Введение в active directory: Введение в основные понятия Active Directory
НОУ ИНТУИТ | Лекция | Введение в Active Directory
Аннотация: Определение и назначение служб каталогов, их основные функции и задачи. Службы каталогов — предвестники Microsoft Active Directory. Ключевые преимущества службы Active Directory
Цель лекции: Указать потребность в использовании единого инструмента для
организации и упрощения доступа к информационным ресурсам. Дать общее
представление о каталоге и службе каталогов, привести их назначение,
основные функции и задачи, сформулировать преимущества использования
Active Directory.
Вне зависимости от топологии сети компании, реальной инфраструктуры
и организационной структуры географически распределенных филиалов, а
также от имеющейся в компании разнородной информационной среды,
существует общая методология развертывания и применения службы Active
Directory.
Определение каталога и службы каталогов
Сначала мы должны определить, что такое служба каталогов вообще,
каковы ее цели и задачи.
Каталог (directory) — это информационный ресурс, используемый для
хранения информации о каком-либо объекте
[
1
]
. Например, телефонный
справочник (каталог телефонных номеров) содержит информацию об
абонентах телефонной сети. В файловой системе каталоги хранят
информацию о файлах.
В распределенной вычислительной системе или в компьютерной сети
общего пользования (например, Интернет) имеется множество объектов —
серверы, базы данных, приложения, принтеры и др. Пользователи хотят
иметь доступ к каждому из таких объектов и работать с ними, а
администраторы — управлять правилами использования этих объектов.
В данном документе термины «каталог» и «служба
каталогов» относятся к каталогам, размещаемым в частных сетях и
сетях общего пользования. Служба каталогов отличается от каталога тем,
что она не только является информационным ресурсом, но также
представляет собой услугу, обеспечивающую поиск и доставку
пользователю необходимой ему информации
[
2
]
.
Служба каталогов
(directory service) — сетевая служба, которая
идентифицирует все ресурсы сети и делает их доступными пользователям.
Служба каталогов централизованно хранит всю информацию, требуемую для
использования и управления этими объектами, упрощая процесс поиска и
управления данными ресурсами. Служба каталогов работает как главный
коммутатор сетевой ОС. Она управляет идентификацией и отношениями
между распределенными ресурсами и позволяет им работать вместе
[
4
]
.
Active Directory (AD) — служба каталогов, поставляемая с Microsoft
Windows, начиная с Windows 2000 Server. Active Directory содержит
каталог, в котором хранится информация о сетевых ресурсах и службы,
предоставляющие доступ к этой информации.
Active Directory — это не первая и не единственная служба
каталогов. В современных сетях используется несколько служб каталогов
и стандартов
[
3
]
,
[
13
]
:
- Х.500 и Directory Access Protocol (DAP). X.500 — спецификация International Organization for Standardization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов;
- Lightweight Directory Access Protocol (LDAP). Протокол LDAP был разработан в ответ на критические замечания по спецификации DAP, которая оказалась слишком сложной для применения в большинстве случаев. Спецификация LDAP быстро стала стандартным протоколом каталогов в Интернете;
- Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, совместимая со стандартом Х.500;
- Windows NT и SAM. Ядром Windows NT NOS (Network Operating System — сетевая операционная система) является база данных SAM (Security Accounts Management — управление безопасными учетными записями). Она представляет центральную базу данных учетных записей, включающую все учетные записи пользователей и групп в домене. Эти учетные записи используются для управления доступом к совместным ресурсам, принадлежащим любому серверу в домене Windows NT.
Служба Active Directory, в отличие от перечисленных служб
каталогов, является защищенной, распределенной, сегментированной и
реплицируемой, что позволяет обеспечить следующие возможности
[
4
]
:
- упрощенное администрирование;
- масштабируемость;
- поддержку открытых стандартов;
- поддержку стандартных форматов имен.
С помощью Active Directory осуществляется централизованное
управление пользователями, группами, общими папками и сетевыми
ресурсами, администрирование среды пользователя и программного
обеспечения средствами групповой политики.
Назначение службы каталогов
Служба каталогов является как инструментом администрирования, так и
инструментом пользователя (см.
рис.
1.1). Пользователи и
администраторы зачастую не знают точных имен объектов, которые им в
данный момент требуются. Они могут знать один или несколько их
признаков или атрибутов (attributes) и могут послать запрос (query) к
каталогу, получив в ответ список тех объектов, атрибуты которых
совпадают с указанными в запросе.
Рис.
1.1.
Назначение Active Directory
Служба каталогов позволяет
[
1
]
:
- обеспечивать защиту информации от вмешательства посторонних лиц в рамках, установленных администратором системы;
- распространять каталог среди других компьютеров в сети;
- проводить репликацию (тиражирование) каталога, делая его доступным для большего числа пользователей и более защищенным от потери данных;
- разделять каталог на несколько частей, обеспечивая возможность хранения очень большого числа объектов.
По мере роста числа объектов в сети служба каталогов начинает
играть все более важную роль. Можно сказать, что служба каталогов —
это та основа, на которой строится вся работа крупной распределенной
компьютерной системы. В сложной сети служба каталогов должна
обеспечивать эффективный способ управления, поиска и доступа ко всем
ресурсам в этой сети, например к компьютерам, принтерам, общим папкам
и т. д.
Функции службы каталогов
Приведем основные функции службы каталогов и дадим их краткое
описание
[
3
]
.
- Централизация. Смысл централизации — уменьшение количества каталогов в сети. Включение информации обо всех сетевых ресурсах в централизованный каталог создает единственную точку управления, что упрощает администрирование ресурсов и позволяет эффективнее делегировать административные задачи. Кроме того, в сети появляется единая точка входа для пользователей (или их компьютеров/приложений), которая нужна, когда возникает необходимость в поиске ресурсов.
- Масштабируемость. Служба каталогов должна допускать рост сети, не создавая при этом слишком больших издержек, — то есть она должна поддерживать какой-либо способ разбиения базы данных каталога на разделы, чтобы не утратить контроль над базой данных из-за ее чрезмерного разрастания и при этом сохранить преимущества централизации.
- Стандартизация. Служба каталогов должна предоставлять доступ к своей информации по открытым стандартам. Это гарантирует, что другие приложения смогут использовать ресурсы в службе каталогов (и публиковать их в ней), а не поддерживать собственные каталоги.
- Расширяемость. Служба каталогов должна тем или иным способом позволять администраторам и приложениям расширять в соответствии с потребностями организации набор информации, хранимой в каталоге.
- Разделение физической сети. Благодаря службе каталогов топология физической сети должна быть прозрачной для пользователей и администраторов. Ресурсы можно находить (и обращаться к ним), не зная, как и где они подключены к сети.
- Безопасность. Служба каталогов была бы крайне полезной злоумышленнику, так как она хранит подробную информацию о данной организации. Поэтому служба каталогов должна поддерживать защищенные средства хранения, управления, выборки и публикации информации о сетевых ресурсах.
В разрезе перечисленных функций можно указать и основные задачи, на
выполнение которых нацелена служба Active Directory.
- Хранить информацию об объектах сети и предоставлять эту информацию пользователям и системным администраторам.
- Позволять пользователям сети обращаться к общим ресурсам, единожды введя имя и пароль.
- Представлять сеть в интуитивно понятном иерархическом виде и позволять централизованно управлять всеми объектами сети.
- Повышать степень информационной безопасности за счет разграничения административных полномочий обслуживающего персонала и внедрения современных методов защиты информации.
- Позволять спроектировать единую структуру каталога так, как это необходимо в организации, чтобы обеспечить прозрачное использование информационных ресурсов в рамках компании.
Служба каталогов Active Directory также выполняет и другие функции (см.
[
4
]
).
Начало работы с доменными службами Active Directory
-
- Чтение занимает 2 мин
-
В этой статье
Область применения. Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Active Directory хранит сведения об объектах в сети и предоставляет эту информацию администраторам и пользователям, которые могут легко найти и использовать ее.Active Directory stores information about objects on the network and makes this information easy for administrators and users to find and use. Active Directory использует структурированное хранилище данных в качестве основы для логической иерархической организации сведений в каталоге.Active Directory uses a structured data store as the basis for a logical, hierarchical organization of directory information.
РазделTopic | ОписаниеDescription |
---|---|
Обзор доменных служб Active DirectoryActive Directory Domain Services Overview | Содержит сведения о базовых функциях AD DS.Provides information on basic AD DS features. Включает описание технических концепций и их связь с планированием и развертыванием.Includes technical concepts, links to planning and deployment. |
Центр администрирования Active DirectoryActive Directory Administrative Center | Предоставляет сведения о Центре администрирования Active Directory, который включает расширенные возможности управления.Provides information about the Active Directory Administrative Center that includes enhanced management experience features. Эти новые возможности упрощают процесс управления доменными службами Active Directory (AD DS).These features ease the administrative burden for managing Active Directory Domain Services (AD DS). |
Виртуализация доменных служб Active DirectoryActive Directory Domain Services Virtualization | Содержит общие и технические сведения о виртуализации в AD DS.Provides overview and technical information on AD DS Virtualization. |
Служба времени WindowsWindows Time Service | Предоставляет общие сведения о службе времени Windows, о важности протоколов времени и работе службы времени Windows.Provides details on what is the Windows Time Service, the importance of Time Protocols, and how the Windows Time Service works. |
Introduction to Active Directory Administrative Center Enhancements (Level 100)
-
- Чтение занимает 17 мин
В этой статье
Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Центр администрирования Active Directory в Windows Server включает функции управления для следующих компонентов:The Active Directory Administrative Center in Windows Server includes management features for the following:
Корзина Active DirectoryActive Directory Recycle Bin
Случайное удаление объектов Active Directory — это обычное дело при работе с доменными службами Active Directory (AD DS) и службами Active Directory облегченного доступа к каталогам (AD LDS).Accidental deletion of Active Directory objects is a common occurrence for users of Active Directory Domain Services (AD DS) and Active Directory Lightweight Directory Services (AD LDS). В прошлых версиях Windows Server, предшествующих Windows Server 2008 R2, можно было восстанавливать случайно удаленные объекты в Active Directory, но у решений имелись свои недостатки.In past versions of Windows Server, prior to Windows Server 2008 R2 , one could recover accidentally deleted objects in Active Directory, but the solutions had their drawbacks.
В Windows Server 2008 можно было использовать систему архивации данных Windows Server и команду принудительного восстановления ntdsutil , чтобы пометить объекты как заслуживающие доверия и обеспечить репликацию восстановленных данных по всему домену.In Windows Server 2008, you could use the Windows Server Backup feature and ntdsutil authoritative restore command to mark objects as authoritative to ensure that the restored data was replicated throughout the domain. Недостаток при использовании принудительного восстановления заключался в том, что его приходилось выполнять в режиме восстановления служб каталогов.The drawback to the authoritative restore solution was that it had to be performed in Directory Services Restore Mode (DSRM). В этом режиме контроллер домена, на котором выполнялось восстановление, необходимо было переводить в автономный режим.During DSRM, the domain controller being restored had to remain offline. В связи с этим он не мог обрабатывать клиентские запросы.Therefore, it was not able to service client requests.
В службе каталогов Active Directory Windows Server 2003 и доменных службах Active Directory в Windows Server 2008 можно было восстановить удаленные объекты Active Directory при помощи функции восстановления полностью удаленных объектов.In Windows Server 2003 Active Directory and Windows Server 2008 AD DS, you could recover deleted Active Directory objects through tombstone reanimation. Тем не менее ссылочные атрибуты восстановленных объектов (например, членство учетных записей пользователей в группах), удаленные физически, и очищенные нессылочные атрибуты не восстанавливались.However, reanimated objects’ link-valued attributes (for example, group memberships of user accounts) that were physically removed and non-link-valued attributes that were cleared were not recovered. Поэтому администраторы не могли полагаться на восстановление полностью удаленных объектов как на гарантированное решение при случайном удалении объектов.Therefore, administrators could not rely on tombstone reanimation as the ultimate solution to accidental deletion of objects. Дополнительные сведения о восстановлении полностью удаленных объектов см. в разделе Восстановление полностью удаленных объектов Active Directory.For more information about tombstone reanimation, see Reanimating Active Directory Tombstone Objects.
Начиная с Windows Server 2008 R2 корзина Active Directory основана на существующей инфраструктуре восстановления полностью удаленных объектов и расширяет возможности сохранения и восстановления случайно удаленных объектов Active Directory.Active Directory Recycle Bin, starting in Windows Server 2008 R2, builds on the existing tombstone reanimation infrastructure and enhances your ability to preserve and recover accidentally deleted Active Directory objects.
Если корзина Active Directory включена, все ссылочные и нессылочные атрибуты удаленных объектов Active Directory сохраняются, а объекты полностью восстанавливаются в том же логически согласованном состоянии, в котором они находились непосредственно перед удалением.When you enable Active Directory Recycle Bin, all link-valued and non-link-valued attributes of the deleted Active Directory objects are preserved and the objects are restored in their entirety to the same consistent logical state that they were in immediately before deletion. Например, восстановленные учетные записи пользователей автоматически восстанавливают все членства в группах и соответствующие права доступа, которыми они обладали внутри и вне доменов в момент перед удалением.For example, restored user accounts automatically regain all group memberships and corresponding access rights that they had immediately before deletion, within and across domains. Корзина Active Directory применяется для сред AD DS и AD LDS.Active Directory Recycle Bin works for both AD DS and AD LDS environments. Подробное описание Active Directory корзины см. в разделе новые возможности AD DS: Active Directory корзина.For a detailed description of Active Directory Recycle Bin, see What’s New in AD DS: Active Directory Recycle Bin.
Новые возможностиWhat’s new? В Windows Server 2012 и более поздних версиях функция корзины Active Directory, дополненная новым графическим интерфейсом пользователя для управления и восстановления удаленных объектов.In Windows Server 2012 and newer, the Active Directory Recycle Bin feature is enhanced with a new graphical user interface for users to manage and restore deleted objects. Теперь пользователи могут просмотреть список удаленных объектов и восстановить их в исходное или желаемое местоположение.Users can now visually locate a list of deleted objects and restore them to their original or desired locations.
Если вы планируете включить Active Directory корзину в Windows Server, примите во внимание следующее.If you plan to enable Active Directory Recycle Bin in Windows Server, consider the following:
По умолчанию корзина Active Directory отключена.By default, Active Directory Recycle Bin is disabled. Чтобы включить его, необходимо сначала повысить режим работы леса AD DS или среды AD LDS до Windows Server 2008 R2 или более поздней версии.To enable it, you must first raise the forest functional level of your AD DS or AD LDS environment to Windows Server 2008 R2 or higher. Это, в свою очередь, требует, чтобы все контроллеры домена в лесу или все серверы, на которых размещаются экземпляры AD LDS наборов конфигурации, выполнялись под Windows Server 2008 R2 или более поздней версии.This in turn requires that all domain controllers in the forest or all servers that host instances of AD LDS configuration sets be running Windows Server 2008 R2 or higher.
Процесс включения корзины Active Directory необратим.The process of enabling Active Directory Recycle Bin is irreversible. После включения корзины Active Directory для конкретной среды отключить ее будет нельзя.After you enable Active Directory Recycle Bin in your environment, you cannot disable it.
Чтобы управлять функцией очистки корзины через пользовательский интерфейс, необходимо установить версию центр администрирования Active Directory в Windows Server 2012.To manage the Recycle Bin feature through a user interface, you must install the version of Active Directory Administrative Center in Windows Server 2012.
Примечание
Диспетчер сервера можно использовать для установки средства удаленного администрирования сервера (RSAT), чтобы использовать правильную версию центр администрирования Active Directory для управления корзиной через пользовательский интерфейс.You can use Server Manager to install Remote Server Administration Tools (RSAT) to use the correct version of Active Directory Administrative Center to manage Recycle Bin through a user interface.
Дополнительные сведения об установке RSAT см. в статье средства удаленного администрирования сервера.For information about installing RSAT, see the article Remote Server Administration Tools.
Пошаговое руководство по использованию корзины Active DirectoryActive Directory Recycle Bin step-by-step
На следующих шагах вы будете использовать ADAC для выполнения следующих задач Active Directory корзины в Windows Server 2012:In the following steps, you will use ADAC to perform the following Active Directory Recycle Bin tasks in Windows Server 2012 :
Примечание
Для выполнения следующих шагов требуется членство в группе администраторов предприятия или эквивалентные разрешения.Membership in the Enterprise Admins group or equivalent permissions is required to perform the following steps.
Шаг 1. Повышение режима работы лесаStep 1: Raise the forest functional level
В этом шаге вы повысите режим работы леса.In this step, you will raise the forest functional level. Перед включением Active Directory корзины необходимо сначала повысить функциональный уровень в целевом лесу до Windows Server 2008 R2.You must first raise the functional level on the target forest to be Windows Server 2008 R2 at a minimum before you enable Active Directory Recycle Bin.
Чтобы повысить режим работы целевого леса:To raise the functional level on the target forest
Щелкните правой кнопкой мыши значок Windows PowerShell, выберите команду Запуск от имени администратора и введите dsac.exe , чтобы открыть ADAC.Right click the Windows PowerShell icon, click Run as Administrator and type dsac.exe to open ADAC.
Щелкните Управление, Добавить узлы перехода и выберите соответствующий целевой домен в диалоговом окне Добавление узлов перехода, а затем нажмите кнопку ОК.Click Manage, click Add Navigation Nodes and select the appropriate target domain in the Add Navigation Nodes dialog box and then click OK.
Щелкните целевой домен в левой области навигации и на панели Задачи выберите Повышение режима работы леса.Click the target domain in the left navigation pane and in the Tasks pane, click Raise the forest functional level. Выберите функциональный уровень леса не ниже Windows Server 2008 R2 или более поздней версии, а затем нажмите кнопку ОК.Select a forest functional level that is at least Windows Server 2008 R2 or higher and then click OK.
эквивалентные команды Windows PowerShellWindows PowerShell equivalent commands
Следующие командлеты Windows PowerShell выполняют ту же функцию, что и предыдущая процедура.The following Windows PowerShell cmdlet or cmdlets perform the same function as the preceding procedure. Вводите каждый командлет в одной строке, несмотря на то, что здесь они могут отображаться разбитыми на несколько строк из-за ограничений форматирования.Enter each cmdlet on a single line, even though they may appear word-wrapped across several lines here because of formatting constraints.
Set-ADForestMode -Identity contos
Active Directory для чайников: как настроить
You have been blocked from seeing ads.
Active Directory — служба каталогов корпорации Microsoft для ОС семейства Windows NT.
Данная служба позволяет администраторам использование групповых политик для обеспечения единообразия настроек пользовательской рабочей среды, установки ПО, обновлений и пр.
Содержание:
В чем суть работы Active Directory и какие задачи она решает? Читайте дальше.
Принципы организации одноранговых и многоранговых сетей
Логическое построение компьютерной сети можно осуществить с помощью 2 подходов:
1. Организация рабочей группы (Workgroup) в одноранговых сетях;
2. Организация службы каталогов (Active Directory) в клиет-серверных (многоранговых) сетях.
Рассмотрим ситуацию когда имеются 2 рабочие станции — РС1 и РС2, которые объединены между собой, и стоит задача организации предоставления совместных ресурсов.
Эту задачу можно решить двумя способами.
Первый способ — расшарить для всех необходимый ресурс, позволяя таким образом любому пользователю обращаться к ресурсу.
Такой способ нам не подходит, ввиду отсутствия элементарного уровня безопасности.
Второй способ — создание на обоих рабочих станциях учетных записей пользователей, которым разрешен доступ к совместным ресурсам.
На РС1 помимо учетной записи user1 мы создаем учетную запись user2 c точно таким же паролем, как на РС2, т.е. 54321, а на РС2 учетную запись user2 с паролем 12345.
Таким образом, каждый узел непосредственно выполняет контроль аутентификации и авторизации пользователей — это одноранговая сеть.
На данном этапе все хорошо: проблема авторизации и аутентификации решена — доступ будет разрешен только ограниченному кругу лиц, который мы указали.
Но возникает другая проблема, что если пользователь user2 на РС2 решит изменить свой пароль? Тогда если пользователь user1 сменит пароль учетной записи, доступ user2 на РС1 к ресурсу будет невозможен.
Еще один пример: у нас есть 20 рабочих станций с 20-ю учетными записями, которым мы хотим предоставить доступ к некоему файловому серверу, для этого мы должны создать 20 учетных записей на файловом сервере и предоставить доступ к необходимому ресурсу.
А если их будет не 20 а 200?
Как вы понимаете администрирование сети при таком подходе превращается в кромешный ад.
Поэтому подход с использованием рабочих групп подходит для небольших офисных сетей с количеством ПК не более 10 единиц.
При наличии в сетке более 10 рабочих станций, рационально оправданным стает подход, при котором одному узлу сети делегируют права выполнения аутентификации и авторизации.
Этим узлом и выступает контролер домена — Active Directory.
к содержанию ↑
Контролер домена
Контролер хранит базу данных учетных записей, т.е. он хранит учетку и для РС1 и для РС2.
Теперь все учетные записи прописываются один раз на контролере, а необходимость в локальных учетных записях теряет смысл.
Теперь, когда пользователь заходит на ПК, вводя свой логин и пароль, эти данные передаются в закрытом виде на контролер домена, который выполняет процедуры аутентификации и авторизации.
После контролер выдает пользователю, осуществившему вход, что-то вроде паспорта, с которым он в дальнейшем работает в сети и который он предъявляет по запросу других компьютеров сетки, серверов к чьим ресурсам он хочет подключиться.
Важно! Контролер домена — это компьютер с поднятой службой Active Directory, который управляет доступом пользователей к ресурсам сети. Он хранит ресурсы (например, принтеры, папки с общим доступом), службы (например, электронная почта), людей (учетные записи пользователей и групп пользователей), компьютеры (учетные записи компьютеров).
Число таких сохраненных ресурсов может достигать миллионов объектов.
В качестве контролера домена могут выступать следующие версии MS Windows: Windows Server 2000/2003/2008/2012 кроме редакций Web-Edition.
Контролер домена помимо того, что является центром аутентификации сети, также является центром управления всеми компьютерами.
Сразу после включения компьютер начинает обращаться к контролеру домена, задолго до появления окна аутентификации.
Таким образом, выполняется аутентификация не только пользователя, вводящего логин и пароль, но и аутентификация клиентского компьютера.
к содержанию ↑
Установка Active Directory
Рассмотрим пример установки Active Directory на Windows Server 2008 R2. Итак для установки роли Active Directory, заходим в «Server Manager»:
Добавляем роль «Add Roles»:
Выбираем роль Active Directory Domain Services:
И приступаем к установке:
После чего получаем окно уведомления, об установленной роли:
После установки роли контролера домена, приступим к установке самого контролера.
Нажимаем «Пуск» в поле поиска программ вводим название мастера DCPromo, запускаем его и ставим галочку для расширенных настроек установки:
Жмем «Next» из предложенных вариантов выбираем создание нового домена и леса.
Вводим имя домена, например, example.net.
Пишем NetBIOS имя домена, без зоны:
Выбираем функциональный уровень нашего домена:
Ввиду особенностей функционирования контролера домена, устанавливаем также DNS-сервер.
Расположения базы данных, файла логов, системного тома оставляем без изменений:
Вводим пароль администратора домена:
Проверяем правильность заполнения и если все в порядке жмем «Next».
После этого пойдет процесс установки, в конце которого появится окно, которое сообщает, об успешной установке:
Далее необходимо перезагрузиться. На этом установка контролера домена Active Directory завершена.
НОУ ИНТУИТ | Лекция | Введение в Active Directory
Аннотация: Определение и назначение служб каталогов, их основные функции и задачи. Службы каталогов — предвестники Microsoft Active Directory. Ключевые преимущества службы Active Directory
Цель лекции: Указать потребность в использовании единого инструмента для
организации и упрощения доступа к информационным ресурсам. Дать общее
представление о каталоге и службе каталогов, привести их назначение,
основные функции и задачи, сформулировать преимущества использования
Active Directory.
Вне зависимости от топологии сети компании, реальной инфраструктуры
и организационной структуры географически распределенных филиалов, а
также от имеющейся в компании разнородной информационной среды,
существует общая методология развертывания и применения службы Active
Directory.
Определение каталога и службы каталогов
Сначала мы должны определить, что такое служба каталогов вообще,
каковы ее цели и задачи.
Каталог (directory) — это информационный ресурс, используемый для
хранения информации о каком-либо объекте
[
1
]
. Например, телефонный
справочник (каталог телефонных номеров) содержит информацию об
абонентах телефонной сети. В файловой системе каталоги хранят
информацию о файлах.
В распределенной вычислительной системе или в компьютерной сети
общего пользования (например, Интернет) имеется множество объектов —
серверы, базы данных, приложения, принтеры и др. Пользователи хотят
иметь доступ к каждому из таких объектов и работать с ними, а
администраторы — управлять правилами использования этих объектов.
В данном документе термины «каталог» и «служба
каталогов» относятся к каталогам, размещаемым в частных сетях и
сетях общего пользования. Служба каталогов отличается от каталога тем,
что она не только является информационным ресурсом, но также
представляет собой услугу, обеспечивающую поиск и доставку
пользователю необходимой ему информации
[
2
]
.
Служба каталогов
(directory service) — сетевая служба, которая
идентифицирует все ресурсы сети и делает их доступными пользователям.
Служба каталогов централизованно хранит всю информацию, требуемую для
использования и управления этими объектами, упрощая процесс поиска и
управления данными ресурсами. Служба каталогов работает как главный
коммутатор сетевой ОС. Она управляет идентификацией и отношениями
между распределенными ресурсами и позволяет им работать вместе
[
4
]
.
Active Directory (AD) — служба каталогов, поставляемая с Microsoft
Windows, начиная с Windows 2000 Server. Active Directory содержит
каталог, в котором хранится информация о сетевых ресурсах и службы,
предоставляющие доступ к этой информации.
Active Directory — это не первая и не единственная служба
каталогов. В современных сетях используется несколько служб каталогов
и стандартов
[
3
]
,
[
13
]
:
- Х.500 и Directory Access Protocol (DAP). X.500 — спецификация International Organization for Standardization (ISO), определяющая, как должны быть структурированы глобальные каталоги. Х.500 также описывает применение DAP для обеспечения взаимодействия между клиентами и серверами каталогов;
- Lightweight Directory Access Protocol (LDAP). Протокол LDAP был разработан в ответ на критические замечания по спецификации DAP, которая оказалась слишком сложной для применения в большинстве случаев. Спецификация LDAP быстро стала стандартным протоколом каталогов в Интернете;
- Novell Directory Services (NDS). Служба каталогов для сетей Novell NetWare, совместимая со стандартом Х.500;
- Windows NT и SAM. Ядром Windows NT NOS (Network Operating System — сетевая операционная система) является база данных SAM (Security Accounts Management — управление безопасными учетными записями). Она представляет центральную базу данных учетных записей, включающую все учетные записи пользователей и групп в домене. Эти учетные записи используются для управления доступом к совместным ресурсам, принадлежащим любому серверу в домене Windows NT.
Служба Active Directory, в отличие от перечисленных служб
каталогов, является защищенной, распределенной, сегментированной и
реплицируемой, что позволяет обеспечить следующие возможности
[
4
]
:
- упрощенное администрирование;
- масштабируемость;
- поддержку открытых стандартов;
- поддержку стандартных форматов имен.
С помощью Active Directory осуществляется централизованное
управление пользователями, группами, общими папками и сетевыми
ресурсами, администрирование среды пользователя и программного
обеспечения средствами групповой политики.
Назначение службы каталогов
Служба каталогов является как инструментом администрирования, так и
инструментом пользователя (см.
рис.
1.1). Пользователи и
администраторы зачастую не знают точных имен объектов, которые им в
данный момент требуются. Они могут знать один или несколько их
признаков или атрибутов (attributes) и могут послать запрос (query) к
каталогу, получив в ответ список тех объектов, атрибуты которых
совпадают с указанными в запросе.
Рис.
1.1.
Назначение Active Directory
Служба каталогов позволяет
[
1
]
:
- обеспечивать защиту информации от вмешательства посторонних лиц в рамках, установленных администратором системы;
- распространять каталог среди других компьютеров в сети;
- проводить репликацию (тиражирование) каталога, делая его доступным для большего числа пользователей и более защищенным от потери данных;
- разделять каталог на несколько частей, обеспечивая возможность хранения очень большого числа объектов.
По мере роста числа объектов в сети служба каталогов начинает
играть все более важную роль. Можно сказать, что служба каталогов —
это та основа, на которой строится вся работа крупной распределенной
компьютерной системы. В сложной сети служба каталогов должна
обеспечивать эффективный способ управления, поиска и доступа ко всем
ресурсам в этой сети, например к компьютерам, принтерам, общим папкам
и т. д.
Функции службы каталогов
Приведем основные функции службы каталогов и дадим их краткое
описание
[
3
]
.
- Централизация. Смысл централизации — уменьшение количества каталогов в сети. Включение информации обо всех сетевых ресурсах в централизованный каталог создает единственную точку управления, что упрощает администрирование ресурсов и позволяет эффективнее делегировать административные задачи. Кроме того, в сети появляется единая точка входа для пользователей (или их компьютеров/приложений), которая нужна, когда возникает необходимость в поиске ресурсов.
- Масштабируемость. Служба каталогов должна допускать рост сети, не создавая при этом слишком больших издержек, — то есть она должна поддерживать какой-либо способ разбиения базы данных каталога на разделы, чтобы не утратить контроль над базой данных из-за ее чрезмерного разрастания и при этом сохранить преимущества централизации.
- Стандартизация. Служба каталогов должна предоставлять доступ к своей информации по открытым стандартам. Это гарантирует, что другие приложения смогут использовать ресурсы в службе каталогов (и публиковать их в ней), а не поддерживать собственные каталоги.
- Расширяемость. Служба каталогов должна тем или иным способом позволять администраторам и приложениям расширять в соответствии с потребностями организации набор информации, хранимой в каталоге.
- Разделение физической сети. Благодаря службе каталогов топология физической сети должна быть прозрачной для пользователей и администраторов. Ресурсы можно находить (и обращаться к ним), не зная, как и где они подключены к сети.
- Безопасность. Служба каталогов была бы крайне полезной злоумышленнику, так как она хранит подробную информацию о данной организации. Поэтому служба каталогов должна поддерживать защищенные средства хранения, управления, выборки и публикации информации о сетевых ресурсах.
В разрезе перечисленных функций можно указать и основные задачи, на
выполнение которых нацелена служба Active Directory.
- Хранить информацию об объектах сети и предоставлять эту информацию пользователям и системным администраторам.
- Позволять пользователям сети обращаться к общим ресурсам, единожды введя имя и пароль.
- Представлять сеть в интуитивно понятном иерархическом виде и позволять централизованно управлять всеми объектами сети.
- Повышать степень информационной безопасности за счет разграничения административных полномочий обслуживающего персонала и внедрения современных методов защиты информации.
- Позволять спроектировать единую структуру каталога так, как это необходимо в организации, чтобы обеспечить прозрачное использование информационных ресурсов в рамках компании.
Служба каталогов Active Directory также выполняет и другие функции (см.
[
4
]
).
Обзор доменных служб Active Directory
-
- Чтение занимает 2 мин
В этой статье
Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
Каталог — это иерархическая структура, в которой хранятся сведения об объектах в сети.A directory is a hierarchical structure that stores information about objects on the network. Служба каталогов, например домен Active Directory Services (AD DS), предоставляет методы для хранения данных каталога и предоставления доступа к этим данным сетевым пользователям и администраторам.A directory service, such as Active Directory Domain Services (AD DS), provides the methods for storing directory data and making this data available to network users and administrators. Например, AD DS хранит сведения об учетных записях пользователей, таких как имена, пароли, Номера телефонов и т. д., а также позволяет другим полномочным пользователям в той же сети получить доступ к этим сведениям.For example, AD DS stores information about user accounts, such as names, passwords, phone numbers, and so on, and enables other authorized users on the same network to access this information.
Active Directory хранит сведения об объектах в сети и предоставляет эту информацию администраторам и пользователям, которые могут легко найти и использовать ее.Active Directory stores information about objects on the network and makes this information easy for administrators and users to find and use. Active Directory использует структурированное хранилище данных в качестве основы для логической иерархической организации сведений в каталоге.Active Directory uses a structured data store as the basis for a logical, hierarchical organization of directory information.
Это хранилище данных, также называемое каталогом, содержит сведения об Active Directoryных объектах.This data store, also known as the directory, contains information about Active Directory objects. Обычно эти объекты включают в себя общие ресурсы, такие как серверы, тома, принтеры, учетные записи пользователей и компьютеров сети.These objects typically include shared resources such as servers, volumes, printers, and the network user and computer accounts. Дополнительные сведения о Active Directory хранилище данных см. в разделе хранилище данных каталога.For more information about the Active Directory data store, see Directory data store.
Безопасность интегрирована с Active Directory путем проверки подлинности входа и управления доступом к объектам в каталоге.Security is integrated with Active Directory through logon authentication and access control to objects in the directory. С одним сетевым входом администраторы могут управлять данными каталога и Организацией по всей сети, а полномочные пользователи сети могут получать доступ к ресурсам в любой точке сети.With a single network logon, administrators can manage directory data and organization throughout their network, and authorized network users can access resources anywhere on the network. Администрирование на основе политики облегчает управление даже очень сложной сетью.Policy-based administration eases the management of even the most complex network. Дополнительные сведения о Active Directory безопасности см. в разделе Общие сведения о безопасности.For more information about Active Directory security, see Security overview.
Active Directory также включает:Active Directory also includes:
Набор правил, схема, определяющая классы объектов и атрибутов, содержащихся в каталоге, ограничения и ограничения для экземпляров этих объектов и формат их имен.A set of rules, the schema, that defines the classes of objects and attributes contained in the directory, the constraints and limits on instances of these objects, and the format of their names. Дополнительные сведения о схеме см. в разделе Schema.For more information about the schema, see Schema.
Глобальный каталог , содержащий сведения о каждом объекте в каталоге.A global catalog that contains information about every object in the directory. Это позволяет пользователям и администраторам находить данные каталога независимо от того, какой домен в каталоге действительно содержит данные.This allows users and administrators to find directory information regardless of which domain in the directory actually contains the data. Дополнительные сведения о глобальном каталоге см. в статье роль глобального каталога.For more information about the global catalog, see The role of the global catalog.
Механизм запросов и индексов, чтобы объекты и их свойства могли быть опубликованы и найдены сетевыми пользователями или приложениями.A query and index mechanism, so that objects and their properties can be published and found by network users or applications. Дополнительные сведения о запросах к каталогу см. в разделе Поиск сведений о каталоге.For more information about querying the directory, see Finding directory information.
Служба репликации , которая распределяет данные каталога по сети.A replication service that distributes directory data across a network. Все контроллеры домена в домене участвуют в репликации и содержат полную копию всех данных каталога для своего домена.All domain controllers in a domain participate in replication and contain a complete copy of all directory information for their domain. Любые изменения данных каталога реплицируются в домене на все контроллеры домена.Any change to directory data is replicated to all domain controllers in the domain. Дополнительные сведения о репликации Active Directory см. в разделе Общие сведения о репликации.For more information about Active Directory replication, see Replication overview.
Основные сведения о Active DirectoryUnderstanding Active Directory
В этом разделе приводятся ссылки на основные понятия Active Directory:This section provides links to core Active Directory concepts:
Подробный список концепций Active Directory см. в разделе Общие сведения о Active Directory.For a detailed list of Active Directory concepts, see Understanding Active Directory.
Упрощенное администрирование доменных служб Active Directory
-
- Чтение занимает 12 мин
В этой статье
Область применения. Windows Server 2016, Windows Server 2012 R2, Windows Server 2012Applies To: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012
В этом разделе объясняются возможности и преимущества развертывания и администрирования контроллера домена Windows Server 2012, а также различия между предыдущими развертываниями КОНТРОЛЛЕРов операционной системы и новой реализацией Windows Server 2012.This topic explains the capabilities and benefits of Windows Server 2012 domain controller deployment and administration, and the differences between previous operating system DC deployment and the new Windows Server 2012 implementation.
Windows Server 2012 представил следующее поколение упрощенного администрирования служб домен Active Directory Services, и это было наиболее коренным путем повторного формирования доменов с момента выпуска Windows 2000 Server.Windows Server 2012 introduced the next generation of Active Directory Domain Services Simplified Administration, and was the most radical domain re-envisioning since Windows 2000 Server. Упрощенное администрирование доменных служб Active Directory было разработано с учетом двенадцатилетнего опыта работы с Active Directory. Оно улучшает поддержку административных возможностей для архитекторов и администраторов, делает их более гибкими и интуитивно понятными.AD DS Simplified Administration takes lessons learned from twelve years of Active Directory and makes a more supportable, more flexible, more intuitive administrative experience for architects and administrators. Достигнуто это было путем создания новых версий существующих технологий, а также расширения возможностей компонентов, появившихся в Windows Server 2008 R2.This meant creating new versions of existing technologies as well as extending the capabilities of components released in Windows Server 2008 R2.
Упрощенное администрирование доменных служб Active Directory — это новый подход к развертыванию доменов.AD DS Simplified Administration is a reimagining of domain deployment.
- Развертывание роли доменных служб Active Directory теперь является частью архитектуры диспетчера сервера и допускает удаленную установку.AD DS role deployment is now part of the new Server Manager architecture and allows remote installation
- Модуль развертывания и настройки доменных служб Active Directory теперь основан на Windows PowerShell даже при использовании нового мастера настройки доменных служб Active Directory.The AD DS deployment and configuration engine is now Windows PowerShell, even when using the new AD DS Configuration Wizard
- Расширение схемы, подготовка леса и домена производятся автоматически в ходе повышения роли контроллера домена и больше не требуют выполнения отдельных задач на специальных серверах, таких как хозяин схемы.Schema extension, forest preparation, and domain preparation are automatically part of domain controller promotion and no longer require separate tasks on special servers such as the Schema Master
- При повышении роли теперь проводится проверка предварительных требований, с помощью которой подтверждается готовность леса и домена к установке нового контроллера домена, что снижает вероятность сбоев.Promotion now includes prerequisite checking that validates forest and domain readiness for the new domain controller, lowering the chance of failed promotions
- Модуль Active Directory для Windows PowerShell теперь включает командлеты для управления топологией репликации, динамического контроля доступа и других операций.Active Directory module for Windows PowerShell now includes cmdlets for replication topology management, Dynamic Access Control, and other operations
- В режиме работы леса Windows Server 2012 новые функции не реализуются, а режим работы домена необходим только для подмножества новых функций Kerberos, что упрощает создание однородных сред контроллеров доменов для администраторов.The Windows Server 2012 forest functional level does not implement new features and domain functional level is required only for a subset of new Kerberos features, relieving administrators of the frequent need for a homogenous domain controller environment
- Добавлена полная поддержка виртуализированных контроллеров домена, включая автоматическое развертывание и защиту от отката.Full support added for Virtualized Domain Controllers, to include automated deployment and rollback protection
Кроме того, реализовано множество улучшений, касающихся администрирования и обслуживания:In addition, there are many administrative and maintenance improvements:
- Центр администрирования Active Directory включает в себя корзину Active Directory с графическим интерфейсом, управление детальной политикой паролей и средство просмотра журнала Windows PowerShell.The Active Directory Administrative Center includes a graphical Active Directory Recycle Bin, Fine-Grained Password Policy management, and Windows PowerShell history viewer
- Новый диспетчер сервера имеет специальные интерфейсы для доменных служб Active Directory, позволяющие отслеживать производительность, проводить анализ на основе рекомендаций, определять критические службы и просматривать журналы событий.The new Server Manager has AD DS-specific interfaces into performance monitoring, best practice analysis, critical services, and the event logs
- Групповые управляемые учетные записи служб поддерживают несколько компьютеров, использующих одни и те же субъекты безопасности.Group Managed Service Accounts support multiple computers using the same security principals
- Оптимизированы выдача и мониторинг относительных идентификаторов (RID) для более эффективного управления существующими доменами Active Directory.Improvements in Relative Identifier (RID) issuance and monitoring for better manageability in mature Active Directory domains
AD DS прибыли от других новых функций, входящих в состав Windows Server 2012, например:AD DS profits from other new features included in Windows Server 2012, such as:
- объединение сетевых карт и мост для центра обработки данных;NIC teaming and Datacenter Bridging
- безопасность DNS и более быстрая доступность зон, интегрированных с Active Directory, после загрузки;DNS Security and faster AD-integrated zone availability after boot
- улучшенная надежность и масштабируемость Hyper-V;Hyper-V reliability and scalability improvements
- Сетевая разблокировка BitLockerBitLocker Network Unlock
- дополнительные модули администрирования компонентов Windows PowerShell.Additional Windows PowerShell component administration modules
Интеграция ADPREPADPREP Integration
Расширение схемы леса Active Directory и подготовка домена теперь интегрированы в процесс настройки контроллера домена.Active Directory forest schema extension and domain preparation now integrate into the domain controller configuration process. При повышении роли нового контроллера домена в существующем лесу процесс определяет состояние обновления и этапы расширения схемы и подготовки домена происходят автоматически.If you promote a new domain controller into an existing forest, the process detects upgrade status and the schema extension and domain preparation phases occur automatically. Пользователь, устанавливающий первый контроллер домена Windows Server 2012, по-прежнему должен входить в группы «Администраторы предприятия» и «Администраторы схемы» или предоставить альтернативные действительные учетные данные.The user installing the first Windows Server 2012 domain controller must still be an Enterprise Admin and Schema Admin or provide valid alternate credentials.
Средство Adprep.exe остается на DVD-диске для подготовки отдельных лесов и доменов.Adprep.exe remains on the DVD for separate forest and domain preparation. Версия средства, включенная в Windows Server 2012, имеет обратную совместимость с Windows Server 2008 x64 и Windows Server 2008 R2.The version of the tool included with Windows Server 2012 is backwards compatible to Windows Server 2008 x64 and Windows Server 2008 R2. Adprep.exe также поддерживает удаленные команды forestprep и domainprep, так же как средства настройки контроллера домена на основе ADDSDeployment.Adprep.exe also supports remote forestprep and domainprep, just like the ADDSDeployment-based domain controller configuration tools.
Информацию о средстве Adprep и подготовке леса в предыдущих операционных системах см. в разделе Работа с программой Adprep.exe (Windows Server 2008 R2).For information about Adprep and previous operating system forest preparation, see Running Adprep (Windows Server 2008 R2).
Интеграция диспетчера сервера и доменных служб Active DirectoryServer Manager AD DS Integration
Диспетчер сервера выступает в качестве единой консоли для выполнения задач управления сервером.Server Manager acts as a hub for server management tasks. На его информационной панели периодически обновляются представления с установленными ролями и группами удаленных серверов.Its dashboard-style appearance periodically refreshes views of installed roles and remote server groups. Диспетчер сервера обеспечивает централизованное управление локальными и удаленными серверами без необходимости доступа к локальной консоли.Server Manager provides centralized management of local and remote servers, without the need for console access.
Домен Active Directory Services — одна из этих ролей концентратора; запустив диспетчер сервера на контроллере домена или средства удаленного администрирования сервера в Windows 8, вы увидите важные проблемы на контроллерах домена в лесу.Active Directory Domain Services is one of those hub roles; by running Server Manager on a domain controller or the Remote Server Administration Tools on a Windows 8, you see important recent issues on domain controllers in your forest.
Эти представления включают в себя:These views include:
- доступность сервера;Server availability
- монитор производительности с предупреждениями о высокой загрузке процессора и памяти;Performance monitor alerts for high CPU and memory usage
- состояние служб Windows, относящихся к доменным службам Active Directory;The status of Windows services specific to AD DS
- последние предупреждения, связанные со службами каталогов, и записи ошибок в журнале событий;Recent Directory Services-related warning and error entries in the event log
- анализ выполнения рекомендаций для контроллера домена, проводимый на основе набора правил Майкрософт.Best Practice analysis of a domain controller against a set of Microsoft-recommended rules
Корзина в центре администрирования Active DirectoryActive Directory Administrative Center Recycle Bin
В Windows Server 2008 R2 впервые появилась корзина Active Directory, которая позволяет восстанавливать удаленные объекты Active Directory без восстановления из резервной копии, перезапуска доменных служб Active Directory или перезагрузки контроллеров домена.Windows Server 2008 R2 introduced the Active Directory Recycle Bin, which recovers deleted Active Directory objects without restoring from backup, restarting the AD DS service, or rebooting domain controllers.
В Windows Server 2012 существующие возможности восстановления на основе Windows PowerShell улучшены благодаря новому графическому интерфейсу в центре администрирования Active Directory.Windows Server 2012 enhances the existing Windows PowerShell-based restore capabilities with a new graphical interface in the Active Directory Administrative Center. Это позволяет администраторам включить корзину и затем найти или восстановить удаленные объекты в контексте доменов леса, и все это без непосредственного использования командлетов Windows PowerShell.This allows administrators to enable the Recycle Bin and locate or restore deleted objects in the domain contexts of the forest, all without directly running Windows PowerShell cmdlets. Центр администрирования Active Directory и корзина Active Directory по-прежнему используют среду Windows PowerShell, поэтому предыдущие сценарии и процедуры можно с успехом применять.The Active Directory Administrative Center and Active Directory Recycle Bin still use Windows PowerShell under the covers, so previous scripts and procedures are still valuable.
Информацию о корзине Active Directory см. в пошаговом руководстве по работе с корзиной Active Directory (Windows Server 2008 R2).For information about the Active Directory Recycle Bin, see Active Directory Recycle Bin Step-by-Step Guide (Windows Server 2008 R2).
Детальная политика паролей в центре администрирования Active Directory
Введение в Active Directory | Learnthat.com
Что такое Active Directory?
Active Directory (AD) — это технология, созданная Microsoft для предоставления сетевых служб, включая службы каталогов LDAP, аутентификацию на основе Kerberos, именование DNS, безопасный доступ к ресурсам и многое другое. Active Directory использует единую базу данных Jet, которую различные службы и приложения могут использовать для доступа и хранения различной информации. Active Directory используется системными администраторами для хранения информации о пользователях, назначения политик безопасности и развертывания программного обеспечения.AD используется во многих различных типах и размерах сред, от очень маленьких (десяток пользователей) до сотен тысяч пользователей в глобальной среде.
В этом руководстве вы изучите базовую структуру Active Directory, получите представление о том, как работает Active Directory, узнаете, как установить Active Directory, и изучите компоненты AD.
Это руководство состоит из следующих разделов:
Что такое Active Directory: Обзор Active Directory и ее использования в технологических средах.
Структура Active Directory: Изучите основы AD, ее компонентов (таких как домены, контроллеры домена, доверительные отношения, леса, организационные единицы и т. Д.), Иерархий в AD и DNS.
Как установить Active Directory: Установка Active Directory несложна по своему процессу, но может быть затруднена в будущем, если вы не спланируете установку правильно. Изучите приемы и советы, которые вам нужно знать, чтобы правильно спланировать установку AD, и почему администраторы устанавливают AD именно так.
Это бесплатное руководство по Active Directory не является исчерпывающим по данной теме, а представляет собой введение в Active Directory, его структуру и использование.
Для кого это руководство?
Это руководство предназначено для младших системных администраторов и технических специалистов по ПК, хотя его могут использовать все, кто хочет расширить свои знания об Active Directory и о том, как она работает. Из этого руководства вы узнаете, как строить Active Directory и как установить Active Directory.Если вы занимаетесь ИТ-карьерой, это руководство станет хорошим шагом к системному администрированию и архитектуре.
Вы можете начать обучение, или, если вы хотите просмотреть его в автономном режиме, мы сделали его доступным в форме PDF всего за 12,95 доллара США, чтобы помочь отсрочить наши расходы. Это тот же отличный учебник, но в удобном для чтения формате, поэтому вы можете просмотреть его на досуге или распечатать. Это мгновенная загрузка, которую легко приобрести через PayPal. Если вы хотите продвинуться по карьерной лестнице и изучить Active Directory, это идеальная электронная книга для вас!
Наличие: Мгновенная загрузка
Тип файла: PDF
Цена: 12 долларов.95
.
Изучите основы Active Directory
Возможно, вы следили за нашей серией сообщений в блогах об основах и передовых методах Active Directory, которые ИТ-специалисты всех уровней, от новичков до опытных ИТ-администраторов, сочли полезными и полезными.
Сегодня мы составили список всех этих сообщений в блоге, чтобы вы могли легко найти интересующую вас тему Active Directory.
Это руководство — идеальный инструмент для пошагового изучения Active Directory .Теперь вы можете углубиться в структуру, службы и компоненты Active Directory, глава за главой, и найти ответы на некоторые из наиболее часто задаваемых вопросов об Active Directory, касающихся контроллеров домена, лесов, ролей FSMO, DNS и доверительных отношений, групповой политики, репликация, аудит и многое другое.
Получите максимум удовольствия от этого контента, легко переключаясь с одной главы на другую.
Оглавление:
- Знакомство с технологиями служб Active Directory
- Пользователи и компьютеры Active Directory (ADUC)
- Развитие контроллера домена Windows
- Рекомендации: развертывание и настройка контроллера домена
- SYSVOL Directory
- Forests в Active Directory
- Рекомендации: леса Active Directory
- Домен Active Directory
- Каковы 5 ролей FSMO в Active Directory
- Доверие в Active Directory
- Что такое групповая политика и объекты групповой политики?
- Как принудительно обновить групповую политику и обновить ее в фоновом режиме
- База данных Active Directory
- Репликация Active Directory
- DNS в Active Directory
- Протокол динамической конфигурации узла (DHCP)
- Защита Active Directory
- Аудит Active Directory
- Семь основных проблем с Active Directory
Если вы хотите получить все главы сразу, мы вам поможем — серия AD объединена в один документ PDF, доступный для бесплатной загрузки.
Загрузить учебное пособие по Active Directory в формате pdf >>
Какие источники — блоги, форумы и т. Д. — вы используете, чтобы узнать больше об Active Directory? Сообщите нам об этом в комментариях к этому сообщению.
.
Что такое AD DS, AD LDS, AD FS и так далее. Бесплатная электронная книга.
ИТ-администраторы работают с Active Directory и вокруг нее с момента появления этой технологии в Windows 2000 Server. Windows 2000 Server была выпущена 17 февраля 2000 года, но многие администраторы начали работать с Active Directory в конце 1999 года, когда она была выпущена в производство (RTM) 15 декабря 1999 года.
В этой части нашего руководства мы поговорим об AD сервисные технологии.
О технологиях служб Active Directory
Как и во многих других областях ИТ, службы каталогов быстро расширились за счет новых функций и возможностей наряду с дополнительной сложностью.Вместо одного продукта каталога, такого как AD DS, существует довольно много других служб, которые составляют категорию служб каталогов.
В дополнение к решениям Microsoft, многие сторонние поставщики создают продукты, которые являются автономными или улучшают и расширяют предложения Microsoft. Сегодня технологии служб каталогов от Microsoft включают следующие продукты:
- Доменные службы Active Directory (AD DS) . AD DS — это основная тема этой электронной книги, поэтому она не требует введения.Но как насчет интересного факта? По словам корпоративного вице-президента Microsoft Такеши Нумото, Active Directory используется 93% компаний из списка Fortune 1000.
- Active Directory Lightweight Directory Services (AD LDS) . AD LDS — это легкий, удобный для разработчиков каталог, который можно развернуть на клиентском компьютере и в клиентской операционной системе, а также на сервере. Он не такой полнофункциональный, как AD DS (например, групповая политика не является его частью), но может быть полезен в качестве децентрализованного каталога для разработчиков и тестировщиков.
- Службы федерации Active Directory (AD FS). AD FS — это решение для идентификации на основе утверждений, которое помогает независимым организациям объединять свои технологии служб каталогов, чтобы упростить единый вход и доступ к ресурсам между организациями. Сегодня это стало довольно распространенным решением, поскольку помогает организациям подключаться к облачным службам, таким как Microsoft Azure.
Кроме того, есть две другие роли, которые могут вас заинтересовать. Службы сертификатов Active Directory (AD CS) и службы управления правами Active Directory (AD RMS) часто объединяются с другими технологиями, перечисленными выше, чтобы сформировать набор технологий, предлагаемых Microsoft для локальных развертываний, связанных с Active Directory.
Кроме того, существуют продукты, не входящие непосредственно в семейство Active Directory, например Microsoft Forefront Identity Manager (FIM).
Помимо локальных технологий, существует также несколько облачных решений, предлагающих услуги в облаке, например Azure Active Directory и Многофакторная аутентификация Azure .
Дополнительную информацию об основах Active Directory вы найдете в нашем учебнике AD для начинающих.
.
Службы сертификации Active Directory (AD CS) Введение — статьи TechNet — США (английский)
Важное примечание администратора Wiki |
---|
(24 июня 2014 г.) С явного разрешения владельцев содержимого, эта статья публикует информацию повторно. Эта статья собирает и повторно публикует обновленную информацию о службах сертификации Active Directory (AD CS), которая была ранее опубликована в библиотеке Technet. По разным причинам владельцы продуктов и / или группа документации передали (часть) содержимого в Technet Wiki, чтобы упростить обновление содержимого. Кредиты: Маркус Вильцинскас, Курт Хадсону, Кэрол Байли, Рашми Джа |
Для каждого раздела, который относится к содержимому библиотеки Microsoft Technet, ссылка на источник была добавлена явно.
В конце статьи добавлен полный перечень исходных справочных материалов.
Источник: [TechNet], [TechNet]
Службы сертификатов Active Directory (AD CS) предоставляют настраиваемые службы для выпуска и управления сертификатами инфраструктуры открытых ключей (PKI), используемых в системах безопасности программного обеспечения, которые используют технологии открытых ключей. Цифровые сертификаты, которые AD CS
обеспечивает можно использовать для шифрования и цифровой подписи электронных документов и сообщений. Кроме того, эти цифровые сертификаты могут использоваться для аутентификации учетных записей компьютеров, пользователей или устройств в сети.Цифровые сертификаты используются для предоставления:
- Конфиденциальность — за счет шифрования
- Целостность — за счет цифровых подписей
- Аутентификация — путем связывания ключей сертификатов с учетными записями компьютера, пользователя или устройства в компьютерной сети.
Эти службы сертификатов были доступны начиная с Windows 2000 и продолжают быть доступны в качестве роли сервера в Windows Server 2008 R2.
Важно: Устанавливая AD CS, вы либо создаете, либо расширяете инфраструктуру открытого ключа (PKI).Структура PKI, отвечающая требованиям большинства организаций, представляет собой многоуровневую иерархию центров сертификации (CA), которая реализует
автономный корневой центр сертификации. Для получения дополнительной информации см. PKI
Краткий обзор дизайна и
Документация и справочная библиотека Windows PKI.
В этом обзоре AD CS есть следующие разделы:
↑ Вернуться к началу
Источник: [TechNet]
AD CS предоставляет следующие функции:
- Центры сертификации (ЦС) .Корневой и подчиненные центры сертификации используются для выдачи сертификатов пользователям, компьютерам и службам, а также для управления сроком действия сертификатов.
- Интернет-регистрация . Регистрация через Интернет позволяет пользователям подключаться к ЦС с помощью веб-браузера для запроса сертификатов и получения списков отзыва сертификатов (CRL).
- Интернет-ответчик . Служба сетевого ответчика декодирует запросы статуса отзыва для определенных сертификатов, оценивает статус этих сертификатов и отправляет обратно подписанный ответ, содержащий запрошенную информацию о статусе сертификата.
- Служба регистрации сетевых устройств . Служба регистрации сетевых устройств позволяет маршрутизаторам и другим сетевым устройствам, не имеющим учетных записей домена, получать сертификаты.
В следующей таблице описаны функции, доступные корпоративным (не автономным) центрам сертификации:
Версия Windows Server и SKU | Доступны ролевые услуги | Доступны шаблоны сертификатов | Автоматическая регистрация и архивирование ключей (поставляется с шаблонами V2) | CA Особенности: Модуль выхода SMTP и разделение ролей | Кросс-лес Запись (по протоколу DCOM) |
Windows Веб-сервер 2008 R2 | Нет | NA | NA | NA | NA |
Windows Server 2008 R2 Standard или Foundation | — Центр сертификации (CA) -CA Интернет-регистрация — Веб-службы регистрации сертификатов * (служба политики и служба регистрации) | Шаблоны V1, V2 * и V3 * | Есть * | Нет | Нет |
Установка Windows Server 2008 R2 Standard, Foundation или Server Core ** | — Центр сертификации (CA) * | Шаблоны V1, V2 * и V3 * | Есть * | Нет | Нет |
Windows Server 2008 R2 Enterprise или Datacenter | — Центр сертификации (CA) -CA Интернет-регистрация — Веб-службы регистрации сертификатов * (служба политик и служба регистрации) — Интернет-ответчик (OCSP) — Служба регистрации сетевых устройств (NDES) | Шаблоны V1, V2 и V3 | Есть | Есть | Есть |
Установка Windows Server 2008 R2 Enterprise, Datacenter или Server Core ** | — Центр сертификации (CA) * | Шаблоны V1, V2 и V3 | Есть | Есть | Есть |
Windows Server 2008 Standard Edition | — Центр сертификации (CA) -CA Интернет-регистрация | только V1 | Нет | Нет | Нет |
Windows Server 2008 Enterprise или Datacenter Edition | — Центр сертификации (CA) -CA Интернет-регистрация — Интернет-ответчик (OCSP) — Служба регистрации сетевых устройств (NDES) | Шаблоны V1, V2 и V3 | Есть | Есть | Нет |
Windows Server 2003 Standard Edition | — Центр сертификации (CA) -CA Интернет-регистрация | только V1 | Нет | Нет | Нет |
Windows Server 2003 Enterprise или Datacenter Edition | — Центр сертификации (CA) -CA Интернет-регистрация (NDES доступен как «MSCEP» в комплекте материалов) | Шаблоны V1 и V2 | Есть | Есть | Нет |
Windows Server 2012 Datacenter и стандартный (включая ядро сервера и минимальный интерфейс сервера) | — Центр сертификации (CA) -CA Интернет-регистрация — Веб-службы регистрации сертификатов (как политика, так и служба регистрации) — Интернет-ответчик (OCSP) — Служба регистрации сетевых устройств | V1, V2, V3, V4 | Есть | Да | Да; также новинкой для клиентов сертификатов Windows Server 2012 и Windows 8 является возможность автоматического продления сертификатов через Интернет для подачи заявок на сертификаты. Услуги, когда они не присоединены к тому же домену с помощью продления на основе ключа |
* новое для Windows Server 2008 R2
** Модуль выхода SMTP не поддерживается в установках Server Core
↑ Вернуться к началу
AD CS можно использовать для повышения безопасности путем привязки личности человека, устройства или службы к соответствующему закрытому ключу. AD CS дает вам экономичный, эффективный и безопасный способ управления распространением и использованием сертификатов.
Приложения, поддерживаемые AD CS, включают безопасные / многоцелевые расширения почты Интернета (S / MIME), безопасные беспроводные сети, виртуальную частную сеть (VPN), безопасность протокола Интернета (IPsec), шифрованную файловую систему (EFS), вход с помощью смарт-карты, безопасное гнездо Слой / Транспорт
Layer Security (SSL / TLS) и цифровые подписи.
↑ Вернуться к началу
Роль сервера AD CS в операционных системах Windows Server 2008 и Windows 2008 R2 предоставляет настраиваемые службы для создания и управления сертификатами открытых ключей, используемых в системах безопасности программного обеспечения, использующих технологии открытых ключей.Помимо привязки
Для идентификации человека, устройства или службы с соответствующим закрытым ключом AD CS также включает функции, которые позволяют управлять регистрацией и отзывом сертификатов в различных масштабируемых средах.
↑ Вернуться к началу
Любой, кто рассматривает возможность установки AD CS, должен в первую очередь знать об иерархиях PKI. Для быстрого ознакомления см. Краткий обзор конструкции PKI и
базовое планирование PKI. Вы можете узнать больше о планировании Иерархии PKI или Иерархии ЦС из различных мест в Интернете или в
Книга Брайана Комара о PKI и безопасности сертификатов Windows Server 2008.
Криптография нового поколения
Источник: [TechNet], [TechNet]
Cryptography Next Generation (CNG) в операционной системе Windows Server® 2008 предоставляет гибкую платформу криптографической разработки, которая позволяет ИТ-специалистам создавать, обновлять и использовать настраиваемые алгоритмы криптографии в приложениях, связанных с криптографией.
такие как службы сертификации Active Directory® (AD CS), Secure Sockets Layer (SSL) и безопасность интернет-протокола (IPsec). CNG реализует U.Криптографические алгоритмы S. Government Suite B, которые включают алгоритмы шифрования, цифровые подписи,
обмен ключами и хеширование.
CNG предоставляет набор API, которые используются для:
- Выполнять основные криптографические операции, такие как создание хешей, шифрование и дешифрование данных.
- Создание, хранение и получение криптографических ключей.
- Установите и используйте дополнительных поставщиков криптографических услуг.
CNG имеет следующие возможности:
- CNG позволяет клиентам использовать свои собственные криптографические алгоритмы или реализации стандартных криптографических алгоритмов.Они также могут добавлять новые алгоритмы.
- CNG поддерживает криптографию в режиме ядра. Один и тот же API используется как в режиме ядра, так и в пользовательском режиме для полной поддержки функций криптографии. Secure Sockets Layer / Transport Layer Security (SSL / TLS) и IPsec, в дополнение к процессам запуска, использующим CNG,
работать в режиме ядра. - План для CNG включает получение сертификата уровня 2 по Федеральным стандартам обработки информации (FIPS) 140-2 вместе с оценками общих критериев.
- CNG соответствует требованиям Common Criteria за счет использования и хранения долговечных ключей в безопасном процессе.
- CNG поддерживает текущий набор алгоритмов CryptoAPI 1.0.
- CNG обеспечивает поддержку алгоритмов криптографии на основе эллиптических кривых (ECC). Ряд алгоритмов ECC требуется правительством Соединенных Штатов для Suite B.
Поддержка протокола состояния онлайн-сертификатов: сетевой ответчик
Источник: [TechNet]
Отзыв сертификата является необходимой частью процесса управления сертификатами, выданными центрами сертификации (ЦС).Наиболее распространенным средством передачи статуса сертификата является распространение списков отзыва сертификатов (CRL). В Windows
Операционная система Server® 2008, инфраструктуры открытых ключей (PKI), где использование обычных списков отзыва сертификатов не является оптимальным решением, сетевой ответчик на основе протокола Online Certificate Status Protocol (OCSP) может использоваться для управления и распространения статуса отзыва
Информация.
Использование сетевых ответчиков, которые распространяют ответы OCSP, наряду с использованием списков отзыва сертификатов, является одним из двух распространенных методов передачи информации о действительности сертификатов.В отличие от CRL, которые распространяются периодически и содержат информацию
Что касается всех сертификатов, которые были отозваны или приостановлены, сетевой ответчик получает и отвечает только на запросы от клиентов для получения информации о состоянии отдельного сертификата. Количество данных, получаемых по запросу, остается постоянным независимо от того,
сколько может быть отозванных сертификатов.
Во многих случаях сетевые ответчики могут обрабатывать запросы статуса сертификата более эффективно, чем с помощью списков отзыва сертификатов.Например:
- Клиенты подключаются к сети удаленно и либо не нуждаются, либо не имеют высокоскоростных подключений, необходимых для загрузки больших списков отзыва сертификатов.
- Сеть должна обрабатывать большие пики активности проверки отзыва, например, когда большое количество пользователей одновременно входит в систему или отправляет подписанное электронное письмо.
- Организации нужны эффективные средства для распространения данных об отзыве сертификатов, выпущенных не центром сертификации Microsoft.
- Организация хочет предоставить только данные проверки отзыва, необходимые для проверки индивидуальных запросов статуса сертификата, а не предоставлять информацию обо всех отозванных или приостановленных сертификатах.
Служба регистрации сетевых устройств
Источник: [Technet,
Изменения функциональности с Windows Server 2003 с пакетом обновления 1 (SP1) до Windows Server2008] для загрузки по адресу:
http://www.microsoft.com/en-us/download/details.aspx?id=11534
Служба регистрации сетевых устройств (NDES) — это реализация Microsoft простого протокола регистрации сертификатов (SCEP), протокола связи, который делает возможным запуск программного обеспечения на сетевых устройствах, таких как маршрутизаторы и коммутаторы,
которые иначе не могут быть аутентифицированы в сети, чтобы зарегистрироваться для X.509 сертификатов от центра сертификации (ЦС).
NDES работает как фильтр интерфейса прикладного программирования интернет-сервера (ISAPI) в Internet Information Services (IIS), который выполняет следующие функции:
- Генерирует и предоставляет администраторам одноразовые пароли регистрации.
- Получает и обрабатывает запросы на регистрацию SCEP от имени программного обеспечения, запущенного на сетевых устройствах.
- Получает отложенные запросы от центра сертификации.
Регистрация через Интернет
Источник: [TechNet]
Регистрация сертификата
через Интернет доступна с момента его включения в операционные системы Windows® 2000. Он предназначен для обеспечения механизма регистрации для организаций, которым необходимо выпускать и обновлять сертификаты для пользователей и компьютеров, которые не
присоединены к домену или не подключены напрямую к сети, а также для пользователей операционных систем сторонних производителей. Вместо того, чтобы полагаться на механизм автоматической подачи заявок центра сертификации (ЦС) или использовать мастер запроса сертификатов, веб-регистрация
Поддержка, предоставляемая центром сертификации на базе Windows, позволяет этим пользователям запрашивать и получать новые и обновленные сертификаты через Интернет или интранет.
Для получения дополнительной информации см. Веб-регистрацию и
Настройте поддержку регистрации в центре сертификации через Интернет в TechNet.
Веб-служба регистрации сертификатов и веб-служба политики регистрации сертификатов
Источник: [TechNet]
Веб-службы регистрации сертификатов доступны, начиная с служб ролей AD CS Windows Server 2008 R2. Они позволяют регистрировать сертификаты на основе политик через HTTP с помощью существующих методов, таких как автоматическая подача заявок.Веб-сервисы действуют как прокси
между клиентским компьютером и центром сертификации, что делает ненужным прямое взаимодействие между клиентским компьютером и центром сертификации и позволяет регистрировать сертификаты через Интернет и через леса.
Дополнительные сведения см. В разделе Веб-службы регистрации сертификатов в блоге askds.
или веб-службы регистрации сертификатов в Windows Server
2008 R2 (скачать).
Параметры политики
Источник: [Technet]
Параметры сертификата в групповой политике позволяют администраторам централизованно управлять параметрами сертификатов на всех компьютерах в домене.Настройка параметров с помощью групповой политики может повлиять на изменения во всем домене.
Ниже приведены несколько примеров, в которых администраторы могут использовать новые настройки, связанные с сертификатом, для:
- Разверните сертификаты промежуточного центра сертификации (ЦС) на клиентских компьютерах.
- Убедитесь, что пользователи никогда не устанавливают приложения, подписанные неутвержденным сертификатом издателя.
- Настройте тайм-ауты сети, чтобы лучше контролировать тайм-ауты построения цепочки для больших списков отзыва сертификатов (CRL).
- Увеличьте время истечения срока действия CRL, если задержка публикации нового CRL влияет на приложения.
Агент ограниченного приема заявок
Источник: [TechNet]
Ограниченный агент регистрации — это новая функция в операционной системе Windows Server 2008 Enterprise, которая позволяет ограничивать разрешения, которые пользователи, назначенные в качестве агентов регистрации, имеют для регистрации сертификатов смарт-карт от имени других
пользователей. В следующих разделах описывается это изменение и его последствия.
Агенты по регистрации — это одно или несколько уполномоченных лиц в организации. Агенту регистрации необходимо выдать сертификат агента регистрации, который позволяет агенту подавать заявки на сертификаты смарт-карт от имени пользователей. Агенты по регистрации
обычно являются членами групп корпоративной безопасности, безопасности информационных технологий (ИТ) или службы поддержки, потому что этим людям уже доверили охранять ценные ресурсы. В некоторых организациях, например, в банках с множеством филиалов,
Служба поддержки и сотрудники службы безопасности могут оказаться неудобными для выполнения этой задачи.В этом случае необходимо назначить руководителя филиала или другого доверенного сотрудника в качестве агента по регистрации, чтобы разрешить выдачу учетных данных смарт-карты из нескольких
локации.
В центре сертификации (ЦС) на базе Windows Server 2008 Enterprise функции ограниченного агента регистрации позволяют использовать агент регистрации для одного или нескольких шаблонов сертификатов. Для каждого шаблона сертификата вы можете выбрать, каких пользователей или
группы безопасности, от имени которых может регистрироваться агент регистрации.Вы не можете ограничить агент регистрации на основе определенной организационной единицы (OU) Active Directory® или контейнера; вместо этого вы должны использовать группы безопасности. Ограниченный агент регистрации не
доступно в ЦС на базе Windows Server® 2008 Standard.
Корпоративная PKI (PKIView)
Источник: [TechNet]
Мониторинг и устранение неполадок работоспособности всех центров сертификации (ЦС) в инфраструктуре открытых ключей (PKI) — важные административные задачи, выполняемые оснасткой Enterprise PKI.Первоначально входила в состав Microsoft® Windows Server® 2003
Resource Kit и называется инструментом PKI Health, Enterprise PKI представляет собой оснастку консоли управления Microsoft (MMC) для операционных систем Windows Server 2008 и Windows Server 2008 R2. Поскольку это часть основной операционной системы, вы можете использовать Enterprise PKI
после установки сервера, просто добавив его в консоль MMC. Затем он становится доступным для анализа состояния работоспособности центров сертификации, установленных на компьютерах под управлением Windows Server 2008 R2, Windows Server 2008 или Windows Server 2003.
Enterprise PKI обеспечивает просмотр состояния среды PKI вашей сети. Просмотр нескольких центров сертификации и их текущих состояний работоспособности позволяет администраторам легко и эффективно управлять иерархиями центров сертификации и устранять возможные ошибки.
В частности, Enterprise PKI указывает действительность или доступность расположений доступа к авторитетной информации (AIA) и точек распространения списков отзыва сертификатов (CRL).
Для каждого выбранного ЦС Enterprise PKI указывает одно из состояний работоспособности ЦС, перечисленных в следующей таблице.
Показатель | Состояние CA |
Вопросительный знак | Оценка состояния работоспособности ЦС |
Зеленый индикатор | CA не имеет проблем |
Желтый индикатор | CA имеет некритическую проблему |
Красный индикатор | CA имеет критическую проблему |
Красный крест над значком CA | CA не в сети |
После добавления оснастки Enterprise PKI в MMC появляются три панели:
- Дерево. На этой странице отображается древовидное представление иерархии PKI вашего предприятия. Каждый узел в узле Enterprise PKI представляет собой CA с подчиненными CA в качестве дочерних узлов.
- Результаты. Для ЦС, выбранного в дереве, на этой панели отображается список подчиненных ЦС, сертификатов ЦС, точек распространения CRL и расположений AIA. Если в дереве выбран корень консоли, в панели результатов отображаются все корневые центры сертификации.
На панели результатов есть три столбца:- Имя .Если выбран узел Enterprise PKI, отображаются имена корневых центров сертификации в узле Enterprise PKI. Если в дереве выбран ЦС или дочерний ЦС, то имена сертификатов ЦС, расположения AIA и распределения CRL
отображаются точки. - Статус . Краткое описание статуса CA (также обозначается в дереве значком, связанным с выбранным CA) или статусом сертификатов CA, местоположений AIA или точек распространения CRL (указывается текстовыми описаниями статуса,
примеры которых: OK и Невозможно загрузить ). - Расположение . Отображаются расположения AIA и точки распространения CRL (протокол и путь) для каждого сертификата. Примеры: file: //, HTTP: // и LDAP: //.
- Имя .Если выбран узел Enterprise PKI, отображаются имена корневых центров сертификации в узле Enterprise PKI. Если в дереве выбран ЦС или дочерний ЦС, то имена сертификатов ЦС, расположения AIA и распределения CRL
- Действия. Эта страница предоставляет те же функции, что и на
Действия , Просмотр меню и Справка .В зависимости от элемента, выбранного в дереве или на панели результатов, вы можете просмотреть более подробную информацию о центрах сертификации и сертификатах CA, включая информацию AIA и CRL, в панели действий.Вы также можете управлять структурой PKI предприятия и вносить исправления.
или изменения сертификатов CA или CRL.
↑ Вернуться к началу
Для
AD CS требуется Windows Server 2008 или Windows Server 2008 R2, а для корпоративных ролей также требуются доменные службы Active Directory (AD DS). Хотя AD CS можно развернуть на одном сервере, многие развертывания будут включать несколько серверов, настроенных как
ЦС, что рекомендуется. Другие серверы могут быть настроены как сетевые ответчики, а другие серверы могут выступать в качестве веб-порталов регистрации.Центры сертификации можно настроить на серверах под управлением различных операционных систем, включая Windows Server 2008 R2, Windows Server.
2008, Windows Server 2003 и Windows 2000 Server (хотя Windows 2000 больше не поддерживается Microsoft). Не все операционные системы поддерживают все функции или требования к дизайну (как обсуждалось
ранее), а создание оптимальной конструкции потребует тщательного планирования и тестирования перед развертыванием AD CS в производственной среде.
↑ Вернуться к началу
↑ Вернуться к началу
↑ Вернуться к началу
.