Proč organizace potřebuje Active Directory? Základy služby Active Directory Co je doménová struktura služby Active Directory

Proč organizace potřebuje Active Directory? Základy služby Active Directory Co je doménová struktura služby Active Directory

Active Directory

Active Directory(„Aktivní adresáře“, INZERÁT) - LDAP-Kompatibilní implementace adresářové služby společnosti Microsoft pro rodinné operační systémy Windows NT. Active Directory umožňuje správcům používat zásady skupiny k zajištění jednotné konfigurace pracovního prostředí uživatele, nasazování softwaru na více počítačích prostřednictvím zásad skupiny nebo prostřednictvím System Center Configuration Manager(dříve Microsoft Systems Management Server), nainstalujte aktualizace operačního systému, aplikací a serverového softwaru na všechny počítače v síti pomocí aktualizační služby Windows Server . Active Directory ukládá data a nastavení prostředí v centralizované databázi. sítě Active Directory mohou mít různé velikosti: od několika desítek až po několik milionů objektů.

Výkon Active Directory proběhla v roce 1999, produkt byl poprvé uveden na trh s Windows 2000 Server, a byl později upraven a vylepšen po vydání Windows Server 2003. Následně Active Directory byl vylepšen v Windows Server 2003 R2, Windows Server 2008 A Windows Server 2008 R2 a přejmenován na Active Directory Domain Services. Adresářová služba byla dříve volána NT adresářová služba (NTDS), tento název lze stále nalézt v některých spustitelných souborech.

Na rozdíl od verzí Windows na Windows 2000, která používala především protokol NetBIOS pro síťovou komunikaci, servis Active Directory integrovaný s DNS A TCP/IP. Výchozí ověřovací protokol je Kerberos. Pokud klient nebo aplikace nepodporuje ověřování Kerberos, používá se protokol NTLM .

Zařízení

Objekty

Active Directory má hierarchickou strukturu skládající se z objektů. Objekty spadají do tří hlavních kategorií: zdroje (například tiskárny), služby (například e-mail) a účty uživatelů a počítačů. Active Directory poskytuje informace o objektech, umožňuje organizovat objekty, řídit přístup k nim a také stanovuje bezpečnostní pravidla.

Objekty mohou být kontejnery pro jiné objekty (bezpečnostní a distribuční skupiny). Objekt je jednoznačně identifikován svým jménem a má sadu atributů – charakteristik a dat – které může obsahovat; to druhé zase závisí na typu objektu. Atributy tvoří základ struktury objektu a jsou definovány ve schématu. Schéma definuje, jaké typy objektů mohou existovat.

Samotné schéma se skládá ze dvou typů objektů: objektů třídy schématu a objektů atributů schématu. Jeden objekt třídy schématu definuje jeden typ objektu Active Directory(například objekt uživatele) a jeden objekt atributu schématu definuje atribut, který může objekt mít.

Každý objekt atributu lze použít v několika různých objektech třídy schématu. Tyto objekty se nazývají objekty schématu (nebo metadata) a umožňují měnit a rozšiřovat schéma podle potřeby. Každý objekt schématu je však součástí definic objektů Active Directory, takže deaktivace nebo změna těchto objektů může mít vážné důsledky, protože v důsledku těchto akcí dojde ke změně struktury Active Directory. Změny objektu schématu jsou automaticky přeneseny do Active Directory. Jakmile je objekt schématu vytvořen, nelze jej odstranit, lze jej pouze zakázat. Obvykle jsou všechny změny schématu pečlivě naplánovány.

Kontejner podobný objekt v tom smyslu, že má také atributy a patří do jmenného prostoru, ale na rozdíl od objektu kontejner nezastupuje nic konkrétního: může obsahovat skupinu objektů nebo jiné kontejnery.

Struktura

Nejvyšší úrovní struktury je les – kolekce všech objektů, atributů a pravidel (syntaxe atributů) v Active Directory. Les obsahuje jeden nebo více stromů spojených tranzitivem vztahy důvěry . Strom obsahuje jednu nebo více domén, rovněž propojených do hierarchie pomocí tranzitivních vztahů důvěryhodnosti. Domény jsou identifikovány svými strukturami DNS jmen - jmennými prostory.

Objekty v doméně lze seskupovat do kontejnerů – divizí. Divize vám umožní vytvořit hierarchii v rámci domény, zjednodušit její správu a umožní vám modelovat organizační a/nebo geografickou strukturu společnosti v Active Directory. Divize mohou obsahovat další divize. Korporace Microsoft doporučuje používat co nejméně domén Active Directory a používat divize pro strukturování a politiky. Zásady skupiny jsou často aplikovány konkrétně na oddělení. Zásady skupiny jsou samy o sobě objekty. Divize je nejnižší úroveň, na kterou lze delegovat správní pravomoc.

Další způsob dělení Active Directory jsou stránky , které jsou metodou fyzického (spíše než logického) seskupování na základě segmentů sítě. Stránky se dělí na ty, které mají připojení přes nízkorychlostní kanály (například přes globální síťové kanály, využívající virtuální privátní sítě) a přes vysokorychlostní kanály (například přes místní síť). Webová stránka může obsahovat jednu nebo více domén a doména může obsahovat jednu nebo více webových stránek. Při navrhování Active Directory Je důležité vzít v úvahu síťový provoz vytvořený při synchronizaci dat mezi lokalitami.

Klíčové rozhodnutí o designu Active Directory je rozhodnutí rozdělit informační infrastrukturu do hierarchických domén a jednotek nejvyšší úrovně. Typické modely používané pro takové oddělení jsou modely oddělení podle funkčních divizí společnosti, podle geografického umístění a podle rolí v informační infrastruktuře společnosti. Často se používají kombinace těchto modelů.

Fyzikální struktura a replikace

Fyzicky jsou informace uloženy na jednom nebo více ekvivalentních řadičích domény, které nahrazují ty používané v Windows NT primární a záložní řadiče domény, i když pro některé operace je zachován takzvaný server „single master operations“, který může emulovat primární řadič domény. Každý řadič domény udržuje kopii dat pro čtení i zápis. Změny provedené na jednom řadiči jsou synchronizovány se všemi řadiči domény prostřednictvím replikace. Servery, na kterých je samotná služba Active Directory nejsou nainstalovány, ale jsou součástí domény Active Directory, se nazývají členské servery.

Replikace Active Directory provádí na požádání. Servis Kontrola konzistence znalostí vytvoří replikační topologii, která používá lokality definované v systému k řízení provozu. K replikaci uvnitř sítě dochází často a automaticky pomocí nástroje pro kontrolu konzistence (upozornění partnerů replikace na změny). Replikaci mezi lokalitami lze nakonfigurovat pro každý kanál lokality (v závislosti na kvalitě kanálu) – každému kanálu lze přiřadit jiné „skóre“ (nebo „náklady“) (např. DS3, , ISDN atd.) a replikační provoz bude omezen, naplánován a směrován podle odhadu přiřazeného spojení. Pokud je „skóre“ nízké, mohou data replikace přecházet mezi více místy prostřednictvím mostů mezi místy, ačkoli AD automaticky přiřazuje nižší skóre spojům mezi lokalitami než přechodným spojům. Replikaci mezi lokalitami provádějí servery předmostí v každé lokalitě, které pak replikují změny na každý řadič domény ve své lokalitě. Replikace uvnitř domény se řídí protokolem RPC podle protokolu IP, interdoména - lze také použít protokol SMTP.

Pokud struktura Active Directory obsahuje několik domén, používá se k řešení problému hledání objektů globální katalog: Řadič domény, který obsahuje všechny objekty v doménové struktuře, ale s omezenou sadou atributů (částečná replika). Katalog je uložen na specifikovaných serverech globálního katalogu a obsluhuje požadavky mezi doménami.

Funkce jednoho hostitele umožňuje zpracování požadavků, když replikace více hostitelů není možná. Existuje pět typů takových operací: emulace hlavního řadiče domény (emulátor PDC), hlavní server relativních identifikátorů (hlavní server relativních identifikátorů nebo hlavní server RID), hlavní server infrastruktury (hlavní server infrastruktury), hlavní server schémat (hlavní server schémat) a hlavní server pojmenování domén (doména). průvodce pojmenováním). První tři role jsou jedinečné v rámci domény, poslední dvě jsou jedinečné v rámci celé doménové struktury.

Báze Active Directory lze rozdělit do tří logických úložišť neboli „oddílů“. Diagram je šablonou pro Active Directory a definuje všechny typy objektů, jejich třídy a atributy, syntaxi atributů (všechny stromy jsou ve stejné doménové struktuře, protože mají stejné schéma). Konfigurací je struktura lesa a stromů Active Directory. Doména uchovává všechny informace o objektech vytvořených v této doméně. První dvě úložiště jsou replikována na všechny řadiče domény v doménové struktuře, třetí oddíl je plně replikován mezi replikačními řadiči v rámci každé domény a částečně replikován na servery globálního katalogu.

Pojmenování

Active Directory podporuje následující formáty pojmenování objektů: názvy generických typů UNC, URL A URL LDAP. Verze LDAP Interně používaný formát pojmenování X.500 Active Directory.

Každý objekt má příznačné jméno (Angličtina) příznačné jméno, DN). Například objekt tiskárny s názvem HPLaser3 v marketingové organizační jednotce a v doméně foo.org bude mít následující rozlišující název: CN=HPLaser3,OU=Marketing,DC=foo,DC=org , kde CN je běžný název, OU je sekce, DC je doména třída objektu. Rozlišující jména mohou mít mnohem více částí než čtyři části v tomto příkladu. Objekty mají také kanonické názvy. Jedná se o rozlišující jména napsaná v obráceném pořadí, bez identifikátorů as použitím lomítek jako oddělovačů: foo.org/Marketing/HLaser3. Chcete-li definovat objekt uvnitř jeho kontejneru, použijte relativní rozlišovací jméno : CN=HPLaser3 . Každý objekt má také globálně jedinečný identifikátor ( GUID) je jedinečný a neměnný 128bitový řetězec, který se používá v Active Directory pro vyhledávání a replikaci. Některé objekty mají také UPN ( UPN, v souladu s RFC 822) ve formátu objekt@doména.

Integrace UNIX

Různé úrovně interakce s Active Directory lze implementovat ve většině UNIX-jako operační systémy prostřednictvím standardu LDAP klienty, ale takové systémy zpravidla nevnímají většinu atributů spojených s komponentami Windows, jako jsou zásady skupiny a podpora jednosměrných plných mocí.

Dodavatelé třetích stran nabízejí integrace Active Directory na platformách UNIX včetně UNIX, Linux, Mac OS X a řadu aplikací založených Jáva, s balíčkem produktů:

Součástí jsou dodatky schématu Windows Server 2003 R2 zahrnout atributy, které jsou dostatečně blízko k RFC 2307, aby mohly být použity obecně. Základní implementace RFC 2307, nss_ldap a pam_ldap, navrženy PADL.com, přímo podporují tyto atributy. Standardní schéma členství ve skupině se řídí RFC 2307bis (navrženo). Windows Server 2003 R2 obsahuje konzolu Microsoft Management Console pro vytváření a úpravu atributů.

Alternativní možností je použití jiné adresářové služby, jako je např 389 adresářový server(dříve Adresářový server Fedora, FDS), eB2Bcom ViewDS v7.1 Adresář s povoleným XML nebo Sun Java System Directory Server z Sun Microsystems, který provádí obousměrnou synchronizaci s Active Directory, čímž dochází k „odražené“ integraci u klientů UNIX A Linux jsou ověřeny FDS a klienti Windows jsou ověřeny Active Directory. Další možností je použití OpenLDAP s možností průsvitného překrytí rozšiřující prvky vzdáleného serveru LDAP další atributy uložené v lokální databázi.

Active Directory jsou automatizované pomocí Powershell .

Literatura

  • Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Coca Microsoft Exchange Server 2003. Kompletní průvodce = Microsoft Exchange Server 2003 uvolněn. - M.: “Williams”, 2006. - S. 1024. - ISBN 0-672-32581-0

Viz také

Odkazy

Poznámky

Správci sítě Windows se nevyhnou seznámení s . Tento recenzní článek se zaměří na to, co je Active Directory a k čemu se používají.

Active Directory je tedy implementace adresářové služby od společnosti Microsoft. V tomto případě adresářová služba znamená softwarový balíček, který pomáhá správci systému pracovat se síťovými prostředky, jako jsou sdílené složky, servery, pracovní stanice, tiskárny, uživatelé a skupiny.

Služba Active Directory má hierarchickou strukturu sestávající z objektů. Všechny objekty jsou rozděleny do tří hlavních kategorií.

  • Uživatelské a počítačové účty;
  • zdroje (například tiskárny);
  • Služby (například e-mail).

Každý objekt má jedinečný název a má řadu vlastností. Objekty lze seskupovat.

Vlastnosti uživatele

Služba Active Directory má strukturu doménové struktury. Les má několik stromů, které obsahují domény. Domény zase obsahují výše zmíněné objekty.


Struktura Active Directory

Objekty v doméně jsou obvykle seskupeny do organizačních jednotek. Divize slouží k vybudování hierarchie v rámci domény (organizace, územní divize, oddělení atd.). To je důležité zejména pro organizace, které jsou geograficky rozptýleny. Při budování struktury se doporučuje vytvořit co nejméně domén a v případě potřeby vytvořit samostatné divize. Právě na ně má smysl uplatňovat skupinové zásady.

Vlastnosti pracovní stanice

Dalším způsobem, jak strukturovat Active Directory, je stránky. Stránky jsou metodou fyzického, spíše než logického seskupování na základě segmentů sítě.

Jak již bylo zmíněno, každý objekt v Active Directory má jedinečný název. Například tiskárna HPLaserJet4350dtn, která se nachází v divizi Právníci a v doméně primer.ru bude mít jméno CN=HPLaserJet4350dtn,OU=právníci,DC=primer,DC=ru. CN je běžné jméno OU- divize, DC— třída objektu domény. Název objektu může mít mnohem více částí než v tomto příkladu.

Další forma zápisu názvu objektu vypadá takto: primer.ru/Lawyers/HLaserJet4350dtn. Každý objekt má také globálně jedinečný identifikátor ( GUID) je jedinečný a neměnný 128bitový řetězec, který se používá ve službě Active Directory pro vyhledávání a replikaci. Některé objekty mají také UPN ( UPN) ve formátu objekt@doména.

Zde je přehled toho, co je to Active Directory a proč je potřeba v místních sítích se systémem Windows. Nakonec má smysl říci, že správce má možnost pracovat s Active Directory vzdáleně pomocí Nástroje pro vzdálenou správu serveru pro Windows 7 (KB958830)(Stáhnout) A Nástroje pro vzdálenou správu serveru pro Windows 8.1 (KB2693643) (Stáhnout).

Služba Active Directory poskytuje služby správy systémů. Jsou mnohem lepší alternativou k místním skupinám a umožňují vytvářet počítačové sítě s efektivní správou a spolehlivou ochranou dat.

Pokud jste se s pojmem Active Directory ještě nesetkali a nevíte, jak takové služby fungují, je tento článek určen právě vám. Pojďme zjistit, co tento koncept znamená, jaké jsou výhody takových databází a jak je vytvořit a nakonfigurovat pro první použití.

Active Directory je velmi pohodlný způsob správy systému. Pomocí Active Directory můžete efektivně spravovat svá data.

Tyto služby umožňují vytvořit jednu databázi spravovanou doménovými řadiči. Pokud vlastníte firmu, řídíte kancelář nebo obecně ovládáte činnost mnoha lidí, kteří se potřebují sjednotit, bude se vám taková doména hodit.

Zahrnuje všechny objekty – počítače, tiskárny, faxy, uživatelské účty atd. Součet domén, na kterých jsou data umístěna, se nazývá „les“. Databáze Active Directory je doménové prostředí, kde počet objektů může být až 2 miliardy. Dokážete si představit tyto váhy?

To znamená, že pomocí takového „lesa“ nebo databáze můžete propojit velké množství zaměstnanců a zařízení v kanceláři a bez vazby na místo - ve službách mohou být připojeni i další uživatelé, např. z kanceláře společnosti v jiném městě.

V rámci služeb Active Directory se navíc vytváří a kombinuje několik domén – čím větší firma, tím více nástrojů je potřeba k ovládání jejího vybavení v rámci databáze.

Dále, když je taková síť vytvořena, je určena jedna řídící doména ai při následné přítomnosti dalších domén zůstává ta původní stále „rodičovská“ – tedy pouze ona má plný přístup ke správě informací.

Kde jsou tato data uložena a co zajišťuje existenci domén? K vytvoření Active Directory se používají řadiče. Obvykle jsou dva – pokud se jednomu něco stane, informace se uloží na druhý ovladač.

Další možností využití databáze je, pokud například vaše firma spolupracuje s jinou a vy musíte dokončit společný projekt. V tomto případě mohou neoprávněné osoby potřebovat přístup k souborům domény a zde můžete nastavit jakýsi „vztah“ mezi dvěma různými „lesy“, umožňující přístup k požadovaným informacím, aniž byste riskovali bezpečnost zbývajících dat.

Obecně je Active Directory nástroj pro vytváření databáze v rámci určité struktury bez ohledu na její velikost. Uživatelé a veškeré vybavení jsou sjednoceni do jednoho „lesa“, domény jsou vytvořeny a umístěny na řadiče.

Je také vhodné objasnit, že služby mohou fungovat pouze na zařízeních se serverovými systémy Windows. Kromě toho jsou na řadičích vytvořeny 3-4 DNS servery. Obsluhují hlavní zónu domény, a pokud jedna z nich selže, nahradí ji jiné servery.

Po krátkém přehledu Active Directory for Dummies vás přirozeně zajímá otázka - proč měnit lokální skupinu pro celou databázi? Pole možností je zde samozřejmě mnohonásobně širší, a abychom zjistili další rozdíly mezi těmito službami pro správu systému, pojďme se blíže podívat na jejich výhody.

Výhody Active Directory

Výhody Active Directory jsou:

  1. Použití jednoho zdroje pro ověřování. V této situaci musíte na každém počítači přidat všechny účty, které vyžadují přístup k obecným informacím. Čím více uživatelů a zařízení je, tím obtížnější je tato data mezi nimi synchronizovat.

A tak při používání služeb s databází jsou účty uloženy v jednom bodě a změny se okamžitě projeví na všech počítačích.

Jak to funguje? Každý zaměstnanec, který přijde do kanceláře, spustí systém a přihlásí se ke svému účtu. Požadavek na přihlášení bude automaticky odeslán na server a přes něj proběhne autentizace.

Pokud jde o určitý řád ve vedení evidence, můžete uživatele vždy rozdělit do skupin – „HR oddělení“ nebo „Účetnictví“.

V tomto případě je ještě jednodušší poskytnout přístup k informacím – pokud potřebujete otevřít složku pro zaměstnance z jednoho oddělení, uděláte to přes databázi. Společně získají přístup k požadované složce s daty, ostatním zůstávají dokumenty zavřené.

  1. Kontrola nad každým účastníkem databáze.

Pokud je v místní skupině každý člen nezávislý a obtížně ovladatelný z jiného počítače, pak v doménách můžete nastavit určitá pravidla, která jsou v souladu s firemní politikou.

Jako správce systému můžete nastavit nastavení přístupu a zabezpečení a poté je použít pro každou skupinu uživatelů. Přirozeně, v závislosti na hierarchii, mohou mít některé skupiny přísnější nastavení, zatímco jiné mohou mít přístup k jiným souborům a akcím v systému.

Navíc, když do firmy nastoupí nový člověk, jeho počítač okamžitě dostane potřebnou sadu nastavení, která obsahuje komponenty pro práci.

  1. Všestrannost při instalaci softwaru.

Když už jsme u komponent, pomocí Active Directory můžete přiřadit tiskárny, nainstalovat potřebné programy pro všechny zaměstnance najednou a nastavit soukromí. Obecně lze říci, že vytvoření databáze výrazně optimalizuje práci, sleduje zabezpečení a sjednotí uživatele pro maximální efektivitu práce.

A pokud společnost provozuje samostatnou utilitu nebo speciální služby, lze je synchronizovat s doménami a zjednodušit k nim přístup. Jak? Pokud zkombinujete všechny produkty používané ve firmě, nebude muset zaměstnanec pro vstup do každého programu zadávat různá přihlašovací jména a hesla – tyto informace budou společné.

Nyní, když jsou výhody a význam používání Active Directory jasné, pojďme se podívat na proces instalace těchto služeb.

Používáme databázi na Windows Server 2012

Instalace a konfigurace Active Directory není obtížný úkol a je také jednodušší, než se na první pohled zdá.

Chcete-li načíst služby, musíte nejprve provést následující:

  1. Změňte název počítače: klikněte na „Start“, otevřete Ovládací panely, vyberte „Systém“. Vyberte „Změnit nastavení“ a ve vlastnostech naproti řádku „Název počítače“ klikněte na „Změnit“ a zadejte novou hodnotu pro hlavní počítač.
  2. Restartujte počítač podle potřeby.
  3. Nastavte síťová nastavení takto:
    • Prostřednictvím ovládacího panelu otevřete nabídku se sítěmi a sdílením.
    • Upravte nastavení adaptéru. Klepněte pravým tlačítkem myši na „Vlastnosti“ a otevřete kartu „Síť“.
    • V okně ze seznamu klikněte na internetový protokol číslo 4, znovu klikněte na „Vlastnosti“.
    • Zadejte požadovaná nastavení, například: IP adresa - 192.168.10.252, maska ​​podsítě - 255.255.255.0, hlavní brána - 192.168.10.1.
    • V řádku „Preferovaný server DNS“ zadejte adresu místního serveru, v poli „Alternativní...“ - jiné adresy serveru DNS.
    • Uložte změny a zavřete okna.

Nastavte role Active Directory takto:

  1. Přes Start otevřete Správce serveru.
  2. Z nabídky vyberte Přidat role a funkce.
  3. Spustí se průvodce, ale první okno s popisem můžete přeskočit.
  4. Zaškrtněte řádek „Instalace rolí a komponent“, pokračujte dále.
  5. Vyberte počítač, do kterého chcete nainstalovat Active Directory.
  6. Ze seznamu vyberte roli, kterou je třeba načíst – ve vašem případě je to „Doménové služby Active Directory“.
  7. Zobrazí se malé okno s žádostí o stažení komponent požadovaných pro služby - přijměte je.
  8. Poté budete vyzváni k instalaci dalších součástí – pokud je nepotřebujete, přeskočte tento krok kliknutím na „Další“.
  9. Průvodce nastavením zobrazí okno s popisy služeb, které instalujete – přečtěte si a pokračujte.
  10. Objeví se seznam komponent, které se chystáme instalovat – zkontrolujte, zda je vše v pořádku, a pokud ano, stiskněte příslušné tlačítko.
  11. Po dokončení procesu zavřete okno.
  12. To je vše – služby se stáhnou do vašeho počítače.

Nastavení služby Active Directory

Chcete-li nakonfigurovat doménovou službu, musíte provést následující:

  • Spusťte stejnojmenného průvodce nastavením.
  • Klikněte na žlutý ukazatel v horní části okna a vyberte „Povýšit server na řadič domény“.
  • Klikněte na přidat novou doménovou strukturu a vytvořte název pro kořenovou doménu, poté klikněte na Další.
  • Určete provozní režimy „lesa“ a domény – nejčastěji se shodují.
  • Vytvořte si heslo, ale nezapomeňte si ho zapamatovat. Pokračujte dále.
  • Poté se může zobrazit varování, že doména není delegována, a výzva ke kontrole názvu domény – tyto kroky můžete přeskočit.
  • V dalším okně můžete změnit cestu k adresářům databází – proveďte to, pokud vám nevyhovují.
  • Nyní uvidíte všechny možnosti, které se chystáte nastavit – zkontrolujte, zda jste je vybrali správně, a pokračujte dál.
  • Aplikace zkontroluje, zda jsou splněny předpoklady, a pokud nejsou žádné komentáře nebo nejsou kritické, klikněte na „Instalovat“.
  • Po dokončení instalace se počítač sám restartuje.

Možná vás také zajímá, jak přidat uživatele do databáze. K tomu slouží nabídka "Uživatelé nebo počítače Active Directory", kterou naleznete v ovládacím panelu v sekci "Správa", nebo použijte nabídku nastavení databáze.

Chcete-li přidat nového uživatele, klikněte pravým tlačítkem na název domény, vyberte „Vytvořit“ a poté „Rozdělení“. Objeví se před vámi okno, kde je potřeba zadat název nového oddělení – slouží jako složka, kde můžete sbírat uživatele z různých oddělení. Stejně tak později vytvoříte několik dalších divizí a správně umístíte všechny zaměstnance.

Poté, když jste vytvořili název oddělení, klikněte na něj pravým tlačítkem a vyberte „Vytvořit“ a poté „Uživatel“. Nyní zbývá pouze zadat potřebné údaje a nastavit nastavení přístupu pro uživatele.

Po vytvoření nového profilu na něj klikněte výběrem kontextové nabídky a otevřete „Vlastnosti“. Na kartě „Účet“ zrušte zaškrtnutí políčka „Blokovat...“. To je vše.

Obecným závěrem je, že Active Directory je výkonný a užitečný nástroj pro správu systému, který pomůže sjednotit všechny počítače zaměstnanců do jednoho týmu. Pomocí služeb můžete vytvořit zabezpečenou databázi a výrazně optimalizovat práci a synchronizaci informací mezi všemi uživateli. Pokud je vaše společnost nebo jakékoli jiné místo podnikání připojeno k počítačům a sítím, potřebujete konsolidovat účty a sledovat práci a soukromí, instalace databáze založené na Active Directory bude skvělým řešením.

V našich předchozích materiálech jsme diskutovali o obecných problémech souvisejících s adresářovými službami a Active Directory. Nyní je čas přejít k praxi. Ale nespěchejte na server před nasazením struktury domény ve vaší síti, musíte ji naplánovat a jasně rozumět účelu jednotlivých serverů a procesům interakce mezi nimi.

Před vytvořením prvního řadiče domény se musíte rozhodnout o jeho provozním režimu. Operační režim určuje dostupné možnosti a závisí na verzi použitého operačního systému. Nebudeme zvažovat všechny možné režimy, kromě těch, které jsou v tuto chvíli relevantní. Existují tři takové režimy: Windows Server 2003, 2008 a 2008 R2.

Režim Windows Server 2003 by měl být vybrán pouze v případě, že servery s tímto operačním systémem jsou již nasazeny ve vaší infrastruktuře a plánujete používat jeden nebo více těchto serverů jako řadiče domény. V ostatních případech je třeba vybrat režim Windows Server 2008 nebo 2008 R2 v závislosti na zakoupených licencích. Je třeba mít na paměti, že provozní režim domény lze vždy zvýšit, ale nebude možné jej snížit (pokud není obnovou ze zálohy), proto k tomuto problému přistupujte opatrně, s ohledem na možná rozšíření, licence v pobočkách, atd. atd.

Nyní se nebudeme podrobně zabývat procesem vytváření doménového řadiče, k tomuto problému se vrátíme později, ale nyní bychom vás rádi upozornili na skutečnost, že v plnohodnotné Active Directory struktuře doménových řadičů by měly být; alespoň dva. Jinak se vystavujete zbytečnému riziku, protože pokud váš jediný doménový řadič selže, vaše AD struktura bude zcela zničena. Je dobré, když máte aktuální zálohu a můžete se z ní zotavit, v každém případě bude vaše síť po celou tu dobu zcela paralyzována.

Proto ihned po vytvoření prvního doménového řadiče musíte nasadit druhý bez ohledu na velikost sítě a rozpočet. Druhý řadič by měl být poskytnut ve fázi plánování a bez něj by nasazení AD ani nebylo možné. Také byste neměli kombinovat roli doménového řadiče s jinými rolemi serveru, aby byla zajištěna spolehlivost operací s AD databází na disku, ukládání do mezipaměti je zakázáno, což vede k prudkému poklesu výkonu; diskový subsystém (to také vysvětluje dlouhou dobu načítání doménových řadičů).

V důsledku toho by naše síť měla mít následující podobu:

Na rozdíl od všeobecného přesvědčení jsou si všechny řadiče v doméně rovny, tzn. každý řadič obsahuje úplné informace o všech objektech domény a může obsloužit požadavek klienta. To však neznamená, že řadiče jsou zaměnitelné. Nepochopení tohoto bodu často vede k poruchám AD a výpadkům podnikové sítě. Proč se to děje? Je čas si připomenout role FSMO.

Když vytvoříme první řadič, obsahuje všechny dostupné role a je také globálním adresářem, s příchodem druhého řadiče se do něj přenesou role master infrastruktury, RID master a emulátor PDC. Co se stane, když se správce rozhodne dočasně deaktivovat server DC1, například aby ho vyčistil od prachu? Na první pohled to není nic špatného, ​​doména se přepne do režimu pouze pro čtení, ale bude to fungovat. Ale zapomněli jsme na globální katalog, a pokud má vaše síť nasazené aplikace, které to vyžadují, například Exchange, pak o tom budete vědět, než sejmete víko ze serveru. Budete se učit od nespokojených uživatelů a vedení pravděpodobně nebude potěšeno.

Z čehož plyne závěr: v doménové struktuře musí být alespoň dva globální adresáře a nejlépe jeden v každé doméně. Vzhledem k tomu, že máme v lese jednu doménu, oba servery musí být globální katalogy, což vám umožní bez problémů uvést kterýkoli ze serverů do údržby, dočasná absence jakýchkoli rolí FSMO nevede k selhání AD, ale pouze k němu dojde nemožné vytvářet nové objekty.

Jako správce domény musíte jasně vědět, jak jsou role FSMO rozděleny mezi vaše servery, a při vyřazování serveru z provozu na dlouhou dobu tyto role přenést na jiné servery. Co se stane, když server obsahující role FSMO nevratně selže? Nevadí, jak jsme již psali, jakýkoli doménový řadič obsahuje všechny potřebné informace, a pokud se takový problém vyskytne, pak budete muset převzít potřebné role některým z řadičů, což vám umožní obnovit plný provoz adresářová služba.

Čas plyne, vaše organizace roste a má pobočku na druhé straně města a vyvstává potřeba začlenit jejich síť do obecné infrastruktury podniku. Na první pohled nic složitého nastavíte komunikační kanál mezi kancelářemi a umístíte do něj další kontrolér. Všechno by bylo v pořádku, ale je tu jedna věc. Tento server nemůžete ovládat, a proto je možný neoprávněný přístup k němu a místní administrátor vás zpochybňuje o své kvalifikaci. Co v takové situaci dělat? Pro tyto účely existuje speciální typ ovladače: řadič domény pouze pro čtení (RODC), tato funkce je dostupná v doménových provozních režimech počínaje Windows Server 2008 a vyšším.

Doménový řadič pouze pro čtení obsahuje kompletní kopii všech doménových objektů a může být globálním adresářem, ale neumožňuje provádět žádné změny ve struktuře AD, umožňuje také přiřadit libovolného uživatele jako lokálního správce, což mu to umožní plně obsluhovat tento server, ale opět bez přístupu ke službám AD. V našem případě to nařídil lékař.

Zřídili jsme pobočku RODC, vše funguje, jste v klidu, ale uživatelé si začnou stěžovat na dlouhé přihlašování a účty za provoz na konci měsíce vykazují přebytek. co se děje? Je na čase si znovu připomenout rovnocennost řadičů v doméně, klient může poslat svůj požadavek jakémukoli řadiči domény, dokonce i tomu, který se nachází v jiné pobočce. Vezměte v úvahu pomalý a pravděpodobně přetížený komunikační kanál - to je důvod pro zpoždění přihlášení.

Dalším faktorem, který v této situaci otravuje naše životy, je replikace. Jak víte, všechny změny provedené na jednom z řadičů domény se automaticky přenesou na ostatní a tento proces se nazývá replikace, což vám umožňuje mít aktuální a konzistentní kopii dat na každém řadiči. Replikační služba neví o naší pobočce a pomalém komunikačním kanálu, a proto se všechny změny v kanceláři okamžitě replikují do pobočky, zatěžují kanál a zvyšují spotřebu provozu.

Zde se blížíme k pojmu AD stránky, které by neměly být zaměňovány s internetovými stránkami. Weby Active Directory představují způsob fyzického rozdělení struktury adresářové služby do oblastí oddělených od ostatních oblastí pomalými a/nebo nestabilními komunikačními spoji. Stránky jsou vytvářeny na základě podsítí a všechny požadavky klientů jsou zasílány primárně kontrolorům jejich webu, je také velmi žádoucí mít v každé lokalitě svůj vlastní globální adresář. V našem případě budeme muset vytvořit dva weby: Stránka AD 1 pro centrálu a Místo AD 2 pro větev, nebo spíše jednu, protože ve výchozím nastavení struktura AD již obsahuje web, který zahrnuje všechny dříve vytvořené objekty. Nyní se podívejme, jak replikace probíhá v síti s více místy.

Předpokládejme, že se naše organizace trochu rozrostla a hlavní kancelář obsahuje až čtyři řadiče domény, která se nazývá replikace mezi řadiči jednoho webu intrasite a stane se to okamžitě. Topologie replikace je sestavena podle kruhového schématu s podmínkou, že mezi libovolnými řadiči domény nejsou více než tři kroky replikace. Kruhové schéma je zachováno až do 7 regulátorů včetně, každý regulátor naváže spojení se svými dvěma nejbližšími sousedy, při větším počtu regulátorů se objeví další spojení a společný okruh se změní na skupinu okruhů nad sebou.

Intersite replikace probíhá v každé doméně odlišně, automaticky se vybere jeden ze serverů (bridgehead server), který naváže spojení s podobným serverem na jiném místě. Ve výchozím nastavení probíhá replikace jednou za 3 hodiny (180 minut), můžeme si však nastavit vlastní plán replikace a pro úsporu provozu jsou všechna data přenášena v komprimované podobě. Pokud je v lokalitě pouze RODC, replikace probíhá jednosměrně.

Témata, kterých jsme se dotkli, jsou samozřejmě velmi hluboká a v tomto materiálu jsme se jich dotkli jen zlehka, nicméně jde o nezbytné minimum znalostí, které musíte mít před praktickou implementací Active Directory do podnikové infrastruktury. To vám umožní vyhnout se hloupým chybám při nasazení a nouzovým situacím při údržbě a rozšiřování konstrukce a každé z nastolených témat bude probráno podrobněji.

Jak víte, před implementací serverové infrastruktury v podnicích a předcházením většině nepříjemných okamžiků na konci nasazení by to mělo být pečlivě naplánováno. Protože jsou služby Active Directory Services nasazeny jako centrální úložiště pro ukládání dat a také informací o zásadách a konfiguraci spolu s přihlašovacími skripty pro uživatele, počítače a síťové služby, s podporou průmyslového standardu LDAP používaného k dotazování a změně informací o adresáři, logické a fyzická struktura organizace musí být navržena tak, aby správa i těch největších a nejsložitějších sítí poskytovala jediný bod, ze kterého lze nasadit nastavení napříč více systémy. Jakmile dokončíte své obchodní požadavky, smlouvu o úrovni služeb a dokumentaci svých zjištění, musíte začít navrhovat logickou a fyzickou infrastrukturu vašeho podniku. V této fázi budete muset správně naplánovat počet, strukturu a návrh doménových struktur, které budou tvořit podnik, kde budou po plánování nasazeny služby Active Directory Domain Services.

podle definice les je nejvyšší úrovní hierarchie logické struktury Domain Services, která je považována za hranici replikace a zabezpečení v podniku a skládá se z jedné nebo více domén Active Directory. První řadič domény nainstalovaný v doménové struktuře se nazývá vykořenit. Lesní struktura obsahuje jeden popis konfigurace a jednu instanci adresáře schématu. Toto je jediná uzavřená instance adresáře, kde nejsou replikována data. V souladu s tím doménová struktura definuje bezpečnostní perimetr organizace. Ve spojení s doménovou strukturou se používají následující součásti Active Directory Domain Services:

  • Obecné schéma. Všechny řadiče domény v doménové struktuře používají společné schéma, které je uloženo ve službě Active Directory Domain Services v oddílu adresáře Schema a je také replikováno na všechny řadiče v doménové struktuře. Jediným způsobem, jak nasadit dvě různá schémata v organizaci, je nasazení dvou samostatných doménových struktur;
  • Sdílený globální katalog. Globální katalog je oddíl, který ukládá informace o každém objektu v doménové struktuře. To znamená, že když uživatel z jedné domény hledá objekt domény ve druhé, je to globální katalog, který poskytuje výsledky dotazu. Společný globální katalog obsahuje informace o všech objektech v celé doménové struktuře. Zvyšuje se tak efektivita vyhledávání objektů v doménové struktuře a přihlašování uživatelů do libovolné domény doménové struktury pomocí UPN;
  • Obecná část konfiguračních adresářů. Sekce konfigurace obsahuje objekty, které poskytují logickou strukturu doménové struktury – konkrétně strukturu domény a topologii replikace. Objekty uložené v konfiguračním oddílu musí být replikovány mezi všemi řadiči domény ve všech doménách doménové struktury a musí používat jeden konfigurační kontejner. Konfigurační data zahrnují seznam všech domén, stromů a doménových struktur a také umístění řadičů domény a globálních katalogů. Oddíl konfiguračního adresáře také používají aplikace Active Directory, jako je Exchange Server a Share Point;
  • Společná sada hlavních operací a správců na úrovni doménové struktury. V jakékoli replikované databázi musí být určité změny provedeny pouze jednou replikou, protože je nepraktické, aby je prováděli všichni kolegové. Určitou omezenou sadu operací nelze provádět na různých místech současně, ale pouze na jednom řadiči domény nebo pouze v jedné doménové struktuře. Je volán řadič domény, který vykonává speciální role operační mistr. Je k němu přidána flexibilní role FSMO (Flexible Single-Master Operations). Služba Active Directory Domain Services obsahuje pět rolí hlavního operačního serveru, dvě pro doménovou strukturu a tři pro doménu. Role Schema Master a Domain Naming Master se konfigurují na úrovni doménové struktury. Každá doménová struktura má pouze jeden hlavní server schémat a jeden hlavní server názvů domén a v kořenové doméně doménové struktury jsou vytvořeny dvě skupiny zabezpečení s vlastními jedinečnými oprávněními. Průvodci operacemi budou podrobně rozebráni v následujícím článku;
  • Obecná konfigurace důvěryhodnosti. Všechny domény v doménové struktuře jsou automaticky nakonfigurovány tak, aby důvěřovaly všem ostatním doménám v doménové struktuře. Samostatně bude také diskutován koncept důvěry.

Při plánování podnikových doménových struktur je prvním krokem rozhodnutí, kolik doménových struktur Active Directory vytvořit. Poté musíte vybrat model lesa a v této fázi je vytvořena politika modifikace schématu, která vymezuje okruh osob, které mají oprávnění schéma spravovat, a upravuje mechanismus administrativních úprav ovlivňujících les jako celek. O tom všem se podrobně dozvíte z tohoto článku.

Definujte požadavky a oprávnění schématu doménové struktury

Než navrhnete návrh podnikové doménové struktury, musíte věnovat zvláštní pozornost produkčním požadavkům, které bude návrh doménových služeb splňovat. Adresářové služby vám umožňují navrhnout infrastrukturu, která vyhovuje týmům s různými a jedinečnými požadavky na správu. Požadavky, které mohou mít organizace při navrhování Active Directory Domain Services, zahrnují:

  • Organizační strukturální požadavky. Správné pochopení organizační struktury podniku má velký význam při navrhování struktury lesa. Pro úsporu peněz mohou určité části organizace sdílet infrastrukturu a přitom fungovat nezávisle na zbytku organizace. Jedním z těchto požadavků může být například dočasná izolace konkrétního oddělení podniku na určitou dobu, které potřebuje nainstalovat adresáře aplikací, které změní schéma Active Directory. V tomto případě, pokud taková jednotka patří do stejného lesa, ve kterém se nacházejí ostatní uživatelé organizace, může samotná organizace utrpět značné škody. Chcete-li proto shromáždit požadavky na organizační strukturu, je nejlepší začít identifikací různých hlavních skupin zabezpečení, které budou použity ve službě Active Directory Domain Services. Dále určete, které skupiny by měly pracovat odděleně od zbytku organizace. Pokud jsou takové skupiny ve vaší organizaci identifikovány, zjistěte, zda by mohly poškodit celou organizaci. Skupiny, které mají jiné požadavky než zbytek organizace, jsou obvykle umístěny v samostatných doménových strukturách;
  • Právní požadavky. Během procesu návrhu byste si také měli být vědomi zákonných požadavků, které musí organizace splňovat. V některých organizacích je v obchodní smlouvě uvedeno, že zákon vyžaduje určité provozní podmínky, jako je omezení přístupu k určitým zdrojům. Nedodržení těchto požadavků může mít za následek ukončení smlouvy a dokonce i právní kroky. Proto při navrhování konstrukce lešení, při shromažďování právních požadavků, začněte identifikací právních povinností organizace. Aby byly splněny bezpečnostní požadavky, musí některé organizace fungovat na interních, izolovaných sítích;
  • Provozní požadavky. Jakmile určíte organizační strukturální a právní požadavky, musíte začít shromažďovat provozní požadavky, které ovlivní návrh struktury lesa. Někdy existují scénáře, kdy některá část organizace ukládá jedinečná omezení na konfiguraci adresářové služby, na dostupnost nebo zabezpečení této služby nebo používá aplikace, které na adresář ukládají jedinečná omezení. Jednotlivé části organizace mohou nasazovat aplikace, které jiné části organizace nemají a které mění rozložení adresářů. Organizace, jako je armáda nebo hostingové společnosti, které poskytují hostingové služby, mohou mít jedinečné provozní požadavky. Pro stanovení provozních požadavků je nejlepší začít s inventarizací provozních skupin spolu s provozními požadavky pro každou jednotlivou skupinu;
  • Omezené požadavky na komunikaci. Konečně, identifikace jakýchkoli omezených komunikačních požadavků je důležitá pro návrh konstrukce lešení. Mnoho organizací má pobočky s izolovanými sítěmi, které mají omezenou šířku pásma. Při navrhování lesa je nejlepší začít identifikací všech skupin umístěných vzdáleně z centrály.

Po dokončení tohoto seznamu základních požadavků můžete přejít k definování oprávnění správců a vlastníků dat a služeb.

Ve službě Active Directory Domain Services existuje mnoho typů administrativních činností, včetně konfigurace dat a správy dat v adresářové službě. Ve velkých organizacích spadají role správy doménových služeb do několika kategorií. Jedním ze způsobů, jak popsat různé kategorie, je rozlišovat mezi vlastníky lesů, vlastníky a správci dat a vlastníky a správci služeb.

  • Vlastníci lesů jsou odpovědní za nábor a udržování správců služeb, takže důvěra ve vlastníka lesa znamená důvěru ve správce ve služby spravované vlastníkem lesa;
  • Vlastníci a správci dat jsou odpovědní za informace uložené ve službě Active Directory Domain Services. Vlastníci dat definují zásady a procesy pro správu dat a správci dat mají práva a oprávnění vytvářet objekty AD DS ve struktuře, kterou definují vlastníci a správci služeb.
  • Vlastníci a správci služeb jsou odpovědní za službu Domain Services a mají plnou kontrolu nad daty a službami na všech řadičích v doménové struktuře. Vlastníci služeb rozhodují o počtu doménových struktur, domén a webů potřebných ke splnění požadavků společnosti na adresářovou službu Active Directory. A na oplátku mají správci služeb následující možnosti:
    • Modifikace systémového softwaru na doménových řadičích, obcházení všech běžných bezpečnostních kontrol, umožnění prohlížení a manipulace se všemi objekty v doméně bez ohledu na to, zda jim to ACL umožňují;
    • Opravuje chyby související se seznamy řízení přístupu k objektům, což umožňuje správcům služeb číst, upravovat a odstraňovat objekty bez ohledu na to, zda to mají v seznamech řízení přístupu povoleno;
    • Resetovat hesla a změnit členství ve skupinách uživatelů;
    • Použití bezpečnostní politiky "Omezené skupiny", navržený tak, aby umožnil všem uživatelům a skupinám administrativní přístup k jakémukoli počítači připojenému k doméně, což správcům služeb umožňuje číst, upravovat a odstraňovat objekty bez ohledu na to, zda to mají povoleno v seznamech řízení přístupu;
    • Získejte přístup k jiným doménám v doménové struktuře změnou systémového softwaru na řadičích domény. Správci služeb mohou prohlížet nebo měnit data konfigurace doménové struktury, prohlížet nebo měnit data uložená v jakékoli doméně a zobrazovat nebo měnit data na libovolném počítači připojeném k doméně.

Protože toto oprávnění mají administrátoři služeb, je vhodné mít ve vaší organizaci minimální počet administrátorů služeb. Ve výchozím nastavení mají tato práva skupiny. "Administrátoři domén" v kořenovém lese, "Správci podniku" A "Správci schémat".

Vytvoření zabezpečeného lesa na základě firemních požadavků

Kromě výše uvedených požadavků je třeba určit, zda bude struktura lesa samostatná nebo izolovaná.

Správní autonomie přebírá plnou administrativní kontrolu nad některými komponentami doménové struktury na úrovni doménové struktury, domény nebo organizační jednotky. Jakmile je dosaženo autonomie, správci jsou oprávněni spravovat zdroje nezávisle. Autonomie však neznamená získání výhradní kontroly. Existují správci s větším oprávněním, kteří mohou tyto prostředky také spravovat a v případě potřeby mohou oprávnění podřízeným správcům odebírat. Logická struktura doménových služeb je navržena s jedním z následujících typů autonomie:

  • Autonomie služby. Autonomie služeb se týká schopnosti spravovat infrastrukturu bez nutnosti výhradní kontroly, to znamená, pokud skupina potřebuje provést změny v infrastruktuře, jmenném prostoru nebo schématu bez povolení vlastníka doménové struktury. Autonomii služeb mohou vyžadovat skupiny, které potřebují mít možnost řídit úroveň služby ve službách Active Directory Domain Services, nebo skupiny, které potřebují mít možnost instalovat aplikace s podporou adresářů, které vyžadují změny schématu;
  • Autonomie dat. Zahrnuje kontrolu nad všemi nebo částmi dat, která jsou uložena v adresáři nebo na členských počítačích, které jsou připojeny k doméně. Autonomie dat znamená, že skupina nebo podnik může spravovat svá vlastní data, stejně jako přijímat administrativní rozhodnutí o datech a provádět všechny nezbytné úkoly, aniž by se musel obracet na jiný orgán. Pokud není potřeba chránit konkrétní data před jinými správci v doménové struktuře, může konkrétní skupina požádat o možnost spravovat svá vlastní data, která se týkají konkrétního projektu.

Administrativní izolace zahrnuje získání výhradní kontroly nad komponentou adresáře. V případě administrativní izolace nemůže nikdo jiný než uvedení správci získat práva ke správě zdrojů a žádný správce je nemůže těchto práv zbavit. Stejně jako u administrativní autonomie je logická struktura doménových služeb navržena s jedním z následujících typů izolace:

  • Servisní izolace. Izolace služeb umožňuje správcům řídit provoz služeb, takže mohou zasahovat pouze správci, kterým byla taková oprávnění udělena. Skupiny, které vyžadují izolaci služeb, vyžadují, aby žádný správce mimo skupinu nemohl ovlivňovat provoz adresářových služeb. Pokud například vaše organizace poskytuje klientům webhostingové služby a každý klient vyžaduje izolaci služeb, aby výpadky základních služeb neovlivnily ostatní klienty;
  • Izolace dat. Izolace dat zabraňuje komukoli jinému než určeným správcům ovládat nebo prohlížet podmnožinu dat v adresáři nebo na členských počítačích připojených k doméně. Správci služeb mohou správcům dat odepřít možnost spravovat prostředky a správci dat nemohou správcům služeb odepřít přístup ke zdrojům, které spravují. Pokud tedy skupina vyžaduje izolaci dat, musí tato skupina také převzít odpovědnost za správu služeb. Jediný způsob, jak takové skupiny získat izolaci, je vytvořit pro tato data samostatnou doménovou strukturu. Například pokud finanční instituce potřebuje zajistit, aby k datům zákazníků nacházejícím se v konkrétní jurisdikci měli přístup pouze uživatelé, správci a počítače umístěné v dané jurisdikci. Vzhledem k tomu, že management plně důvěřuje správcům služeb vzdálené jurisdikce, je proto v takové instituci nutné izolovat data od správců služeb, kteří se nacházejí mimo danou jurisdikci.

Kromě těchto jednoduchých příkladů poskytuje služba Active Directory Domain Services mnoho dalších způsobů implementace administrativní autonomie a izolace. Stojí za to připomenout, že správci, kteří vyžadují pouze autonomii, musí akceptovat, že ostatní správci se stejnou nebo větší administrativní pravomocí mají stejnou nebo větší kontrolu nad správou služeb nebo dat, zatímco správci, kteří vyžadují izolaci, mají plnou kontrolu nad správou služeb nebo dat. Mnoho společností vyžaduje administrativní autonomii s relativní jistotou, že správci z jiných oddílů v doménové struktuře nebudou provádět škodlivé akce. Za zmínku také stojí, že vývoj samostatného obvodu je obecně levnější než vývoj izolovaného obvodu.

Výběr požadovaného množství lešení

Jakmile splníte všechny výše uvedené požadavky, musíte určit požadovaný počet doménových struktur pro infrastrukturu vaší organizace. Chcete-li určit, kolik doménových struktur nasadit, pochopte požadavky na autonomii a izolaci každé skupiny ve vaší organizaci a poté implementujte všechny tyto požadavky do diagramů modelu doménové struktury. Nezapomeňte, že je velmi obtížné rozdělit jeden les na dva. Při vývoji doménových struktur pro adresář Network Operating System (NOS) bude stačit použít pouze jednu doménovou strukturu. Ve většině případů se nasazení služby Active Directory Domain Services provádí v jedné doménové struktuře, protože pro mnoho společností jsou výhody sdíleného globálního katalogu, vestavěných vztahů důvěryhodnosti a sdíleného konfiguračního oddílu důležitější než úplné oddělení všech administrativních rolí. Chcete-li určit, kolik doménových struktur bude vaše organizace používat, zvažte následující situace:

  • Určete potřebu izolace nebo autonomie lesa. Potřeba izolace omezuje výběr schémat, a proto budete muset pro vaši organizaci nasadit alespoň jednu další doménovou strukturu;
  • K určení počtu lesů je třeba najít rovnováhu mezi náklady a přínosy. Model jednoho lesa je nejekonomičtější a vyžaduje nejnižší administrativní náklady. Pokud preferujete autonomní práci s administrativními službami, je ekonomičtější zvolit služby spolehlivé IT skupiny, která vám umožní spravovat data bez nákladů na správu samotné služby;
  • Dvě různé a autonomní IT organizace by neměly vlastnit stejnou doménu, protože cíle jejich IT týmů se mohou výrazně lišit, což může způsobit narušení pracovního postupu každé organizace. Některé společnosti proto nasazují samostatné doménové struktury doménových služeb v DMZ. Pro zlepšení zabezpečení vnitřní sítě nasazuje mnoho organizací v DMZ servery s přímým přístupem k internetu. Je však přijatelné používat správu uživatelů a počítačů ve službě Active Directory při zachování vnitřní izolace doménové struktury;
  • Z bezpečnostních důvodů je vhodné zajistit přístup k určitým síťovým informacím jednotlivým organizačním jednotkám při využití úplného oddělení síťových dat, kdy se informace o jedné doménové struktuře nezobrazují v jiné. Není praktické outsourcovat správu služeb, zejména pokud se jedná o nadnárodní organizaci sídlící v různých zemích nebo regionech. Protože akce některých partnerů mohou ovlivnit služby poskytované ostatními, partneři musí dodržovat smlouvu o úrovni služeb, protože tyto skupiny nelze od sebe izolovat, protože v rámci doménové struktury všechny domény používají tranzitivní vztahy důvěryhodnosti;
  • Při použití jedinečného schématu nasazení aplikací s nekompatibilními změnami schématu napříč různými odděleními v organizaci je vhodnější vytvořit samostatné doménové struktury;
  • Jednotlivé lesy jsou nasazovány i v případě, že organizační jednotka nepracuje s centralizovanou správou nebo neakceptuje centralizované administrativní postupy.

Definování modelu lesa

Po určení počtu doménových struktur v návrhu adresářové služby je vybrán jeden z následujících čtyř organizačních modelů doménové struktury:

  • Jeden model lesa;
  • Organizační model lesa;
  • Model zdrojových lesů;
  • Lesní model s omezeným přístupem.>?/li

Jeden lesní model

Tento model je nejjednodušším modelem doménové struktury a je považován za nízkoúrovňový, protože všechny objekty adresáře patří do jedné doménové struktury a všechny síťové prostředky jsou řízeny jednou centralizovanou skupinou IT. Takový projekt vyžaduje minimální administrativní náklady a je považován za nákladově nejefektivnější ze všech modelů. Model Single Forest je dobrou volbou pro malé a střední organizace, kde existuje pouze jedna IT skupina a všechny její pobočky jsou touto skupinou řízeny z centrální kanceláře.

Rýže. 1. Model jednoho lesa

Výhody Nedostatky
Možnost spolupráce. Výměna elektronických zpráv; obecný přístup k internetu; obecné dokumenty; společný mechanismus pro autentizaci, autorizaci a vyhledávání.Neschopnost poskytnout. Není možné zajistit autonomii služby v rámci jedné doménové struktury, pokud neexistuje dohoda o tom, jak je služba nakonfigurována.
ověřování Kerberos. Poskytuje vzájemné ověřování a delegování pravomocí.Nelze zajistit izolaci od vlastníků služeb. Správce organizace může přepsat nastavení zabezpečení nastavená jednotlivými vlastníky domén.
Automatické tranzitivní trusty. Přechodné vztahy důvěryhodnosti se vytvářejí mezi všemi doménami v doménové struktuře v hierarchickém pořadí.Problémy s replikací kvůli velké velikosti adresářů. Vydání informací o úrovni lesa, které mají být replikovány, zejména konfigurační data a schéma; problém replikace informací globálního katalogu na všechny servery globálního katalogu v doménové struktuře; když je informací příliš mnoho, replikace se nepřijatelně zpomaluje
Jeden globální katalog objektů. Informace pro všechny objekty doménové struktury jsou uloženy v adresáři, který lze prohledávat

Organizační model lesa

V souladu s tímto modelem je pro každé oddělení vytvořena samostatná doménová struktura Active Directory, model doménové struktury je navržen podle určitých organizačních kritérií. Tím je zajištěna autonomie a izolace dat či služeb organizačních jednotek, přičemž doménová struktura je nakonfigurována tak, že k ní není přístup zvenčí. Správci mohou udělit přístup k prostředkům v jiné doménové struktuře. V případě potřeby mohou mít jednotky důvěryhodné vztahy s jinými doménovými strukturami a sdílet zdroje. Účetní záznamy, zdroje a jejich správa jsou v tomto modelu prováděny nezávisle.

Rýže. 2. Organizační model lesa

Výhody Nedostatky
Nezávislost na majitelích služeb. Každá organizační jednotka má vlastní doménu, která zajišťuje datovou a servisní autonomii.Vysoké náklady na realizaci. Administrativně nejdražší model spojený se školením personálu údržby, instalací dalšího hardwaru a softwaru.
. Data a služby jsou zcela izolovány od vlastníka v samostatné organizační jednotce.
. Člen každé doménové struktury nemusí být automaticky ve všech trustech mezi doménovými strukturami; je posílena kontrola nad důvěryhodnými vztahy.

Tento model lze použít ve společnostech s více organizačními jednotkami, ve společnostech, kde se jednotlivé jednotky nacházejí v různých regionech, v organizacích vzniklých fúzí nebo akvizicí.

Model zdrojových lesů

Tento model umožňuje oddělením sdílet jednu doménovou strukturu spravovanou samostatnou IT skupinou, zatímco jiná oddělení mohou nasadit samostatnou doménovou strukturu pro izolaci nebo autonomii. Správa zdrojů v tomto modelu se provádí prostřednictvím samostatné doménové struktury, která neobsahuje jiné účty než ty, které jsou potřebné pro správu služeb a poskytování alternativního přístupu ke zdrojům v doménové struktuře. Pro přístup k jiným doménovým strukturám jsou mezi nimi vytvořeny vztahy důvěryhodnosti. Ve většině případů je nakonfigurován jednosměrný vztah důvěryhodnosti, i když nejsou vyloučeny obousměrné důvěryhodnosti a externí důvěryhodnosti se selektivním ověřováním. Správa uživatelských a skupinových účtů je oddělena od správy prostředků vytvořením samostatných doménových struktur pro každou funkci. Sdílené položky jsou konfigurovány na serverech v jedné nebo více doménových strukturách prostředků.

Rýže. 3. Model zdrojových lesů

Výhody Nedostatky
Snižte náklady sdílením zdrojů. Využijte výhod globálního katalogu objektů; snižují se náklady spojené s hospodařením v lesích.Vysoké náklady na realizaci
Nezávislost na majitelích služeb. Zajistěte úplnou autonomii dat organizační jednotky při nasazování nové doménové struktury.Chybí jediný globální katalog objektů. Globální katalogy nejsou replikovány napříč doménovými strukturami.
Izolace od vlastníků služeb. Zajistěte úplnou izolaci dat organizační jednotky při nasazování nové doménové struktury.Nevhodné pro rozvojové organizace. Když dojde k významné změně, mnoho doménových struktur vede k častému přesunu dat z jedné doménové struktury do druhé.
Explicitní navázání důvěry. Člen každé doménové struktury nemůže být automaticky členem všech vztahů důvěryhodnosti mezi doménovými strukturami.

Model lesa s omezeným přístupem

Tento model poskytuje variantu organizačního modelu lešení. Vytváří samostatnou doménovou strukturu pro ukládání uživatelských účtů a sdílených prostředků, izolovanou od ostatních pododdělení. Tato doménová struktura se liší od organizační struktury tím, že mezi těmito dvěma doménami nelze konfigurovat vztahy důvěryhodnosti. Poskytuje administrativní izolaci. To znamená, že uživatelské účty doménové struktury mimo doménovou strukturu nemají oprávnění ani přístup k datům v této doménové struktuře a pro přístup k omezené doménové struktuře musí používat samostatný účet. Tento model vytváří samostatnou doménovou strukturu s uživatelskými účty a daty izolovanými od zbytku organizace. Tento model lesa poskytuje izolaci dat, když dojde k porušení důvěrnosti s vážnými následky. Nedostatek důvěry znemožňuje poskytnout uživatelům jiných lesů omezený přístup k datům.

Rýže. 4. Lesní model s omezeným přístupem

Výhody Nedostatky
Kompletní izolace zdrojů. Pro ukládání uživatelských účtů a sdílených prostředků jsou vytvořeny samostatné izolované doménové struktury.Nedostatek důvěryhodných vztahů. Neschopnost poskytovat prostředky z jedné doménové struktury uživatelům jiných doménových struktur.
Administrativní izolace. Uživatelské účty mimo omezenou doménovou strukturu nemají oprávnění ani přístup k žádným datům v této doménové struktuře.Vytváření samostatných účtů. Uživatelé mají účet pro přístup ke sdíleným prostředkům a samostatný účet pro přístup k citlivým informacím a musí existovat dvě různé pracovní stanice, jedna připojená k doménové struktuře organizace a druhá připojená k omezené doménové struktuře.
Zajištění izolace dat. Eliminovat vážné následky v případě porušení důvěrnosti dat projektu.Vysoké náklady na realizaci. Náklady na správu rostou úměrně počtu vytvořených lesů díky školení personálu, dodatečnému hardwaru a softwaru.
Podpora fyzické sítě. Organizace pracující na citlivých projektech vytvářejí omezené doménové struktury v samostatných sítích, aby byla zachována bezpečnost.Žádné ověřování Kerberos mezi doménovými strukturami ve výchozím nastavení. Dvě doménové struktury nemohou ve výchozím nastavení používat Kerberos ke vzájemnému ověřování.
Chybí jediný globální katalog objektů. Globální katalogy nejsou replikovány napříč doménovými strukturami.


Oblíbené v kategorii:
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny Jak zkombinovat několik vrstev ve Photoshopu
Jak sloučit vrstvy ve Photoshopu do jedné nebo je spojit do skupiny...
číst
Přenos kontaktů do nového telefonu Android
Přenos kontaktů do nového telefonu Android
číst
Samsung Galaxy se restartuje sám – Solutions Galaxy note 4 se restartuje sám
Samsung Galaxy se sám restartuje – řešení Galaxy Note...
číst
Klíčové vlastnosti Kaspersky Rescue Disk
Klíčové vlastnosti Kaspersky Rescue Disk
číst

Nejnovější články
MacBook se nepřipojí k wifi MacBook nevidí...
číst
Jak vydělat peníze na WebMoney
číst
Tablet "Supra": recenze zákazníků
číst
Umístění lodí v reálném čase
číst
Nejlepší programy pro Android Záznam hovorů z...
číst
Odebírání nesledujících na Twitteru
číst
Připojení k internetu na notebooku: všechny možné...
číst
Samsung Galaxy S IV je nová vlajková loď...
číst
Nahoru