawiono również usługi certyfikatów. Wszystkie usługi zostały wdrożone na maszynach wirtualnych uruchomionych Microsoft Hyper-V. Jakość pracy firmy Lanki została oznaczona przeglądem.
W ramach kompleksowego projektu do tworzenia systemu informacji korporacyjnej usługi katalogów Active Directory został wdrożony na podstawie systemu Windows Server 2008 R2. System został wdrożony przy użyciu technologii wirtualizacji serwera uruchomionej Microsoft Hyper-V. Usługa katalogów zapewniła jednolite uwierzytelnianie i autoryzacja wszystkich pracowników szpitala, a znacznik podał działanie zastosowań, takich jak wymiana, TMG, SQL itp.



Usługa katalogów Active Directory jest wykonana w bazie danych systemu Windows Server 2008 R2. W celu zmniejszenia kosztów instalacja jest produkowana w systemie wirtualizacji serwera na podstawie Microsoft Hyper-V.
W ramach kompleksowego projektu do stworzenia infrastruktury IT przedsiębiorstwa wdrożono usługę katalogową na Windows Server 2008 R2. Wszystkie kontrolery domeny zostały wdrożone za pomocą systemu wirtualizacji Microsoft Hyper-V Server. Jakość pracy jest potwierdzona z opinii klientów.


W możliwie najkrótszym czasie wykonanie usługi katalogowej usługi Active Directory jest przywrócone w sytuacji krytycznej dla biznesu. Specjaliści "Lanka" zaledwie kilka godzin przywróciły wydajność domeny głównej i napisał instrukcje dotyczące odzyskiwania replikacji 80 jednostek oddziałów. Za sprawność i jakość pracy od klienta została sprawdzona.
W ramach zintegrowanego projektu do tworzenia infrastruktury IT, wdrożono domenę Active Directory w oparciu o Windows Server 2008 R2. Wydajność usługi katalogowej została dostarczona przy użyciu 5 kontrolerów domeny wdrażanych na klastrze maszyn wirtualnych. Kopia zapasowa usługi katalogowej została wdrożona przy użyciu Microsoft Data Protection Manager 2010. Jakość pracy jest potwierdzona przez przegląd.

W ramach kompleksowego projektu do budowy systemu informacji korporacyjnej usługi katalogu usługi Active Directory jest wdrażane na podstawie systemu Windows Server 2008. Infrastruktura IT została zbudowana przy użyciu wirtualizacji Hyper-V. Po zakończeniu projektu zakończono umowę o dalszą konserwację systemu informacyjnego. Zakwestionowana praca została potwierdzona przez przegląd.
Technologia oleju i gazu W ramach zintegrowanego projektu, aby utworzyć infrastrukturę IT, rozmieszczona jest pojedynczy katalog usługi Active Directory w bazie danych systemu Windows Server 2008 R2. Projekt został ukończony przez 1 miesiąc. Po zakończeniu projektu zakończono umowę dalszej konserwacji systemu. Jakość pracy jest potwierdzona przez przegląd.
Katalog Active jest wykonany na podstawie systemu Windows Server 2008 w ramach projektu Exchange Server 2007.
Usługa katalogów Active Directory jest reorganizowana na podstawie systemu Windows Server 2003 przed wdrożeniem Exchange Server 2007. Jakość pracy potwierdza kontrolę.
Usługa katalogów Active Directory jest wykonana w bazie danych systemu Windows Server 2003 R2. Po zakończeniu projektu zakończono umowę dalszej konserwacji systemu. Jakość pracy jest potwierdzona przez przegląd.

Active Directory jest wykonany na podstawie systemu Windows Server 2003. Po zakończeniu projektu umowa została zawarta na dalsze wsparcie systemu.

Active Directory - rozszerzona i skalowalna usługa katalogów Active Directory (Active Catalog) umożliwia efektywne zarządzanie zasobami sieciowymi.
Active Directory. - Jest to hierarchicznie zorganizowane przechowywanie danych dotyczący obiektów sieciowych, zapewniając wygodne narzędzia do wyszukiwania i korzystania z tych danych. Komputer, na którym działa Active Directory, nazywana jest kontroler domeny. Prawie wszystkie zadania administracyjne są połączone z Active Directory.
Technologia Active Directory jest oparta na standardowych protokole internetowych i pomaga jasno zdefiniować strukturę sieci, bardziej szczegółowo, jak wdrażać z zerowej domeny Active Directory Read tutaj ..

Active Directory i DNS

W Active Directory używany jest system nazwy domeny.

Administruj Active Directory.

Wraz z pomocą usługi Active Directory, komputery są tworzone, są one podłączone do domeny, sterowane są komputery, kontrolery domeny i jednostki organizacyjne (OP).

Administracja i wsparcie są zaprojektowane do zarządzania Active Directory. Narzędzia wymienione poniżej są wdrażane i forma przystawki konsoli MMS (konsola Microsoft Management):

  • Użytkownicy i komputery Active Directory (użytkownicy i komputery i komputery Active Directory) umożliwiają zarządzaniu użytkownikami, grupami, komputerami i podziałami organizacyjnymi (PO);
  • Domeny i zaufania Active Directory (domeny i trustów Active Directory) służą do pracy z dziedzinami, drzewami domenami i lasami domenymi;
  • Witryny i usługi Active Directory (witryna i usługi i usługi Active Directory) umożliwiają zarządzanie witrynami i podsieciami;
  • Wynikowy zestaw zasad) służy do przeglądania bieżącej polityki użytkownika lub systemu oraz planowania zmian w polityce.
  • Serwer Microsoft Windows 2003 Możesz uzyskać dostęp do tych zatrzasków bezpośrednio z menu administracyjnego (Narzędzia administracyjne).

Kolejne narzędzie administracyjne jest przystawką katalog schematyczny (Schemat Active Directory) - umożliwia sterowanie i modyfikowanie schematu katalogów.

Utilities Line Command Directory

Aby zarządzać obiektami Active Directory, istnieją narzędzia wiersza poleceń, które umożliwiają szeroką gamę zadań administracyjnych:

  • DSADD - Dodaje komputery, kontakty, grupy, OP i użytkowników do Active Directory.
  • Dsget - Wyświetla właściwości komputerów, kontaktów, grup, OP, użytkowników, witryn, podsieci i serwerów zarejestrowanych w Active Directory.
  • DSMOD - Zmienia właściwości komputerów, kontaktów, grup, OP, użytkowników i serwerów zarejestrowanych w Active Directory.
  • DSMove - przenosi pojedynczy obiekt do nowej lokalizacji w domenie lub zmienić nazwę obiektu bez ruchu.
  • Dsqxjery - wyszukiwanie komputerów, kontakty, grupy, OP, użytkownicy, witryny, podsieci i serwery w katalogu Active Directory dla określonych kryteriów.
  • DSRM - Usuwa obiekt z Active Directory.
  • NTDSUTIL - Umożliwia przeglądanie informacji o witrynie, domeny lub serwera, zarządzaj operacjami operacji (mistrzowie operacji) i utrzymywać bazę danych Active Directory.

Jak wiesz przed wdrożeniem infrastruktury serwerowej w przedsiębiorstwie i uniknąć większości nieprzyjemnych momentów na końcu wdrażania, należy dokładnie zaplanować. W świetle faktu, że usługi Active Directory rozwija się jako centralne repozytorium do przechowywania danych, a także informacje dotyczące wdrażania zasad i konfiguracji, wraz z scenariuszami logowania użytkownika, komputerami i usługami sieciowymi z obsługą standardu LDAP przemysłowego, stosowane do żądania zapisu i Zmień informacje w katalogu, logiczne i fizyczna struktura organizacji powinna być zaprojektowana tak, że zarządzanie nawet w największych i najbardziej złożonych sieciach zapewniały jeden punkt, w którym można wdrożyć ustawienia w różnych systemach. Po uzupełnieniu ostatecznej wersji wymagań biznesowych umowa o poziomie usług, a także udokumentowała otrzymane informacje, musisz rozpocząć projektowanie logicznej i fizycznej infrastruktury przedsiębiorstwa. Na tym etapie musisz prawidłowo zaplanować liczbę, strukturę i projekt lasów, z których przedsiębiorstwo będzie składać się, w przypadku gdy usługi domeny Active Directory zostaną wdrożone.

A-priory, las Najwyższy poziom hierarchii struktury logicznej usług domeny, który jest uważany za granicę replikacji i bezpieczeństwa w przedsiębiorstwie i składa się z jednej lub więcej domenów Active Directory. Nazywany jest pierwszy kontroler domeny w lesie korzeń. Las zawiera pojedynczy opis konfiguracji i jedną instancję katalogu obwodu. Jest to jedyna zamknięta instancja katalogu, w której dane nie są replikowane. W związku z tym las ustawia obwód bezpieczeństwa organizacji. Wraz z lasem używane są następujące elementy Usługi domeny Active Directory:

  • Ogólny schemat. Wszystkie kontrolery domeny w lesie wykorzystują wspólny schemat, który jest przechowywany w usługach domeny Active Directory w sekcji katalogu schematu i jest replikowany wszystkim kontrolerom w lesie. Jedynym sposobem wdrażania dwóch różnych programów w organizacji jest wdrażanie dwóch lasów hotelowych;
  • Ogólny katalog globalny. Katalog globalny nazywa się sekcją, która przechowuje informacje o każdym obiekcie w lesie. Oznacza to, że gdy użytkownik z jednej domeny jest wyszukiwanie obiektu domeny w drugim, wyniki zapytania zapewniają dokładnie globalny katalog. Ogólny katalog globalny zawiera informacje o wszystkich obiektach w całym lesie. Zatem skuteczność poszukiwania obiektów w lesie i wpisowi użytkownika w dowolnej domenie leśnej przy użyciu UPN;
  • Ogólny katalog konfiguracji. Sekcja konfiguracji zawiera obiekty, które zapewniają logiczną strukturę umieszczania lasów - w szczególności struktury domeny i topologii replikacji. Obiekty przechowywane w sekcji konfiguracji powinny być replikowane między wszystkimi kontrolerami wszystkich domen lasów i używać jednego kontenera konfiguracji. Dane konfiguracyjne obejmują listę wszystkich domen, drzew i lasów, a także umieszczenie kontrolerów domeny i globalnych katalogów. Sekcja katalogu konfiguracyjnego jest również używana przez aplikacje Active Directory, takie jak Serwer Exchange i punkt akcji;
  • Ogólny zestaw operacji leśnych i administratorów. W każdej replikowanej bazy danych pewne zmiany powinny być dokonywane tylko przez jedną replikę, ponieważ jest niewłaściwe, aby spełnić je ze wszystkimi równymi uczestnikami. Pewny ograniczony zestaw operacji nie może być wykonywany w różnych miejscach w tym samym czasie, ale można tylko na jednym kontrolera domeny lub tylko w jednym lesie. Kontroler domeny wykonujący specjalne role nazywa się master of Operations.. Do niego dodawane są elastyczne operacje jednopunktowe. Usługi domeny Active Directory zawierają pięć ról operacji mistrzów, dwie role są zapewnione dla lasu, a dla domeny - trzy. Rola programu Master i mistrzowie nazwy domeny są skonfigurowane na poziomie lasu. Każdy las ma tylko jeden mistrz schematu i jeden domena nazewnictwa głównego, a dwie grupy bezpieczeństwa z ich unikalnymi uprawnieniami są tworzone w dziedzinie głównej lasu. Operacje Masters zostaną omówione bardziej szczegółowo w jednym z następujących artykułów;
  • Konfiguracja ogólna zaufanie. Wszystkie domeny w lesie są automatycznie skonfigurowane do zaufania do wszystkich innych domen leśnych. Koncepcja relacji zaufania zostanie również rozpatrywana oddzielnie.

Podczas planowania lasów przedsiębiorstwa jest wymagane przede wszystkim do podjęcia decyzji, ile lasów Active Directory należy utworzyć. Następnie musisz wybrać model leśny, a także na tym etapie, tworzona jest polityka modyfikacji schematu, która przedstawia okrąg osób z uprawnieniami do zarządzania, schematem i reguluje mechanizm modyfikacji administracyjnych wpływających na las jako całość . Wszystko to nauczysz się szczegółowo z tego artykułu.

Definicja lasu i mocy

Przed zaprojektowaniem programu Enterprise Forest Scheme musisz zwrócić szczególną uwagę na wymagania produkcyjne, które spełniają strukturę usług domeny. Usługi katalogowe pozwalają nam zaprojektować taką infrastrukturę, która zostanie dostosowana do grup o różnych i unikalnych wymaganiach zarządzania. Do wymogów, które organizacje mogą dostarczyć organizacje w projektowaniu usług domenów Active Directory można przypisać:

  • Organizacyjne wymagania strukturalne.. Ogromne znaczenie w projektowaniu struktury leśnej ma prawidłowe zrozumienie struktury organizacyjnej przedsiębiorstwa. Aby uratować fundusze, niektóre części organizacji mogą korzystać ze wspólnej infrastruktury, ale jednocześnie pracują niezależnie od reszty organizacji. Na przykład, jeden z tych wymogów może być uważany za tymczasową izolację konkretnej jednostki przedsiębiorstwa przez pewien okres, który musi być zainstalowany katalogi aplikacji, które zmieniają schemat Active Directory. W tym przypadku, jeśli taka jednostka należy do jednego lasu, w którym znajdują się inne organizacje organizacji, sama organizacja może powodować znaczne szkody. Dlatego, aby zbierać organizacyjne wymagania strukturalne, najlepiej zacząć od definicji różnych grup zasad bezpieczeństwa, które będą używane w usługach domeny Active Directory. Następnie określ, które grupy powinny działać oddzielnie od całej organizacji. Jeśli wykryto takie grupy w organizacji, określ, czy mogą one uszkodzić całą organizację. Zwykle grupy, które mają różne wymagania od reszty organizacji umieszczone w oddzielnych lasach;
  • Wymogi legislacyjne. W procesie projektowym powinieneś mieć również pomysł wymogów prawnych, z którymi organizacja musi się spełniać. W niektórych organizacjach w umowie biznesowej wskazano, że prawo wymaga pewnego sposobu działania, na przykład, aby ograniczyć dostęp do niektórych zasobów. Nieprzestrzeganie takich wymogów może prowadzić do umowy, a nawet, do ścigania. Dlatego podczas projektowania struktury lasów, z gromadzeniem wymogów prawnych, zacznij od definicji zobowiązań prawnych organizacji. Aby spełnić wymogi bezpieczeństwa, w niektórych organizacjach konieczne jest pracę w wewnętrznych sieciach izolowanych;
  • Wymagania operacyjne. Po określeniu organizacyjnych wymogów strukturalnych i prawnych należy dokonać zbierania wymogów operacyjnych, które wpłyną na rozwój struktury lasu. Czasami takie scenariusze występują, gdy jakakolwiek część organizacji nakłada unikalne ograniczenia dotyczące konfiguracji usługi katalogowej, dostępności lub zabezpieczenia tej usługi lub używa aplikacji, które nałożą unikalne ograniczenia katalogowe. Oddzielne podziały organizacji mogą rozszerzyć aplikacje brakujące w innych podziały, które zmieniają schemat katalogów. Unikalne wymagania operacyjne mogą korzystać z organizacji, takich jak firmy wojskowe lub hostingowe świadczące usługi zakwaterowania. W celu określenia wymagań operacyjnych najlepiej jest rozpocząć spis grup operacyjnych wraz z wymaganiami operacyjnymi dla każdej grupy indywidualnej;
  • Wymagania ograniczonej komunikacji. Wreszcie, zaprojektować strukturę lasu, ważne jest, aby zidentyfikować wszelkie ograniczone wymagania komunikacyjne. Wiele organizacji ma oddziały z izolowanymi sieciami, które mają ograniczoną przepustowość. Przy projektowaniu lasu najlepiej zacząć od definicji wszystkich grup znajdujących się zdalnie z centralnego biura.

Po zakończeniu tej listy podstawowych wymagań można przejść do etapu określania uprawnień administratorów i właścicieli danych oraz usług.

W usługach domeny Active Directory istnieje wiele rodzajów działań administracyjnych, w tym konfiguracji danych i zarządzania danymi w usłudze katalogowej. W głównych organizacjach role administracyjne usług domeny są podzielone na kilka kategorii. Jedną z metody opisywania różnych kategorii jest podzielenie właścicieli lasów, właścicieli i administratorów danych, a także właścicieli i administratorów usług.

  • Właściciele lasów są odpowiedzialni za wybór i wsparcie administratorów usług, więc od właściciela zaufania lasu następuje zaufanie administratorów usług zarządzanych przez właściciela lasu;
  • Właściciele i administratorzy danych są odpowiedzialni za informacje przechowywane w usługach domeny Active Directory. Właściciele danych regulują zasady i procesy zarządzania danymi, a administratorzy danych mają prawa i przywileje tworzenia obiektów AD DS w strukturze określonej przez właścicieli i administratorów Usługi;
  • Administratorzy właścicieli i usług są odpowiedzialni za usługę serwisu domeny i w pełni kontrolować dane i usługi na wszystkich sterownikach leśnych. Usługi Właściciele podejmują decyzje dotyczące liczby lasów, domen i witryn niezbędnych do spełnienia wymagań firmy dla usługi katalogowej usługi Active Directory. Z kolei administratorów usług mają następujące funkcje:
    • Zmiana oprogramowania systemowego na kontrolerach domeny, pomijając dowolne konwencjonalne kontrole bezpieczeństwa, które umożliwia przeglądanie wszystkich obiektów w domenie i zarządzaj nimi niezależnie od tego, czy jest dozwolony na listach kontroli dostępu;
    • Eliminowanie błędów związanych z listami kontroli dostępu do obiektów, co pozwala administratorom usługi odczytywać, zmienić i usuwać obiekty, niezależnie od tego, czy jest dozwolony na listach kontroli dostępu;
    • Resetuj hasła i zmień członkostwo użytkownika w grupach;
    • Za pomocą zasad bezpieczeństwa "Grupy z ograniczonym dostępem"Ma na celu dostarczenie wszystkich użytkowników i grup dostępu administracyjnego do dowolnego komputera dołączonego do domeny, który umożliwia administratorom użytkownika do odczytu, zmiany i usuwania obiektów, niezależnie od tego, czy jest dozwolony na listach kontroli dostępu;
    • Mają dostęp do innych domen lasów, zmieniając oprogramowanie systemowe na kontrolerach domeny. Administratorzy usług mogą przeglądać lub zmienić dane konfiguracyjne lasów, wyświetlanie lub zmienić dane przechowywane w dowolnej domenie, a także widoku lub zmienić dane na dowolnym komputerze powiązanym z domeną.

Ze względu na fakt, że administratorzy usług mają takie uprawnienia, pożądane jest, aby organizacja ma minimalną liczbę administratorów usług. Domyślnie grupy mają "Administratorzy domeny" W lesie głównym, "Administratorzy przedsiębiorstw" i "Administratorzy programu".

Tworzenie bezpiecznego lasu na podstawie wymagań korporacyjnych

Oprócz powyższych wymagań, musisz ustalić, czy struktura lasu jest autonomiczna lub odizolowana.

Autonomia administracyjna. Wykonuje pełną kontrolę administracyjną na niektóre elementy leśne na poziomie lasu, domeny lub podziału. Po osiągnięciu autonomii administratorzy mają prawo do niezależnego zarządzania zasobami. Niemniej jednak autonomia nie oznacza wyłączenia ekskluzywnej kontroli. Istnieją administratorzy o szerszych mocach, które mogą również zarządzać tymi zasobami i, jeśli to konieczne, może pozbawić uprawnień podległych administratorów. Struktura logiczna usług domeny została zaprojektowana z jednym z następujących rodzajów autonomii:

  • Autonomia usług. Autonomia usług obejmuje zdolność do zarządzania infrastrukturą, bez konieczności jedynej kontroli, czyli, jeśli Grupa musi wprowadzić zmiany w infrastrukturze, przestrzeni nazw lub schemacie bez zgody właściciela lasu. Usługi autonomii mogą być wymagane przez grupy, które muszą być w stanie zarządzać poziomem usługi w usługach domenów Active Directory lub grupy, które musisz mieć możliwość ustalenia katalogów wspierających aplikacji, które wymagają zmiany schematu;
  • Autonomia danych.. Obejmuje kontrolę nad całą lub częścią danych przechowywanych w katalogu lub na zwykłych komputerach, które są podłączone do domeny. Autonomia danych zakłada, że \u200b\u200bgrupa lub przedsiębiorstwo może zarządzać własnymi danymi, a także podejmować decyzje administracyjne dotyczące danych i przeprowadzić wszystkie niezbędne zadania bez odnoszące się do decyzji do innego organu. Jeśli nie ma potrzeby ochrony określonych danych od innych administratorów w lesie, pewna grupa może dać wniosek, że ma możliwość zarządzania jego danych, które należy do konkretnego projektu.

Izolacja administracyjna Zakłada otrzymanie wyłącznej kontroli nad komponentem katalogu. W przypadku izolacji administracyjnej nikt poza tymi administratorami nie może uzyskać prawa do zarządzania zasobami, a żaden z administratorów nie może pozbawić ich tych praw. Podobnie jak w przypadku autonomii administracyjnej, struktura logiczna usług domeny została zaprojektowana z jednym z następujących rodzajów izolacji:

  • Usługi izolacyjne. Usługi izolujące pozwala administratorom kontrolować pracę usług i mogą ingerować tylko w tych administratorach, którzy są wyposażone w takie zezwolenia. Grupy, które wprowadzają wymagania dotyczące izolacji serwisowej, wymagają, aby żaden z administratorów nie mógł wpływać na pracę usług katalogowych. Na przykład, jeśli Twoja organizacja zapewnia usługi do hostingu stron internetowych dla klientów i dla każdego klienta wymaga izolacji serwisowej, aby zapewnić, że przerwy główne usługi nie wpłyną na innych klientów;
  • Izolacja danych.. Izolacja danych utrudnia wszystkich innych niż określonych administratorów do sterowania podzbiorem danych w katalogu lub na zwykłych komputerach przymocowanych do domeny i wyświetlają te dane. Administratorzy usług mogą pozbawić administratorów tych możliwości zarządzać zasobami, a administratorzy danych nie mogą pozbawić administratorów usług dostępowych do kontroli zasobów. W związku z tym, jeśli grupa wymaga izolacji danych, taka grupa powinna być również odpowiedzialna za administrowanie usługami. Jedynym sposobem na takie grupy izolacji jest stworzenie oddzielnego lasu dla tych danych. Na przykład, jeśli struktura finansowa musi zostać wykonana tak, że dostęp do klientów, które są w oddzielnej jurysdykcji, mają tylko użytkowników, administratorzy i komputery zlokalizowane w tej jurysdykcji. Ponieważ kierownictwo w pełni ufa administratorom usług zdalnego jurysdykcji, więc w tej instytucji konieczne jest izolowanie danych z administratorów usług, które są poza tym jurysdykcją.

Oprócz tych prostych przykładów, w usługach domeny Active Directory nadal istnieje wiele sposobów na wdrożenie autonomii administracyjnej i izolacji. Warto pamiętać, że administratorzy, którzy wymagają jedynie autonomii, powinni być znoszeni fakt, że inni administratorzy z równymi lub szerokim uprawnieniami administracyjnych mają równe lub więcej możliwości kontrolowania zarządzania usługami lub danymi, a administratorzy, którzy potrzebują izolacji, są w pełni monitorowane przez Zarządzanie usługami lub danymi. Wiele firm wymaga autonomii administracyjnej z względną gwarancją, że administratorzy z innych sekcji w lesie nie będą wykonywać szkodliwych działań. Warto również zauważyć, że rozwój autonomicznego systemu w ogólnym przypadku jest tańszy niż rozwój odizolowanego systemu.

Wybór liczby wymaganych lasów

Po zakończeniu wszystkich powyższych wymagań należy określić wymaganą liczbę lasów infrastruktury organizacji. Aby określić, ile lasów musi być wdrażane, dowiedzieć się, jakie wymagania dotyczące autonomii i izolacji sprawiają, że każda grupa organizacji, a następnie wszystkie te wymagania wdrażają w schematach modeli leśnych. Nie należy zapominać, że dzielisz jeden las jest bardzo trudny dla dwóch osób. Podczas rozwijania lasów do katalogu systemu operacyjnego sieci (NOS) wystarczy tylko jeden las. W większości przypadków wdrażanie usług domenów Active Directory jest wykonywany w jednym lesie, co dla wielu firm korzyści z wspólnego katalogu globalnego, wbudowanych relacji zaufania i ogólnej sekcji konfiguracji odgrywają ważniejszą rolę niż pełna separację wszystkich ról administracyjnych. W celu ustalenia, ile lasów będzie korzystać z Twojej organizacji, rozważ następujące sytuacje:

  • Określ potrzebę izolacji lub autonomii lasów. Potrzeba izolacji ogranicza wybór schematów, w związku z którym konieczne będzie wdrożenie co najmniej jednego lasu do organizacji;
  • Aby określić liczbę lasów, konieczne jest znalezienie równowagi między wydatkami a zaletami. Model z jednym lasem jest najbardziej ekonomiczny wymagający najmniejszych kosztów administracyjnych. W preferencjach autonomicznych operacji z usługami administracyjnymi jest ekonomiczny, aby zatrzymać się w usługach wiarygodnej grupy IT, która pozwoli Ci zarządzać danymi bez kosztów zarządzania samą usługą;
  • Dwie różne i autonomiczne organizacje IT nie powinny być własnością tego samego lasu, ponieważ cele ich grup informatycznych mogą zasadniczo rozwiać, co pociąga za sobą przerwy w proces roboczy dla każdej organizacji. Dlatego niektóre firmy wdrażają oddzielne usługi leśne w strefach demilitarnych. Aby poprawić bezpieczeństwo sieci wewnętrznej, wielu organizacji wdraża serwerów z bezpośrednim dostępem do Internetu w DMZ. Jednocześnie dopuszczalne jest stosowanie zarządzania użytkownikami i komputerami w Active Directory, utrzymując izolacja lasu wewnętrznego;
  • Ze względów bezpieczeństwa dostęp do konkretnych informacji o sieci jest wskazana w celu zapewnienia poszczególnych jednostek organizacyjnych, przy użyciu pełnej separacji danych sieciowych, w których informacje o jednym lesie nie jest wyświetlane w drugim. Niewłaściwe jest przeniesienie administrowania usługami dla partnerów zewnętrznych, zwłaszcza jeśli dotyczy to wielonarodowej organizacji w różnych krajach lub regionach. W świetle faktu, że działania niektórych partnerów mogą wpływać na usługi świadczone przez innych, partnerzy muszą być zgodne z umową o poziomie usług, ponieważ grupy te nie mogą być izolowane od siebie, ponieważ wewnątrz lasu wszystkie domeny wykorzystują przebywające połączenia poufne;
  • Podczas korzystania z unikalnego schematu wdrażania aplikacji, z niezgodnymi zmianami w schemacie dla różnych podziałów w organizacji, korzystne jest tworzenie oddzielnych lasów;
  • Rozmieszczone są również oddzielne lasy, jeśli jednostka organizacyjna nie działa z scentralizowaną administracją lub nie wymaga scentralizowanych procedur administracyjnych.

Definicja modelu lasu

Po projektowaniu usługi katalogu określono przez liczbę lasów, wybrano jeden z następujących czterech modeli lasów:

  • Model jednego lasu;
  • Organizacja modelu lasu;
  • Model lasu zasobów;
  • Model lasu z ograniczonym dostępem.\u003e? / Li

Model jednego lasu

Model ten jest najprostszym modelem lasu i jest uważany za niski poziom, ponieważ wszystkie obiekty katalogowe należą do tego samego lasu, a wszystkie zasoby sieciowe kontrolowały jedną scentralizowaną grupę IT. Taki projekt wymaga minimalnych wydatków administracyjnych i jest uważany za najbardziej opłacalny wśród wszystkich modeli. Model jednego lasu jest dobrym wyborem dla małych i średnich organizacji, w których działa tylko jedna grupa IT, a wszystkie jego gałęzie są zarządzane przez tę grupę z Centralnego Urzędu.

Figa. 1. Model jednego lasu

Korzyści niedogodności
Możliwość współpracy. Wymiana wiadomości e-mail; Wspólna sieć internetowa; Ogólne dokumenty; Ogólne uwierzytelnianie, autoryzacja i mechanizm wyszukiwania.Niezdolność do zapewnienia. Niemożność zapewnienia autonomii usługi jednego lasu, jeśli nie ma zgody na skonfigurowanie konfiguracji usługi.
Uwierzytelnianie Kerberos.. Zapewnia wzajemne uwierzytelnianie i delegowanie mocy.Niemożliwe jest zapewnienie izolacji od właścicieli serwisowych. Administrator organizacji może anulować ustawienia zabezpieczeń ustawione przez właścicieli indywidualnych domen.
Automatyczne relacje zaufania przechodnich. Pomiędzy wszystkimi domenami w lesie stworzyli relacje zaufania przechodni w porządku hierarchicznym.Problemy z replikacją z powodu dużych ilości katalogów. Problem informacji o poziomie lasu do replikacji, w szczególności dane konfiguracyjne i schemat; Problem replikacji informacji Global Directory do wszystkich serwerów globalnych katalogów leśnych; Z nadmiarem informacji, replikacja staje się niedopuszczalna
Jeden katalog globalnego obiektu. Informacje o wszystkich obiektach leśnych są przechowywane w katalogu, w którym możesz wyszukiwać

Organizacja modelu lasu.

Zgodnie z tym modelem powstaje oddzielny las Active Directory dla każdej jednostki, model lasowy został zaprojektowany zgodnie z określonymi kryteriami organizacyjnymi. Zapewnia to autonomię i izolowanie danych lub usług jednostek organizacyjnych, podczas gdy las jest skonfigurowany w taki sposób, że nie ma dostępu z zewnątrz. Administratorzy mogą zapewnić dostęp do zasobów w innym lesie. W razie potrzeby jednostki mogą mieć relacje zaufania z innymi lasami do ogólnego wykorzystania zasobów. Konta, zasoby i kierownictwo w tym modelu są przeprowadzane niezależnie.

Figa. 2. Organizacja modelu lasu

Korzyści niedogodności
Niezależność od właścicieli serwisowych. Każda jednostka organizacyjna ma swój własny las, który zapewnia autonomię danych i usług.Wysoka realizacja. Najdroższy model z punktu widzenia administracji związanej ze szkoleniem uczestników, instalacja dodatkowego sprzętu i oprogramowania.
. Dane i usługi są w pełni wyizolowane od właściciela w oddzielnej jednostce organizacyjnej.
. Członek każdego lasu nie może być automatycznie we wszystkich stosunkach zaufania między lasami; Zwiększona kontrola relacji zaufania.

Model ten może być używany w firmach z wieloma jednostkami organizacyjnymi, w firmach, w których poszczególne jednostki są publikowane w różnych regionach w organizacjach utworzonych przez połączenie lub nabycie.

Zasoby modelowe lasów

Model ten umożliwia podziały podziału jednego lasu obsługiwanego przez oddzielną grupę IT, podczas gdy inne jednostki do izolacji lub autonomii mogą wdrożyć oddzielny las. Zarządzanie zasobami w tym modelu przeprowadza się przy użyciu oddzielnego lasu, który nie zawiera innych kont, z wyjątkiem tych niezbędnych do administrowania usługami i alternatywnym dostępem do zasobów w lesie. W celu uzyskania dostępu do innych lasów powstają między nimi relacje zaufania. W większości przypadków skonfigurowano jednostronne wiązanie zaufania, chociaż dwustronne relacje zaufania nie są wykluczane, zewnętrzne powiązania zaufania z uwierzytelnianiem selektywnego. Zarządzanie kontami użytkowników i grupami są izolowane od zarządzania zasobami, tworząc poszczególne lasy dla każdej funkcji. Wspólne zasoby są skonfigurowane na serwerach w jednym lub większej liczbie lasów zasobów.

Figa. 3. Zasoby modelu lasu

Korzyści niedogodności
Zmniejszenie kosztów ze względu na ogólne wykorzystanie zasobów. Korzystanie z korzyści z globalnego katalogu obiektów; Koszty związane z zarządzaniem lasem są zmniejszone.Wysoka realizacja
Niezależność od właścicieli serwisowych. Zapewnienie pełnej autonomii danych jednostek organizacyjnych podczas wdrażania nowego lasu.Brak jednego globalnego katalogu obiektów. Nie ma replikacji globalnych katalogów między lasami.
Izolacja od właścicieli usług. Zapewnienie całkowitego izolacji danych organizacyjnych podczas wdrażania nowego lasu.Niefortunne dla organizacji rozwijających się. Jeśli istnieją znaczące zmiany, obecność wielu lasów prowadzi do częstego ruchu danych z jednego lasu do drugiego.
Wyraźne ustanowienie relacji zaufania. Członek każdego lasu nie może automatycznie być we wszystkich relacjach zaufania między lasami.

Model leśny z ograniczonym dostępem

Model ten zapewnia wariant modelu organizacyjnego lasów. Tworzy oddzielny las do przechowywania kont użytkowników i wspólnych zasobów, odizolowane z innych działów. Ten las różni się od lasu organizacyjnego, ponieważ relacja zaufania nie może być skonfigurowana między dwiema domenami. Zapewnia izolację administracyjną. Oznacza to, że konta użytkowników biznesowych poza lasem nie ma uprawnień lub uprawnień do dostępu do danych w tym lesie i powinien stosować oddzielne konto, aby uzyskać dostęp do lasu z ograniczonym dostępem. Dzięki temu modelowi oddzielny las jest tworzony z kontami użytkowników i danymi, odizolowane od reszty organizacji. Model lasu Dana zapewnia izolacji danych z naruszeniem prywatności z poważnymi konsekwencjami. Brak zaufania relacji uniemożliwia dostarczenie użytkowników innych lasów do danych z ograniczonym dostępem.

Figa. 4. Model leśny z ograniczonym dostępem

Korzyści niedogodności
Pełna izolacja zasobów. Do przechowywania kont użytkowników i do wspólnych zasobów powstają oddzielne izolowane lasy.Bez relacji zaufania. Niemożność zapewnienia zasobów jednego lasu dla użytkowników innych lasów.
Izolacja administracyjna. Konta użytkowników poza lasem z ograniczonym dostępem nie mają uprawnień do uprawnień lub dostępu do żadnych danych w tym lesie.Tworzenie oddzielnych kont. Użytkownicy mają konto do dostępu do wspólnych zasobów i oddzielne konto w celu uzyskania dostępu do tajnych informacji, a muszą istnieć dwie różne stacje robocze, jeden podłączony do organizacji leśnej, a drugi do lasu z ograniczonym dostępem.
Zapewnienie izolacji danych.. Wyeliminować poważne konsekwencje w naruszaniu poufności danych projektu.Wysoka realizacja. Koszty administracyjne zwiększenia proporcjonalnie do liczby lasów utworzonych z powodu szkolenia personelu, dodatkowego sprzętu i oprogramowania.
Wspieraj sieć fizyczną. Organizacje pracujące nad sekretnymi projektami tworzą lasy z ograniczonym dostępem w poszczególnych sieciach, aby wspierać bezpieczeństwo.Brak uwierzytelniania Kerberos między domyślnymi lasami. Dwa lasy nie mogą domyślnie korzystać z protokołu Kerberos do uwierzytelniania.
Brak jednego globalnego katalogu obiektów. Nie ma replikacji globalnych katalogów między lasami.
Dzielić.
Dzielić.
Ćwierkać.
Lubić
Lubić

Przeczytaj także.

Dzwon.

Są ci, którzy przeczytali tę wiadomość przed tobą.
Subskrybuj odbieranie artykułów świeżych.
E-mail
Nazwa
Nazwisko
Jak chcesz przeczytać dzwonek
Bez spamu