ev Onarım Aktif Dizin nedir. Active Directory: ormanlar ve etki alanları Active directory ve tek bir etki alanı

Aktif Dizin nedir. Active Directory: ormanlar ve etki alanları Active directory ve tek bir etki alanı

Active Directory'nin temel kavramları

Hizmet Aktif Dizin

Genişletilebilir ve ölçeklenebilir dizin hizmeti Aktif Dizin (Active Directory) ağ kaynaklarını etkin bir şekilde yönetmenizi sağlar.

Aktif Dizin, ağ nesneleri hakkında hiyerarşik olarak düzenlenmiş bir veri deposudur ve bu verileri bulmak ve kullanmak için uygun bir araç sağlar.. Aktif çalışan bilgisayar denilen dizin etki alanı denetleyicisi . İTİBAREN Aktif Dizinneredeyse tüm idari görevler söz konusudur.

Active Directory teknolojisi, standart İnternet protokolleri ve ağın yapısını net bir şekilde tanımlamaya yardımcı olur.

Aktif Dizin ve DNS

AT Aktif Müdüryalan adı sistemi kullanılmaktadır.

Alan adıİsim System (DNS), bilgisayar gruplarını etki alanları halinde düzenleyen standart bir İnternet hizmetidir.DNS etki alanları, İnternet'in temelini oluşturan hiyerarşik bir yapıya sahiptir. farklı seviyeler Bu hiyerarşi, bilgisayarları, kurumsal etki alanlarını ve üst düzey etki alanlarını tanımlar. DNS ayrıca ana bilgisayar adlarını çözmeye de hizmet eder, örneğin z eta.webwork.com 192.168.19.2 gibi sayısal IP adreslerine. DNS aracılığıyla, Active Directory etki alanı hiyerarşisi İnternet alanına yazılabilir veya bağımsız ve harici erişimden izole edilebilir.

Kaynaklara erişmek için Etki alanı, zeta.webatwork.com gibi tam nitelikli ana bilgisayar adını kullanır. Buradazetabireysel bilgisayarın adıdır, webwork kuruluşun etki alanıdır ve com en üst düzey etki alanıdır. Üst düzey etki alanları, DNS hiyerarşisinin temelini oluşturur ve bu nedenle kök etki alanları (kök etki alanları). Adları iki harfli ülke kodlarına göre (trRusya için), kuruluş türüne göre (hücre ticari kuruluşlar için) ve randevu ile ( mil askeri kuruluşlar için).

microsoft.com gibi normal alan adları, aranan ebeveyn (ana alan) çünkü bunlar organizasyon yapısının temelini oluştururlar. Ana etki alanları, farklı departmanların veya uzak bağlı kuruluşların alt etki alanlarına bölünebilir. Örneğin, Seattle'daki Microsoft ofisindeki bir bilgisayarın tam adı jacob.seattle.microsoft.com olabilir. , nerede jahır- bilgisayar adı, seAltel - alt etki alanı ve microsoft.com ana etki alanıdır. Başka bir alt alan adı - alt etki alanı (alt alan).

Bileşenler Aktif dizin

Active Directory, ağ bileşenleri için fiziksel ve mantıksal yapıyı birleştirir. Active Directory mantıksal yapıları, dizin nesnelerini düzenlemeye ve ağ hesaplarını ve paylaşımları yönetmeye yardımcı olur. Mantıksal yapı aşağıdaki unsurlar:

kuruluş birimi (kuruluş birimi) - genellikle şirketin yapısını yansıtan bir bilgisayar alt grubu;

alan adı ( alan adı ) - ortak bir katalog veritabanını paylaşan bir grup bilgisayar;

etki alanı ağacı (alan adı ağaç) - bitişik bir ad alanını paylaşan bir veya daha fazla alan;

etki alanı ormanı - dizin bilgilerini paylaşan bir veya daha fazla ağaç.

Fiziksel unsurlar, gerçek ağ yapısının planlanmasına yardımcı olur. Fiziksel yapılara dayalı olarak ağ bağlantıları ve ağ kaynaklarının fiziksel sınırları oluşturulur. Fiziksel yapı aşağıdaki unsurları içerir:

alt ağ ( alt ağ) - ağ grubu belirli bir alanla IP adresleri ve ağ maskesi;

İnternet sitesi ( alan) bir veya daha fazla alt ağ. Site, dizin erişimini ve çoğaltmayı ayarlamak için kullanılır.

Kuruluş birimleri

Kuruluş birimleri (OU'lar), genellikle bir kuruluşun işlevsel yapısını yansıtan etki alanları içindeki alt gruplardır. PU'lar, hesapları, paylaşımları ve diğer PU'ları barındıran bir tür mantıksal kapsayıcıdır. Örneğin, etki alanında oluşturabilirsiniz microsoftt. com bölümler kaynaklar, BT, Pazarlama. Bu şema daha sonra alt bölümleri içerecek şekilde genişletilebilir.

OP'ye yalnızca ana etki alanından nesnelerin yerleştirilmesine izin verilir. Örneğin, Seattle.microsoft.com etki alanındaki RO'lar yalnızca o etki alanındaki nesneleri içerir. Şuradan nesneler ekleyin:my. microsoft.com yapamaz. OP, işlevsel veya iş yapıları kuruluşlar. Ancak bu, kullanımlarının tek nedeni değildir.

OP'ler, tüm etki alanına uygulanmadan bir etki alanındaki küçük bir kaynak kümesi için grup ilkesinin tanımlanmasına izin verir. OP, bir etki alanındaki dizin nesnelerinin kompakt ve daha yönetilebilir temsillerini oluşturarak kaynakların daha verimli yönetilmesine yardımcı olur.

OP'ler, etki alanı kaynaklarına yetki atamanıza ve yönetim erişimini kontrol etmenize olanak tanır; bu, bir etki alanındaki yöneticilerin yetkisine ilişkin sınırlar belirlemenize yardımcı olur. A kullanıcısına yalnızca bir kuruluş birimi için yönetici ayrıcalıkları vermek ve aynı zamanda etki alanındaki tüm kuruluş birimleri için B kullanıcısına yönetici ayrıcalıkları vermek mümkündür.

Etki Alanları

Alan adı Active Directory, ortak bir dizin veritabanını paylaşan bir grup bilgisayardır. Active Directory alan adları benzersiz olmalıdır. Örneğin, iki etki alanı olamaz microsoft.com, ancak seattle.microsoft.com ve alt etki alanları olan bir microsoft.com üst etki alanı olabilir. my.microsoft.com. Etki alanı kapalı bir ağın parçasıysa, yeni etki alanına verilen ad, o ağdaki mevcut alan adlarından herhangi biriyle çakışmamalıdır. Etki alanı küresel İnternet'in bir parçasıysa, adı İnternet'teki mevcut alan adlarının hiçbiriyle çakışmamalıdır. Adların İnternette benzersiz olduğundan emin olmak için, ana alan adı herhangi bir yetkili kayıt şirketi aracılığıyla kaydedilmelidir.

Her etki alanının kendi güvenlik politikaları vardır ve güven ilişkisi diğer alan adları ile. Çoğu zaman, etki alanları birden çok fiziksel konuma dağıtılır, yani birden çok siteden oluşur ve siteler birden çok alt ağa yayılır. Etki alanı dizini veritabanı, kullanıcılar, gruplar ve bilgisayarlar için hesapları tanımlayan nesnelerin yanı sıra yazıcılar ve klasörler gibi paylaşılan kaynakları depolar.

Etki alanı işlevleri, çalışma modu ile sınırlıdır ve düzenlenir. Dört işlevsel etki alanı modu vardır:

karışık pencere modu 2000 (karma mod) - Windows çalıştıran etki alanı denetleyicilerini destekler NT 4.0, Wi ndows 2000 ve pencereler sunucu 2003;

Windows 2000 yerel modu (yerel mod) - Windows 2000 çalıştıran etki alanı denetleyicilerini destekler ve pencereler sunucu 2003;

ara mod pencereler sunucu 2003 ( geçici mod) - çalışan etki alanı denetleyicilerini destekler pencereler NT 4.0 ve pencereler sunucu 2003;

mod Windows Sunucusu 2003 - Windows Server 2003 çalıştıran etki alanı denetleyicilerini destekler.

Ormanlar ve ağaçlar

Her alan Aktif dizin sahip olmak DNS-tür adı microsoft.com. Dizin verilerini paylaşan etki alanları bir orman oluşturur. DNS adı hiyerarşisindeki orman alan adları bitişik olmayan(süreksiz) veya ilişkili(sürekli).

Bitişik ad yapısına sahip etki alanlarına etki alanı ağacı denir. Orman etki alanlarının bitişik olmayan DNS adları varsa, ormanda ayrı etki alanı ağaçları oluştururlar. Bir ormana bir veya daha fazla ağaç ekleyebilirsiniz. Konsol, etki alanı yapılarına erişim için tasarlanmıştır.Aktif dizin- etki alanları ve güven (Aktifdizin Etki Alanlarıve güvenir).

Ormanların işlevleri, ormanın işlevsel rejimi tarafından sınırlandırılır ve düzenlenir. Bu tür üç mod vardır:

Windows 2000 - Windows NT 4.0, Windows 2000 ve Windows çalıştıran etki alanı denetleyicilerini destekler sunucu 2003;

orta düzey ( geçici) pencereler sunucu 2003 - Windows NT 4.0 ve Windows Server 2003 çalıştıran etki alanı denetleyicilerini destekler;

Windows Sunucusu 2003 - Windows Server 2003 çalıştıran etki alanı denetleyicilerini destekler.

En gelişmiş Active Directory özellikleri Windows Server 2003 modunda mevcuttur. Ormandaki tüm etki alanları bu modda çalışıyorsa, geliştirilmiş genel katalog çoğaltmanın ve daha verimli Active Directory veri çoğaltmasının keyfini çıkarabilirsiniz. Ayrıca şema sınıflarını ve özniteliklerini devre dışı bırakabilir, dinamik yardımcı sınıfları kullanabilir, etki alanlarını yeniden adlandırabilir ve ormanda tek yönlü, iki yönlü ve geçişli güvenler oluşturabilirsiniz.

Siteler ve Alt Ağlar

İnternet sitesi bir ağın fiziksel yapısını planlamak için kullanılan bir veya daha fazla IP alt ağındaki bir grup bilgisayardır. Site planlaması, etki alanının mantıksal yapısından bağımsız olarak gerçekleşir. Active Directory, tek bir etki alanı içinde birden çok site veya birden çok etki alanını kapsayan tek bir site oluşturmanıza olanak tanır.

Birden çok IP adresi alanına yayılabilen sitelerin aksine, alt ağların ayarlanmış bir IP adresi alanı ve ağ maskesi vardır. Alt ağ adları biçimde belirtilir ağ/bit maskesi, örneğin 192.168.19.0/24 burada ağ adresi 192.168.19.0 ve ağ maskesi 255.255.255.0 birleşerek 192.168.19.0/24 alt ağ adını oluşturur.

Bilgisayarlar, bir alt ağdaki veya alt ağlar kümesindeki konumlarına göre sitelere atanır. Alt ağlardaki bilgisayarlar yeterince yüksek hızlarda iletişim kurabiliyorsa, bunlara denir. iyi bağlanmış (iyi bağlanmış).

İdeal olarak, siteler iyi bağlanmış alt ağlardan ve bilgisayarlardan oluşur.Alt ağlar ve bilgisayarlar arasındaki trafik düşükse, birden çok site oluşturmanız gerekebilir. İyi iletişim sitelere bazı avantajlar sağlar.

Bir istemci bir etki alanına katıldığında, kimlik doğrulama işlemi önce istemcinin sitesindeki yerel etki alanı denetleyicisini arar, yani mümkünse önce yerel denetleyiciler sorgulanır, bu da ağ trafiğini sınırlar ve kimlik doğrulamasını hızlandırır.

Dizin bilgileri daha sık çoğaltılır içeri siteler daha arasında Siteler. Bu, çoğaltmanın neden olduğu ağ trafiğini azaltır ve yerel etki alanı denetleyicilerinin güncellenmiş bilgileri hızla almasını sağlar.

Dizin verilerinin çoğaltılma sırasını kullanarak özelleştirebilirsiniz. site bağlantıları (site bağlantıları). Örneğin, tanımlayın köprü sunucu (köprü başı) siteler arasında çoğaltma için.

Siteler arasında çoğaltmadan kaynaklanan yükün büyük kısmı, herhangi bir sunucuya değil, bu özel sunucuya düşecektir. kullanılabilir sunucu alan. Siteler ve alt ağlar konsolda yapılandırılır Aktif Dizin- siteler ve hizmetler(Active Directory Siteleri ve Hizmetleri).

Alanlarla çalışma Aktif Dizin

Çevrimiçi pencereler sunucu 2003 hizmet Aktifdizinaynı anda yapılandırılmışDNS. Ancak, Active Directory etki alanları ve DNS etki alanları farklı amaçlara sahiptir. Active Directory etki alanları, hesapların, kaynakların ve güvenliğin yönetilmesine yardımcı olur.

DNS etki alanı hiyerarşisi öncelikle ad çözümlemesi içindir.

Windows XP Professional ve Windows 2000 çalıştıran bilgisayarlar Active Directory'den tam olarak yararlanabilirler.Ağ üzerinde Active Directory istemcileri olarak çalışırlar ve bir etki alanı ağacında veya ormanında bulunan geçişli güvenlere erişimleri vardır. Bu ilişkiler, yetkili kullanıcıların ormandaki herhangi bir etki alanındaki kaynaklara erişmesine izin verir.

sistem Windows Server 2003, bir etki alanı denetleyicisi veya üye sunucu olarak işlev görür. Üye sunucular, Active Directory kurulduğunda denetleyici olur; Active Directory kaldırıldıktan sonra denetleyiciler üye sunuculara indirgenir.

Her iki işlem de gerçekleştirilir Active Directory Kurulum Sihirbazı. Bir etki alanının birden çok denetleyicisi olabilir. Her bir denetleyicinin dizin değişikliklerini işlemesine ve ardından bunları diğer denetleyicilere yaymasına olanak tanıyan çok yöneticili bir çoğaltma modelini kullanarak dizin verilerini kendi aralarında çoğaltırlar. Çoklu ana yapı nedeniyle, tüm kontrolörler varsayılan olarak eşit sorumluluğa sahiptir. Ancak, dizin verilerini diğer sitelere çoğaltırken önceliği olan bir köprübaşı sunucusu oluşturmak gibi belirli görevlerde bazı etki alanı denetleyicilerine diğerlerine göre öncelik verebilirsiniz.

Ayrıca, bazı görevler en iyi şekilde özel bir sunucuda gerçekleştirilir. Belirli bir görev türünü işleyen sunucuya denir. operasyon ustası (operasyon yöneticisi).

Bir etki alanına katılan tüm Windows 2000, Windows XP Professional ve Windows Server 2003 bilgisayarlarında, diğer kaynaklar gibi Active Directory nesneleri olarak depolanan hesaplar oluşturulur. Bilgisayar hesapları, ağa ve kaynaklarına erişimi kontrol etmek için kullanılır.Bir bilgisayar hesabını kullanarak bir etki alanına erişmeden önce, bir kimlik doğrulama prosedüründen geçmelidir.

dizin yapısı

Dizin verileri, kullanıcılara ve bilgisayarlara şu yollarla sağlanır: Bilgi deposu (veri depoları) ve küresel dizinler (küreselkataloglar). Her ne kadar çoğu özelliğiAktifdizinGenel kataloglar (GC'ler), veri ambarını etkilemek için oturum açmak ve bilgi aramak için kullanıldıkları için aynı derecede önemlidir. GC mevcut değilse, normal kullanıcılar etki alanında oturum açamaz. Bu durumu aşmanın tek yolu üyelikleri yerel olarak önbelleğe almaktır. evrensel gruplar

Active Directory verilerine erişim ve dağıtımı şu yollarla sağlanır: dizin erişim protokolleri (dizin erişimprotokoller) ve çoğaltma (çoğaltma).

Güncellenen verileri denetleyicilere dağıtmak için çoğaltma gereklidir. Ana güncelleme dağıtım yöntemi, çok yöneticili çoğaltmadır, ancak bazı değişiklikler yalnızca özel denetleyiciler tarafından işlenir - operasyon ustaları (işlem ustaları).

Windows Server 2003'te multimaster replikasyonun gerçekleştirilme şekli de Windows Server 2003'ün piyasaya sürülmesiyle birlikte değişti. dizin bölümleri uygulamalar (başvurudizinbölümler). Bunlar aracılığıyla, sistem yöneticileri, etki alanı ormanında çoğaltmayı yönetmek için kullanılan mantıksal yapılar olan, etki alanı ormanında çoğaltma bölümleri oluşturabilir. Örneğin, bir etki alanı içinde DNS bilgilerinin çoğaltılmasını işleyecek bir bölüm oluşturabilirsiniz. Etki alanındaki diğer sistemlerin DNS bilgilerini çoğaltmasına izin verilmez.

Uygulama dizini bölümleri, bir etki alanının alt öğesi, başka bir uygulama bölümünün alt öğesi veya etki alanı ormanındaki yeni bir ağaç olabilir. Bölüm çoğaltmaları, genel kataloglar dahil olmak üzere herhangi bir Active Directory etki alanı denetleyicisinde barındırılabilir. Uygulama kataloğu bölümleri, büyük etki alanlarında ve ormanlarda yararlı olsa da, planlama, yönetim ve bakım yükünü artırır.

Bilgi deposu

Depo hakkında bilgi içerir en önemli nesneler dizin hizmetleri Active Directory - hesaplar, paylaşımlar, OP ve grup ilkeleri. Bazen veri ambarı basitçe çağrılır katalog (dizin). Etki alanı denetleyicisinde dizin, konumu Active Directory kurulumu sırasında belirlenen (bir NTFS sürücüsü olmalıdır) NTDS.DIT dosyasında saklanır. Bazı katalog verileri ana depolamadan ayrı olarak saklanabilir, örneğin, grup politikaları, komut dosyaları ve SYSVOL sistem paylaşımında kaydedilen diğer bilgiler.

Dizin bilgilerinin paylaşılmasına denir yayın (Yayınla). Örneğin bir yazıcı ağda kullanıma açıldığında yayınlanır; hakkında yayınlanan bilgiler paylaşılan klasör Etki alanı denetleyicileri, depolamadaki çoğu değişikliği çok yöneticili biçimde çoğaltır. Küçük veya orta ölçekli bir kuruluşun yöneticisi, otomatik olduğu için depolama çoğaltmasını nadiren yönetir, ancak ağ mimarisinin özelliklerine göre yapılandırılabilir.

Tüm dizin verileri çoğaltılmaz, yalnızca:

Etki alanı verileri - hesap nesneleri, paylaşımlar, OP ve grup ilkeleri dahil olmak üzere etki alanındaki nesneler hakkında bilgiler;

Yapılandırma verileri - dizinin topolojisi hakkında bilgi: tüm etki alanlarının, ağaçların ve ormanların bir listesi ile defterin denetleyicilerinin ve sunucularının konumu;

Şema verileri - dizinde saklanabilecek tüm nesneler ve veri türleri hakkında bilgi; standart şema Windows Server 2003, hesap nesnelerini, paylaşım nesnelerini ve daha fazlasını açıklar ve yeni nesneler ve öznitelikler tanımlanarak veya mevcut nesnelere öznitelikler eklenerek genişletilebilir.

genel dizin

Üyeliğin yerel olarak önbelleğe alınması durumunda evrensel gruplar yapılmaz, ağ girişi üyelik bilgilerine dayanır evrensel grup GC tarafından sağlanmaktadır.

Ayrıca ormandaki tüm etki alanlarında dizin araması sağlar. kontrolör, oyunculuk GC sunucusu, etki alanındaki tüm dizin nesnelerinin tam bir kopyasını ve geri kalan orman etki alanlarındaki nesnelerin kısmi bir kopyasını depolar.

Oturum açma ve arama için yalnızca bazı nesne özellikleri gereklidir, bu nedenle kısmi kopyalar kullanılabilir. Kısmi bir çoğaltma oluşturmak için çoğaltmanın daha az veri aktarması gerekir, bu da ağ trafiğini azaltır.

Varsayılan olarak, ilk etki alanı denetleyicisi GC sunucusu olur. Bu nedenle, etki alanında yalnızca bir denetleyici varsa, GC sunucusu ve etki alanı denetleyicisi aynı sunucudur. Oturum açma yanıt süresini azaltmak ve aramaları hızlandırmak için GC'yi farklı bir denetleyiciye yerleştirebilirsiniz. Her etki alanı sitesinde bir GC oluşturmanız önerilir.

Bu sorunu çözmenin birkaç yolu vardır. Tabii ki, uzak ofisteki etki alanı denetleyicilerinden birinde bir defter sunucusu oluşturabilirsiniz. Bu yöntemin dezavantajı, ek kaynaklar ve sunucunun çalışma süresinin dikkatli bir şekilde planlanması gerektirebilecek GC sunucusu üzerindeki yükün artmasıdır.

Sorunu çözmenin başka bir yolu da evrensel grup üyeliklerini yerel olarak önbelleğe almaktır. Ancak, herhangi bir etki alanı denetleyicisi, genel muhasebe sunucusuyla iletişim kurmadan oturum açma isteklerine yerel olarak hizmet verebilir. Bu, oturum açma prosedürünü hızlandırır ve bir G/L sunucusu arızası durumunda işleri kolaylaştırır. Ayrıca çoğaltma trafiğini azaltır.

Tüm GC'yi ağ boyunca periyodik olarak yenilemek yerine, evrensel gruba üyelik hakkında önbellekteki bilgileri güncellemek yeterlidir. Varsayılan olarak yenileme, evrensel grup üyeliğinin yerel önbelleğe alınmasını kullanan her etki alanı denetleyicisinde sekiz saatte bir gerçekleşir.

Üyelik her site için ayrı ayrı evrensel grup. Bir sitenin, bireysel IP adresleri ve ağ maskesine sahip bir veya daha fazla alt ağdan oluşan fiziksel bir yapı olduğunu hatırlayın. Etki alanı denetleyicileri pencereler Server 2003 ve atıfta bulundukları GC aynı sitede olmalıdır. Birkaç site varsa, her biri için yerel önbelleğe alma ayarlamanız gerekecektir. Ayrıca, sitede oturum açan kullanıcılar, Windows Server 2003 orman modunda çalışan bir Windows Server 2003 etki alanının parçası olmalıdır.

Active Directory'de çoğaltma

Dizin üç tür bilgiyi depolar: etki alanı verileri, şema verileri ve yapılandırma verileri. Etki alanı verileri, tüm etki alanı denetleyicilerine çoğaltılır. Tüm etki alanı denetleyicileri eşittir, yani. herhangi bir etki alanı denetleyicisinden yaptığınız tüm değişiklikler diğer tüm etki alanı denetleyicilerine çoğaltılır Şema ve yapılandırma verileri ağaç veya ormandaki tüm etki alanlarına çoğaltılır. Ayrıca, tüm bağımsız etki alanı nesneleri ve orman nesnelerinin bazı özellikleri GC'ye çoğaltılır. Bu, etki alanı denetleyicisinin ağaç veya orman şemasını, ağaç veya ormandaki tüm etki alanları için yapılandırma bilgilerini ve kendi etki alanı için tüm dizin nesnelerini ve özelliklerini depoladığı ve çoğalttığı anlamına gelir.

GL'yi barındıran etki alanı denetleyicisi, orman için şema bilgilerini, ormandaki tüm etki alanları için yapılandırma bilgilerini ve ormandaki tüm dizin nesneleri için sınırlı bir özellik kümesini içerir ve çoğaltır (yalnızca GC sunucuları arasında çoğaltır) ve etki alanınız için tüm dizin nesneleri ve özellikleri.

Çoğaltmanın özünü anlamak için yeni bir ağ kurmak için aşağıdaki senaryoyu düşünün.

1. Etki alanında Ve ilk kontrolör kurulur. Bu sunucu tek etki alanı denetleyicisidir. Aynı zamanda GC sunucusudur. Böyle bir ağda başka denetleyici olmadığı için çoğaltma gerçekleşmez.

2. Etki alanında İkinci bir denetleyici kurulur ve çoğaltma başlar. Bir denetleyiciyi altyapı yöneticisi ve diğerini GC sunucusu olarak atayabilirsiniz. Altyapı yöneticisi, değiştirilen nesneler için GL güncellemelerini izler ve ister. Bu denetleyicilerin her ikisi de şema ve yapılandırma verilerini çoğaltır.

3. Etki alanında Ve üzerinde GC bulunmayan üçüncü bir kontrolör kurulur. Altyapı yöneticisi, GC güncellemelerini izler, değiştirilen nesneler için bunları ister ve ardından değişiklikleri üçüncü bir etki alanı denetleyicisine çoğaltır. Her üç denetleyici de şema ve yapılandırma verilerini çoğaltır.

4. Yeni bir B etki alanı oluşturulur, buna denetleyiciler eklenir. Etki Alanı A ve Etki Alanı B'deki GC sunucuları, tüm şema ve yapılandırma verilerinin yanı sıra her etki alanındaki etki alanı verilerinin bir alt kümesini çoğaltır. A alanında çoğaltma yukarıda açıklandığı gibi devam eder, ayrıca çoğaltma B alanı içinde başlar.

Aktifdizin ve LDAP

Basit Dizin Erişim Protokolü (LDAP), TCP/IP ağları üzerinden İnternet bağlantıları için standart bir protokoldür. LDAP, dizin hizmetlerine minimum ek yük ile erişmek için özel olarak tasarlanmıştır. LDAP, dizin bilgilerini sorgulamak ve değiştirmek için kullanılan işlemleri de tanımlar.

Müşteriler Active Directory, ağda her oturum açtıklarında veya paylaşımları aradıklarında Active Directory çalıştıran bilgisayarlarla iletişim kurmak için LDAP kullanır. LDAP, dizin ilişkilendirmesini ve diğer dizin hizmetlerinden Active Directory'ye geçişi basitleştirir. Uyumluluğu iyileştirmek için Active Directory Hizmet Arayüzlerini (Aktifdizin Hizmet- Arayüzler, ADSI).

İşlem yöneticisi rolleri

İşlem yöneticisi, çok yöneticili bir çoğaltma modelinde gerçekleştirilmesi uygun olmayan görevleri gerçekleştirir. Bir veya daha fazla etki alanı denetleyicisine atanabilecek beş işlem yöneticisi rolü vardır. Bazı roller orman düzeyinde benzersiz olmalıdır, diğerleri için etki alanı düzeyi yeterlidir. Her Active Directory ormanında aşağıdaki roller bulunmalıdır:

Şema yöneticisi) - dizin şemasındaki güncellemeleri ve değişiklikleri yönetir. Katalog şemasının güncellenmesi, şema yöneticisine erişim gerektirir. Hangi sunucuyu belirlemek için verilen zaman etki alanındaki şemanın efendisidir, sadece pencereyi açın Komut satırı ve şunu girin: dsquery sunucusu -sahip olmakfsigara şema.

Etki alanı adlandırma yöneticisi - ormandaki etki alanlarının eklenmesini ve kaldırılmasını yönetir. Bir etki alanı eklemek veya kaldırmak için etki alanı adlandırma yöneticisine erişim gereklidir. Şu anda hangi sunucunun etki alanı adlandırma yöneticisi olduğunu belirlemek için, bir komut istemi penceresine yazmanız yeterlidir: dsquery server -sahip olmakfsigara isim .

Bir bütün olarak orman için ortak olan bu roller, orman içinde benzersiz olmalıdır.

Her Active Directory etki alanında aşağıdaki roller zorunludur.

Göreli kimlik ana (göreceli kimlik ana ) - göreli tanımlayıcıları etki alanı denetleyicilerine tahsis eder. Her kullanıcı nesnesi oluşturduğunuzda, grup veya bilgisayar, denetleyiciler, bir etki alanı SID'sinden ve ilgili tanımlayıcıların yöneticisi tarafından tahsis edilmiş benzersiz bir tanımlayıcıdan oluşan bir nesneye benzersiz bir SID atar. Hangi sunucunun etki alanındaki göreceli tanımlayıcıların yöneticisi olduğunu belirlemek için komut satırı penceresine girmek yeterlidir: dsquerysunucu-sahip olmakfsigarakurtulmak.

PDC öykünücüsü (PDC öykünücüsü) - Karma veya aşamalı etki alanı modunda, Windows NT birincil etki alanı denetleyicisi olarak işlev görür. Windows NT oturumlarının kimliğini doğrular, parola değişikliklerini yönetir ve güncellemeleri P DC'lerde çoğaltır. Domain'de şu anda hangi sunucunun PDC emülatörü olduğunu belirlemek için komut satırı penceresine girmek yeterlidir. dsquery sunucu - hasfsmo pdc.

Altyapı ana bilgisayarı (altyapı usta ) - katalog verilerini genel muhasebe verileriyle karşılaştırarak nesnelerin bağlantılarını günceller. Veriler güncel değilse, güncellemeler için GC'yi sorgular ve bunları diğer etki alanı denetleyicilerine çoğaltır. Etki alanında şu anda hangi sunucunun altyapı yöneticisi olduğunu belirlemek için komut satırı penceresinde yeterlidir ve dsquerysunucu -hasfsmo infr .

Tüm etki alanı için ortak olan bu roller, etki alanı içinde benzersiz olmalıdır. Başka bir deyişle, etki alanı başına yalnızca bir göreli kimlik yöneticisi, bir PDC öykünücüsü ve bir altyapı yöneticisi yapılandırabilirsiniz.

İşlem yöneticisi rolleri genellikle otomatik olarak atanır, ancak yeniden atanabilirler. Yeni bir ağ kurulduğunda, tüm işlem yöneticisi rolleri, ilk etki alanındaki ilk etki alanı denetleyicisine atanır. Daha sonra yeni bir ağaçta yeni bir alt etki alanı veya kök etki alanı oluşturulursa, işlem yöneticisi rolleri de otomatik olarak ilk etki alanı denetleyicisine atanır. Yeni etki alanı ormanında, etki alanı denetleyicisine tüm işlem yöneticisi rolleri atanır. Aynı ormanda yeni bir etki alanı oluşturulursa, denetleyicisine göreli tanımlayıcıların yöneticisi olan P emülatörü rolleri atanır.DC ve altyapı ustası. Şema yöneticisi ve etki alanı adlandırma yöneticisi rolleri, ormandaki ilk etki alanında kalır.

Etki alanında yalnızca bir denetleyici varsa, işlem yöneticilerinin tüm rollerini gerçekleştirir. Ağda yalnızca bir site varsa, operasyon yöneticilerinin varsayılan konumu en uygunudur. Ancak, etki alanı denetleyicileri ve etki alanları eklendikçe, bazen işlem yöneticisi rollerini diğer etki alanı denetleyicilerine taşımak gerekir.

Bir etki alanında iki veya daha fazla etki alanı denetleyicisi varsa, iki etki alanı denetleyicisini işlem yöneticisi olarak hizmet verecek şekilde yapılandırmanızı öneririz. Örneğin, birincil işlem yöneticisi olarak bir etki alanı denetleyicisi ve birincil başarısız olduğunda gerekli olacak bir diğerini yedek olarak atayın.

Yönetim Aktif Dizin

CActive Directory hizmeti kullanılarak bilgisayar hesapları oluşturulur, etki alanına bağlanır ve bilgisayarlar, etki alanı denetleyicileri ve kuruluş birimleri (OU) yönetilir.

Active Directory'yi yönetmek için yönetim ve destek araçları sağlanır. Aşağıda listelenen araçlar, MMC konsol ek bileşenleri olarak uygulanmaktadır (Microsoft yönetmekKonsol):

Active Directory Kullanıcıları ve Bilgisayarları (Active Directory Kullanıcılar ve bilgisayarlar) kullanıcıları, grupları, bilgisayarları ve kuruluş birimlerini (OU) yönetmenize olanak tanır;

Aktif dizin- etki alanları ve güven ( Aktif dizin Etki Alanlarıve güven ) etki alanları, etki alanı ağaçları ve etki alanı ormanları ile çalışmaya hizmet eder;

Aktif Dizin- Siteler veHizmetler (Active Directory Siteleri ve Hizmetleri) siteleri ve alt ağları yönetmenize olanak tanır;

sonuç siyaset (Ortaya Çıkan İlke Kümesi geçerli kullanıcı veya sistem politikasını görüntülemek ve politika değişikliklerini planlamak için kullanılır.

AT Microsoft Windows 2003 Server, bu ek bileşenlere doğrudan Yönetimsel Araçlar menüsünden erişebilir.

Başka bir yönetim aracı bir çırpıda Şema Aktifdizin (Aktif dizin şema) - dizin şemasını yönetmenizi ve değiştirmenizi sağlar.

Komut satırı yardımcı programları Aktif dizin

Nesneleri yönetmek için Aktif dizinçok çeşitli yönetim görevlerini gerçekleştirmenize izin veren komut satırı araçları vardır:

DSADD - ekler Aktif dizin bilgisayarlar, kişiler, gruplar, OP'ler ve kullanıcılar.

DSGET - kayıtlı bilgisayarların, kişilerin, grupların, OU'ların, kullanıcıların, sitelerin, alt ağların ve sunucuların özelliklerini görüntüler. Aktif dizin.

DSMOD - kayıtlı bilgisayarların, kişilerin, grupların, PO'ların, kullanıcıların ve sunucuların özelliklerini değiştirir Aktif dizin.

DSMOVE - Tek bir nesneyi bir etki alanı içinde yeni bir konuma taşır veya bir nesneyi taşımadan yeniden adlandırır.

DSQXJERY - içindeki bilgisayarları, kişileri, grupları, PO'ları, kullanıcıları, siteleri, alt ağları ve sunucuları arar Aktif dizin verilen kriterlere göre.

DSRM - bir nesneyi kaldırır Aktif dizin.

NTDSUTIL - site, etki alanı veya sunucu hakkındaki bilgileri görüntülemenize, yönetmenize olanak tanır operasyon ustaları (operasyonlar ustalar) ve veritabanına hizmetAktif dizin.

AD kısaltmasıyla karşılaşan herhangi bir acemi kullanıcı, Active Directory'nin ne olduğunu merak ediyor mu? Active Directory, Microsoft tarafından etki alanı için geliştirilmiş bir dizin hizmetidir. Windows ağları. Çoğu Windows Server işletim sisteminde bir dizi işlem ve hizmet olarak bulunur. Başlangıçta, hizmet yalnızca etki alanlarıyla ilgileniyordu. Ancak, Windows Server 2008'den bu yana AD, çok çeşitli dizin tabanlı kimlik hizmetlerinin adı haline geldi. Bu, Active Directory'yi yeni başlayanlar için öğrenme için daha uygun hale getirir.

Temel Tanım

Active Directory Etki Alanı Hizmetlerini çalıştıran sunucuya etki alanı denetleyicisi denir. Bir Windows ağ etki alanındaki tüm kullanıcıların ve bilgisayarların kimliğini doğrular ve yetkilendirir, tüm bilgisayarlara bir güvenlik ilkesi atayarak ve uygulayarak ve yazılım yükleyerek veya güncelleyerek. Örneğin, bir kullanıcı Windows etki alanına katılmış bir bilgisayarda oturum açtığında, Active Directory sağlanan parolayı kontrol eder ve nesnenin bir sistem yöneticisi mi yoksa bir sistem yöneticisi mi olduğunu belirler. normal kullanıcı. Ayrıca bilgileri yönetmenize ve depolamanıza, kimlik doğrulama ve yetkilendirme mekanizmaları sağlamanıza ve diğer ilgili hizmetleri dağıtmak için bir çerçeve sağlar: sertifika hizmetleri, birleşik ve basit dizin hizmetleri ve hak yönetimi.

Active Directory, LDAP sürüm 2 ve 3'ü, Microsoft'un Kerberos sürümünü ve DNS'yi kullanır.

Aktif Dizin - nedir bu? Karmaşık hakkında basit kelimelerle

Ağ verilerini izlemek zaman alan bir iştir. Daha küçük ağlarda bile, kullanıcılar ağ dosyalarını ve yazıcıları bulmakta zorluk çekme eğilimindedir. Bir tür dizin olmadan, orta ila büyük ağlar yönetilemez ve çoğu zaman kaynak bulmakta güçlük çekerler.

Önceki sürümler Microsoft Windows kullanıcıların ve yöneticilerin verileri bulmasına yardımcı olmak için dahil edilen hizmetler. ağ ortamı birçok ortamda kullanışlıdır, ancak bariz dezavantajı, uygunsuz arayüz ve öngörülemezliğidir. WINS Yöneticisi ve Sunucu Yöneticisi, sistemlerin listesini görüntülemek için kullanılabilir, ancak son kullanıcılar tarafından kullanılamazdı. Yöneticiler, tamamen farklı türde bir ağ nesnesinin verilerini eklemek ve kaldırmak için Kullanıcı Yöneticisini kullandı. Bu uygulamaların büyük ağlar için etkisiz olduğu kanıtlandı ve şu soruyu sordu: Active Directory şirketinde neden?

Bir dizin, en genel anlamda, tam liste nesneler. Telefon rehberi, kişiler, işletmeler ve devlet kuruluşları hakkında bilgi depolayan bir dizin türüdür vegenellikle isimleri, adresleri ve telefon numaralarını içerirler. merak ediyor Active Directory - nedir, basit kelimelerle Bu teknolojinin referans kitabına benzer ancak çok daha esnek olduğunu söyleyebiliriz. AD, kuruluşlar, siteler, sistemler, kullanıcılar, paylaşımlar ve diğer tüm ağ nesneleri hakkındaki bilgileri depolar..

Active Directory'nin temel kavramlarına giriş

Bir kuruluş neden Active Directory'ye ihtiyaç duyar? Active Directory girişinde belirtildiği gibi, hizmet ağ bileşenleri hakkında bilgi depolar."Yeni Başlayanlar için Active Directory" kılavuzu, bunun istemcilerin ad alanlarındaki nesneleri bulmasını sağlar. bu t terimi (konsol ağacı olarak da adlandırılır), bir ağ bileşeninin yerleştirilebileceği alanı ifade eder. Örneğin, bir kitabın içindekiler tablosu, bölümlerin sayfa numaralarıyla eşleştirilebileceği bir ad alanı oluşturur.

DNS, ana bilgisayar adlarını aşağıdaki gibi IP adreslerine çözümleyen bir konsol ağacıdır:telefon rehberleri, telefon numaralarının ad çözümlemesi için bir ad alanı sağlar. Ve bu Active Directory'de nasıl oluyor? AD, ağ nesnelerinin adlarını nesnelerin kendilerine çözümlemek için bir konsol ağacı sağlar veağdaki kullanıcılar, sistemler ve hizmetler dahil olmak üzere çok çeşitli nesneleri çözebilir.

Nesneler ve Nitelikler

Active Directory'nin izlediği her şey bir nesne olarak kabul edilir. Bunun Active Directory'de olduğunu basit kelimelerle söyleyebilirsiniz. herhangi bir kullanıcı, sistem, kaynak veya hizmettir. Ortak terimler nesnesi, AD birçok öğeyi takip edebildiğinden ve birçok nesne ortak özellikleri paylaşabildiğinden kullanılır. Bunun anlamı ne?

Öznitelikler, Active Directory'deki nesneleri tanımlar; örneğin, tüm kullanıcı nesneleri, kullanıcının adını depolamak için öznitelikleri paylaşır. Bu, onların açıklamaları için de geçerlidir. Sistemler de nesnelerdir, ancak ana bilgisayar adını, IP adresini ve konumu içeren ayrı bir öznitelik kümesine sahiptirler.

Belirli bir nesne türü için kullanılabilen nitelikler kümesine şema denir. Nesne sınıflarını birbirinden farklı kılar. Şema bilgileri aslında Active Directory'de depolanır. Güvenlik protokolünün bu davranışının çok önemli olması, şemanın yöneticilerin nesne sınıflarına öznitelikler eklemesine ve herhangi bir etki alanı denetleyicisini yeniden başlatmadan ağ üzerinden etki alanının tüm köşelerine dağıtmasına izin vermesidir.

LDAP kapsayıcısı ve adı

Kapsayıcı, bir hizmetin işleyişini düzenlemek için kullanılan özel bir nesne türüdür. Kullanıcı veya sistem gibi fiziksel bir varlığı temsil etmez. Bunun yerine diğer öğeleri gruplamak için kullanılır. Kapsayıcı nesneleri diğer kapsayıcıların içine yerleştirilebilir.

AD'deki her öğenin bir adı vardır. Bunlar alışkın olduğunuz şeyler değil, örneğin Ivan veya Olga. Bunlar LDAP'nin seçkin isimleridir. LDAP ayırt edici adları yanıltıcıdır, ancak türünden bağımsız olarak bir dizindeki herhangi bir nesneyi benzersiz bir şekilde tanımlamanıza olanak tanır.

Dönem ağacı ve web sitesi

Active Directory'deki bir dizi nesneyi tanımlamak için bir terim ağacı kullanılır. Bu nedir? Basit bir ifadeyle, bu bir ağaç ilişkilendirmesi kullanılarak açıklanabilir. Kapsayıcılar ve nesneler hiyerarşik olarak birleştirildiğinde, dallar oluşturma eğilimindedirler - bu nedenle adı. İlgili bir terim, bir ağacın kesintisiz ana gövdesine atıfta bulunan bitişik bir alt ağaçtır.

Metaforun devamında, "orman" terimi, aynı ad alanının parçası olmayan, ancak ortak bir şema, konfigürasyon ve genel kataloğu paylaşan bir koleksiyonu tanımlar. Bu yapılardaki nesneler, güvenlik izin veriyorsa tüm kullanıcılar tarafından kullanılabilir. Birden çok etki alanına bölünmüş kuruluşlar, ağaçları tek bir ormanda gruplamalıdır.

Site, Active Directory'de tanımlanan coğrafi bir konumdur. Siteler, mantıksal IP alt ağlarına karşılık gelir ve bu nedenle, uygulamalar tarafından ağdaki en yakın sunucuyu bulmak için kullanılabilir. Active Directory'den site bilgilerinin kullanılması WAN trafiğini önemli ölçüde azaltabilir.

Aktif Dizin Yönetimi

Active Directory ek bileşeni bileşeni - Kullanıcılar. Bu, Active Directory'yi yönetmek için en uygun araçtır. Başlat menüsündeki Yönetimsel Araçlar program grubundan doğrudan erişilebilir. Windows NT 4.0'dan Sunucu Yöneticisini ve Kullanıcı Yöneticisini değiştirir ve geliştirir.

Emniyet

Active Directory, Windows ağının geleceğinde önemli bir rol oynamaktadır. Yöneticiler, görevleri diğer yöneticilere devrederken dizinlerini davetsiz misafirlerden ve kullanıcılardan koruyabilmelidir. Tüm bunlar, dizindeki her kapsayıcı ve nesne özniteliği ile bir erişim kontrol listesi (ACL) ilişkilendiren Active Directory güvenlik modeli kullanılarak mümkündür.

Yüksek düzeyde denetim, bir yöneticinin bireysel kullanıcılara ve gruplara nesneler ve özellikleri üzerinde farklı düzeylerde izinler vermesine olanak tanır. Hatta nesnelere nitelikler ekleyebilir ve bu nitelikleri belirli kullanıcı gruplarından gizleyebilirler. Örneğin, yalnızca yöneticilerin diğer kullanıcıların ev telefonlarını görebilmesi için bir ACL ayarlayabilirsiniz.

Yetkilendirilmiş Yönetim

Windows 2000 Server'da yeni olan bir kavram, yetkilendirilmiş yönetimdir. Bu, ek erişim hakları vermeden diğer kullanıcılara görevler atamanıza olanak tanır. Temsil edilen yönetim, belirli nesneler veya bitişik dizin alt ağaçları aracılığıyla atanabilir. Bu, ağlar arasında izin vermenin çok daha verimli bir yöntemidir.

AT tüm global etki alanı yöneticisi haklarına sahip biri için hedef, kullanıcıya yalnızca belirli bir alt ağaç içinde izinler verilebilir. Active Directory devralmayı destekler, bu nedenle yeni nesneler kapsayıcılarının ACL'lerini devralır.

"Güven" terimi

"Güven" terimi hala kullanılmaktadır ancak farklı işlevlere sahiptir. Tek taraflı ve iki taraflı tröstler arasında bir ayrım yoktur. Sonuçta, tüm Active Directory güvenleri çift yönlüdür. Üstelik hepsi geçişlidir. Dolayısıyla, A etki alanı B etki alanına güveniyorsa ve B etki alanı C'ye güveniyorsa, A etki alanı ile C etki alanı arasında otomatik bir örtük güven ilişkisi vardır.

Active Directory'de Denetim - basit terimlerle nedir? Bu, nesnelere kimin erişmeye çalıştığını ve bu girişimin ne kadar başarılı olduğunu belirlemenizi sağlayan bir güvenlik özelliğidir.

DNS (Alan Adı Sistemi) Kullanımı

DNS olarak da bilinen sistem, İnternet'e bağlı herhangi bir kuruluş için gereklidir. DNS, mspress.microsoft.com gibi yaygın adlar ile bileşenlerin kullandığı ham IP adresleri arasında ad çözümlemesi sağlar. ağ katmanı iletişim için.

Active Directory, nesne araması için DNS teknolojisini kapsamlı bir şekilde kullanır. Bu, önceki işletime göre önemli bir değişikliktir. Windows sistemleri, NetBIOS adlarının IP adresleri tarafından çözülmesini gerektiren ve WINS veya diğer NetBIOS ad çözümleme tekniklerine dayanan .

Active Directory, Windows 2000 çalıştıran DNS sunucularıyla kullanıldığında en iyi sonucu verir. Microsoft, süreç boyunca yöneticiye rehberlik eden geçiş sihirbazları sağlayarak yöneticilerin Windows 2000 DNS sunucularına geçişini kolaylaştırmıştır.

Diğer DNS sunucuları kullanılabilir. Ancak bu durumda yöneticilerin DNS veritabanlarını yönetmek için daha fazla zaman harcaması gerekecektir. Nüanslar nelerdir? Windows 2000 DNS sunucularını kullanmamayı seçerseniz, DNS sunucularınızın yeni DNS Dinamik Güncelleme Protokolü ile uyumlu olduğundan emin olmalısınız. Sunucular, etki alanı denetleyicilerini bulmak için kayıtlarını dinamik olarak güncellemeye güvenir. Rahat değil. Sonuçta, eDinamik güncelleme desteklenmiyorsa, veritabanları manuel olarak güncellenmelidir.

Windows etki alanları ve internet etki alanları artık tamamen uyumludur. Örneğin, mspress.microsoft.com gibi bir ad, etki alanından sorumlu Active Directory etki alanı denetleyicilerini tanımlar, böylece DNS erişimi olan herhangi bir istemci etki alanı denetleyicisini bulabilir.Active Directory sunucuları yeni dinamik güncelleme özelliklerini kullanarak DNS'ye bir adres listesi yayınladığından, istemciler istedikleri sayıda hizmeti aramak için DNS çözümlemesini kullanabilir. Bu veriler bir etki alanı olarak tanımlanır ve hizmet kaynak kayıtları aracılığıyla yayınlanır. SRV RR formatı takip edin servis.protokol.alan.

Active Directory sunucuları, bir nesneyi barındırmak için bir LDAP hizmeti sağlar ve LDAP, temel taşıma katmanı protokolü olarak TCP'yi kullanır. Bu nedenle, mspress.microsoft.com etki alanında bir Active Directory sunucusunu arayan bir istemci, ldap.tcp.mspress.microsoft.com için bir DNS girişi arayacaktır.

genel dizin

Active Directory bir genel katalog (GC) sağlar vekuruluşun ağındaki herhangi bir nesneyi aramak için tek bir kaynak sağlar.

Genel katalog, Windows 2000 Server'da, kullanıcıların erişim verilen herhangi bir nesneyi bulmasını sağlayan bir hizmettir. Bu işlevsellik çok ötesine geçer Uygulama bul Bilgisayar dahil önceki sürümler Pencereler. Sonuçta, kullanıcılar Active Directory'deki herhangi bir nesneyi arayabilir: sunucular, yazıcılar, kullanıcılar ve uygulamalar.

Active Directory - Genişletilebilir ve ölçeklenebilir bir dizin hizmeti Active Directory (Active Directory), ağ kaynaklarını verimli bir şekilde yönetmenize olanak tanır.
Aktif Dizin ağ nesneleri hakkında hiyerarşik olarak düzenlenmiş bir veri deposudur ve bu verileri bulmak ve kullanmak için uygun araçlar sağlar. Active Directory'yi çalıştıran bilgisayara etki alanı denetleyicisi denir. Hemen hemen tüm yönetim görevleri Active Directory ile ilgilidir.
Active Directory teknolojisi, standart İnternet protokollerine dayanır ve ağ yapısını net bir şekilde tanımlamaya yardımcı olur, daha ayrıntılı olarak bir Active Directory etki alanının sıfırdan nasıl dağıtılacağı, burayı okuyun ..

Aktif Dizin ve DNS

Active Directory, alan adı sistemini kullanır.

Aktif Dizin Yönetimi

Active Directory hizmeti yardımıyla bilgisayar hesapları oluşturulur, etki alanına bağlanır ve bilgisayarlar, etki alanı denetleyicileri ve kuruluş birimleri (OU) yönetilir.

Active Directory'yi yönetmek için yönetim ve destek araçları sağlanır. Aşağıda listelenen araçlar, MMC (Microsoft Yönetim Konsolu) ek bileşenleri olarak uygulanır:

Active Directory - kullanıcılar ve bilgisayarlar (Active Directory Kullanıcıları ve Bilgisayarları) kullanıcıları, grupları, bilgisayarları ve kuruluş birimlerini (OD) yönetmenize olanak tanır;
Active Directory - etki alanları ve güven (Active Directory Etki Alanları ve Güvenleri), etki alanları, etki alanı ağaçları ve etki alanı ormanlarıyla çalışmak için kullanılır;
Active Directory - siteler ve hizmetler (Active Directory Siteleri ve Hizmetleri), siteleri ve alt ağları yönetmenize olanak tanır;
Sonuç İlke Kümesi, geçerli kullanıcı veya sistem ilkesini görüntülemek ve ilke değişikliklerini planlamak için kullanılır.
Microsoft Windows 2003 Server'da bu ek bileşenlere doğrudan Yönetimsel Araçlar menüsünden erişebilirsiniz.

Başka bir yönetim aracı - Active Directory Şeması ek bileşeni - dizin şemasını yönetmenize ve değiştirmenize olanak tanır.

Active Directory Komut Satırı Yardımcı Programları

Active Directory nesnelerini yönetmek için, çok çeşitli yönetim görevlerini gerçekleştirmenize izin veren komut satırı araçları vardır:

DSADD - Active Directory'ye bilgisayarlar, kişiler, gruplar, OP'ler ve kullanıcılar ekler.
DSGET - Active Directory'de kayıtlı bilgisayarların, kişilerin, grupların, PO'ların, kullanıcıların, sitelerin, alt ağların ve sunucuların özelliklerini görüntüler.
DSMOD - Active Directory'de kayıtlı bilgisayarların, kişilerin, grupların, PO'ların, kullanıcıların ve sunucuların özelliklerini değiştirir.
DSMOVE - Tek bir nesneyi etki alanı içinde yeni bir konuma taşır veya bir nesneyi taşımadan yeniden adlandırır.
DSQXJERY - Active Directory'deki bilgisayarları, kişileri, grupları, OP'leri, kullanıcıları, siteleri, alt ağları ve sunucuları belirtilen kriterlere göre arar.
DSRM - Active Directory'den bir nesneyi kaldırır.
NTDSUTIL - site, etki alanı veya sunucu bilgilerini görüntülemenize, işlem yöneticilerini yönetmenize ve Active Directory veritabanını korumanıza olanak tanır.

Küçük işletmeleri içeriden yakından tanıdığım için, aşağıdaki sorularla her zaman ilgilendim. Çalışanın neden iş bilgisayarında sistem yöneticisinin beğendiği tarayıcıyı kullanması gerektiğini açıklayın? Veya başka bir yazılımı, örneğin aynı arşivleyiciyi alın, posta istemcisi, bir anlık mesajlaşma istemcisi ... Bu, sistem yöneticisinin kişisel sempati temelinde değil, işlevsellik yeterliliği, bunların bakım ve destek maliyeti temelinde standartlaştırmaya sorunsuz bir şekilde ipucu veriyorum. yazılım ürünleri. Herkes elinden geleni yaptığında, BT'yi bir zanaat değil, kesin bir bilim olarak görmeye başlayalım. Yine, küçük işletmelerde de bununla ilgili birçok sorun var. Bir şirketin zor bir kriz döneminde bu tür birkaç yöneticiyi değiştirdiğini hayal edin, böyle bir durumda zayıf kullanıcılar ne yapmalı? Sürekli yeniden öğrenmek?

Diğer taraftan bakalım. Herhangi bir lider, şirkette (BT dahil) şu anda neler olduğunu anlamalıdır. Bu, mevcut durumu izlemek, çeşitli sorunların ortaya çıkmasına hızlı bir şekilde yanıt vermek için gereklidir. Ancak bu anlayış stratejik planlama için daha önemlidir. Aslında sağlam ve güvenilir bir temele sahip olarak 3 veya 5 katlı bir ev yapabilir, çeşitli şekillerde çatı yapabilir, balkon veya kış bahçesi yapabiliriz. Benzer şekilde, BT'de sağlam bir temelimiz var - iş sorunlarını çözmek için daha karmaşık ürünler ve teknolojiler kullanmaya devam edebiliriz.

İlk yazıda böyle bir temelden bahsedeceğiz - Active Directory servisleri. Her büyüklükteki ve her iş kolundaki bir şirketin BT altyapısı için güçlü bir temel oluşturmak üzere tasarlanmıştır. Ne olduğunu? Onu burada konuşalım...

Ve konuşmaya basit kavramlarla başlayalım - etki alanı ve Active Directory hizmetleri.

Alan adı kullanıcılar, bilgisayarlar, yazıcılar, paylaşımlar ve daha fazlası gibi tüm ağ nesnelerini içeren bir işletmenin ağ altyapısındaki ana yönetim birimidir. Bu tür etki alanlarının toplanmasına orman denir.

Active Directory Hizmetleri (Active Directory Hizmetleri) tüm etki alanı nesnelerini içeren dağıtılmış bir veritabanıdır. Active Directory etki alanı ortamı, kuruluş genelindeki kullanıcılar ve uygulamalar için tek bir kimlik doğrulama ve yetkilendirme noktasıdır. Kuruluşun BT altyapısının inşası, etki alanının organizasyonu ve Active Directory hizmetlerinin dağıtımı ile başlar.

Active Directory veritabanı, ayrılmış sunucularda - etki alanı denetleyicilerinde depolanır. Active Directory Hizmetleri, bir sunucu işletim odası rolüdür. Microsoft sistemleri Windows Server. Active Directory Hizmetleri yüksek düzeyde ölçeklenebilir. Bir Active Directory ormanında 2 milyardan fazla nesne oluşturulabilir, bu da yüz binlerce bilgisayar ve kullanıcıya sahip şirketlerde bir dizin hizmetinin uygulanmasını mümkün kılar. Etki alanlarının hiyerarşik yapısı, BT altyapınızı şirketlerin tüm şubelerine ve bölgesel bölümlerine esnek bir şekilde ölçeklendirmenize olanak tanır. Şirketin her şubesi veya bölümü için kendi politikaları, kendi kullanıcıları ve grupları ile ayrı bir alan oluşturulabilir. Her alt etki alanı için, yönetim yetkisi yerel sistem yöneticilerine devredilebilir. Aynı zamanda, alt etki alanları hala ana etki alanlarına tabidir.

Ayrıca Active Directory hizmetleri, etki alanı ormanları arasında güven ilişkileri kurmanıza olanak tanır. Her şirketin, her birinin kendi kaynakları olan kendi etki alanı ormanı vardır. Ancak bazen başka bir şirketin çalışanlarına kurumsal kaynaklarınıza erişim sağlamanız gerekebilir - ortak bir projenin parçası olarak paylaşılan belgeler ve uygulamalarla çalışın. Bunu yapmak için, kuruluşların ormanları arasında, bir kuruluşun çalışanlarının diğerinin etki alanında oturum açmasına izin verecek güven ilişkileri kurulabilir.

Active Directory hizmetleri için hata toleransı sağlamak için her etki alanında iki veya daha fazla etki alanı denetleyicisi dağıtmalısınız. Tüm değişiklikler, etki alanı denetleyicileri arasında otomatik olarak çoğaltılır. Etki alanı denetleyicilerinden birinin arızalanması durumunda, geri kalanı çalışmaya devam ettiği için ağ etkilenmez. Active Directory'deki etki alanı denetleyicilerinde DNS sunucularının barındırılması, her etki alanının birincil etki alanı bölgesine hizmet veren birden çok DNS sunucusuna sahip olmasına izin vererek ek bir esneklik katmanı sağlar. Ve DNS sunucularından biri arızalanırsa diğerleri çalışmaya devam eder. DNS sunucularının BT altyapısındaki rolü ve öneminden serideki yazılardan birinde bahsedeceğiz.

Ancak bunların tümü, Active Directory hizmetlerini uygulamanın ve sürdürmenin teknik yönleridir. Bir şirketin, çalışma gruplarını kullanarak eşler arası ağdan uzaklaşarak elde ettiği avantajlardan bahsedelim.

1. Tek kimlik doğrulama noktası

Her bilgisayar veya sunucudaki bir çalışma grubunda, ağ erişimine ihtiyaç duyan kullanıcıların tam listesini manuel olarak eklemeniz gerekecektir. Aniden çalışanlardan biri şifresini değiştirmek isterse, tüm bilgisayarlarda ve sunucularda şifresinin değiştirilmesi gerekecektir. Peki, ağ 10 bilgisayardan oluşuyorsa, ancak daha fazlası varsa? Active Directory etki alanı kullanırken, tüm kullanıcı hesapları tek bir veritabanında depolanır ve tüm bilgisayarlar yetkilendirme için ona erişir. Tüm alan kullanıcıları, örneğin "Muhasebe", "Finans Departmanı" gibi uygun gruplara dahil edilir. Belirli gruplar için izinleri bir kez ayarlamak yeterlidir ve tüm kullanıcılar belgelere ve uygulamalara uygun erişime sahip olacaktır. şirket gelirse yeni çalışan, onun için ilgili gruba dahil olan bir hesap oluşturulur - çalışan, erişmesine izin verilmesi gereken tüm ağ kaynaklarına erişir. Bir çalışan istifa ederse, engellemesi yeterlidir - ve tüm kaynaklara (bilgisayarlar, belgeler, uygulamalar) erişimini hemen kaybeder.

2. Politika yönetiminin tek noktası

Bir çalışma grubunda tüm bilgisayarlar eşittir. Bilgisayarların hiçbiri diğerini kontrol edemez, tek tip politikalar ve güvenlik kuralları ile uyumu kontrol etmek imkansızdır. Tek bir Active Directory dizini kullanırken, tüm kullanıcılar ve bilgisayarlar, her biri tek tip grup ilkelerine tabi olan kuruluş birimlerine hiyerarşik olarak dağıtılır. İlkeler, bir grup bilgisayar ve kullanıcı için tek tip ayarlar ve güvenlik ayarları belirlemenize olanak tanır. Etki alanına yeni bir bilgisayar veya kullanıcı eklendiğinde, kabul edilen kurumsal standartlara uygun ayarları otomatik olarak alır. İlkeler yardımıyla kullanıcıları merkezi olarak atayabilirsiniz. ağ yazıcıları, gerekli uygulamaları yükleyin, tarayıcı güvenlik ayarlarını yapın, yapılandırın Microsoft uygulamaları ofis.

3. Artan bilgi güvenliği seviyesi

Active Directory hizmetlerini kullanmak ağ güvenliğini büyük ölçüde artırır. İlk olarak, tek ve güvenli bir depolama alanıdır. hesaplar. Bir etki alanı ortamında, etki alanı kullanıcıları için tüm parolalar, genellikle harici erişimden korunan etki alanı denetleyicileri olan özel sunucularda depolanır. İkinci olarak, bir etki alanı ortamı kullanılırken, çalışma gruplarında kullanılan NTLM'den çok daha güvenli olan kimlik doğrulama için Kerberos protokolü kullanılır.

4. Kurumsal uygulamalar ve ekipmanlarla entegrasyon

Active Directory hizmetlerinin büyük bir avantajı, posta sunucuları (Exchange Server), proxy sunucuları (ISA Server, TMG) gibi diğer sistemler tarafından desteklenen LDAP standardına uygunluktur. Ve mutlaka yalnızca Microsoft ürünleri değildir. Bu entegrasyonun avantajı, kullanıcının belirli bir uygulamaya erişmek için çok sayıda oturum açma ve şifreyi hatırlamasına gerek olmamasıdır, tüm uygulamalarda kullanıcı aynı kimlik bilgilerine sahiptir - kimlik doğrulaması tek bir Active Directory'de gerçekleşir. Active Directory ile entegrasyon için Windows Server, çok sayıda ağ ekipmanı tarafından desteklenen RADIUS protokolünü sağlar. Böylece, örneğin, kullanarak, dışarıdan VPN aracılığıyla bağlanırken etki alanı kullanıcılarının kimlik doğrulamasını sağlamak mümkündür. WiFi noktalarışirkete erişim.

5. Birleşik Uygulama Yapılandırma Deposu

Bazı uygulamalar, yapılandırmalarını Exchange Server gibi Active Directory'de depolar. Active Directory dizin hizmetinin dağıtılması, bu uygulamaların çalışması için bir ön koşuldur. Uygulama yapılandırmasını bir dizin hizmetinde saklamak, esneklik ve güvenilirlik açısından faydalıdır. Örneğin, Exchange sunucusunun tamamen arızalanması durumunda, tüm yapılandırması olduğu gibi kalacaktır. İşlevselliği geri yüklemek için kurumsal posta, Exchange Server'ı kurtarma modunda yeniden yüklemeniz yeterli olacaktır.

Özetle, Active Directory hizmetlerinin bir işletmenin BT altyapısının kalbi olduğu gerçeğine bir kez daha odaklanmak istiyorum. Bir arıza durumunda tüm ağ, tüm sunucular, tüm kullanıcıların çalışmaları felç olacaktır. Hiç kimse bilgisayara giriş yapamayacak, belgelerine ve uygulamalarına erişemeyecek. Bu nedenle, dizin hizmeti tüm olası nüanslar dikkate alınarak dikkatlice tasarlanmalı ve dağıtılmalıdır, örneğin, Bant genişliğişirketin şubeleri veya ofisleri arasındaki kanallar (kullanıcının sisteme giriş hızı ve etki alanı denetleyicileri arasındaki veri alışverişi doğrudan buna bağlıdır).

Daha önceki yazılarımızda dizin hizmetleri ve Active Directory ile ilgili ortak konuları tartışmıştık. Şimdi uygulamaya geçme zamanı. Ancak sunucuya koşmak için acele etmeyin, ağınızda bir etki alanı yapısı dağıtmadan önce, onu planlamanız ve amaç hakkında net bir fikriniz olması gerekir. bireysel sunucular ve aralarındaki etkileşimler.

İlk etki alanı denetleyicinizi oluşturmadan önce, çalışma moduna karar vermeniz gerekir. Çalışma modu, mevcut özellikleri belirler ve kullanılan uygulamanın sürümüne bağlıdır. işletim sistemi. Şu anda ilgili olanlar dışında tüm olası modları dikkate almayacağız. Bu tür üç mod vardır: Windows Server 2003, 2008 ve 2008 R2.

Windows Server 2003 modu, yalnızca bu işletim sistemindeki sunucular altyapınızda zaten dağıtılmışsa ve bu sunuculardan bir veya daha fazlasını etki alanı denetleyicisi olarak kullanmayı planlıyorsanız seçilmelidir. Diğer durumlarda, satın alınan lisanslara bağlı olarak Windows Server 2008 veya 2008 R2 modunu seçmeniz gerekir. Etki alanı işlem modunun her zaman artırılabileceği, ancak düşürmenin mümkün olmayacağı (yedek bir kopyadan geri yükleme dışında) unutulmamalıdır, bu nedenle olası uzantıları, şubelerdeki lisansları vb. . vb.

Şimdi bir etki alanı denetleyicisi oluşturma sürecini ayrıntılı olarak ele almayacağız, bu konuya daha sonra döneceğiz, ancak şimdi, etki alanı denetleyicilerinin tam Active Directory yapısında olması gerektiği gerçeğine dikkatinizi çekmek istiyoruz. en az iki. Aksi takdirde, kendinizi gereksiz risklere maruz bırakmış olursunuz, çünkü tek bir etki alanı denetleyicisinin arızalanması durumunda AD yapınız tamamen yok edilmiş. Güncel bir yedekleme varsa ve bundan kurtulabiliyorsanız, her durumda, ağınız tamamen felç olur.

Bu nedenle, ilk etki alanı denetleyicisini oluşturduktan hemen sonra, ağ boyutu ve bütçesinden bağımsız olarak ikincisini dağıtmanız gerekir. İkinci kontrolör planlama aşamasında sağlanmalıdır ve bu olmadan AD'nin konuşlandırılması üstlenilmeye bile değmez. Ayrıca, AD veritabanı ile işlemlerin güvenilirliğini sağlamak için, bir etki alanı denetleyicisinin rolünü diğer sunucu rolleriyle birleştirmeyin, diskte yazma önbelleği devre dışı bırakılır, bu da disk performansında keskin bir düşüşe neden olur. alt sistem (bu açıklar ve uzun yükleme etki alanı denetleyicileri).

Sonuç olarak, ağımız aşağıdaki formu almalıdır:

Popüler inanışın aksine, bir etki alanındaki tüm denetleyiciler eşittir; her kontrolör içerir full bilgi tüm etki alanı nesneleri hakkındadır ve bir istemci isteğine hizmet edebilir. Ancak bu, denetleyicilerin değiştirilebilir olduğu anlamına gelmez, bu noktanın yanlış anlaşılması genellikle AD hatalarına ve kurumsal ağda kesintiye neden olur. Bu neden oluyor? FSMO'nun rolünü hatırlamanın zamanı geldi.

İlk denetleyiciyi oluşturduğumuzda, mevcut tüm rolleri içerir ve aynı zamanda ikinci denetleyicinin ortaya çıkmasıyla birlikte bir genel katalogdur, altyapı yöneticisi, RID yöneticisi ve PDC öykünücüsü rolleri ona aktarılır. Yönetici, örneğin tozdan temizlemek için DC1 sunucusunu geçici olarak devre dışı bırakmaya karar verirse ne olur? İlk bakışta sorun değil, alan adı "salt okunur" moduna geçecek, ancak çalışacaktır. Ancak genel kataloğu unuttuk ve ağınızda Exchange gibi bunu gerektiren uygulamalar kuruluysa, kapağı sunucudan çıkarmadan önce bunu bileceksiniz. Memnun olmayan kullanıcılardan öğrenirsiniz ve yönetimin memnun olması pek olası değildir.

Buradan çıkan sonuca göre: ormanda en az iki genel katalog olmalı ve hepsinden iyisi, her etki alanında bir tane olmalıdır. Ormanda bir etki alanımız olduğundan, her iki sunucunun da global dizinler olması gerekir, bu, herhangi bir sunucuyu sorunsuz bir şekilde bakım için almanızı sağlar, herhangi bir FSMO rolünün geçici olarak yokluğu AD hatasına yol açmaz, yalnızca onu yapar yeni nesneler yaratmak imkansız.

Bir etki alanı yöneticisi olarak, FSMO rollerinin sunucularınız arasında nasıl dağıtıldığını açıkça anlamanız ve bir sunucuyu uzun bir süre hizmetten çıkarırken bu rolleri diğer sunuculara aktarın. Ve FSMO rollerini içeren sunucu geri döndürülemez şekilde başarısız olursa ne olacak? Sorun değil, zaten yazdığımız gibi, herhangi bir etki alanı denetleyicisi gerekli tüm bilgileri içerir ve böyle bir sıkıntı meydana gelirse, denetleyicilerden biri tarafından gerekli rolleri yakalamanız gerekir, bu, dizin hizmetinin tam çalışmasını geri yükleyecektir. .

Zaman geçiyor, kuruluşunuz büyüyor ve şehrin diğer tarafında bir şubesi var ve ağlarını işletmenin genel altyapısına dahil etmek gerekli hale geliyor. İlk bakışta, karmaşık bir şey yok, ofisler arasında bir iletişim kanalı kuruyorsunuz ve buna ek bir kontrolör yerleştiriyorsunuz. Her şey güzel olurdu, ama bir şey var. Bu sunucuyu kontrol edemezsiniz ve bu nedenle ona yetkisiz erişim mümkündür ve yerel yönetici, niteliklerinden şüphe duymanıza neden olur. Böyle bir durumda nasıl olunur? Bu amaçlar için, özellikle özel bir kontrolör tipi vardır: salt okunur etki alanı denetleyicisi (RODC), verilen fonksiyon Windows Server 2008 ve sonrasında başlayan etki alanı işlevsel modlarında kullanılabilir.

Salt okunur bir etki alanı denetleyicisi, tüm etki alanı nesnelerinin tam bir kopyasını içerir ve genel bir katalog olabilir, ancak AD yapısında herhangi bir değişiklik yapmanıza izin vermez, ayrıca herhangi bir kullanıcıyı yerel yönetici olarak atamanıza izin verir; tam olarak hizmet etmesine izin ver verilen sunucu, ancak yine AD hizmetlerine erişim olmadan. Bizim durumumuzda, doktorun emrettiği şey buydu.

RODC şubesinde kurduk, her şey çalışıyor, siz sakinsiniz ama kullanıcılar uzun girişlerden şikayet etmeye başlıyor ve ay sonunda trafik faturaları fazlalık gösteriyor. Ne oluyor? Etki alanı denetleyicilerinin eşdeğerliğini bir kez daha hatırlamanın zamanı geldi, müşteri isteğini başka bir şubede bulunan herhangi bir etki alanı denetleyicisine gönderebilir. Yavaş ve büyük olasılıkla meşgul iletişim kanalını hesaba katın - giriş gecikmelerinin nedeni budur.

Bu durumda hayatımızı zehirleyen bir sonraki faktör ise replikasyondur. Bildiğiniz gibi etki alanı denetleyicilerinden birinde yapılan tüm değişiklikler otomatik olarak diğerlerine de yayılır ve bu işleme çoğaltma adı verilir, her denetleyicide verilerin güncel ve tutarlı bir kopyasına sahip olmanızı sağlar. Replikasyon hizmeti şubemizi ve yavaş iletişim kanalını bilmiyor ve bu nedenle ofisteki tüm değişiklikler anında şubeye kopyalanacak, kanal yüklenecek ve trafik tüketimi artacaktır.

Burada internet siteleri ile karıştırılmaması gereken AD siteleri kavramına yaklaşıyoruz. Active Directory Siteleri bir dizin hizmetinin yapısını fiziksel olarak yavaş ve/veya kararsız bağlantılarla diğer alanlardan ayrılmış alanlara bölmenin bir yolunu temsil eder. Siteler alt ağlar bazında oluşturulur ve tüm müşteri istekleri öncelikle sitelerinin denetleyicilerine gönderilir, ayrıca her sitede global bir kataloğun olması da son derece arzu edilir. Bizim durumumuzda, iki site oluşturmamız gerekiyor: Reklam Sitesi 1 Merkez ofis için ve Reklam Sitesi 2 bir dal için, daha doğrusu bir tane, çünkü varsayılan olarak AD yapısı önceden oluşturulmuş tüm nesneleri içeren bir siteyi zaten içeriyor. Şimdi birkaç siteye sahip bir ağda replikasyonun nasıl gerçekleştiğine bakalım.

Kuruluşumuzun biraz büyüdüğünü ve ana ofisin dört adede kadar etki alanı denetleyicisi içerdiğini varsayacağız, bir sitenin denetleyicileri arasında çoğaltma denir site içi ve anında gerçekleşir. Çoğaltma topolojisi, herhangi bir etki alanı denetleyicisi arasında üçten fazla çoğaltma adımı olmaması koşuluyla halka şemasına göre oluşturulur. Halka şeması 7 denetleyiciye kadar kaydedilir, her denetleyici en yakın iki komşuyla bağlantı kurar, daha fazla sayıda denetleyiciyle ek bağlantılar görünür ve ortak halka, olduğu gibi, üst üste binen bir halka grubuna dönüşür.

siteler arasıçoğaltma farklı şekilde gerçekleşir, her etki alanında sunuculardan biri (köprü sunucusu) otomatik olarak seçilir ve bu, başka bir sitenin benzer bir sunucusuyla bağlantı kurar. Varsayılan olarak, çoğaltma her 3 saatte bir (180 dakika) gerçekleşir, ancak kendi çoğaltma programımızı ayarlayabiliriz ve trafikten tasarruf etmek için tüm veriler sıkıştırılmış bir biçimde aktarılır. Bir sitede yalnızca bir RODC varsa, çoğaltma tek yönlü olarak gerçekleşir.

Elbette değindiğimiz konular çok derindir ve bu materyalde onlara sadece biraz değindik, ancak Active Directory'nin kurumsal altyapıda pratik olarak uygulanmasından önce sahip olmanız gereken minimum bilgi budur. Bu, yapının bakımı ve genişletilmesi sırasında dağıtım ve acil durumlarda aptalca hataları önleyecek ve gündeme getirilen konuların her biri daha ayrıntılı olarak tartışılacaktır.

Kompleks hakkında. Programlar. Ütü. İnternet. pencereler