Принцип работы active directory: Active Directory — от теории к практике. Часть 1 — общие вопросы.
НОУ ИНТУИТ | Лекция | Описание Active Directory
Аннотация: В этой лекции рассматривается структура Active Directory, а также дается описание некоторых стратегий по структуризации базы данных Active Directory. Описывается также, как создавать запросы и использовать средства оснастки Active Directory Users and Computers для поиска информации
Active Directory (AD) — это база данных платформы Windows Server 2003. Active Directory содержит информацию о таких объектах, как сетевые учетные записи, группы, серверы и принтеры, а также другую информацию о домене. Active Directory поддерживается в Windows Server 2003 Enterprise Edition и Datacenter Edition. Active Directory нельзя установить на серверах Windows 2003 Web Edition.
Active Directory содержит иерархическую структуру для администратора, позволяющую организовывать объекты в его домене. Должное планирование структуры этого каталога позволяет администратору упростить делегирование администрирования и облегчить управление настольными системами.
Поскольку AD — это база данных LDAP (Lightweight Directory Access Protocol), вы можете реализовать запросы по объектам, содержащимся в этом каталоге. Имеются средства, с помощью которых вы можете применять фильтры к своим запросам, позволяющие сузить область поиска нужной вам информации.
В этой лекции рассматривается структура Active Directory, а также дается описание некоторых стратегий по структуризации вашей собственной базы данных Active Directory. Описывается также, как создавать запросы и использовать средства оснастки Active Directory Users and Computers для поиска информации.
Структура Active Directory
Active Directory позволяет вам использовать иерархическую структуру для организации объектов, содержащихся в вашем домене. Объектами могут быть, например, пользователи, принтеры и группы. В
«Контроллеры доменов»
описывается, как использовать DCPROMO для повышения статуса вашего рядового сервера Windows Server 2003 до уровня контроллера домена. После выполнения DCPROMO ваш сервер будет содержать установку по умолчанию Active Directory.
Оснастка Active Directory Users and Computers
Active Directory Users and Computers — это ваш интерфейс для управления объектами Active Directory, такими как пользователи, компьютеры и группы. Для просмотра вашей установки Active Directory выберите Start/Programs/Administrative Tools/ Active Directory Users and Computers (см. рис. 10.1).
Оснастка Active Directory Users and Computers выглядит аналогично Windows Explorer (Проводник). Она содержит значки папок и объектов, содержащихся в этих папках. Эти папки называются организационными единицами (OU) и контейнерами. Организационные единицы — это папки со значком книги в середине. AD поставляется с OU по умолчанию Domain Controllers (Контроллеры домена). Контейнеры — это папки, не содержащие какого-либо значка.
Рис.
10.1.
Средство управления Active Directory Users and Computers
Организационные единицы
OU — это объекты в Active Directory, которые могут определяться пользователем и к которым может применяться групповая политика. По умолчанию AD содержит OU Domain Controllers, куда включаются все контроллеры данного домена. Каждый раз, как вы запускаете DCPROMO на рядовом сервере домена, компьютерная учетная запись этого компьютера перемещается в OU Domain Controllers.
Администратор может также создавать организационные единицы (OU). Обычно OU создаются для упрощения административного управления доменом. Для создания OU выполните следующие шаги.
- Щелкните правой кнопкой на узле, для которого хотите создать OU (например, на узле домена) и выберите New/Organizational Unit (Создать/Организационная единица).
- В диалоговом окне New Object — Organizational Unit введите имя вашей OU. В данном примере используется OU Sales.
- Щелкните на кнопке OK.
- Диалоговое окно закроется, и вы увидите новую созданную OU под узлом домена.
Вы можете создавать вложенные OU, помещая их внутри этой OU, но обычно при создании структуры OU не рекомендуется создавать более 5 уровней вложенности.
Контейнеры
Контейнеры создаются системой Windows Server 2003 по различным причинам. По умолчанию создаются следующие контейнеры.
- Builtin.Содержит несколько локальных в домене групп по умолчанию (подробнее см. в
«Управление группами и организационными единицами»
). - Computers.По умолчанию при добавлении какого-либо компьютера в ваш домен учетная запись этого компьютера помещается в контейнер Computers. Вы можете в дальнейшем перемещать эти компьютерные учетные записи в созданную вами OU.
- ForeignSecurityPrincipals.Содержит прокси-объекты для вашего домена, чтобы взаимодействовать с доменом NT 4 и нижележащими доменами как со сторонними доменами вне вашего леса.
- Users.Контейнер по умолчанию для учетных записей Windows; в случае миграции из домена NT 4 здесь будут находиться ваши пользовательские учетные записи. При желании вы можете перемещать эти пользовательские учетные записи в другие OU.
Если выбрать View/Advanced Features (Вид/Дополнительно) в Active Directory Users and Computers, то вы увидите следующие дополнительные контейнеры.
- LostAndFound.Содержит объекты, которые были удалены в данном домене, если объект был перемещен в OU или контейнер, удаленный до того, как была выполнена репликация каталога.
- NTDS Quotas.В Windows Server 2003 добавлено несколько новых технологий, позволяющих задавать квоты на объекты Active Directory. В этом контейнере хранится информация о квотах служб каталога.
- Program Data.Новый контейнер, введенный в Windows Server 2003, чтобы хранить политики управления авторизацией для приложений.
- System.Содержит несколько дочерних контейнеров.
- AdminSDHolder.Используется для управления полномочиями пользовательских учетных записей, которые являются членами встроенных групп Administrators или Domain Admins.
- ComPartitionSets.Используется в разработке приложений; содержит информацию для наборов разделов COM+, что позволяет пользователям в этом домене выполнять доступ к службам приложения, которые предоставляются приложением COM+.
- Default Domain Policy.Содержит группы безопасности и полномочия по умолчанию для вашего домена.
- Dfs-Configuration.Содержит информацию по отказоустойчивой файловой системе Distributed File System (DFS). Сведения по DFS см. в
«Управление файлами и дисками»
. - DomainUpdates.Здесь создаются контейнеры, если у вас выполнена модернизация из Windows NT или Windows 2000 в Windows Server 2003.
- File Replication Service.Содержит информацию по планированию репликации System Volume (SYSVOL) для вашего домена.
- FileLinks.Используется службой Distributed Link Tracking для отслеживания информации по файлам, которые были перемещены на другие тома NTFS.
- IP Security.Содержит политики IPSec для вашего домена, которые обеспечивают защищенный сетевой обмен информацией между компьютерами.
- Meetings.Используется для хранения информации, относящейся к собраниям Microsoft NetMeeting.
- MicrosoftDNS.В этом контейнере хранятся интегрированные с Active Directory зоны DNS. Здесь сохраняются записи всех зон, которые затем реплицируются на другие серверы DNS для той же зоны DNS в данном домене. Подробнее об интегрированных с Active Directory зонах DNS см. в
«Ознакомление с DNS»
. - Policies.Содержит объекты Group Policy (GPO) для вашего домена. Подробнее об объектах GPO см. в
«Использование Group Policy для управления клиентскими и серверными машинами»
. - RAS and IAS Servers Access Check.Содержит информацию по службам Remote Access Services (RAS) и Internet Authentication Services (IAS) для вашего домена.
- RpcServices.Служба Remote Procedure Call Name Service для поиска в доменах для систем, предшествовавших Windows 2000.
- Winsock Services.В этом контейнере публикуются основанные на применении сокетов службы, которые используют протокол Registration and Resolution Protocol.
- WMIPolicy.Содержит объекты GPO Windows Management Instrumentation (WMI) для вашего домена. Фильтры WMI применяются только к Windows XP и последующим версиям.
Объекты Active Directory
Еще одним элементом, содержащимся в Active Directory, являются объекты. Объекты размещаются внутри организационных единиц и контейнеров Active Directory. Вы можете помещать объекты в определенной OU и определять групповую политику по этой OU, чтобы упрощать задачи администрирования или управлять компьютерной средой. К примерам объектов можно отнести принтеры, пользовательские учетные записи, компьютерные учетные записи и группы безопасности.
LDAP и Active Directory
Active Directory можно запрашивать с помощью протокола LDAP (Lightweight Directory Access Protocol), который поддерживается несколькими платформами. LDAP указывает путь именования, определяющий любой объект Active Directory, OU или контейнер. В этом разделе описываются пути именования, используемые для доступа к Active Directory.
Отличительные имена
Каждый объект в Active Directory имеет свое отличительное имя (DN — distinguished name). DN определяет полный путь LDAP для доступа к определенному объекту Active Directory. Любое DN содержит следующие атрибуты пути.
- Доменный компонент (DC — Domain Component).Используется для определения компонента DNS-имени объекта Active Directory.
- Организационная единица (OU).Организационная единица.
- Общее имя (CN — Common Name).Объект, отличный от DC или OU; например, CN можно использовать для определения компьютерной или пользовательской учетной записи.
Ниже приводится пример того, как выглядит DN для организационной единицы Domain Controllers в Active Directory для вымышленного домена company.com:
OU=Domain Controllers, DC=company,DC=dom
Так что же описывает это DN? Глядя на него, вы можете сказать, что организационная единица Domain Controllers находится в домене company.com.
В качестве еще одно примера предположим, что у вас имеется структура OU Sales в домене company.com. Внутри OU Sales находится еще одна OU с именем West. Внутри OU West у вас имеется учетная запись с именем Mary Smith. Для доступа к этой учетной записи используется следующее DN:
CN=Mary Smith,OU=West,OU=Sales, DC=company,DC=dom
Как видно из этих примеров, описание DN дается снизу вверх по пути в Active Directory, начиная с объекта и вплоть до корня домена.
Относительные отличительные имена
Относительное отличительное имя (relative distinguished name) в пути LDAP содержит информацию об объекте Active Directory в контексте текущего рассматриваемого пути. Если взять предыдущий пример получения объекта с помощью отличительного имени (DN) для пользовательской учетной записи Mary Smith, то DN описывалось как
CN=Mary Smith,OU=West,OU=Sales, DC=company,DC=dom
Относительное отличительное имя для этого объекта
Как установить и настроить Active Directory
Active Directory («Активный каталог», AD) — службы каталогов корпорации Microsoft для операционных систем Windows Server. Первоначально создавалась как LDAP-совместимая реализация службы каталогов, однако, начиная с Windows Server 2008, включает возможности интеграции с другими службами авторизации, выполняя для них интегрирующую и объединяющую роль. Позволяет администраторам использовать групповые политики для обеспечения единообразия настройки пользовательской рабочей среды, разворачивать программное обеспечение на множестве компьютеров через групповые политики или посредством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компьютерах в сети, используя Службу обновления Windows Server. Хранит данные и настройки среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от нескольких десятков до нескольких миллионов объектов.
Задача: Развернуть сервер с ролью контроллера домена на виртуальной машине.
Шаг 1 — Подготовка и требования к оборудованию
Основные минимальные требования к аппаратному и программному обеспечению:
- Наличие хотя бы одного узла (аппаратного или виртуального) под управлением MS Windows Server
- 64-битный процессор с тактовой частотой не менее 1.4 Ггц
- ОЗУ не менее 512 МБ
- Системный диск не менее 40 ГБ
Тестовый стенд представляет из себя виртуальную машину под управлением MS Windows Server 2016 Standard, развернутую на сервере с ролью Hyper-V.
Шаг 2 — Установка и настройка контроллера домена
- Необходимо зайти на сервер под учетной записью локального администратора. В связи с тем, что на сервер помимо роли Active Directory Domain Services будет установлена служба DNS, нам нужно изменить настройки сетевого интерфейса на ВМ, указав в поле первичного DNS сервера ip-адрес нашего шлюза по умолчанию.
Рисунок 1 — Настройка сетевого интерфейса
- Далее нам необходимо открыть консоль Диспетчера серверов и нажать на пункт Добавить роли и компоненты.
Рисунок 2 — Главная страница консоли диспетчера серверов
- В следующем окне нам необходимо выбрать пункт Установка ролей или компонентов и нажать на Далее.
Рисунок 3 — Мастер добавления ролей и компонентов. Выбор типа установки
- В данном окне выбираем наш сервер, на котором будет поднята роль Контроллера Домена и нажимаем Далее.
Рисунок 4 — Мастер добавления ролей и компонентов. Выбор целевого сервера
- На данном этапе кликаем по чекбоксу с наименованием Доменные службы Active Directory.
Рисунок 5 — Мастер добавления ролей и компонентов. Выбор ролей сервера
- В появившемся окне нажимаем на кнопку Добавить компоненты и пропускаем окна выбора компонентов и описания AD DS по нажатию кнопки Далее.
Рисунок 6 — Мастер добавления ролей и компонентов. Выбор служб ролей или компонентов
- Прожимаем чекбокс в котором написано Автоматический перезапуск сервера, если потребуется и нажимаем на кнопку установить.
Рисунок 7 — Мастер добавления ролей и компонентов. Подтверждение установки компонентов
- На экране будет отображен ход установки выбранных нами ролей. По завершению установки нажимаем на ссылку Повысить роль этого сервера до контроллера домена.
Рисунок 8 — Мастер добавления ролей и компонентов. Ход установки
- В окне Мастер настройки доменных служб Active Directory Выбираем опцию Добавить новый лес и указываем имя корневого домена.
Рисунок 9 — Мастер настройки доменных служб Active Directory. Конфигурация
- В пункте Параметры контроллера домена необходимо указать функциональный уровень домена и леса AD. Выбираем схему соответствующую редакции нашего сервера. Так как на данном сервере будет поднята роль DNS сервера нужно прожать следующие чекбоксы и указать пароль администратора для входа в DSRN режим.
Рисунок 10 — Мастер настройки доменных служб Active Directory. Параметры контроллера домена
- Наш сервер будет первым DNS сервером в лесу, поэтому мы не настраиваем делегацию DNS. Нажимаем Далее.
Рисунок 11 — Мастер настройки доменных служб Active Directory. Параметры DNS
- В следующем окне оставляем NETBIOS имя домена без изменений и нажимаем Далее.
- Указываем расположение баз данных AD DS, файлов журналов и папки SYSVOL. После выбора нажимаем Далее.
Рисунок 12 — Мастер настройки доменных служб Active Directory. Пути
- На экране просмотра параметров будет отображен список всех выбранных нами настроек. Нажимаем Далее, проходим предварительную проверку и нажимаем Установить.
Рисунок 13 — Мастер настройки доменных служб Active Directory. Проверка предварительных требований
- После завершения процесса установки сервер автоматически перезагрузится. Теперь мы можем войти на сервер под учетной записью домена.
Базовая установка и настройка контроллера домена завершена. Если вам нужна помощь по настройке Active Directory и любым ИТ-задачам, свяжитесь с нами любым удобным способом.
Что такое Active Directory (Актив Директори)? Коротко о структуре и архитектуре хранилища Active Directory объектов в сети
В статье кратко представлена информация о структуре и архитектуре Active Directory, терминология и основные компоненты.
Термины
В таблице приведена терминология Active Directory.
Сервер | Компьютер, выполняющий определённые роли в домене |
Контроллер домена | Сервер, хранящий каталог и обслуживающий запросы пользователей к каталогу. Помимо хранения данных контроллер домена может выступать в качестве одной из FSMO-ролей |
Домен | Минимальная структурная единица организации Active Directory (может состоять из пользователей, компьютеров, принтеров, прочих общих ресурсов) |
Дерево доменов | Иерархическая система доменов, имеющая единый корень (корневой домен) |
Лес доменов | Множество деревьев доменов, находящихся в различных формах доверительных отношений |
Что такое AD?
Системные администраторы используют технологию Active Directory в Windows Server для хранения и организации объектов в сети в иерархическую защищенную логическую структуру, например пользователей, компьютеров или других физических ресурсов.
Лес и домен составляют основу логической структуры. Домены могут быть структурированы в лесу, чтобы обеспечить независимость данных и сервисов (но не изоляцию) и оптимизацию репликации. Разделение логических и физических структур улучшает управляемость системы и снижает административные затраты, потому что на логическую структуру не влияют изменения в физическом устройстве. Логическая структура позволяет контролировать доступ к данным, т.е. вы можете использовать логическую структуру для контроля доступа к различным блокам данных.
Данные, хранящиеся в Active Directory, могут поступать из разных источников. С большим количеством различных источников данных и множеством различных типов данных Active Directory должен использовать некоторый стандартизованный механизм хранения, чтобы поддерживать целостность хранящейся информации.
В Active Directory объекты используют каталоги для хранения информации, все объекты определены в схеме. Определения объектов содержат информацию, такую как тип данных и синтаксис, которую каталог использует, чтобы гарантировать достоверность хранения.Никакие данные не могут быть сохранены в каталоге, пока они не определены в схеме. Схема по умолчанию содержит все определения и описания объектов, которые необходимы для корректной работы Active Directory.
Когда вы имеете доступ к каталогу через логическую структуру, состоящую из таких элементов, как домены и леса, сам каталог реализуется через физическую структуру, состоящую из базы данных, которая хранится на всех контроллерах домена в лесу.
Хранилище Active Directory обрабатывает весь доступ к БД. Хранилище данных состоит из служб и физических файлов, которые управляют правами доступа, процессами чтения и записи данных внутри базы данных на жестком диске каждого контроллера.
Структура и архитектура хранилища Active Directory
Структура и архитектура хранилища Active Directory состоит из четырех частей:
Домены и леса
Леса, домены и организационные единицы (OU) составляют основные элементы логической структуры Active Directory. Лес определяет единый каталог и представляет границу безопасности. Леса содержат домены.
DNS
DNS обеспечивает разрешение имен в иерархической архитектуре, которую может использовать Active Directory.
Схема (Schema)
Схема содержит определения объектов, которые используются для создания объектов, хранящихся в каталоге.
Хранилище данных (Data Store)
Хранилище данных — это часть каталога, который управляет хранением и извлечением данных на каждом контроллере домена.
Более подробная информация находится на сайте разработчика Microsoft.
P. S. Другие инструкции:
Поделиться в соцсетях:
Спасибо за Вашу оценку!
К сожалению, проголосовать не получилось. Попробуйте позже
ru
191014
Санкт-Петербург
ул. Кирочная, 9
+7(812)313-88-33
235
70
1cloud ltd
2018-12-07
Структура хранилища Active Directory
191014
Санкт-Петербург
ул. Кирочная, 9
+7(812)313-88-33
235
70
1cloud ltd
2018-12-07
Структура хранилища Active Directory
600
auto
Инструменты для администрирования Active Directory
Чтобы создать единую систему, которая объединяет все объекты сети, часто задействуют Active Directory. Но для максимально эффективного использования ей нужно правильно управлять. Сегодня для этого применяют различные инструменты, работать с которыми должен уметь любой системный администратор.
Active Directory Users and Computers
Пожалуй, это самая важная оснастка в структуре доменных служб. С ее помощью создают учетные записи и полностью ими управляют, меняют пароли и сбрасывают их. Помимо этого, можно задавать и просматривать атрибуты объектов. Эта служба позволяет создавать организационные подразделения OU, чтобы давать отдельным пользователям права доступа. Если требуется просмотреть список объектов, достаточно выбрать нужную OU.
Active Directory Administrative Center
Эта оснастка полностью основана на технологии командной строки PowerShell. Она удобная, гибкая и понятная. Здесь также работают с учетными записями, группами безопасности и организационными подразделениями. В конце работы получаются готовые команды. Все они сохраняются в истории, чтобы потом можно было легко их посмотреть, что-то добавить и повторить. Это делают, например, для автоматизации процесса.
Active Directory Domains and Trusts
Когда в структуре леса создают домен, доверие устанавливается автоматически. Если же нужно объединить два домена разных организаций, между ними с помощью данного инструмента выстраивают доверительные отношения. Вообще, его используют достаточно редко. Существует 4 вида доверительных отношений:
Сначала настраивают DNS, а уже потом создают доверие. Это делается в свойствах записи.
Active Directory Sites and Services
Этот инструмент также называют консоль управления AD – сайты и службы. Такую оснастку полезно использовать, когда вносят изменения на одном контроллере, а нужно, чтобы они быстро отобразились на других. Для этого наводят мышь на объект подключения, нажимают правую кнопку и выбирают пункт «Replicate Now». По умолчанию, когда контроллеры домена работают в единой локальной сети, они реплицируются каждые 15 минут. Это время можно настраивать.
Schema Active Directory
По умолчанию эта оснастка отключена. Дело в том, что при внесении ошибочных изменений может потребоваться восстановление домена из резервной копии. Ведь со схемой работают все домены, которые находятся в пределах леса. Включить эту утилиту можно, если выполнить команду regsvr32 schmmgmt.dll. Но делать это следует только при крайней необходимости.
Active Directory Replication Status Tool
Этот инструмент администрирования проверяет состояние репликации, а потом указывает на ошибки в приоритетном порядке. Это значительно упрощает работу. Хотя сама утилита не позволяет исправлять ошибки, а только дает рекомендации по их устранению.
Active Directory Explorer
С помощью этой утилиты очень удобно перемещаться по базе данных AD. Можно просматривать атрибуты объектов без открытия окна свойств. Помимо этого, ADExplorer позволяет сохранять поисковые запросы, чтобы потом их повторить. Если нужно сравнить изменения, используют снимки экранов, или снапшоты. По ним можно перемещаться так же, как и по обычной базе данных.
Active Directory Insight
Это утилита для мониторинга. Ее используют, для того чтобы отслеживать связи между клиентом и сервером. Если будет замечена ошибка, ее можно легко устранить. Этому инструменту не требуются административные разрешения, чтобы отследить все команды. Он перехватывает даже те из них, которые не переходят на сервер.
Active Directory Attribute Editor
Как следует из названия, этот графический инструмент отвечает за редактирование атрибутов объектов. С его помощью можно просматривать и менять основные значения, недоступные в консоли ADUC, удобным и понятным способом.
LDP.exe
Это средство используют для управления службами каталогов протокола LDAP. Можно одновременно запустить несколько экземпляров AD LDS, каждый из которых будет работать со своей независимой схемой.
Утилиты командной строки
Существует несколько инструментов, которые можно вызвать через командную строку:
-
DSADD позволяет создавать различные объекты; -
DSGET показывает информацию об их свойствах; -
DSMOD нужен для внесения изменений в свойства; -
DSMOVE используется для перемещения элементов; -
DSQUERY производит поиск; -
DSRM удаляет объекты.
Но самым главным можно считать Repadmin. Ведь именно с помощью этого инструмента можно вовремя найти и даже исправить ошибки в репликации.
Подводим итоги
Итак, для того чтобы управлять Active Directory, используют разные инструменты, обладающие определенным функционалом. Знание возможностей каждого из них при работе с Active Directory позволит быстро и эффективно вести администрирование системы по всем направлениям.
Разбираемся с типами групп Active Directory. Как создать новую группу в AD?
Группа Active Directory – это совокупность объектов в Active Directory. В группу могут входить пользователи, компьютеры, другие группы и другие объекты AD. Администратор управляет группой как одним объектом. В Active Directory существует 7 типов групп: две группы с тремя областями действий в каждой и локальная группа безопасности. В этой статье мы расскажем о различных типах групп Active Directory, отличиях между областями действия групп и покажем, как создавать в AD новые группы с помощью графической консоли «Active Directory пользователи и компьютеры» и с помощью командной строки PowerShell.
Типы групп Active Directory
В AD существует два типа групп:
- Группа безопасности – этот тип группы используется для предоставления доступа к ресурсам. Например, вы хотите предоставить определенной группе доступ к файлам в сетевой папке. Для этого нужно создать группу безопасности.
- Группа распространения – данный тип групп используется для создания групп почтовых рассылок (как правило используется при установке Microsoft Exchange Server). Письмо, отправленное на такую группу, дойдет всем пользователям группы. Это тип группы нельзя использовать для предоставления доступа к ресурсам домена.
Совет. Несмотря на то, группе безопасности можно также можно присвоить почтовые атрибуты и выполнять на нее почтовые рассылки, делать это не рекомендуется.
Для каждого типа группы существует три области действия:
- Локальная в домене — используется для управления разрешениями доступа к ресурсам (файлам, папкам и другим типам ресурсам) только того домена, где она была создана. Локальную группу нельзя использовать в других доменах (однако в локальную группу могут входить пользователи другого домена). Локальная группа может входить в другую локальную группу, но не может входить в глобальную.
- Глобальная группа – данная группа может использоваться для предоставления доступа к ресурсам другого домена. В эту группу можно добавить только учетные записи из того же домена, в котором создана группа. Глобальная группа может входить в другие глобальные и локальные группы.
- Универсальная группа — рекомендуется использовать в лесах из множества доменов. С помощью нее можно определять роли и управлять ресурсами, которые распределены на нескольких доменах. В том случае, если в вашей сети имеется много филиалов, связанных медленными WAN каналами, желательно использовать универсальные группы только для редко изменяющихся групп. Т.к. изменение универсальной группы вызывает необходимость репликации глобального каталога во всем предприятии.
Отдельно выделяют локальные группы. Эти группы создаются в локальной базе данных диспетчера безопасности учетных записей (SAM) только одного компьютера. В отличии от доменных групп, локальные группы работают даже в случае недоступности контролеров домена.
Создаем группу с помощью оснастки ADUC
Самый простой способ создать группу – воспользоваться графической консолью Active Directory — Пользователи и компьютеры (dsa.msc). Перейдите в OU, в котором вы хотите создать группу, щелкните по нему ПКМ и выберите Создать -> Группа.
Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.
Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.
Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.
Как создать группу Active Directory с помощью PowerShell
Для создания групп Active Directory используется командлет PowerShell New-ADGroup (из модуля Active Directory for Windows PowerShell).
Тип группы, группа безопасности (Security) или распространения (Distribution), указывается с помощью аргумента –GroupCategory. Область действия группы указывается с помощью параметра GroupScope (допустимые значения DomainLocal, Global, Universal).
Чтобы создать новую группу глобальную групп распространения в указанном OU, вы можете использовать команду
New-ADGroup -Path "OU=Groups,OU=Kaluga,DC=vmblog,DC=ru" -Name "KalugaUsers" -GroupScope Global -GroupCategory Distribution
Теперь создадим новую группу безопасности:
New-ADGroup –Name RemoteKalugaUsers -GroupScope Universal -GroupCategory Security -Path «OU=Groups,OU=Kauga,DC=vmblog,DC=ru»
Теперь можно добавить пользователей в эту группу с помощью командлета Add-ADGroupMember:
Add-ADGroupMember RemoteKalugaUsers -Members aaivanov,aaivanov2,vppetrov
Вывести состав список пользователей в группе и сохранить его в csv файл можно так.
Обзор оснастки «Active Directory — сайты и службы»
Можно использовать оснастку «Active Directory — сайты и службы» для управления объектами, относящимися к сайтам, которые служат для внедрения топологии межсайтовой репликации. Эти объекты хранятся в контейнере «Сайты» в доменных службах Active Directory.
Примечание | |
Также оснастку «Active Directory — сайты и службы» можно использовать для администрирования репликации данных каталогов между всеми сайтами в наборе конфигурации служб облегченного доступа к каталогам Active Directory.
|
Кроме того, оснастка «Active Directory — сайты и службы» содержит представление контейнера «Службы», которое можно использовать для просмотра объектов, относящихся к службам, опубликованным в доменных службах Active Directory.
В следующих разделах приводятся подробные сведения об управлении сайтами и публикации служб в доменных служб Active Directory:
Управление сайтами
В физической сети сайт представляет собой набор компьютеров, которые соединены между собой по высокоскоростной сети, например по локальной сети. Как правило, все компьютеры в одном физическом сайте располагаются в одном здании или в группе соседних зданий.
В доменных службах Active Directory объект сайта представляет аспекты физического местоположения, которыми можно управлять, например репликацией данных каталога между контроллерами домена. Можно использовать оснастку «Active Directory — сайты и службы» для управления объектами, представляющими сайты, и серверами, находящимися в этих сайтах.
Объекты сайтов и соответствующие им объекты реплицируются на все контроллеры домена в лесу доменных служб Active Directory. С помощью оснастки «Active Directory — сайты и службы» можно управлять следующими объектами:
Сайты
Объекты сайтов размещаются в контейнере «Сайты». С помощью объектов сайтов можно выполнять следующие задачи:
-
создание новых сайтов; -
делегирование управления сайтам с помощью групповой политики и разрешений.
В каждом сайте имеется объектов параметров NTDS сайта. Этот объект определяет генератор межсайтовой топологии. Генератор межсайтовой топологии — это контроллер домена в сайте, который создает объекты соединений с контроллеров домена в других сайтах. Также он служит для выполнения дополнительных задач по управлению репликацией.
Дополнительные сведения о сайтах и объекте параметров NTDS сайта см. в разделе Общее представление о сайтах, подсетях и связях сайтов.
Подсети
Объекты подсетей указывают на диапазоны IP-адресов в сайте. С помощью объектов подсетей можно выполнять следующие задачи:
-
создание новых подсетей; -
сопоставление подсетей с сайтами; -
предоставление местоположения для сайта, которое может быть использоваться для функциональной возможности групповой политики отслеживания расположения принтеров.
Дополнительные сведения о подсетях см. в разделе Общее представление о сайтах, подсетях и связях сайтов.
Серверы
Объекты сервера создаются автоматически при добавлении роли сервера доменных служб Active Directory. Серверы представляют собой контроллеры домена в топологии репликации.
С помощью объектов серверов можно выполнять следующие задачи:
-
Определять контроллеры домена, которые будут работать как предпочитаемые серверы-плацдармы. Можно использовать предпочитаемые серверы-плацдармы для управления межсайтовой репликацией, чтобы она происходила только между теми контроллерами, домена, которые были указаны, тем самым исключая контроллеры домена, которые не смогут эффективно обрабатывать трафик межсайтовой репликации. -
Перемещение серверов между сайтами. Если новый сайт уже создан и установлены контроллеры домена, имеющие IP-адреса, которые уже сопоставлены новому сайту, можно переместить контроллеры домена в новый сайт.
Параметры NTDS
Каждый объект сервера содержит объект параметров NTDS, который представляет контроллер домена в системе репликации. Объект параметров NTDS сохраняет объекты соединения, что способствует репликации между несколькими контроллерами домена.
С помощью объектов параметров NTDS можно выполнять следующие задачи:
-
Создание топологии репликации. Команда Check Replication Topology для объекта параметров NTDS приводит к запуску генератора межсайтовой топологии для проверки всех подключений между контроллерами домена и добавления или удаления всех необходимых подключений. -
Включение или отключение глобального каталога не сервере. При включении глобального каталога контроллер домена реплицирует доступные только для чтения разделы каталога, которые в совокупности составляют глобальный каталог леса.
Дополнительные сведения о глобальном каталоге см. в разделе Общее представление о глобальном каталоге.
Подключения
Партнеры репликации серверов в сайте определяются по объектам соединения. Репликация происходит в одном направлении. Объект соединения для сервера содержит сведения о другом сервере, который содержит исходные данные по отношению к первому серверу. В объектах соединений хранятся расписания, с помощью которых управляется репликация в сайте. По умолчанию они автоматически опрашивают партнера репликации каждый час на наличие новых изменений. При межсайтовой репликации объекты соединения получают расписание от объекта связи сайтов. Управлять расписаниями на объектах соединения необязательно. Объекты соединения создаются в системе репликации автоматически.
С помощью объектов соединения можно выполнять следующие задачи:
-
Определения партнерства репликации для серверов в сайте -
Принудительная репликация по подключению, если не следует ожидать запланированной репликации или если необходимо проверить репликацию по подключению
Связи сайтов
Связи сайтов представляют направление репликации между сайтами. Можно управлять межсайтовой репликацией путем настройки свойств сайта: в какие периоды времени может происходить репликация, как часто должна выполняться репликация в определенный период времени, какие предпочитаемые маршруты должны использоваться между двумя сайтами.
С помощью объектов связи сайтов можно выполнять следующие задачи:
-
добавление и удаление сайтов, использующих связь сайтов; -
настройка стоимости репликации по определенной связи, что определяет вероятность выполнения репликации по этой связи сайтов при наличии нескольких маршрутов достижения конечного сайта; -
настройка расписания связи сайтов, что определяет часы и дни, в которых репликация по этой связи сайтов будет доступной; -
настройка интервала репликации, что определяет, как часто будет выполняться репликация по этой связи сайтов, если будет доступна.
Дополнительные сведения об использовании связи сайтов см. в разделе Планирование репликации между сайтами.
Межсайтовые транспорты по протоколам IP и SMTP
При репликации используются вызовы удаленных процедур по транспорту IP или SMTP. Можно использовать протокол SMTP для отправки данные репликации посредством электронной почты в тех средах, где связь по глобальным сетям недоступна. В этом случае репликация будет происходить в соответствии с расписанием обмена сообщениями, а не по расписанию связи сайтов. По умолчанию при межсайтовой репликации используется транспорт по протоколу IP для доставки пакетов репликации. Можно использовать контейнеры транспорта по протоколу IP и SMTP для выполнения следующих задач:
-
Создание связей сайтов. Можно добавлять связи сайтов в топологию репликации по необходимости, чтобы включать новые сайты. -
Создание мостов связей. Связи сайтов соединены подключением типа мост в доменных службах Active Directory по умолчанию, в большинстве развертываний необходимость в них отсутствует.
Дополнительные сведения о межсайтовом транспорте см. в разделе Планирование репликации между сайтами.
Публикация служб
Некоторые службы, такие как службы сертификатов, очередь сообщений и Exchange Server, при установке автоматически публикуют сведения в контейнере «Сайты» в доменных службах Active Directory. Другие службы могут быть опубликованы в каталоге с помощью программируемых интерфейсов.
В оснастке «Active Directory — сайты и службы» опубликованные объекты, относящиеся к службам, отражаются в узле «Службы». Этот узел по умолчанию не виден. Чтобы просмотреть этот узел, откройте оснастку «Active Directory — сайты и службы», затем в меню Просмотреть щелкните Показать узел служб.
Объекты в узле «Службы» оснастки «Active Directory — сайты и службы» публикуются для использования соответствующими администраторами приложений. По этой причине сведения об этих объектах доступны в документации по службе или приложению.
Дополнительные сведения о публикации служб в доменных службах Active Directory см. в разделе (https://go.microsoft.com/fwlink/?LinkId=86230) (может быть на английском языке).
Дополнительные ссылки
Как работает проверка подлинности Active Directory? — Технический блог
Связь между Дейвом и сервером A происходит в открытой сети, что означает наличие других подключенных систем. Сэм — пользователь, подключенный к той же сети, в которой находится Дэйв. Он знает о связи между Дэйвом и Сервером A. Он интересуется обменом данными между ними и хотел бы получить их в свои руки. Он начинает прослушивать трафик между этими двумя хостами, чтобы узнать секрет, который они используют. Как только он его находит, он начинает общаться с сервером A и говорит, что он Дэйв, а также предоставляет секрет 1234.На стороне сервера A он не видит разницы между сообщениями от Дэйва и Сэма, поскольку оба предоставляют правильный секрет.
Kerberos решил эту проблему, используя общий симметричный криптографический ключ вместо секретов. Он использует один и тот же ключ для шифрования и дешифрования. Имя Керберос произошло от трехглавого сильного пса в греческой мифологии. Как трехголовый пес, протокол Kerberos состоит из трех основных компонентов.
Этот доверенный центр называется Центр распространения ключей (KDC) .Прежде чем мы подробно рассмотрим Kerberos, лучше понять, как работает типичный обмен ключами.
, если мы вернемся к нашему сценарию, теперь у нас есть KDC. Вместо того, чтобы напрямую связываться с сервером A, теперь Дэйв переходит к KDC и говорит, что ему нужен доступ к серверу A. Теперь ему нужен симметричный ключ для начала связи с сервером A. Этот ключ должен использоваться только Дейвом и сервером A. KDC принимает запрос и генерирует ключ (Key D + S), а затем передает его Дейву и серверу A. На первый взгляд это кажется довольно простым, но с точки зрения сервера есть несколько проблем.Чтобы принять соединение от Дэйва, ему необходимо знать Key D + S , поэтому ему необходимо хранить этот ключ на сервере A. Мы рассматриваем здесь только одно соединение. Но если есть сотня подключений, необходимо хранить все необходимые ключи. Это потребует ресурсов для сервера A. Однако фактическая работа протокола Kerberos более эффективна, чем это.
В среде Active Directory KDC устанавливается как часть контроллера домена. KDC выполняет две основные функции.
1) Служба аутентификации (AS)
2) Служба выдачи билетов (TGS)
Например, когда Дэйв входит в систему, ему необходимо доказать KDC, что он в точности тот же человек, которым себя называет. Когда он входит в систему, он отправляет свое имя пользователя в KDC вместе с « долговременным ключом ». долгосрочный ключ генерируется на основе пароля Дэйва. Клиент Kerberos на ПК Дэйва принимает его пароль и генерирует криптографический ключ. KDC также хранит копию этого ключа в своей базе данных.Как только KDC получает запрос, он проверяет свое имя пользователя и долгосрочный ключ со своими записями. Если все в порядке, KDC ответит Дейву сеансовым ключом . Это называется Ticket Granting Ticket (TGT) . TGT содержит две вещи,
1) Копия сеансового ключа, который KDC использует для связи с Дейвом. Он зашифрован долгосрочным ключом KDC.
2) Копия сеансового ключа, который Дэйв может использовать для связи с KDC. Он зашифрован долгосрочным ключом Дейва, поэтому только Дейв может его расшифровать.
Как только Дейв получит этот ключ, он сможет использовать его долгосрочный ключ для расшифровки сеансового ключа. После этого все дальнейшее общение с KDC будет основываться на этом сеансовом ключе. Этот сеансовый ключ является временным и имеет значение TTL (время жизни).
Этот сеансовый ключ сохраняется в энергозависимой памяти компьютера Дэйва. Пришло время запросить доступ к серверу A. Дэйву нужно снова связаться с KDC, но на этот раз он использует сеансовый ключ, предоставленный KDC. Этот запрос включал TGT, временную метку, зашифрованную сеансовым ключом, и идентификатор службы (служба, работающая на сервере A).Как только KDC получает его, он использует свой долгосрочный ключ для расшифровки TGT и получения сеансового ключа. затем, используя ключ сеанса, он расшифровывает метку времени. Если его изменение длится менее 5 минут, это доказывает, что оно пришло от Дейва, и это не тот же запрос, что и в предыдущий раз. Как только KDC подтверждает как законный запрос, он создает другой билет, который называется сервисным билетом . Он содержит два ключа. Один для Дейва и один для Сервера A. Оба ключа включали имя запрашивающей стороны (Дэйв), получателя, отметку времени, значение TTL, новый сеансовый ключ (который будет совместно использоваться Дэйвом и Сервером A).один из них зашифрован с использованием долгосрочного ключа Дэйва. другой ключ зашифрован с использованием долгосрочного ключа Сервера А. в конце оба вместе зашифрованы с использованием сеансового ключа между KDC и Дейвом. Наконец, билет готов и отправляем Дэйву. Дэйв расшифрует билет с помощью сеансового ключа. он также нашел ключ « его » и расшифровал его, используя свой долгосрочный ключ. он обнаруживает новый сеансовый ключ, который должен быть разделен между ним и сервером A. Затем он создает новый запрос, включающий ключ сервера A, полученный из билета службы, временную метку, зашифрованную с использованием нового сеансового ключа, созданного KDC.Как только Дэйв отправляет его на сервер A, он расшифровывает свой ключ, используя свой долгосрочный ключ, и получает сеансовый ключ. Используя сеансовый ключ, он может расшифровать временную метку, чтобы проверить подлинность запроса. Как мы видим, в этом процессе сервер A не отвечает за отслеживание использования ключа клиентом, а его клиент — за хранение соответствующих ключей.
Давайте продолжим и резюмируем, что мы узнали об аутентификации Kerberos,
1) Дэйв отправляет имя пользователя и его долгосрочный ключ в KDC (контроллер домена).
2) KDC, проверяет имя пользователя и долгосрочный ключ со своей базой данных и проверяет личность. Затем он генерирует TGT (Ticket Granting Ticket). Он включает копию сеансового ключа, который KDC использует для связи с Дейвом. Он зашифрован долгосрочным ключом KDC. Он также включает копию сеансового ключа, который Дэйв может использовать для связи с KDC.
3) Ответ Дэйву с TGT.
4) Дэйв расшифровывает свой ключ, используя свой долгосрочный ключ, и получает сеансовый ключ.Его система создает новый запрос, включающий TGT, временную метку, зашифрованную с помощью сеансового ключа, и идентификатор службы. Как только запрос сформирован, он отправляется в KDC.
5) KDC использует свой долгосрочный ключ для расшифровки TGT и получения сеансового ключа. затем сеансовый ключ можно использовать для расшифровки отметки времени. Затем он создает служебный билет. Этот билет включает в себя два ключа. Один для сервера A и один для Дэйва. Ключ Дейва зашифрован с использованием его долгосрочного ключа, а ключ сервера A зашифрован с использованием долгосрочного ключа сервера A.В конце оба зашифрованы с использованием сеансового ключа, используемого KDC и Дейвом.
6) Отправляет сервисный талон Дэйву.
7) Дэйв расшифровывает билет, используя сеансовый ключ, и получает его ключ. Затем он расшифровывает его, чтобы получить новый ключ, который можно использовать для установления соединения с сервером A. В конце он создает еще один запрос, включая ключ сервера A (который был создан на шаге 5), метку времени, которая зашифрована сеансовым ключом, который расшифровал Дейв ранее на этом этапе.Когда все будет готово, система отправит его на сервер A.
8) Сервер A расшифрует его ключ, используя его долгосрочный ключ, и получит сеансовый ключ. затем с ее помощью сервер A может расшифровать отметку времени, чтобы проверить подлинность запроса. Когда все становится зеленым, это разрешает соединение между Дейвом и Сервером A.
Есть еще несколько вещей, которые необходимо выполнить для завершения вышеуказанного процесса.
• Возможности подключения — Сервер, клиент и KDC должны иметь надежное соединение между собой для обработки запросов и ответов.
• DNS — клиенты используют DNS для обнаружения KDC и серверов. Там для работы требуются DNS с правильными записями.
• Синхронизация времени — Как мы видим, процесс использует временную метку для проверки подлинности запросов. Допускается разница во времени не более 5 минут. Там для этого должна быть точная синхронизация времени с PDC или другим источником времени.
• Имена принципа службы (SPN) — клиенты используют SPN для поиска служб в среде AD.Если для служб нет SPN, клиенты и KDC не могут найти их, когда это необходимо. При настройке служб не забудьте также настроить SPN.
Это знаменует конец этого сообщения в блоге. Если у вас есть какие-либо вопросы, не стесняйтесь обращаться ко мне по адресу [email protected] , а также подписывайтесь на меня в Twitter @rebeladm , чтобы получать обновления о новых сообщениях в блоге.
Что такое Active Directory и как она работает?
Активный каталог — это служба, предоставляемая Microsoft, которая хранит информацию об элементах в сети, поэтому информация может быть легко доступна для определенных пользователей через процесс входа в систему и сетевых администраторов.Используя Active Directory, можно просматривать всю серию сетевых объектов из одной точки и получать общее иерархическое представление сети.
Как работает Active Directory
Active Directory выполняет множество задач, включая предоставление информации об объектах, таких как оборудование и принтеры, а также об услугах для конечных пользователей в сети, таких как веб-почта и другие приложения.
- Сетевые объекты: Сетевые объекты — это все, что связано с сетью, например, принтер, приложения конечного пользователя и приложения безопасности, которые реализованы администратором сети.Сетевые объекты также могут содержать дополнительные объекты в своей файловой структуре, которые идентифицируются по имени папки. Каждый объект имеет свою уникальную идентификацию с помощью конкретной информации, содержащейся в объекте.
- Схемы: Поскольку каждый сетевой объект имеет свою собственную идентификацию, которая также известна как схема характеристики, тип идентификации является определяющим фактором того, как каждый объект будет использоваться в сети.
- Иерархия: Иерархическая структура определяет, как каждый объект может быть просмотрен в иерархии, которая состоит из трех разных уровней, которые известны как лес, дерево и домен, причем лес является самым высоким уровнем, который позволяет сетевому администратору увидеть все объекты в активном каталоге. Деревья — это второй уровень иерархии, каждый из которых может содержать несколько доменов.
Как используется Active Directory
Active Directory используются сетевыми администраторами для упрощения процессов обслуживания сети в большой организации.Вместо того, чтобы выполнять обновления вручную, сетевой администратор может обновить один объект за один процесс.
Active Directory также используются сетевыми администраторами, чтобы разрешить или запретить доступ к определенному приложению конечным пользователем через деревья в сети. Кроме того, они используются для организации и обслуживания большой сети без необходимости выполнять каждую задачу через отдельный процесс.
Поскольку Active Directory поддерживает распределенные сетевые среды, они могут быть чрезвычайно сложными и требовать сетевого администратора, который хорошо разбирается в технологиях этого типа.Однако без Active Directory для крупной организации было бы очень сложно эффективно хранить информацию и данные в большой сети.
Active Directory: концепции, часть 1 — статьи TechNet — США (английский)
Active Directory (AD) — это структура, используемая на компьютерах и серверах под управлением операционной системы (ОС) Microsoft Windows. AD используется для хранения информации о сети, домене и пользователях и изначально был создан Microsoft в 1996 году.Впервые он был развернут в Microsoft
Windows 2000. Активные каталоги предоставляют ряд функций, включая предоставление информации об объектах, оптимизированных для быстрого доступа и / или поиска.
Хранилище данных Active Directory (каталог) — это база данных, в которой хранится вся информация каталога, такая как информация о пользователях, компьютере, группах, других объектах и объектах, к которым пользователи могут получить доступ. Он также включает другие сетевые компоненты. Active Directory
хранилище данных хранится на жестком диске сервера с помощью Ntds.dit файл. Файл должен храниться на диске, отформатированном в файловой системе NTFS. Файл Ntds.dit помещается в папку Ntds корневого каталога системы. Когда в каталог вносятся изменения,
эти изменения сохраняются в файле Ntds.dit. Поскольку все данные в Active Directory хранятся в одном распределенном хранилище данных, доступность данных улучшается. Централизованное хранилище данных означает меньше дублирования и требует меньше администрирования.
Поскольку контроллеры домена управляют доменами, каждый контроллер домена в домене размещает копию каталога Active Directory для записи.Это означает, что если один контроллер домена недоступен, пользователи, компьютеры и программы по-прежнему могут получить доступ к Active
Хранилище данных каталога размещено на другом контроллере домена в конкретном домене. Когда изменения вносятся в хранилище данных на одном контроллере домена, эти изменения реплицируются на остальные контроллеры домена в домене. Из-за активного
Репликация каталогов, контроллеры домена в домене остаются синхронизированными друг с другом. Репликация Active Directory происходит автоматически.Реплицируются только данные домена, данные конфигурации и данные схемы.
Active Directory действует как база данных специального назначения для компьютеров Windows. Система не предназначена для замены реестра Windows, скорее, она предназначена для управления большим количеством операций чтения и поиска, а также изменений и обновлений. Данные
хранящиеся в Active Directory, предназначены для репликации, иерархии и расширения. Поскольку данные реплицируются, они не считаются полезными для динамической информации, такой как статистика производительности процессора.Соответствующая информация, которая обычно хранится в AD
включает контактные данные пользователя, информацию об очереди печати и данные о конфигурации конкретного компьютера или сети. Информация, хранящаяся в AD, имеет формат объектов и атрибутов, определенных в схеме AD.
Active Directory используется администраторами компьютеров для управления пакетами программного обеспечения, файлами и учетными записями конечных пользователей в организациях среднего и крупного размера. Вместо посещения каждого компьютера-клиента для обновления нового программного обеспечения или установки Windows
патчей, задачи могут быть выполнены путем обновления одного объекта, расположенного в лесу или дереве AD.Аналогичным образом AD дает сетевому администратору возможность предоставлять или удалять доступ на уровне пользователя для одного или нескольких приложений или файловых структур.
Два типа «доверительных отношений», которые включены в Microsoft Active Directory, — это односторонние нетранзитивные и транзитивные доверительные отношения. В транзитивных трастах доверие распространяется за пределы двух доменов в заданном дереве. В этом случае два объекта могут получить доступ к доменам друг друга.
и деревья.
При одном способе транзитивного доверия пользователю предоставляется доступ к другому домену или дереву; однако другой домен не может разрешить доступ к другим доменам.Этот набор разрешений аналогичен классическому случаю администратора и конечного пользователя. В этом случае администратор может видеть
большинство деревьев в лесу должны включать домен конечного пользователя. Конечный пользователь; однако не может получить доступ к другим деревьям за пределами своего домена.
Активные каталоги в основном используются для организации компьютерных сетей и данных крупных организаций или корпораций. Они помогают значительно сэкономить время и деньги, избавляя от необходимости посещать каждый компьютер отдельно для выполнения планового обслуживания и обновлений.Хотя кривая обучения работе с Active Directory является значительной, при правильной эксплуатации они могут привести к более эффективной работе в большой сети.
Не вся информация, хранящаяся в Active Directory, размещается в одном месте. Active Directory имеет три основных раздела или контекста именования. К ним относятся: схема, домен и конфигурация.
Раздел домена состоит из таких типов объектов, как контакты, пользователи, группы, компьютеры и организационные единицы.Он содержит информацию о домене, такую как пользователи и ресурсы в домене.
Раздел конфигурации содержит информацию о структуре Active Directory, такую как конфигурация доменов, деревьев доменов и лесов.
Раздел схемы хранит информацию о классах объектов и атрибутах.
Информацию Active Directory можно просматривать на одном из трех уровней, включая леса, деревья или домены. Представление леса включает все объекты в каталоге, древовидные структуры будут содержать один или несколько доменов, а представления нижнего уровня предназначены для отдельных доменов.Например, в крупной компании или организации будут десятки или сотни пользователей и процессов. Представление леса будет состоять из всей сети пользователей и компьютеров в определенном месте. В лесу будут деревья, содержащие информацию
о данных программы, контроллерах домена и другой соответствующей информации. Каждое из этих деревьев будет затем содержать данные о конкретных объектах, включая отдельные домены, которые можно контролировать и категоризировать.
Структуры
Active Directory сгруппированы в две основные или широкие категории: ресурсы и участники безопасности.Ресурсы обычно представляют собой ресурсы принтера или сетевого оборудования, в то время как участники безопасности относятся к учетным записям компьютеров или группам и назначаются уникальным образом.
идентификаторы безопасности (SID).
Вся информация о пользователях, группах, компьютерах, серверах и политиках безопасности в Active Directory организована и распределена по различным объектам Active Directory. Объект Active Directory можно определить как группу атрибутов, представляющих ресурс.
в сети. Каждый объект имеет уникальное имя или уникальный идентификатор, называемый характерным именем.Объекты также могут содержать другие объекты. Эти объекты известны как контейнеры. В консоли «Active Directory — пользователи и компьютеры» созданы типы объектов по умолчанию.
в новом домене в Active Directory:
Домен, организационная единица, пользователь, компьютер, контакт, группа, общая папка и общий принтер
Как работает репликация в Active Directory?
Active Directory использует «вытягивающую» систему для получения изменений с сервера. Средство проверки согласованности знаний Microsoft (KCC) создает топологию репликации связей сайтов, которая использует определенные сайты для управления трафиком.Внутрисайтовая репликация происходит автоматически
после получения уведомления об изменении. Это действие запускает одноранговые узлы для запуска циклов репликации. Межсайтовая репликация в AD происходит реже и по умолчанию не использует уведомления об изменениях, но может быть изменена администратором для этого.
Active Directory использует удаленные вызовы процедур (RPC) с использованием Интернет-протокола (IP) (RPC / IP). SMTP можно использовать для межсайтовой репликации; однако только для изменения NC схемы, конфигурации или частичного набора атрибутов.Вариант репликации SMTP
не может использоваться для раздела Домена по умолчанию. Программный интерфейс для AD доступен через интерфейс Microsoft COM, предоставляемый интерфейсом службы Active Directory.
Продолжение …..
Концепции Active Directory, часть 2
Как работает контроль доступа в доменных службах Active Directory — приложения Win32
- 2 минуты на чтение
В этой статье
Контроль доступа к объектам в доменных службах Active Directory основан на моделях контроля доступа Windows NT и Windows 2000.Для получения дополнительной информации и подробного описания этой модели и ее компонентов, таких как дескрипторы безопасности, маркеры доступа, SID, ACL и ACE, см. Модель управления доступом.
Права доступа к ресурсам в доменных службах Active Directory обычно предоставляются с помощью записи управления доступом (ACE). ACE определяет разрешение доступа или аудита к объекту для определенного пользователя или группы. Список управления доступом (ACL) — это упорядоченный набор записей управления доступом, определенных для объекта.Дескриптор безопасности поддерживает свойства и методы, которые создают списки ACL и управляют ими. Дополнительные сведения о моделях безопасности см. В разделе «Безопасность» или в разделе « Windows 2000 Server Resource Kit ». (Этот ресурс может быть недоступен для некоторых языков, стран или регионов.)
Базовая схема модели безопасности:
- Дескриптор безопасности. Каждый объект каталога имеет свой собственный дескриптор безопасности, который содержит данные безопасности, которые защищают объект. Дескриптор безопасности может содержать дискреционный список управления доступом (DACL).DACL содержит список ACE. Каждый ACE предоставляет или запрещает набор прав доступа пользователю или группе. Права доступа соответствуют операциям, таким как чтение и запись свойств, которые могут быть выполнены с объектом.
- Контекст безопасности. При доступе к объекту каталога приложение указывает учетные данные участника безопасности, который делает попытку доступа. При аутентификации эти учетные данные определяют контекст безопасности приложения, который включает членство в группах и привилегии, связанные с участником безопасности.Дополнительные сведения о контекстах безопасности см. В разделе Контексты безопасности и доменные службы Active Directory.
- Проверка доступа. Система предоставляет доступ к объекту только в том случае, если дескриптор безопасности объекта предоставляет необходимые права доступа участнику безопасности, пытающемуся выполнить операцию (или группам, к которым принадлежит участник безопасности).
В следующей таблице перечислены интерфейсы ADSI, используемые для управления функциями управления доступом доменных служб Active Directory.
Как работает AD RMS | Документы Microsoft
- Читать 9 минут
В этой статье
Применимо к: Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows Server 2012
Служба
Active Directory Rights Management Services (AD RMS) включает в себя все серверные и клиентские технологии, которые необходимы для поддержки защиты информации посредством использования управления правами в организации.
При использовании инфраструктуры AD RMS вы можете защитить информацию в своей организации с помощью следующих клиентских и серверных компонентов для публикации и использования защищенного правами контента.
Клиенты AD RMS, которые запрашивают лицензии и обеспечивают защиту назначенных прав на уровне документа для файлов и сообщений.
Серверы AD RMS, которые управляют службами сертификации, лицензирования и публикации учетных записей, использующих Active Directory, а также помогают клиентам в обнаружении этих служб.
Примечание
AD RMS — это название того, что изначально было представлено как отдельный выпуск под названием Rights Management Services (RMS) 1.0, который впервые был выпущен Microsoft в 2005 году для серверной платформы Windows Server 2003.
Как работают клиенты AD RMS
При публикации контента клиенты AD RMS запрашивают и приобретают новые лицензии для защиты контента в соответствии с правами на использование и условиями, которые вы как издатель выбираете, чтобы разрешить контент, который вы хотите защитить.
Когда документ создается и выбирается защита прав, клиент AD RMS получает сертификат лицензиара клиента (CLC), который позволяет ему защищать контент. Затем он использует этот CLC для шифрования документа, создания и подписания лицензии на публикацию (PL), а затем связывает копию PL с зашифрованным контентом. Это помогает лучше защитить контент от неправомерного использования, даже если он передается другим лицам в вашей организации или даже другим лицам за пределами вашей организации.
Когда другие получают контент, защищенный правами, для доступа к нему и его использования им сначала нужно будет использовать приложение с поддержкой прав (например, Microsoft Office), чтобы запросить и получить лицензию конечного пользователя на контент.Чтобы получить лицензию для конечного пользователя, клиент AD RMS должен сначала определить, соответствует ли получатель содержимого какой-либо политике, изложенной в лицензии на публикацию, которая использовалась для защиты содержимого. Если клиент AD RMS определяет, что пользователь имеет право на доступ к контенту, клиент AD RMS гарантирует, что пользователь соблюдает условия, указанные в лицензии на конечное использование, которые могут ограничивать определенные действия. Это гарантирует, что документы защищены так, как задумано авторами и издателями, и будут использоваться только получателями в соответствии с назначенными политиками прав.
Как работают серверы AD RMS
Серверы
AD RMS реализованы как набор компонентов веб-служб, которые работают в Microsoft Internet Information Services (IIS) и работают вместе с Microsoft SQL Server и доменными службами Active Directory (AD DS).
Различные компоненты, составляющие сервер AD RMS, перечислены в следующей таблице.
Серверный компонент | Описание |
---|---|
Веб-служба администрирования | На компьютере-сервере AD RMS размещена эта веб-служба, которая используется для управления AD RMS с помощью консоли администрирования AD RMS или команд Windows PowerShell для AD RMS. |
Аттестация счетов | Серверы AD RMS создают сертификаты учетных записей прав (RAC), которые связывают пользователей с определенными компьютерами. |
Лицензирование | Серверы AD RMS выдают лицензии конечным пользователям. Лицензия конечного пользователя позволяет клиентским приложениям AD RMS получать доступ к защищенному контенту в рамках пользовательских ограничений, установленных издателем контента. |
Издательское дело | AD RMS также создают сертификаты лицензиара клиента, которые позволяют издателям контента определять политики, которые могут быть перечислены в лицензии конечного пользователя. |
Предварительная сертификация | Позволяет серверу запрашивать сертификат учетной записи с правами от имени пользователя, чтобы Exchange мог предварительно лицензировать контент для пользователей Outlook. |
Сервисный локатор | Предоставляет URL-адрес служб сертификации, лицензирования и публикации учетных записей в Active Directory, чтобы они могли быть обнаружены клиентами AD RMS. |
В кластере AD RMS все серверы AD RMS относятся к одному из двух типов.
Корневые серверы сертификации. Эту роль берет на себя первый сервер AD RMS в лесу Active Directory. В каждом лесу Active Directory может быть только один корневой сервер сертификации.
Серверы лицензирования. Это роль, которую берут на себя любые дополнительные или вторичные серверы AD RMS, добавленные для предоставления независимых параметров политики определенным группам в лесу Active Directory.
Дополнительные сведения о том, как серверы работают в инфраструктуре AD RMS, см. В разделе Конфигурация сервера для инфраструктуры AD RMS.
Работа с шаблонами в AD RMS
Чтобы упростить назначение и управление защитой прав для контента, можно использовать шаблоны политик прав. Шаблоны политики прав могут помочь вам определить область действия и создать определенный набор прав, которые вы можете применять или перенаправлять так часто, как это необходимо для защиты контента. Например, можно создать шаблон и назвать его «Конфиденциально компании», который, если он применяется для защиты документа, позволит сотрудникам только просматривать документ, но не пересылать, копировать или сохранять его.
Шаблоны политик прав, которые используются в AD RMS, хранятся и становятся доступными с сервера AD RMS для клиентских компьютеров с помощью следующего рабочего процесса развертывания в качестве примера:
Боб — администратор, который решает создать новый шаблон политики прав, который клиенты будут использовать для защиты контента. Он использует консоль AD RMS для создания шаблона, который хранится в базе данных конфигурации AD RMS. (Благодаря необязательной настройке кластер AD RMS также поддерживает копию всех шаблонов политики прав в папке, указанной Бобом.)
Боб настроил групповую политику, чтобы разрешить всем корпоративным настольным компьютерам использовать автоматическое распространение шаблона политики прав AD RMS. Он также изменил настройку частоты обновления, чтобы клиентские компьютеры AD RMS запрашивали конвейер распространения шаблонов и обновляли свои шаблоны в течение следующих 5 дней.
Примечание
Боб мог также использовать System Center Configuration Manager или вручную скопировать шаблоны на клиентские компьютеры в качестве альтернативы использованию групповой политики.
После того, как клиентские компьютеры AD RMS запросили конвейер шаблонов и обновили свою локальную кэшированную папку шаблонов AD RMS с новым шаблоном политики, пользователи могут выбрать его и применить шаблон к любым новым документам, которые они хотят создать и защитить с его помощью.
По умолчанию новые шаблоны политик прав распространяются на все клиенты AD RMS, но, начиная с Windows Server® 2008, администраторы имеют возможность с помощью консоли AD RMS контролировать, архивируются ли шаблоны или остаются активно распространяемыми для использования.Если шаблон заархивирован, он не распространяется среди клиентов, но кластер AD RMS по-прежнему сможет создавать лицензии конечных пользователей для защищенного правами контента, для которого лицензия на публикацию сгенерирована из этого шаблона. Шаблоны обычно не следует удалять, поскольку любое содержимое, защищенное шаблоном, больше не будет доступно, если шаблон будет удален из конфигурации AD RMS.
Дополнительные сведения о шаблонах см. В разделе Шаблоны политики AD RMS.
Упрощенный вид AD RMS в действии
Следующие разделы помогут вам продемонстрировать, как работает AD RMS, поскольку процесс публикации, совместного использования и использования защищенного правами документа происходит сначала внутри одной организации, а затем — между двумя разными организациями.
Как работает AD RMS в организации
Клиент и сервер AD RMS могут использоваться в вашей организации для защиты содержимого путем назначения защиты прав при его публикации и предоставлении доступа другим пользователям. В этом разделе обсуждается, как базовая инфраструктура службы AD RMS (которая включает сервер AD RMS, компьютер SQL Server, на котором размещены базы данных AD RMS и контроллеры домена Active Directory) может использоваться для поддержки защиты прав.
Фон
Терри Адамс — старший инженер-технолог, который последние четыре недели работал на производственном предприятии Contoso Pharmaceuticals в Редмонде, штат Вашингтон.Все это время Терри наблюдал за работой производственной линии и в частном порядке встречался с сотрудниками предприятия.
Терри завершил обзор процесса, и его менеджер, Дайан Маргхейм, попросила передать конфиденциальную копию своего отчета руководителю завода Лоле Якобсон. Чтобы обеспечить конфиденциальность отчета, Дайан попросила Терри применить защиту прав к его отчетному документу после того, как он закончит писать его в Microsoft Word, прежде чем пересылать его Лоле, чтобы она могла предварительно просмотреть его для комментариев, прежде чем он будет передан исполнительное руководство.
На следующем рисунке мы видим, как AD RMS работает с использованием серверов и клиентов для поддержки этого пользовательского сценария. Терри — автор информации, работающий на своем корпоративном компьютере и использующий Microsoft Word для создания и подготовки своего отчета.
Терри выбирает вариант защиты документа, который позволяет ему выбирать людей и уровень доступа этих людей к его содержимому. Он предоставляет доступ только для чтения Лоле как получателю информации для документа.Это позволит Лоле просмотреть отчет, но лишит ее возможности изменить, скопировать или распечатать документ.
Когда Терри применяет свои ограничения доступа, клиент AD RMS запускает и инициирует сервисный запрос от его имени к серверу Contoso AD RMS.
Сервер AD RMS для Contoso возвращает сертификат лицензиара клиента клиенту AD RMS, установленному на рабочем столе Терри, что позволяет ему сохранять документ в зашифрованном виде с желаемым уровнем защиты прав.
Терри затем прикрепляет документ Word с защищенным правами и отправляет Лоле по электронной почте.
Лола получает электронное письмо Терри и сохраняет прикрепленный документ на свой локальный рабочий стол, а затем открывает его. Когда она это делает, клиент AD RMS, работающий на ее рабочем столе, связывается с сервером Contoso AD RMS для получения лицензии конечного пользователя.
Клиент AD RMS на рабочем столе Лолы получает обратно лицензию конечного пользователя, которая указывает, что ей разрешено просматривать документ.Затем клиент AD RMS расшифровывает документ и применяет соответствующие ограничения, позволяющие Лоле получить доступ к содержимому в соответствии с разрешениями доступа, которые ей назначил Терри.
Как AD RMS работает между организациями
Хотя клиенты и серверы AD RMS могут использоваться в рамках одной организации или леса Active Directory для защиты контента, вы также можете с помощью некоторых дополнительных конфигураций разрешить защиту опубликованного контента в пределах организаций или лесов.
Чтобы использовать AD RMS в пределах организации и леса, необходимо установить уровень доверия между организациями или лесами. Это может произойти несколькими способами:
На самом базовом уровне доверенные домены пользователей (TUD) могут помочь AD RMS обрабатывать запросы от пользователей, расположенных в лесах Active Directory. Простая связь TUD между двумя кластерами AD RMS может быть установлена быстро и может быть легким и недорогим методом управления доверием AD RMS между двумя отдельными организациями.Для получения дополнительной информации см. Надежные домены пользователей.
Там, где есть необходимость в приобретении лицензий из кластера RMS для контента, защищенного с помощью другого кластера RMS, доверенные домены публикации (TPD) предлагают еще одно средство обеспечения межсерверного доверия, которое выходит за рамки возможностей TUD. Этот вариант редко используется в организациях. Для получения дополнительной информации см. Надежные домены публикации.
Для организаций, которые вложили средства в возможности федеративной идентификации служб федерации Active Directory (AD FS), вы также можете использовать возможности существующих федеративных доверительных отношений, чтобы заставить AD RMS работать через границы леса.Дополнительные сведения см. В разделах Службы федерации Active Directory с AD RMS и Федерация AD RMS.
Более подробное представление о том, как AD RMS работает в разных подразделениях организации, см. В разделе Совместное использование документов с внешними организациями.
21 эффективные советы по управлению Active Directory
Это наиболее полный онлайн-список советов по управлению Active Directory.
В этой статье я поделюсь своими советами по дизайну, соглашениям об именах, автоматизации, очистке AD, мониторингу, проверке Active Directory Health и многому другому.
Проверьте это:
1. Организуйте свою Active Directory
Если у вас нет хорошего дизайна организационного подразделения (OU) Active Directory, у вас будут проблемы.
Во-первых, я быстро объясню три основные причины, по которым хороший дизайн организационной единицы так важен.
Причина № 1 Групповые политики
Хорошая структура подразделения значительно упростит реализацию групповых политик и управление ими. Я заметил резкое уменьшение количества проблем с правильным дизайном организационной единицы.
Причина № 2 Полномочия делегата
Требуется ли вашей службе поддержки сбрасывать пароли, добавлять и удалять компьютеры из домена? Вам нужны не администраторы для управления группами? Нужен ли HR доступ для обновления учетных записей пользователей?
Обязательно наличие возможности делегировать права на детальном уровне и проводить аудит этих прав.
Правильный дизайн OU позволит вам легко делегировать разрешения на детальном уровне.
Причина №3 Административные задачи
Изменение учетных записей пользователей, использование запросов LDAP, создание отчетов и массовые изменения — все это обычные административные задачи. Если в Active Directory возникнет беспорядок, эти простые повседневные задачи могут стать трудными для всей команды.
Теперь, когда я объяснил, почему дизайн OU так важен, позвольте мне показать вам мои советы по созданию хорошего дизайна OU.
Совет по дизайну №1: отдельные пользователи и компьютеры
Не объединяйте пользователей и компьютеры в одну и ту же организационную единицу — это лучшая практика Microsoft.
Вместо этого создайте новое подразделение для пользователей и подразделение для компьютеров.
Затем создайте дочерние подразделения для каждого отдела.
Сделайте это как для компьютеров, так и для пользователей.
Затем я создам OU для определенных функций или группировки похожих объектов. Вот несколько примеров, которые я использую:
- Компьютеры для конференц-залов
- VDI (виртуальные рабочие столы)
- Тестовые ЭВМ
- Общие счета
- Учетные записи служб
Я создам организационную единицу для каждой из этих функций.
Вот и все для организации пользователей и компьютеров.
Это очень просто, гибко и легко ориентироваться.
Рекомендуется: пакет управления системой SolarWinds (БЕСПЛАТНАЯ 30-дневная пробная версия)
Systems Management Bundle — это идеальное решение для мониторинга виртуальных серверов, приложений, хранилищ и мониторинга производительности сети.
Получите мгновенную визуализацию всех ваших систем, чтобы помочь вам быстро диагностировать и устранять проблемы с производительностью.Мониторинг инфраструктуры для локальных и облачных технологий.
Что мне больше всего нравится в SolarWinds, так это его быстрая и простая установка, а также легкие для понимания панели управления.
Вот один пример, демонстрирующий гибкость этой конструкции.
У меня есть политика домена, которая блокирует компьютеры после 15 минут бездействия.
Это стало проблемой для компьютеров в конференц-залах, пользователи обучали или проводили презентации, а экран продолжал блокироваться.
Чтобы исправить это, я просто создал вспомогательное подразделение под названием «компьютеры конференц-зала» и переместил затронутые компьютеры в это подразделение. Я создал новый объект групповой политики, который изменил время блокировки до 60 минут, и применил его к этому новому подразделению.
Теперь эти компьютеры по-прежнему наследуют политики от своих родителей при применении новой политики тайм-аута.
Совет по дизайну № 2: Создайте OU для групп безопасности
Сначала я помещаю группы безопасности в папки отделов.
В то время это имело смысл.
НО… .Я ошибся
Произошло то, что у меня были группы, не связанные с отделом. Куда они деваются?
Они оказывались в разных местах, и тогда их никто не мог найти.
Чтобы исправить этот беспорядок, я создал группу только для групп безопасности.
Так же, как пользователи и компьютеры, я могу создавать дочерние подразделения, чтобы сгруппировать подразделения или функциональные группы вместе.
Это отлично работает, я точно знаю, где находятся все группы, и могу организовать их как захочу с помощью дополнительных подразделений.
Совет по дизайну № 3: Создайте OU для серверов
Вы хотите, чтобы ваши серверы находились в собственном OU. У вас будут групповые политики, которые нужно применять только к серверам, а не к рабочим станциям, и наоборот. Я также могу создавать вспомогательные подразделения для группировки определенных серверов для любых нужд.
Теперь я могу применять политики ко всем серверам или к конкретным.
Поддерживая организацию Active Directory, все администраторы будут знать, как легко находить объекты. У меня есть возможность применять групповые политики, делегировать управление и администрировать объекты.
2. Используйте стандартное соглашение об именах
Независимо от того, большая у вас организация, вам необходимо стандартизировать именование объектов Active Directory.
Вот мои советы по правильному соглашению об именах.
Пользователи
Самый популярный вариант — имя пользователя + имя.
В качестве примера я возьму «Джо Смит».
Имя пользователя будет: jsmith
Следующий популярный вариант — полное имя + фамилия (используйте специальный символ для разделения имени).
Имя пользователя будет: joe.smith
Оба метода работают хорошо и удобны для пользователя. Единственная проблема, с которой вы можете столкнуться, — это дублирование имен пользователей.
Чтобы исправить это, просто добавьте инициал в середине.
Например, у меня есть Джо Смит, затем у меня появляется новый сотрудник по имени Джейн Смит. Имя пользователя для Джейн будет таким же, как у Джо, поэтому мне нужно использовать инициалы Джейн в середине.
Начальная буква Джейн в середине — A, поэтому имя пользователя будет jasmith. или jane.a.smith
Я бы избегал соглашений об именах, которые обрезают имена или включают числа.Это слишком сбивает с толку всех.
Группы
Вот мой шаблон для создания групп.
Отдел или группа + ресурс + Разрешения
Позвольте мне разобрать это
- Отдел или группа — Вы можете использовать полное название отдела или аббревиатуру. В некоторых случаях это может быть не конкретный отдел, это могут быть пользователи из разных отделов, поэтому просто придумайте название для этой группы.
- Ресурс — он должен определять, для чего используется группа, это может быть одно слово или несколько слов (отдельные слова с дефисом)
- Префикс группы: когда вы создаете группу, вы должны выбрать тип группы, я использую префикс, чтобы определить, какую группу я использую.
- Локальный домен = L
- Глобальный = G
- Универсальный = U
- Permissions — разрешения, которые вы будете применять к ресурсу.
- R = Только чтение
- RW = чтение, запись
Вот несколько примеров
Пример 1. Персоналу службы поддержки нужны права для сброса паролей.
Имя группы безопасности будет: Helpdesk-PasswordReset-G
Пример 2 — отделу кадров требуется заблокировать папку обучения
Имя группы безопасности: HR-Training-Folder-G-RW
Пример 3 — Отдел продаж хочет заблокировать общий календарь
Имя группы безопасности: Sales-Shared-Calendar-G-RW
После того, как я переименовал все свои группы в соответствии с этим соглашением об именах, поиск и использование их стало намного проще.
Компьютеры, серверы и другие объекты AD
Для большинства других объектов я следую этому соглашению об именах:
Тип + код отдела или местоположения + актив №
- Тип
- Вт = рабочая станция
- L = Ноутбук
- P = принтер
- S = Сервер
- V = VDI или виртуальная машина
- Отдел: используйте две буквы благодарности для отделов или используйте код местоположения
- HR = Человеческие ресурсы
- MR = Маркетинг
- SA = Продажи
Вот несколько примеров
Рабочее место в ИТ-отделе актив № 1234
W-IT-1234
Ноутбук в активе отдела кадров № 1235
L-HR-1235
Принтер в отделе продаж актив № 1233
P-SA-1233
Создайте четкое соглашение об именах, которому может следовать вся команда, и я говорю не только о пользователях и компьютерах.Создайте соглашение об именах для всех объектов
3. Мониторинг Active Directory с помощью дополнительных инструментов
Active Directory — это сердце сети, если она перестает работать, все остальное умирает.
Я знаю, что БЕСПЛАТНЫЕ инструменты — это здорово (я использую их много), но когда доходит до мониторинга, я полагаюсь на профессиональные инструменты.
Почему?
Это серьезно экономит мне время и предоставляет другим ИТ-специалистам удобные для чтения метрики серверов и приложений.
Вот несколько фаворитов:
SolarWinds Server & Application Monitor — мне нравится этот инструмент, поскольку он позволяет мне контролировать любое приложение на любом сервере.Контролирует все компоненты и службы, которые запускают Active Directory. Если в Active Directory возникают проблемы или они работают медленно, эта программа быстро обнаружит проблему.
SolarWinds Network Performance Monitor — отличный инструмент для мониторинга сети, пропускной способности, ЦП, памяти и многих других показателей на любом устройстве, поддерживающем SNMP.
Netfort Languardian — это программа глубокой проверки пакетов, которая отслеживает активность сети и пользователей. Хотя его можно рассматривать как сетевой инструмент, у него множество вариантов использования.Я могу узнать, кто удалил файл, отслеживать DNS, находить серверы Rouge DNS, отслеживать пропускную способность серверов и активного каталога и многое другое.
ManageEngine Audit Plus — обеспечивает аудит Active Directory в реальном времени. Отслеживайте изменения в объектах AD, активности пользователей, DNS, GPO и многом другом.
На рынке есть множество профессиональных инструментов, я рекомендую вам поискать и найти то, что лучше всего соответствует вашим потребностям.
4. Используйте основные серверы (если возможно)
Ядро сервера
занимает меньше места, оно более безопасно и не требует такого количества обновлений.
Бонусная выгода меньше перезагрузок!
Сначала я был скептически настроен, когда Microsoft сказала, что это предпочтительный вариант установки. Но после запуска основных серверов в течение нескольких лет они КАЧАЮТСЯ. Они стабильны, и у них действительно меньше обновлений.
К сожалению, они работают не во всех ситуациях.
Не все сторонние приложения поддерживают главные серверы.
Они отлично работают с серверами Windows, такими как контроллеры домена, DHCP, DNS.
Итак, устанавливайте главные серверы, когда сможете, и пользуйтесь преимуществами.
Вот красивая таблица, в которой суммированы преимущества ядра сервера
https://msdn.microsoft.com/en-us/library/hh846314(v=vs.85).aspx
5. Узнайте, как проверить работоспособность AD
Проблемы с контроллерами домена, DNS и репликацией могут вызвать всевозможные проблемы.
Вот несколько быстрых советов по проверке работоспособности Active Directory.
Использование dcdiag для проверки контроллеров домена
Dcdiag — это инструмент командной строки, который анализирует состояние контроллеров домена в лесу или на предприятии и сообщает о любых проблемах.Он встроен в большинство серверных операционных систем Windows, а также включен, если у вас установлена роль ADDS или ADLDS.
Используйте следующую команду для анализа состояния контроллеров домена.
dcdiag / s: имя сервера / a
Это запустит несколько тестов различных компонентов и служб, работающих на контроллере домена.
Вы получите провал по любому не пройденному тесту.
Используйте dcdiag для проверки DNS
Используйте команду ниже для проверки DNS
dcdiag / тест: DNS / с: имя сервера
На скриншоте видно, что тест обнаружил некоторые проблемы с моим dns
Просматривая тесты, мне не хватает некоторых записей A и SRV DNS
Используйте repadmin для проверки репликации
Используйте следующую команду для проверки репликации между контроллерами домена.
repadmin / showrepl
6. Используйте группы безопасности для применения разрешений к ресурсам
НЕ используйте отдельные учетные записи для применения разрешений на ресурсы (принтеры, общие папки, приложения, календарь и т. Д.).
Вместо этого используйте группы безопасности.
Это значительно упрощает добавление и удаление пользователей к ресурсам. Это также помогает с отчетностью и аудитом.
После того, как группы будут настроены для ресурсов, вам не нужно каждый раз переходить к каждому ресурсу для изменения доступа.Вы просто обновляете группу.
Используя соглашение об именах групп из совета №3, это работает как шарм.
Вот пример.
У меня есть папка обучение в отделе продаж.
Я создам группу под названием HR-Training-SG-RW (Это следует моим советам по соглашению об именах #)
Затем я добавлю эту группу в список разрешений для этой папки.
Теперь, когда я хочу предоставить разрешения или отозвать права пользователя на эту папку, я просто изменяю членов этой группы.
Я могу использовать метод для всех ресурсов.
7. Очистка Active Directory (не реже одного раза в месяц)
Со временем в Active Directory будут устаревшие учетные записи пользователей, компьютеров и групп.
Чтобы поддерживать Active Directory в безопасности и порядке, вам необходимо найти эти устаревшие учетные записи и удалить их.
Существует множество сценариев и инструментов с графическим интерфейсом, которые помогают находить и удалять старые учетные записи.
У меня есть несколько инструментов очистки, доступных на моей странице инструментов и ресурсов.
Я запускаю эту очистку раз в месяц.
8. Добавьте описания к объектам Active Directory
Очень неприятно видеть объекты в Active Directory и не понимать, для чего они нужны.
Даже если вы используете хорошее соглашение об именах, я все равно люблю добавлять описания к объектам. Я описываю не все объекты, а серверы, группы, учетные записи служб и общие учетные записи.
Это не только помогает мне быстро определить использование объекта, но и помогает понять всей команде.
На скриншотах ниже видно, что я добавил описания для некоторых групп и учетных записей служб.
Вот несколько нестандартных учетных записей. Опять же, используя поле описания, я могу легко увидеть в Active Directory, для чего они нужны.
Опять же, я не делаю это для всех объектов, в основном для групп, серверов и нестандартных учетных записей.
Это еще одна экономия времени.
9. Используйте мастер управления делегированием для установки разрешений для пользователей, не являющихся администраторами (служба поддержки)
Делегирование
Active Directory важно понимать, так как разрешения могут быть предоставлены без добавления пользователей в привилегированные группы, такие как администраторы домена.
Используя делегированные разрешения, вы можете использовать метод доступа с минимальными привилегиями. (Дайте только те права, которые нужны)
Это помогает обеспечить безопасность и соответствие требованиям.
Вот несколько примеров, почему вам нужно делегировать права.
- Службе поддержки требуется сбросить пароли
- Обновите информацию учетной записи пользователя, например номер телефона или адрес
- Предоставьте права на добавление и удаление компьютеров из доменов.
- Создание, удаление и управление учетными записями пользователей
- Изменить членство в группе
В этом видео я передам нашей группе поддержки права на сброс паролей.
10. Аудит изменений в Active Directory
Аудит Active Directory — это процесс регистрации изменений и событий в Active Directory.
Аудит важен по соображениям безопасности и соответствия.
Вы должны как минимум проверять активную директорию на предмет следующих событий:
- Неудачные попытки входа
- Любые изменения объектов
- Успешные входы в систему
- Модификации учетных записей привилегий
- Изменения групповой политики
- Файл / папка удаляет
Прежде чем вы сможете проводить аудит Active Directory, вы должны сначала настроить политику аудита.
Шаги по аудиту Active Directory
Шаг 1. Включите аудит на контроллере домена
Шаг 2. Включите события для аудита
Шаг 3. Просмотр и ведение журналов аудита
Вышеупомянутые шаги представляют собой общий обзор.
Подробные инструкции см. В этих ресурсах
https://www.lepide.com/how-to/enable-active-directory-security-auditing.html
https://technet.microsoft.com/en-us/library/dd277403.aspx
11.Отследить источник блокировки учетных записей
Случайная блокировка учетных записей разочаровывает не только конечных пользователей, но и службу поддержки и администратора, который устраняет неполадки.
Все системные администраторы должны знать, как отследить источник блокировки учетных записей.
Мобильные устройства и учетные записи пользователей, настроенные для запуска службы, являются наиболее частыми причинами блокировки учетных записей.
12. Автоматизация общих задач Active Directory
Я бы посоветовал вам автоматизировать все, что вы можете.
Администрирование Active Directory включает в себя множество рутинных задач, таких как создание учетных записей пользователей, модификации, удаление учетных записей, управление компьютером, безопасность и так далее. Некоторые из этих повседневных задач отнимают очень много времени.
Большинство рутинных задач можно автоматизировать, чтобы повысить эффективность вашей работы.
Вот несколько общих задач, которые следует автоматизировать:
- Создание учетной записи пользователя
- Удаление аккаунта
- Аккаунт модификации
- Управление членством в группе
- Очистка AD
- Копирование файлов, очистка каталогов
- Развертывание программного обеспечения
- Windows и сторонние патчи
- Опись
- Списание активов
Может быть сложно автоматизировать весь процесс некоторых задач, но автоматизировать то, что можно.Автоматизация любой части повторяющейся задачи сэкономит время.
PowerShell — это инструмент для автоматизации многих из этих задач.
Моя команда недавно автоматизировала весь процесс создания учетной записи пользователя с помощью PowerShell. Это включало множество шагов, таких как создание учетной записи, добавление в группы, создание почтового ящика Office 365 и создание личной общей папки.
Создание учетных записей пользователей никогда не было таким простым.
13. Общие сведения о путях отличительных имен LDAP
Active Directory — это служба каталогов LDAP (облегченный протокол доступа к каталогам), это означает, что весь доступ к объектам осуществляется через LDAP.
LDAP использует пути для поиска объектов, полный путь к объекту определяется его отличительным именем.
При интеграции других систем с Active Directory часто требуется некоторая информация LDAP.
К сожалению, каждая программа делает это иначе. Небольшое знание выделенных путей поможет в интеграции других систем с Active Directory.
В большинстве случаев отличительное имя требуется для следующего:
- Доменное имя
- Учетная запись пользователя (имеющая доступ на чтение к AD)
- OU, в котором находятся пользователи
Вот как найти отличительное имя
Шаг 1. Откройте ADUC и перейдите к учетной записи
.
Шаг 2. Щелкните правой кнопкой мыши учетную запись и выберите свойства
.
Шаг 3. Выберите редактор атрибутов
Шаг 4. Найдите отличительное имя атрибута, затем нажмите кнопку просмотра
Отличительное имя пользователя Пэм Смит:
CN = Пэм Смит, OU = Бухгалтерия, OU = Пользователи ADPRO, DC = ad, DC = activedirectorypro, DC = com
Повторите эти шаги для любого другого необходимого объекта.
14. Используйте учетные записи служб (с минимальными привилегиями)
Наступит момент, когда вам нужно будет запустить задачу, скрипт или программу с учетной записью пользователя (доменной или локальной).
Они называются учетными записями служб.
Прежде всего, не используйте для этого учетную запись администратора домена или любую другую учетную запись пользователя.
Вместо этого создайте новую учетную запись для использования для каждой конкретной службы. В ваших учетных записях пользователей должна быть политика для смены пароля каждые x дней. Если учетная запись используется и ее пароль изменяется, служба перестанет работать.
Вот несколько дополнительных советов:
- Используйте описательное имя
- Задокументируйте учетную запись и добавьте описание в Active Directory
- Создавайте длинные сложные пароли
- Настроить бессрочный аккаунт
- Ограничить доступ для учетной записи
- Аудит и мониторинг использования учетных записей служб
- По возможности создавайте учетные записи локальных служб вместо учетных записей домена
- Предоставьте учетной записи службы наименьшие привилегии
- Не используйте одну учетную запись для нескольких служб.
15. Делегируйте задачи, когда можете
Нет, я не говорю о передаче прав службе поддержки.
С годами обязанности системных и сетевых администраторов резко возросли. Некоторые системные администраторы несут ответственность практически за все, от сервера до принтера.
Чтобы сохранить рассудок, будьте готовы делегировать некоторые задачи другим людям за пределами вашей команды.
Взгляд:
Я колебался по этому поводу годами. Я упорно трудился, чтобы получить все в порядке, процедуры вниз и системы продолжают работать в режиме 24/7.
НО по мере роста ответственности она достигла точки, когда производительность упала. Новые проекты развертывались медленно.
Чтобы решить эту проблему, я узнал, что можно делегировать задачи за пределами моей команды.
Вот несколько задач, которые я делегировал:
- Настройка и удаление учетной записи
- Управление серверами печати
- Изменение атрибутов учетной записи
- Добавление и удаление компьютеров домена
- Распространение программного обеспечения
- Изменение членов группы
- Коммутационные станции
Поговорите с руководителями, поговорите с другими сотрудниками, которые готовы взять на себя эти роли.
Если не получится, просто отзовите их права и верните задачу обратно (мне приходилось делать это несколько раз).
16. Используйте группы ограничения для управления локальными группами
Группы с ограниченным доступом позволяют централизованно управлять участниками локальных групп на рабочих станциях и серверах.
Обычно это используется для добавления группы Active Directory в группу локального администратора на всех компьютерах. Это простой способ предоставить вашей службе поддержки или другому ИТ-персоналу права администратора на всех рабочих станциях.
Это также отличный способ запретить пользователям или другим сотрудникам добавлять пользователей в локальную группу администраторов.
Обычные пользователи не должны иметь прав администратора, я видел, как это выходит из-под контроля. Вы можете использовать ограниченные группы, чтобы положить этому конец.
Вот видеоурок, демонстрирующий добавление группы домена в группу локального администрирования на компьютерах, присоединенных к домену.
Вот несколько полезных ресурсов и руководств по использованию ограничительных групп
https: // соц.technet.microsoft.com/wiki/contents/articles/20402.active-directory-group-policy-restricted-groups.aspx
17. Оптимизируйте время домена
Почему вам нужно заботиться о времени?
Если время не синхронизировано на всех контроллерах домена, рядовых серверах и машинах, вы столкнетесь с проблемами.
Так как же правильно выставить время?
Вот несколько советов по синхронизации времени
1 Установите эмулятор PDC на источник времени
w32tm / config / manualpeerlist: timeserver / syncfromflags: manual / secure: yes / update
Все машины, присоединяющиеся к домену, будут получать свое время от PDC.
2 Отключите синхронизацию времени между хост-системой и гостевой операционной системой.
Виртуальные машины
обычно синхронизируют время с хостами (VMware или Hyper-v). Рекомендуется отключить это, чтобы системы, присоединенные к домену, продолжали использовать иерархию доменов для синхронизации времени.
Я помню, как боролся с проблемами времени, пока мы не выяснили, на каких хостах VMware время меняется и происходит рассинхронизация, или PDC.
Вы можете прочитать об установке времени с помощью групповой политики.Если вы не повозились с настройками времени на компьютерах, вам это не понадобится.
Компьютеры, присоединенные к домену, по умолчанию синхронизируются с PDC.
Дополнительные ресурсы
https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/dd363553(v=ws.10)
https: // blogs.technet.microsoft.com/nepapfe/2013/03/01/its-simple-time-configuration-in-active-directory/
18. Документирование Active Directory и групповой политики
Active Directory критически важен для аутентификации пользователей, авторизованного доступа ко многим ресурсам, таким как электронная почта, принтеры, файлы, удаленный доступ и многое другое.
Итак, имеет смысл задокументировать Active Directory.
Вот несколько вещей, которые я бы порекомендовал вам в документе
- Название леса
- Доменное имя
- Имя NetBIOS
- Функциональный уровень леса
- Все домены в лесу
- Серверы глобального каталога
- Обладатели ролей FSMO
- Схема топологии
- Сайты и подсети
- Соглашение об именах для всех объектов
- Объекты групповой политики и описание того, что они делают
Microsoft Active Directory Topology Diagrammer — это удобный небольшой инструмент, который помогает с документацией.
https://www.microsoft.com/en-us/download/details.aspx?id=13380
19. Правильное применение групповых политик
Обожаю групповую политику.
Это простой способ контролировать и применять настройки на всех компьютерах, присоединенных к домену.
Его можно использовать даже для развертывания программного обеспечения.
Чтобы добиться успеха с групповой политикой, вам необходимо соблюдать несколько правил.
Вот мои советы по групповой политике.
Совет №1 Прежде всего, не изменяйте политику домена по умолчанию
Совет № 2 Не изменяйте политику контроллера домена по умолчанию
Совет №3: используйте хорошую структуру OU
Совет № 4 Не устанавливайте объекты групповой политики на уровне домена
Совет № 5 Примените групповую политику на корневом уровне подразделения
См. Мой полный список рекомендаций по групповой политике
20.Управление изменениями агрегата
Изменения в Active Directory и групповой политике могут нарушить работу служб и повлиять на бизнес-операции.
Важно провести эти изменения в процессе управления изменениями, чтобы избежать простоев.
Также полезно задокументировать ваши изменения на случай, если что-то пойдет не так, и вам нужно отменить изменения.
При внесении критических изменений рекомендую следующее.
- Кто несет ответственность за изменение
- Описание изменения
- Срок реализации
- Продолжительность изменения
- Ожидаемое воздействие
- Заменено проверено
- Процедуры резервного копирования
Я бы посоветовал максимально упростить процесс внесения изменений.Ничто так не замедляет прогресс, как бюрократическая волокита и бумажная волокита.
21. Используйте Active Directory в качестве централизованного источника аутентификации для всего.
Если у вас локальные или облачные приложения, поддерживающие аутентификацию Active Directory, используйте ее.
Он значительно упрощает авторизацию и доступ к ресурсам, когда он управляется централизованно с помощью Active Directory.
Это также огромный плюс для конечных пользователей, они могут пройти аутентификацию, используя всего одно имя пользователя и пароль.
Есть вопросы? Оставьте комментарий ниже.
Рекомендуемый инструмент: SolarWinds Server & Application Monitor
Эта утилита была разработана для мониторинга Active Directory и других важных служб, таких как DNS и DHCP.