Active Directoryn peruskäsitteet. Active Directory -verkkotunnus – mitä se on yksinkertaisilla sanoilla, kuvauksella ja arvosteluilla

Active Directory - Laajennettavan ja skaalautuvan Active Directory -hakemistopalvelun avulla voit hallita verkkoresursseja tehokkaasti.
Active Directory on hierarkkisesti järjestetty tietovarasto verkkoobjekteista, joka tarjoaa kätevän tavan etsiä ja käyttää näitä tietoja. Tietokonetta, joka käyttää Active Directorya, kutsutaan toimialueen ohjaimeksi. Lähes kaikki hallinnolliset tehtävät liittyvät Active Directoryyn.
Active Directory -tekniikka perustuu standardeihin Internet-protokolliin ja auttaa määrittelemään selkeästi verkon rakenteen. Lue lisää Active Directory -toimialueen käyttöönotosta alusta alkaen.

Active Directory ja DNS

Active Directory käyttää verkkotunnusjärjestelmää.

Active Directory -palvelun avulla luodaan tietokonetilejä, yhdistetään toimialueeseen ja hallitaan tietokoneita, toimialueen ohjauskoneita ja organisaatioyksiköitä.

Hallinta- ja tukityökalut tarjotaan Active Directoryn hallintaan. Alla luetellut työkalut on myös toteutettu laajennuksina MMC-konsolissa (Microsoft Management Console):

Active Directory Users and Computers -sovelluksen avulla voit hallita käyttäjiä, ryhmiä, tietokoneita ja organisaatioyksiköitä (OU);

Active Directory - toimialueet ja luottamusryhmät (Active Directory Domains and Trusts) käytetään toimialueiden, toimialuepuiden ja toimialuemetsien kanssa työskentelemiseen;

Active Directory -sivustojen ja -palvelujen avulla voit hallita sivustoja ja aliverkkoja;

Tuloksena olevaa käytäntösarjaa käytetään käyttäjän tai järjestelmän nykyisen käytännön tarkastelemiseen ja käytäntöjen muutosten ajoittamiseen.

Microsoft Windows 2003 Serverissä voit käyttää näitä laajennuksia suoraan Valvontatyökalut-valikosta.

Toinen hallintatyökalu, Active Directory Schema -laajennus, antaa sinun hallita ja muokata hakemistoskeemaa.

Active Directory -objektien hallintaan on olemassa komentorivityökalut, joiden avulla voit suorittaa monenlaisia ​​hallintatehtäviä:

DSADD - lisää tietokoneita, yhteystietoja, ryhmiä, organisaatioyksiköitä ja käyttäjiä Active Directoryyn.

DSGET - näyttää Active Directoryyn rekisteröityjen tietokoneiden, yhteystietojen, ryhmien, organisaatioyksiköiden, käyttäjien, sivustojen, aliverkkojen ja palvelimien ominaisuudet.

DSMOD - muuttaa Active Directoryyn rekisteröityjen tietokoneiden, yhteystietojen, ryhmien, käyttöjärjestelmien, käyttäjien ja palvelimien ominaisuuksia.

DSMOVE – Siirtää yksittäisen objektin uuteen paikkaan toimialueen sisällä tai nimeää objektin uudelleen siirtämättä sitä.

DSQXJERY - etsii tietokoneita, yhteystietoja, ryhmiä, käyttöjärjestelmiä, käyttäjiä, sivustoja, aliverkkoja ja palvelimia Active Directorysta määritettyjen kriteerien mukaan.

DSRM - poistaa objektin Active Directorysta.

NTDSUTIL - voit tarkastella tietoja sivustosta, toimialueesta tai palvelimesta, hallita operaatioita ja ylläpitää Active Directory -tietokantaa.

Verkkotunnuspalveluiden peruskomponentti jokaisessa organisaatiossa on Security Principals, joka tarjoaa käyttäjille, ryhmille tai tietokoneille, jotka tarvitsevat pääsyn tiettyihin verkon resursseihin. Juuri näille objekteille, joita kutsutaan suojauspäämiehiksi, voidaan myöntää oikeudet käyttää verkon resursseja, ja jokaiselle pääkäyttäjälle määritetään yksilöllinen suojaustunnus (SID), joka koostuu kahdesta osasta objektin luomisen aikana. Suojaustunnus SID on numeerinen esitys, joka yksilöi tietoturvaperiaatteen. Tällaisen tunnisteen ensimmäinen osa on verkkotunnuksen tunnus. Koska suojauspäämiehet sijaitsevat samassa toimialueessa, kaikille tällaisille objekteille on määritetty sama toimialueen tunniste. SID:n toinen osa on suhteellinen tunniste (RID), jota käytetään yksilöimään SID:n myöntävän viraston suojauspäämies.

Vaikka useimmat organisaatiot suunnittelevat ja ottavat käyttöön Domain Services -infrastruktuurin vain kerran ja useimpiin objekteihin tehdään erittäin harvoin muutoksia, tärkeä poikkeus tähän sääntöön on suojausperiaatteet, joita on lisättävä, muutettava ja poistettava säännöllisesti. Yksi tunnistamisen peruskomponenteista on käyttäjätilit. Pohjimmiltaan käyttäjätilit ovat fyysisiä objekteja, enimmäkseen ihmisiä, jotka ovat organisaatiosi työntekijöitä, mutta on poikkeuksia, joissa käyttäjätilit luodaan joillekin sovelluksille palveluina. Käyttäjätileillä on tärkeä rooli yrityksen hallinnossa. Tällaisia ​​rooleja ovat mm.

• käyttäjätunnus, koska luodun tilin avulla voit kirjautua tietokoneisiin ja verkkotunnuksiin täsmälleen niillä tiedoilla, joiden aitouden verkkotunnus vahvistaa;
• Oikeudet käyttää verkkotunnuksen resursseja, jotka on määritetty käyttäjälle myöntämään käyttöoikeudet verkkotunnuksen resursseihin nimenomaisten käyttöoikeuksien perusteella.

Käyttäjätiliobjektit ovat Active Directoryn yleisimpiä objekteja. Juuri käyttäjätileihin järjestelmänvalvojien on kiinnitettävä erityistä huomiota, koska on tavallista, että käyttäjät tulevat organisaatioon töihin, liikkuvat osastojen ja toimistojen välillä, menevät naimisiin, eroavat ja jopa lähtevät yrityksestä. Tällaiset objektit ovat kokoelma attribuutteja, ja vain yksi käyttäjätili voi sisältää yli 250 erilaista attribuuttia, mikä on useita kertoja Linux-käyttöjärjestelmää käyttävien työasemien ja tietokoneiden attribuuttien määrä. Kun luot käyttäjätilin, luodaan rajoitettu joukko attribuutteja, ja sitten voit lisätä käyttäjän tunnistetietoja, kuten organisaatiotietoja, käyttäjien osoitteita, puhelinnumeroita ja paljon muuta. Siksi on tärkeää huomata, että jotkut ominaisuudet ovat pakollinen, ja loput - valinnainen. Tässä artikkelissa puhun tärkeimmistä menetelmistä käyttäjätilien luomiseen, joistakin valinnaisista määritteistä ja kuvailen myös työkaluja, joiden avulla voit automatisoida käyttäjätilien luomiseen liittyviä rutiinitoimintoja.

Käyttäjien luominen Active Directory -käyttäjien ja -tietokoneiden avulla

Useimmissa tapauksissa järjestelmänvalvojat käyttävät mieluummin laajennusta suojauksen perusteiden luomiseen, jotka lisätään kansioon "Hallinto" heti roolin asentamisen jälkeen "Active Directory Domain Services" ja palvelimen mainostaminen toimialueen ohjaimeksi. Tämä menetelmä on kätevin, koska se käyttää graafista käyttöliittymää suojausperiaatteiden luomiseen ja ohjattua käyttäjätilin luontitoimintoa on erittäin helppo käyttää. Tämän menetelmän haittana on, että käyttäjätiliä luotaessa useimpia määritteitä ei voi asettaa heti, vaan tarvittavat attribuutit on lisättävä tiliä muokkaamalla. Luo käyttäjätili seuraavasti:

• Kentällä "Nimi" Syötä käyttäjänimesi;
• Kentällä "Nimikirjaimet" kirjoita nimikirjaimet (useimmiten nimikirjaimia ei käytetä);
• Kentällä "Sukunimi" kirjoita luotavan käyttäjän sukunimi;
• Ala "Koko nimi" käytetään luodun objektin attribuuttien, kuten yleisen nimen, luomiseen CN ja näyttää nimiominaisuudet. Tämän kentän on oltava ainutlaatuinen koko verkkotunnuksessa, ja se täytetään automaattisesti, ja sitä tulee muuttaa vain tarvittaessa.
• Ala "Käyttäjän kirjautumisnimi" on pakollinen ja tarkoitettu käyttäjän verkkotunnuksen kirjautumisnimelle. Täällä sinun on syötettävä käyttäjänimesi ja valittava UPN-liite avattavasta luettelosta, joka sijaitsee @-symbolin jälkeen;
• Ala "Käyttäjän kirjautumisnimi (Pre-Windows 2000)" tarkoitettu Windows 2000 -käyttöjärjestelmää edeltävien järjestelmien kirjautumisnimeksi Viime vuosina tällaisten järjestelmien omistajista on tullut yhä harvinaisempia organisaatioissa, mutta kenttä on pakollinen, koska jotkut ohjelmistot käyttävät tätä attribuuttia käyttäjien tunnistamiseen.

Kun olet täyttänyt kaikki vaaditut kentät, napsauta painiketta "Edelleen":

Riisi. 2. Käyttäjätilin luominen -valintaikkuna

Riisi. 3. Luo salasana luotavalle tilille

Käyttäjien luominen mallien perusteella

Yleensä organisaatioilla on useita osastoja, joihin käyttäjäsi kuuluvat. Näillä osastoilla käyttäjillä on samanlaiset ominaisuudet (esimerkiksi osaston nimi, asema, toimiston numero jne.). Jotta käyttäjätilejä voidaan hallita tehokkaimmin yhdeltä osastolta esimerkiksi ryhmäkäytäntöjen avulla, on suositeltavaa luoda ne toimialueen sisällä erityisosastoille (eli säilöihin) mallien pohjalta. Tilimalli on tili, joka ilmestyi ensimmäisen kerran Windows NT -käyttöjärjestelmien aikoina ja jossa kaikille luoduille käyttäjille yhteiset määritteet on esitäytetty. Luo käyttäjätilimalli seuraavasti:

• Ovat yleisiä. Tämä välilehti on tarkoitettu yksittäisten käyttäjän määritteiden täyttämiseen. Näitä määritteitä ovat käyttäjän etu- ja sukunimi, lyhyt kuvaus tilistä, käyttäjän puhelinnumero, huoneen numero, sähköpostiosoite ja verkkosivusto. Koska nämä tiedot ovat yksilöllisiä jokaiselle käyttäjälle, tällä välilehdellä täytettyjä tietoja ei kopioida.
• Osoite. Nykyisellä välilehdellä voit täyttää postilaatikon, kaupungin, alueen, postinumeron ja maan, jossa käyttäjät asuvat, jotka luodaan tämän mallin perusteella. Koska jokaisen käyttäjän kadunnimet eivät yleensä täsmää, tämän kentän tietoja ei voi kopioida.
• Tili. Tällä välilehdellä voit määrittää tarkalleen, milloin käyttäjä kirjautuu sisään, tietokoneet, joihin käyttäjät voivat kirjautua, tiliparametrit, kuten salasanan tallennus, salaustyypit jne. sekä tilin viimeinen voimassaolopäivä.
• Profiili. Nykyinen välilehti antaa sinun määrittää profiilin polun, kirjautumiskomentosarjan, kotikansion paikallisen polun sekä verkkoasemat, joissa tilin kotikansio sijaitsee;
• Organisaatio. Tällä välilehdellä voit ilmoittaa työntekijöiden aseman, osaston, jossa he työskentelevät, organisaation nimen ja osaston johtajan nimen;
• Ryhmän jäsenet. Tässä määritellään pääryhmä ja ryhmäjäsenyydet.

Nämä ovat tärkeimmät välilehdet, jotka täytät luodessasi tilimalleja. Näiden kuuden välilehden lisäksi voit täyttää tiedot myös 13 välilehdelle. Suurin osa näistä välilehdistä käsitellään tämän sarjan myöhemmissä artikkeleissa.

Riisi. 5. Kopioi käyttäjätili -valintaikkuna

Käyttäjien luominen komentorivin avulla

Kuten useimmissa asioissa, Windows-käyttöjärjestelmässä on komentorivin apuohjelmat samankaltaisilla graafisen käyttöliittymän toiminnoilla. "Aktiivinen hakemisto - käyttäjät ja tietokoneet". Näitä komentoja kutsutaan DS-komentoiksi, koska ne alkavat kirjaimilla DS. Luo suojausperiaatteet käyttämällä komentoa Dsadd. Itse komennon jälkeen määritetään määritteet, jotka määrittävät objektin tyypin ja DN-nimen. Jos luot käyttäjätilejä, sinun on määritettävä muuntaja käyttäjä, joka on objektin tyyppi. Objektityypin jälkeen sinun on syötettävä itse objektin DN-nimi. Objektin DN (Distinguished Name) on tulosjoukko, joka sisältää erottuvan nimen. DN-tunnusta seuraa yleensä aiempien Windowsin versioiden UPN-käyttäjänimi tai kirjautumisnimi. Jos DN-nimessä on välilyöntejä, nimi tulee laittaa lainausmerkkeihin. Komennon syntaksi on seuraava:

Dsadd-käyttäjä DN_nimi –samid tilin_nimi –UPN_nimi –pwd-salasana –lisäparametrit

Tässä komennossa voidaan käyttää 41 parametria. Katsotaanpa yleisimpiä niistä:

-samid– käyttäjätilin nimi;

-ylös– Windows 2000:ta edeltävä käyttäjän kirjautumisnimi;

-fn– käyttäjätunnus, joka täytetään graafisen käyttöliittymän kenttään "Nimi";

-mi– käyttäjän nimikirjain;

- ln– käyttäjän sukunimi, joka on määritetty ohjatun käyttäjätilin luontitoiminnon "Sukunimi"-kentässä;

-näyttö– määrittää koko käyttäjätunnuksen, joka luodaan automaattisesti käyttöliittymässä;

-empid– käyttäjälle luotu työntekijäkoodi;

-pwd– parametri, joka määrittää käyttäjän salasanan. Jos määrität tähtimerkin (*), sinua pyydetään antamaan käyttäjän salasana katselusuojatussa tilassa.

-kuvaus– lyhyt kuvaus käyttäjätilistä;

-jonkin jäsen– parametri, joka määrittää käyttäjän kuulumisen yhteen tai useampaan ryhmään;

-toimisto– sen toimiston sijainti, jossa käyttäjä työskentelee. Tilin ominaisuuksissa tämä parametri löytyy välilehdeltä "Organisaatio";

-puh– nykyisen käyttäjän puhelinnumero;

- sähköposti– käyttäjän sähköpostiosoite, joka löytyy välilehdestä "Ovat yleisiä";

-hotelli– parametri, joka ilmaisee käyttäjän kotipuhelinnumeron;

-matkapuhelin– matkapuhelimen käyttäjän puhelinnumero;

-faksi– nykyisen käyttäjän käyttämän faksilaitteen numero;

-titteli– käyttäjän asema organisaatiossa;

-osasto– Tämän parametrin avulla voit määrittää sen osaston nimen, jossa tämä käyttäjä työskentelee;

-yhtiö– sen yrityksen nimi, jossa luotu käyttäjä työskentelee;

-hmdir– käyttäjän päähakemisto, johon hänen asiakirjansa sijaitsevat;

-hmdrv– polku verkkoasemaan, jossa tilin kotikansio sijaitsee

-profiili– käyttäjäprofiilin polku;

-mustchpwd– tämä parametri osoittaa, että käyttäjän on vaihdettava salasanansa seuraavan sisäänkirjautumisen yhteydessä;

-canchpwd– parametri, joka määrittää, pitääkö käyttäjän vaihtaa salasanansa. Jos parametrin arvo on "Joo", niin käyttäjällä on mahdollisuus vaihtaa salasana;

-reversiblepwd– nykyinen parametri määrittää käyttäjän salasanan tallennuksen käänteistä salausta käyttäen;

-pwdneverenpyri– vaihtoehto, joka osoittaa, että salasana ei vanhene koskaan. Kaikissa näissä neljässä parametrissa arvot voivat olla vain "Joo" tai "ei";

- hyväksyntä vanhenee– parametri, joka määrittää, kuinka monen päivän kuluttua tili vanhenee. Positiivinen arvo ilmaisee päivien lukumäärän, jonka kuluessa tili vanhenee, kun taas negatiivinen arvo tarkoittaa, että se on jo vanhentunut.

-liikuntarajoitteinen– osoittaa, että tili on jo poistettu käytöstä. Tämän parametrin arvot ovat myös "Joo" tai "ei";

-q– hiljaisen tilan määrittäminen komentojen käsittelyä varten.

Käyttöesimerkki:

Dsadd käyttäjä “cn=Alexey Smirnov,OU=Markkinointi,OU=Käyttäjät,DC=testdomain,DC=com” -samid Alexey.Smirnov -upn Aleksei.Smirnov -pwd * -fn Aleksei -ln Smirnov -näyttö "Aleksei Smirnov" - puh. "743-49-62" -sähköposti [sähköposti suojattu]-osasto Markkinointi -yritys TestDomain -title Markkinoija -hmdir \\dc\profiles\Alexey.Smirnov -hmdrv X -mustchpwd kyllä ​​-poistettu ei

Riisi. 6. Käyttäjätilin luominen Dsadd-apuohjelmalla

Käyttäjien luominen CSVDE-komennolla

Toinen komentorivityökalu, CSVDE, mahdollistaa Active Direcoty -objektien tuomisen tai viemisen cvd-tiedostona - pilkuilla erotettuna tekstitiedostona, joka voidaan luoda Microsoft Excel -taulukkolaskentaohjelmalla tai yksinkertaisella tekstieditorilla Notepad. Tässä tiedostossa jokainen objekti on esitetty yhdellä rivillä, ja sen on sisällettävä ensimmäisellä rivillä luetellut attribuutit. On syytä kiinnittää huomiota siihen, että tällä komennolla et voi tuoda käyttäjien salasanoja, eli käyttäjätilit poistetaan käytöstä heti tuontitoiminnon päätyttyä. Esimerkki tällaisesta tiedostosta on seuraava:

Riisi. 7. CSV-tiedoston lähetys

Komennon syntaksi on seuraava:

Csvde –i –f tiedostonimi.csv –k

• -i. Parametri, joka ohjaa tuontitilaa. Jos et määritä tätä parametria, tämä komento käyttää oletusarvoista vientitilaa.
• -f
• -k
• -v
• -j
• -u. Vaihtoehto, jonka avulla voit käyttää Unicode-tilaa.

Esimerkki komennon käytöstä:

Csvde -i -f d:\testdomainusers.csv -k

Riisi. 8. Tuo käyttäjätilit CSV-tiedostosta

Käyttäjien tuonti LDIFDE:tä käyttäen

Ldifde-komentorivityökalulla voit myös tuoda tai viedä Active Directory -objekteja käyttämällä LDIF (Lightweight Directory Access Protocol Data Interchange File) -tiedostomuotoa. Tämä tiedostomuoto koostuu rivilohkoista, jotka muodostavat tietyn toiminnon. Toisin kuin CSV-tiedostoissa, tässä tiedostomuodossa jokainen yksittäinen rivi edustaa attribuuttijoukkoa, jota seuraa kaksoispiste ja itse nykyisen määritteen arvo. Aivan kuten CSV-tiedostossa, ensimmäisen rivin on oltava DN-attribuutti. Tätä seuraa rivi changeType, joka määrittää toiminnon tyypin (lisää, muuta tai poista). Jotta voit oppia ymmärtämään tämän tiedostomuodon, sinun on opittava ainakin suojausperiaatteiden keskeiset attribuutit. Alla on esimerkki:

Riisi. 9. Esimerkki LDF-tiedostosta

Komennon syntaksi on seuraava:

Ldifde -i -f tiedostonimi.csv -k

• -i. Parametri, joka ohjaa tuontitilaa. Jos et määritä tätä vaihtoehtoa, tämä komento käyttää oletusarvoista vientitilaa.
• -f. Parametri, joka identifioi tuotavan tai vietävän tiedostonimen;
• -k. Parametri, joka on suunniteltu jatkamaan tuontia ohittaen kaikki mahdolliset virheet;
• -v. Parametri, jonka avulla voit näyttää yksityiskohtaisia ​​tietoja;
• -j. Lokitiedoston sijainnista vastaava parametri;
• -d. Parametri, joka määrittää LDAP-hakujuuren;
• -f. LDAP-hakusuodattimelle tarkoitettu parametri;
• -s. Edustaa haun laajuutta tai syvyyttä;
• -l. Tarkoituksena on määrittää pilkuilla eroteltu luettelo attribuuteista, jotka sisällytetään tuloksena olevien objektien vientiin.

Käyttäjien luominen VBScriptillä

VBScript on yksi tehokkaimmista työkaluista, jotka on suunniteltu automatisoimaan hallinnollisia tehtäviä. Tämän työkalun avulla voit luoda komentosarjoja, jotka on suunniteltu automatisoimaan useimmat käyttöliittymän kautta suoritettavat toiminnot. VBScript-komentosarjat ovat tekstitiedostoja, joita käyttäjät voivat yleensä muokata tavallisella tekstieditorilla (kuten Notepadilla). Ja suorittaaksesi komentosarjoja, sinun tarvitsee vain kaksoisnapsauttaa itse komentosarjakuvaketta, joka avautuu Wscript-komennolla. Käyttäjätilin luomiseksi VBScriptissä ei ole erityistä komentoa, joten sinun on ensin muodostettava yhteys säilöön ja käytettävä sitten Active Directory Services Interface (ADSI) -sovitinkirjastoa Get-Object-käskyllä, jossa suoritat LDAP-kyselymerkkijonon, joka tarjoaa protokollan nimimerkin LDAP:// objektin DN-nimellä. Esimerkiksi Aseta objOU=GetObject("LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com"). Toinen koodirivi aktivoi divisioonan Create-menetelmän, jolla luodaan tietyn luokan objekti tietyllä erottuvalla nimellä, esimerkiksi Set objUser=objOU.Create(“user”,”CN= Juri Soloviev”). Kolmas rivi sisältää Put-menetelmän, jossa sinun on määritettävä attribuutin nimi ja sen arvo. Tämän skriptin viimeinen rivi vahvistaa tehdyt muutokset, eli objUser.SetInfo().

Käyttöesimerkki:

Set objOU=GetObject("LDAP://OU=Marketing,OU=Users,dc=testdomain,dc=com" Set objUser=objOU.Create("user","CN= Juri Solovjov") objUser.Laita "sAMAccountName" "Yuriy.Soloviev" objUser.Put "UserPrincipalName" [sähköposti suojattu]” objUser.Laita "givenName","Juri" objUser.Laita "sn"Soloviev" objUser.SetInfo()

Käyttäjien luominen PowerShellillä

Windows Server 2008 R2 -käyttöjärjestelmä esitteli mahdollisuuden hallita Active Directory -objekteja Windows PowerShellin avulla. PowerShell-ympäristöä pidetään tehokkaana komentoriviltä, ​​joka on kehitetty .Net Frameworkin pohjalta ja joka on suunniteltu hallitsemaan ja automatisoimaan Windows-käyttöjärjestelmien ja näissä käyttöjärjestelmissä toimivien sovellusten hallintaa. PowerShell sisältää yli 150 komentorivityökalua, joita kutsutaan cmdletiksi, jotka mahdollistavat yritysten tietokoneiden hallinnan komentoriviltä. Tämä kuori on osa käyttöjärjestelmää.

Luodaksesi uuden käyttäjän Active Directory -toimialueelle, käytä New-ADUser-cmdlet-komentoa, jonka suurin osa ominaisuusarvoista voidaan lisätä tämän cmdletin parametreilla. Parametria –Path käytetään näyttämään LDAP-nimi. Tämä parametri määrittää uuden käyttäjän säilön tai organisaatioyksikön (OU). Jos Polku-parametria ei ole määritetty, cmdlet luo käyttäjäobjektin tietyn toimialueen käyttäjäobjektien oletussäilöön, joka on Käyttäjät-säilö. Määritä salasana käyttämällä –AccountPassword-parametria arvon kanssa (Read-Host -AsSecureString "Tilisi salasana"). On myös syytä kiinnittää huomiota siihen, että –Country-parametrin arvo on juuri käyttäjän valitseman kielen maa- tai aluekoodi. cmdlet-syntaksi on seuraava:

Uusi-ADU-käyttäjä [-nimi] [-AccountExpirationDate ] [-AccountNotDelegated ] [-Tilin salasana ] [-AllowReversiblePasswordEncryption ] [-AuthType (Neuvotella | Perus)] [-CannotChangePassword ] [- Sertifikaatit ] [-ChangePasswordAtLogon ] [-Kaupunki ] [-Yhtiö ] [-Maa ] [-Tiedot ] [-osasto ] [-Kuvaus ] [-Näyttönimi ] [-Divisioona ] [-Sähköpostiosoite ] [-Henkilöstökortti ] [-EmployeeNumber ] [-Käytössä ] [-Faksi ] [-Etunimi ] [-HomeDirectory ] [-HomeDrive ] [-Kotisivu ] [-Kotipuhelin ] [-Alkukirjaimet ] [-Ilmentymä ] [-LogonWorkstations ] [-Johtaja ] [-Kännykkä ] [-Toimisto ] [-Toimistopuhelin ] [-Organisaatio ] [-OtherAttributes ] [-Muu nimi ] [-PassThru ] [-Salasana ei koskaan vanhene ] [-PasswordNotRequired ] [-Polku ] [-Postilokero ] [-Postinumero ] [-Profiilipolku ] [-SamAccountName ] [-ScriptPath ] [-Palvelin ] [-ServicePrincipalNames ] [-SmartcardLogonRequired ] [-Valtio ] [-Katuosoite ] [-Sukunimi ] [-Otsikko ] [-TrustedForDelegation ] [-Tyyppi ] [-UserPrincipalName ] [-Vahvista] [-Mitä jos] [ ]

Kuten tästä syntaksista näkyy, kaikkia parametreja ei ole järkevää kuvata, koska ne ovat identtisiä suojausperiaatteen attribuuttien kanssa eivätkä tarvitse selitystä. Katsotaanpa esimerkkiä käytöstä:

Uusi-ADU-käyttäjä -SamAccountName "Jevgeniy.Romanov" -Nimi "Jevgeniy Romanov" -Etunimi "Jevgeni" -Sukunimi "Romanov" -Näyttönimi "Jevgeniy Romanov" -Polku "OU=Markkinointi,OU=Käyttäjät,DC=testdomain,DC=com " -CannotChangePassword $false -ChangePasswordAtLogon $true -Kaupunki "Kherson" -Osavaltio "Kherson" -Maa UA -Department "Marketing" -Title "Marketer" -UserPrincipalName "!} [sähköposti suojattu]" -Sähköpostiosoite " [sähköposti suojattu]" -Käytössä $true -AccountPassword (Read-Host -AsSecureString "AccountPassword")

Riisi. 10. Luo käyttäjätili Windows PowerShellin avulla

Johtopäätös

Tässä artikkelissa opit tietoturvaperiaatteen käsitteestä ja siitä, mitä roolia käyttäjätilit edustavat toimialueympäristössä. Pääskenaariot käyttäjätilien luomiseksi Active Directory -toimialueelle käsiteltiin yksityiskohtaisesti. Opit luomaan käyttäjätilejä laajennuksen avulla "Aktiivinen hakemisto - käyttäjät ja tietokoneet", käyttämällä malleja, komentoriviohjelmia Dsadd, CSVDE ja LDIFDE. Opit myös luomaan käyttäjätilejä VBScript-komentosarjakielellä ja Windows PowerShell -komentorivikuorella.

Ryhmäkäytäntö on hierarkkinen infrastruktuuri, jonka avulla Microsoft Active Directorysta vastaava verkonvalvoja voi ottaa käyttöön tiettyjä määrityksiä käyttäjille ja tietokoneille. Ryhmäkäytäntöä voidaan käyttää myös käyttäjä-, suojaus- ja verkkokäytäntöjen määrittämiseen konetasolla.

Määritelmä

Active Directory -ryhmät auttavat järjestelmänvalvojia määrittämään asetukset sille, mitä käyttäjät voivat tehdä verkossa, mukaan lukien tiedostot, kansiot ja sovellukset, joita he voivat käyttää. Käyttäjä- ja tietokoneasetusten kokoelmia kutsutaan ryhmäkäytäntöobjekteiksi, joita hallitaan hallintakonsoliksi kutsutusta keskusliittymästä. Ryhmäkäytäntöä voidaan hallita myös komentorivityökaluilla, kuten gpresult ja gpupdate.

Active Directory oli uusi Windows 2000 Serverille, ja sitä parannettiin vuoden 2003 versiossa, mikä teki siitä entistä tärkeämmän osan käyttöjärjestelmää. Windows Server 2003 AD tarjoaa yhden viitteen, jota kutsutaan hakemistopalveluksi, kaikille verkon objekteille, mukaan lukien käyttäjät, ryhmät, tietokoneet, tulostimet, käytännöt ja käyttöoikeudet.

Active Directory -asennus tarjoaa käyttäjälle tai järjestelmänvalvojalle yhden hierarkkisen näkymän kaikkien verkkoresurssien hallintaan.

Miksi Active Directory kannattaa ottaa käyttöön?

Tämän järjestelmän käyttöönotolle on monia syitä. Ensinnäkin Microsoft Active Directorya pidetään yleisesti merkittävänä parannuksena Windows NT Server 4.0 -toimialueisiin tai jopa itsenäisiin palvelinverkkoihin verrattuna. AD:lla on keskitetty hallintamekanismi koko verkossa. Se tarjoaa myös redundanssin ja vikasietoisuuden, kun kaksi tai useampi toimialueen ohjauskone on otettu käyttöön toimialueella.

Palvelu hallitsee automaattisesti verkkoalueen ohjauskoneiden välistä viestintää varmistaakseen verkon toimivuuden. Käyttäjät pääsevät kaikkiin verkon resursseihin, joihin heillä on valtuutus, käyttämällä kertakirjautumista. Kaikki verkon resurssit on suojattu vankalla suojausmekanismilla, joka varmistaa käyttäjän tunnisteen ja resurssivaltuudet jokaiselle pääsylle.

Jopa Active Directoryn edistyneen suojauksen ja hallinnan ansiosta useimmat sen ominaisuudet ovat loppukäyttäjille näkymättömiä. Tässä suhteessa käyttäjien siirtäminen AD-verkkoon vaatii hieman uudelleenkoulutusta. Palvelu tarjoaa työkaluja toimialueen ohjaimien ja jäsenpalvelimien nopeaan edistämiseen ja alentamiseen. Järjestelmää voidaan hallita ja suojata Active Directoryn ryhmäkäytännöillä. Se on joustava hierarkkinen organisaatiomalli, joka mahdollistaa hallinnollisten vastuiden helpon hallinnan ja tarkkuuden. AD pystyy hallitsemaan miljoonia objekteja yhden toimialueen sisällä.

Pääosat

Active Directoryn ryhmäkäytäntökirjat on järjestetty neljän tyyppisen osion tai säilörakenteen avulla. Nämä neljä osastoa ovat metsät, toimialueet, organisaatioyksiköt ja toimipaikat:

Metsä on kokoelma jokaisesta objektista, sen ominaisuuksista ja syntaksista.

Toimialue on joukko tietokoneita, joilla on yhteinen käytäntösarja, jäsentensä nimi ja tietokanta.

Organisaatioyksiköt ovat säiliöitä, joihin verkkotunnukset voidaan ryhmitellä. Ne luovat verkkotunnukselle hierarkian ja luovat yritysrakenteen maantieteellisessä tai organisaatioympäristössä.

Sivustot ovat fyysisiä ryhmittymiä, jotka ovat riippumattomia organisaatioyksiköiden alueesta ja rakenteesta. Sivustot erottavat paikat, jotka on yhdistetty hitailla ja nopeilla yhteyksillä, ja ne määritetään yhden tai useamman IP-aliverkon avulla.

Metsiä ei rajoita maantiede tai verkkotopologia. Yksi metsä voi sisältää useita verkkotunnuksia, joista jokaisella on yhteinen skeema. Saman metsän toimialueen jäsenet eivät edes vaadi erillistä LAN- tai WAN-yhteyttä. Yksi verkosto voi olla myös useiden itsenäisten metsien koti. Yleensä jokaista oikeushenkilöä kohden tulisi käyttää yhtä metsää. Lisätelineet voivat kuitenkin olla toivottavia testaus- ja tutkimustarkoituksiin tuotantometsän ulkopuolella.

Verkkotunnukset

Active Directory -toimialueet toimivat suojauskäytäntöjen ja hallinnollisten tehtävien säilöinä. Oletusarvoisesti kaikki objektit niissä ovat ryhmäkäytäntöjen alaisia. Samoin kuka tahansa järjestelmänvalvoja voi hallita kaikkia toimialueen objekteja. Lisäksi jokaisella verkkotunnuksella on oma ainutlaatuinen tietokanta. Todennus perustuu siis verkkotunnukseen. Kun käyttäjätili on todennettu, tili saa pääsyn resursseihin.

Ryhmäkäytäntöjen määrittäminen Active Directoryssa vaatii yhden tai useamman toimialueen. Kuten aiemmin mainittiin, AD-toimialue on kokoelma tietokoneita, joilla on yhteinen käytäntösarja, nimi ja jäsentensä tietokanta. Toimialueessa on oltava yksi tai useampi palvelin, joka toimii toimialueen ohjauskoneina (DC) ja tallentaa tietokannan, ylläpitää käytäntöjä ja tarjoaa kirjautumisen todennuksen.

Verkkotunnuksen ohjaimet

Windows NT:ssä perustoimialueen ohjain (PDC) ja varatoimialueen ohjain (BDC) olivat rooleja, jotka voitiin määrittää palvelimelle Windows-käyttöjärjestelmää käyttävien tietokoneiden verkossa. Windows käytti verkkotunnuksen ideaa hallitakseen pääsyä verkkoresurssien joukkoon (sovellukset, tulostimet jne.) käyttäjäryhmälle. Käyttäjän tarvitsee vain kirjautua verkkotunnukseen päästäkseen resursseihin, jotka voivat sijaita useilla verkon eri palvelimilla.

Yksi palvelin, joka tunnetaan nimellä PDC, hallitsi toimialueen ensisijaista käyttäjätietokantaa. Yksi tai useampi palvelin on määritetty varatoimialueen ohjauskoneiksi. Ensisijainen ohjain lähetti määräajoin kopiot tietokannasta varatoimialueen ohjauskoneille. Varatoimialueen ohjain voi tulla ensisijaiseksi toimialueen ohjaimeksi, jos PDC-palvelin epäonnistuu, ja se voi myös auttaa tasapainottamaan työkuormaa, jos verkko on tarpeeksi kiireinen.

Active Directoryn delegointi ja määrittäminen

Vaikka Windows 2000 Serverissä toimialueen ohjaimet säilytettiin, PDC- ja BDC-palvelinroolit korvattiin suurelta osin Active Directorylla. Enää ei tarvitse luoda erillisiä verkkotunnuksia järjestelmänvalvojan oikeuksien erottamiseksi. AD:ssa voit delegoida järjestelmänvalvojan oikeuksia organisaatioyksiköiden perusteella. Verkkotunnuksia ei enää rajoiteta 40 000 käyttäjään. AD-toimialueet voivat hallita miljoonia objekteja. Koska PDC:itä ja BDC:itä ei enää ole, Active Directoryn ryhmäkäytäntöasetus pakottaa usean pääkoneen replikoinnin ja kaikki toimialueen ohjaimet ovat vertaisia.

Organisaatiorakenne

Organisaatioyksiköt ovat paljon joustavampia ja helpompia hallita kuin verkkotunnukset. Organisaatioyksiköt antavat sinulle lähes rajattoman joustavuuden, koska voit siirtää niitä, poistaa niitä ja luoda uusia yksiköitä tarpeen mukaan. Verkkotunnukset ovat kuitenkin rakenneasetuksissaan paljon jäykempiä. Verkkotunnuksia voidaan poistaa ja luoda uudelleen, mutta tämä prosessi horjuttaa ympäristöä ja sitä tulee välttää aina kun mahdollista.

Sivustot ovat kokoelmia IP-aliverkkoja, joissa on nopea ja luotettava yhteys kaikkien isäntien välillä. Toinen tapa luoda sivusto on muodostaa yhteys paikallisverkkoon, mutta ei WAN-yhteyteen, koska WAN-yhteydet ovat huomattavasti hitaampia ja vähemmän luotettavia kuin LAN-yhteydet. Käyttämällä sivustoja voit hallita ja vähentää hitaiden WAN-linkkien kautta kulkevan liikenteen määrää. Tämä voi johtaa tehokkaampaan liikenteen sujuvuuteen tuottavuustehtävissä. Se voi myös vähentää WAN-viestintäkustannuksia maksu-bittipalveluissa.

Infrastruktuurivelho ja yleinen katalogi

Muiden Windows Serverin avainkomponenttien joukossa Active Directory sisältää Infrastructure Wizardin (IM), joka on monipuolinen FSMO (Flexible Single Operations Wizard) -palvelu, joka vastaa automatisoidusta prosessista, joka sitoo vanhentuneet viittaukset, jotka tunnetaan nimellä fantomit, Active Directoryyn. tietokanta.

Fantomit luodaan DC:ille, jotka vaativat ristiviittauksen oman tietokannan objektin ja metsän toisesta toimialueesta olevan objektin välillä. Näin tapahtuu esimerkiksi silloin, kun lisäät käyttäjän yhdestä toimialueesta ryhmään toisessa toimialueessa samassa metsässä. Fantomit katsotaan vanhentuneiksi, kun ne eivät enää sisällä päivitettyjä tietoja, mikä johtuu phantomin edustamaan vieraaseen esineeseen tehdyistä muutoksista. Esimerkiksi kun kohde nimetään uudelleen, siirretään, siirretään toimialueiden välillä tai poistetaan. Infrastruktuurimestari on yksin vastuussa vanhentuneiden fantomien löytämisestä ja korjaamisesta. Kaikki "korjaus"-prosessin seurauksena tehdyt muutokset on sitten kopioitava muihin toimialueen ohjauskoneisiin.

Infrastructure Master sekoitetaan toisinaan Global Catalogiin (GC), joka ylläpitää osittaista, vain luku -muotoista kopiota jokaisesta metsässä olevasta toimialueesta ja jota käytetään muun muassa yleiseen ryhmätallennus- ja kirjautumiskäsittelyyn. Koska GC:t tallentavat osittaisen kopion kaikista objekteista, ne voivat luoda verkkotunnusten välisiä linkkejä ilman haamuja.

Active Directory ja LDAP

Microsoft sisältää LDAP:n (Lightweight Directory Access Protocol) Active Directoryn osana. LDAP on ohjelmistoprotokolla, jonka avulla kuka tahansa käyttäjä voi löytää organisaatioita, henkilöitä ja muita resursseja, kuten tiedostoja ja laitteita, verkosta, joko julkisesta Internetistä tai yrityksen intranetistä.

TCP/IP-verkoissa (mukaan lukien Internet) Domain Name System (DNS) on hakemistojärjestelmä, jota käytetään yhdistämään toimialueen nimi tiettyyn verkko-osoitteeseen (ainutlaatuiseen sijaintiin verkossa). Et kuitenkaan välttämättä tiedä verkkotunnuksen nimeä. LDAP:n avulla voit etsiä ihmisiä tietämättä, missä he ovat (vaikka lisätiedot auttavat haussa).

LDAP-hakemisto on järjestetty yksinkertaiseen hierarkkiseen hierarkiaan, joka koostuu seuraavista tasoista:

Juurihakemisto (puun alkuperäinen sijainti tai lähde).

• Organisaatiot.

  Organisaatioyksiköt (osastot).

  Yksilöt (mukaan lukien ihmiset, tiedostot ja jaetut resurssit, kuten tulostimet).

LDAP-hakemisto voidaan jakaa useiden palvelimien kesken. Jokaisella palvelimella voi olla replikoitu versio jaetusta hakemistosta, joka synkronoidaan säännöllisesti.

Jokaisen järjestelmänvalvojan on tärkeää ymmärtää, mitä LDAP on. Koska tiedon etsiminen Active Directorysta ja kyky luoda LDAP-kyselyjä on erityisen hyödyllistä haettaessa AD-tietokantaan tallennettuja tietoja. Tästä syystä monet järjestelmänvalvojat kiinnittävät suurta huomiota LDAP-hakusuodattimen hallitsemiseen.

Ryhmäkäytännön ja Active Directoryn hallinta

AD:sta on vaikea keskustella mainitsematta ryhmäpolitiikkaa. Järjestelmänvalvojat voivat käyttää Microsoft Active Directoryn ryhmäkäytäntöjä määrittääkseen asetuksia verkossa oleville käyttäjille ja tietokoneille. Nämä asetukset määritetään ja tallennetaan niin kutsuttuihin ryhmäkäytäntöobjekteihin (GPO), jotka sitten linkitetään Active Directory -objekteihin, mukaan lukien toimialueet ja sivustot. Tämä on ensisijainen mekanismi muutosten soveltamiseksi käyttäjien tietokoneisiin Windows-ympäristössä.

Ryhmäkäytäntöjen hallinnan ansiosta järjestelmänvalvojat voivat määrittää maailmanlaajuisesti käyttäjien tietokoneiden työpöytäasetukset ja rajoittaa tai sallia pääsyn tiettyihin verkon tiedostoihin ja kansioihin.

Ryhmäkäytäntöjen soveltaminen

On tärkeää ymmärtää, kuinka ryhmäkäytäntöobjekteja käytetään ja pannaan täytäntöön. Niiden sopiva järjestys on soveltaa ensin paikallisia konekäytäntöjä, sitten sivustokäytäntöjä, sitten toimialuekäytäntöjä ja sitten yksittäisiin organisaatioyksiköihin sovellettavia käytäntöjä. Käyttäjä tai tietokoneobjekti voi kuulua vain yhdelle sivustolle ja yhteen toimialueeseen kerrallaan, joten he saavat vain kyseiseen sivustoon tai toimialueeseen liittyvät GPO:t.

Objektin rakenne

Ryhmäkäytäntöobjektit on jaettu kahteen erilliseen osaan: ryhmäkäytäntömalli (GPT) ja ryhmäkäytäntösäilö (GPC). Ryhmäkäytäntömalli on vastuussa tiettyjen GPO:ssa luotujen asetusten ylläpidosta ja on olennainen sen onnistumisen kannalta. Se tallentaa nämä asetukset suureen kansio- ja tiedostorakenteeseen. Jotta asetuksia voidaan soveltaa onnistuneesti kaikkiin käyttäjä- ja tietokoneobjekteihin, GPT on replikoitava kaikissa toimialueen ohjaimissa.

Ryhmäkäytäntösäilö on osa Active Directoryyn tallennettua ryhmäkäytäntöobjektia, joka sijaitsee toimialueen jokaisessa toimialueen ohjauskoneessa. GPC vastaa asiakaslaajennuksen (CSE) viittausten, GPT-polun, ohjelmiston asennuspakettien polkujen ja muiden GPO-viittausten ylläpidosta. GPC ei sisällä paljoa vastaavaa GPO:ta koskevia tietoja, mutta sitä tarvitaan GPO:n toiminnalle. Kun ohjelmiston asennuskäytännöt on määritetty, GPC auttaa ylläpitämään GPO:han liittyviä linkkejä ja tallentaa muut objektin attribuutteihin tallennetut relaatiolinkit ja polut. GPC-rakenteen tunteminen ja määritteisiin tallennettujen piilotettujen tietojen käyttö kannattaa, kun sinun on tunnistettava ryhmäkäytäntöongelma.

Windows Server 2003:ssa Microsoft julkaisi ryhmäkäytäntöjen hallintaratkaisun tietojen yhdistämistyökaluna laajennuksen muodossa, joka tunnetaan nimellä Group Policy Management Console (GPMC). GPMC tarjoaa GPO-keskeisen hallintarajapinnan, joka yksinkertaistaa huomattavasti GPO:iden hallintoa, hallintaa ja sijaintia. GPMC:n kautta voit luoda uusia GPO:ita, muokata ja muokata ryhmäryhmän objekteja, leikata/kopioida/liitä GPO-objekteja, varmuuskopioida GPO:ita ja suorittaa tuloksena olevia käytäntöjä.

Optimointi

Kun hallittavien GPO:iden määrä kasvaa, suorituskyky vaikuttaa verkon koneisiin. Vinkki: Jos suorituskyky heikkenee, rajoita sivuston verkkoasetuksia. Käsittelyaika kasvaa suoraan verrannollisesti yksittäisten asetusten määrään. Suhteellisen yksinkertaiset määritykset, kuten työpöytäasetukset tai Internet Explorerin käytännöt, eivät välttämättä vie paljon aikaa, kun taas ohjelmistokansioiden uudelleenohjaus voi rasittaa verkkoa vakavasti, etenkin ruuhka-aikoina.

Erottele käyttäjien GPO:t ja poista sitten käyttämätön osa käytöstä. Yksi paras käytäntö sekä parantaa tuottavuutta että vähentää hallinnan hämmennystä on luoda erillisiä objekteja tietokoneita koskeville asetuksille ja erillisiä käyttäjille.

Huomautus: Tällä luennolla kuvataan Active Directory -hakemistopalvelujen peruskäsitteet. Käytännön esimerkkejä verkon turvajärjestelmän hallinnasta annetaan. Ryhmäkäytäntöjen mekanismi on kuvattu. Antaa käsityksen verkonvalvojan tehtävistä hallinnassa

Nykyaikaiset verkot koostuvat usein useista eri ohjelmistoalustoista ja laajasta valikoimasta laitteistoja ja ohjelmistoja. Käyttäjien on usein pakko muistaa suuri määrä salasanoja päästäkseen erilaisiin verkkoresursseihin. Saman työntekijän käyttöoikeudet voivat olla erilaisia ​​riippuen siitä, mitä resursseja hän työskentelee. Kaikki tämä lukuisat suhteet vaativat järjestelmänvalvojalta ja käyttäjältä valtavan määrän aikaa analysointiin, muistamiseen ja oppimiseen.

Ratkaisu tällaisen heterogeenisen verkon hallinnan ongelmaan löydettiin kehittämällä hakemistopalvelu. Hakemistopalvelut tarjoavat mahdollisuuden hallita mitä tahansa resursseja ja palveluita mistä tahansa verkon koosta, käytetyistä käyttöjärjestelmistä tai laitteiston monimutkaisuudesta riippumatta. Käyttäjätiedot syötetään kerran hakemistopalveluun, jonka jälkeen ne tulevat saataville koko verkossa. Sähköpostiosoitteet, ryhmäjäsenyydet, tarvittavat käyttöoikeudet ja tilit eri käyttöjärjestelmien kanssa työskentelyyn - kaikki tämä luodaan ja pidetään ajan tasalla automaattisesti. Kaikki järjestelmänvalvojan hakemistopalveluun tekemät muutokset päivitetään välittömästi koko verkkoon. Järjestelmänvalvojien ei enää tarvitse huolehtia irtisanotuista työntekijöistä – yksinkertaisesti poistamalla käyttäjän tilin hakemistopalvelusta he voivat varmistaa, että kaikki kyseiselle työntekijälle aiemmin myönnetyt verkkoresurssien käyttöoikeudet poistetaan automaattisesti.

Tällä hetkellä useimmat eri yritysten hakemistopalvelut perustuvat standardiin X.500. Hakemistopalveluihin tallennettujen tietojen saamiseksi tyypillisesti käytetty protokolla on (LDAP). TCP/IP-verkkojen nopean kehityksen myötä LDAP:sta on tulossa standardi hakemistopalveluille ja hakemistopalveluita käyttäville sovelluksille.

Hakemistopalvelu Active Directory on Windows-järjestelmään perustuvien yritysverkkojen loogisen rakenteen perusta. Termi " Luettelo"tarkoittaa laajimmassa merkityksessä" Hakemisto", A hakemistopalvelu yritysverkko on keskitetty yrityshakemisto. Yrityshakemisto voi sisältää tietoa erityyppisistä objekteista. Hakemistopalvelu Active Directory sisältää ensisijaisesti objektit, joihin Windows-verkkoturvajärjestelmä perustuu - käyttäjä-, ryhmä- ja tietokonetilit. Tilit on järjestetty loogisiin rakenteisiin: toimialue, puu, metsä, organisaatioyksiköt.

Kurssin "Verkottuminen" materiaalin opiskelun näkökulmasta hallinto"Seuraava vaihtoehto koulutusmateriaalin läpäisemiseksi on täysin mahdollinen: tutustu ensin tämän osion ensimmäiseen osaan (peruskäsitteistä toimialueen ohjaimien asentamiseen), siirry sitten kohtaan "Tiedosto- ja tulostuspalvelu" ja tutkittuasi "Tiedosto- ja tulostuspalvelu" palaa "Active Directory Service Directory" -palveluun oppiaksesi kehittyneempiä hakemistopalvelukonsepteja.

6.1 Perustermit ja -käsitteet (metsä, puu, toimialue, organisaatioyksikkö). AD-nimitilan suunnittelu. Verkkotunnuksen ohjaimien asentaminen

Tietoturvan hallintamallit: työryhmämalli ja keskitetty toimialuemalli

Kuten edellä mainittiin, hakemistopalveluiden päätarkoitus on hallita verkon turvallisuutta. Verkkoturvallisuuden perusta on käyttäjien, käyttäjäryhmien ja tietokoneiden tilien tietokanta, jonka avulla valvotaan pääsyä verkkoresursseihin. Ennen kuin puhumme Active Directory -hakemistopalvelusta, verrataan kahta mallia hakemistopalvelutietokannan rakentamiseen ja resurssien käytön hallintaan.

Työryhmämalli

Tämä yrityksen verkkoturvallisuuden hallintamalli on alkeellisin. Se on tarkoitettu käytettäväksi pienissä peer-to-peer verkot(3–10 tietokonetta) ja perustuu siihen, että jokaisella verkon tietokoneella, jossa on Windows NT/2000/XP/2003 -käyttöjärjestelmä, on oma paikallinen tilitietokanta ja tämän paikallisen tietokannan avulla pääsy tämän tietokannan resursseihin. tietokonetta ohjataan. Paikallista tilitietokantaa kutsutaan tietokannaksi SAM (Tietoturvatilin johtaja) ja se on tallennettu käyttöjärjestelmän rekisteriin. Yksittäisten tietokoneiden tietokannat ovat täysin eristettyjä toisistaan, eivätkä ne ole mitenkään yhteydessä toisiinsa.

Esimerkki kulunvalvonnasta tätä mallia käytettäessä on esitetty kuvassa. 6.1.

Riisi. 6.1.

Tässä esimerkissä on kaksi palvelinta (SRV-1 ja SRV-2) ja kaksi työasemaa (WS-1 ja WS-2). Heidän SAM-tietokantansa on nimetty SAM-1, SAM-2, SAM-3 ja SAM-4, vastaavasti (SAM-tietokannat on esitetty kuvassa soikeana). Jokaisessa tietokannassa on käyttäjätilit User1 ja User2. SRV-1-palvelimen User1:n koko nimi on "SRV-1\Käyttäjä1" ja WS-1-työaseman User1:n koko nimi on "WS-1\Käyttäjä1". Kuvitellaan, että SRV-1-palvelimelle on luotu Folder-kansio, johon Käyttäjä1:llä on pääsy verkon kautta - lukea (R), Käyttäjä2 - lukea ja kirjoittaa (RW). Pääasia tässä mallissa on, että SRV-1-tietokone "ei tiedä" mitään SRV-2-, WS-1-, WS-2-tietokoneiden eikä kaikkien muiden verkon tietokoneiden tileistä. Jos käyttäjä nimellä User1 kirjautuu sisään järjestelmään paikallisesti tietokoneella, esimerkiksi WS-2 (tai, kuten he myös sanovat, "kirjautuu sisään paikallisella nimellä User1 WS-2-tietokoneessa"), yrittää päästä tältä tietokoneelta verkon kautta SRV-1-palvelimen Kansio-kansioon, palvelin kehottaa käyttäjää antamaan nimen ja salasanan (poikkeus on, jos käyttäjillä, joilla on sama nimi, on samat salasanat).

Workgroup-malli on helpompi oppia, eikä monimutkaisia ​​Active Directory -konsepteja tarvitse opetella. Mutta kun sitä käytetään verkossa, jossa on suuri määrä tietokoneita ja verkkoresursseja, käyttäjänimien ja niiden salasanojen hallinta on erittäin vaikeaa - sinun on luotava manuaalisesti samat tilit samoilla salasanoilla jokaiselle tietokoneelle (joka jakaa resurssinsa verkossa ), joka on erittäin työvoimavaltaista, tai yhden tilin luominen kaikille käyttäjille yhdellä salasanalla kaikille (tai ilman salasanaa), mikä heikentää tietoturvan tasoa huomattavasti. Siksi Workgroup-mallia suositellaan vain verkoille, joissa on 3–10 tietokonetta (tai vielä parempi, enintään 5), jos kaikkien tietokoneiden joukossa ei ole yhtäkään Windows Serveriä.

Verkkotunnuksen malli

Toimialuemallissa on yksi hakemistopalvelutietokanta, joka on kaikkien verkon tietokoneiden käytettävissä. Tätä tarkoitusta varten verkkoon asennetaan erikoispalvelimet, ns toimialueen ohjaimet, jotka tallentavat tämän tietokannan kiintolevylleen. Kuvassa 6.2. näyttää kaavion toimialuemallista. Palvelimet DC-1 ja DC-2 ovat toimialueen ohjauskoneita, ne tallentavat toimialueen tilitietokannan (kukin ohjain tallentaa oman kopion tietokannasta, mutta kaikki yhden palvelimen tietokantaan tehdyt muutokset kopioidaan muihin ohjaimiin).

Tällaisessa mallissa, jos esimerkiksi SRV-1-palvelimella, joka on toimialueen jäsen, tarjotaan jaettu pääsy Kansio-kansioon, tämän resurssin käyttöoikeuksia voidaan määrittää paitsi verkkotunnuksen tileille. tämän palvelimen paikalliseen SAM-tietokantaan, mutta mikä tärkeintä, verkkotunnuksen tietokantaan tallennettuihin tilitietueisiin. Kuvassa Kansio-kansion käyttöoikeudet on annettu yhdelle paikalliselle tilille SRV-1-tietokoneella ja useille toimialuetileille (käyttäjä ja käyttäjäryhmät). Verkkotunnuksen tietoturvan hallintamallissa käyttäjä rekisteröityy tietokoneelle (“kirjautuu sisään”) kanssaan verkkotunnuksen tili ja saa pääsyn tarvittaviin verkkoresursseihin riippumatta tietokoneesta, jolla rekisteröinti suoritettiin. Eikä jokaiselle tietokoneelle tarvitse luoda suurta määrää paikallisia tilejä, kaikki tietueet on luotu kerran verkkotunnuksen tietokannassa. Ja verkkotunnustietokannan avulla se toteutetaan keskitetty kulunvalvonta verkkoresursseihin riippumatta verkossa olevien tietokoneiden määrästä.

Active Directory -hakemistopalvelun tarkoitus

Hakemisto (hakemisto) voi tallentaa erilaisia ​​tietoja käyttäjistä, ryhmistä, tietokoneista, verkkotulostimista, tiedosto-osuuksista ja niin edelleen - kutsutaan kaikkia näitä objekteja. Hakemistoon tallennetaan myös tietoa itse objektista tai sen ominaisuuksista, joita kutsutaan attribuutteiksi. Esimerkiksi käyttäjän hakemistoon tallennetut attribuutit voivat olla hänen esimiehensä nimi, puhelinnumero, osoite, kirjautumisnimi, salasana, ryhmät, joihin hän kuuluu, ja paljon muuta. Jotta hakemistosäilöstä olisi hyötyä käyttäjille, hakemiston kanssa on oltava vuorovaikutuksessa palveluita. Voit esimerkiksi käyttää hakemistoa tietojen arkistona, jota voidaan käyttää käyttäjän todentamiseen, tai paikkana, johon voit lähettää kyselyn löytääksesi tietoja kohteesta.

Active Directory ei ole vastuussa vain näiden pienten objektien luomisesta ja järjestämisestä, vaan myös suurista objekteista, kuten verkkotunnuksista, organisaatioyksiköistä (organisaatioyksiköistä) ja sivustoista.

Lue alta Active Directory -hakemistopalvelun yhteydessä käytetyt perustermit.

Hakemistopalvelu Active Directory (lyhennettynä AD) varmistaa monimutkaisten yritysympäristöjen tehokkaan toiminnan tarjoamalla seuraavat ominaisuudet:

• Kertakirjautuminen verkossa; Käyttäjät voivat kirjautua verkkoon yhdellä käyttäjätunnuksella ja salasanalla ja päästä käsiksi kaikkiin verkon resursseihin ja palveluihin (verkkoinfrastruktuuripalvelut, tiedosto- ja tulostuspalvelut, sovellus- ja tietokantapalvelimet jne.);
• Tietoturva. Active Directoryyn sisäänrakennetut todennus- ja resurssien käytön hallintalaitteet tarjoavat keskitetyn verkon suojauksen;
• Keskitetty hallinta. Järjestelmänvalvojat voivat hallita keskitetysti kaikkia yrityksen resursseja;
• Hallinta ryhmäkäytäntöjen avulla. Kun tietokone käynnistyy tai käyttäjä kirjautuu järjestelmään, ryhmäkäytäntövaatimukset täyttyvät. niiden asetukset on tallennettu ryhmäkäytäntöobjekteja( GPO ) ja koskee kaikkia käyttäjä- ja tietokonetilejä, jotka sijaitsevat sivustoissa, verkkotunnuksissa tai organisaatioyksiköissä;
• DNS-integraatio. Hakemistopalvelut riippuvat täysin DNS-palvelun toimivuudesta. DNS-palvelimet puolestaan ​​voivat tallentaa vyöhyketietoja Active Directory -tietokantaan;
• Hakemiston laajennettavuus. Järjestelmänvalvojat voivat lisätä uusia objektiluokkia luetteloskeemaan tai lisätä uusia attribuutteja olemassa oleviin luokkiin;
• Skaalautuvuus. Active Directory -palvelu voi kattaa joko yhden toimialueen tai useita verkkotunnuksia yhdistettynä toimialuepuuksi, ja metsä voidaan rakentaa useista toimialuepuista;
• Tietojen replikointi. Active Directory käyttää palvelutietojen replikointia monipääskeemassa ( monimestari), jonka avulla voit muokata Active Directory -tietokantaa missä tahansa toimialueen ohjaimessa. Useiden ohjainten läsnäolo toimialueella tarjoaa vikasietoisuuden ja mahdollisuuden jakaa verkon kuormitusta;
• Katalogikyselyn joustavuus. Active Directory -tietokannan avulla voidaan nopeasti etsiä mitä tahansa AD-objektia sen ominaisuuksien avulla (esimerkiksi käyttäjän nimi tai sähköpostiosoite, tulostimen tyyppi tai sijainti jne.);
• Normaalit ohjelmointirajapinnat. Ohjelmistojen kehittäjille hakemistopalvelu tarjoaa pääsyn kaikkiin hakemistoominaisuuksiin ja tukee alan standardistandardeja ja ohjelmointirajapintoja (API).

Active Directoryssa voidaan luoda laaja valikoima erilaisia ​​objekteja. Objekti on ainutlaatuinen kokonaisuus hakemistossa, ja sillä on yleensä monia attribuutteja, jotka auttavat kuvaamaan ja tunnistamaan sitä. Käyttäjätili on esimerkki objektista. Tällä objektityypillä voi olla monia määritteitä, kuten etunimi, sukunimi, salasana, puhelinnumero, osoite ja monia muita. Samalla tavalla jaettu tulostin voi olla myös Active Directoryn objekti ja sen attribuutteja ovat sen nimi, sijainti jne. Objektiattribuutit eivät ainoastaan ​​auta sinua määrittämään objektia, vaan mahdollistavat myös objektien etsimisen hakemistosta.

Terminologia

Hakemistopalvelu Windows Server -järjestelmät on rakennettu yleisesti hyväksyttyjen teknologiastandardien pohjalta. Aluksi hakemistopalveluille kehitettiin standardi X.500, joka oli tarkoitettu rakentamaan hierarkkisia puumaisia ​​skaalautuvia hakemistoja, joilla on mahdollisuus laajentaa sekä objektiluokkia että kunkin yksittäisen luokan attribuuttijoukkoja (ominaisuuksia). Tämän standardin käytännön toteutus on kuitenkin osoittautunut suorituskyvyn kannalta tehottomaksi. Sitten X.500-standardiin perustuen hakemistonrakennusstandardista kehitettiin yksinkertaistettu (kevyt) versio, ns. LDAP (Kevyt hakemiston käyttöprotokolla). LDAP-protokolla säilyttää kaikki X.500:n (hierarkkinen hakemistonrakennusjärjestelmä, skaalautuvuus, laajennettavuus), mutta samalla mahdollistaa tämän standardin varsin tehokkaan toteuttamisen käytännössä. Termi " kevyt " (" kevyt") nimessä LDAP heijastaa protokollan kehittämisen päätavoitetta: luoda työkalupakki hakemistopalvelun rakentamiseen, jolla on riittävästi toiminnallista tehoa perusongelmien ratkaisemiseen, mutta joka ei ole ylikuormitettu monimutkaisilla teknologioilla, jotka tekevät hakemistopalveluiden toteuttamisesta tehotonta. Tällä hetkellä LDAP on tavallinen tapa käyttää tietoja online-hakemistoista ja sillä on perustavanlaatuinen rooli monissa tuotteissa, kuten todennusjärjestelmät, sähköpostiohjelmat ja verkkokauppasovellukset. Nykyään markkinoilla on yli 60 kaupallista LDAP-palvelinta, joista noin 90 % on erillisiä LDAP-hakemistopalvelimia ja loput tarjotaan muiden sovellusten komponentteina.

LDAP-protokolla määrittelee selkeästi ne hakemistotoiminnot, jotka asiakassovellus voi suorittaa. Nämä toiminnot jaetaan viiteen ryhmään:

• yhteyden luominen luetteloon;
• tiedon etsiminen siitä;
• sen sisällön muuttaminen;
• objektin lisääminen;
• kohteen poistaminen.

Paitsi LDAP-protokolla hakemistopalvelu Active Directory käyttää myös todennusprotokollaa Kerberos ja DNS-palvelu, jolla etsitään verkosta hakemistopalvelukomponentteja (verkkoalueohjaimet, maailmanlaajuiset luettelopalvelimet, Kerberos-palvelu jne.).

Verkkotunnus

Active Directoryn suojauksen perusyksikkö on verkkotunnus. Verkkotunnus muodostaa hallinnollisen vastuualueen. Verkkotunnustietokanta sisältää tilejä käyttäjiä, ryhmiä Ja tietokoneita. Useimmat hakemistopalvelun hallintatoiminnot toimivat toimialuetasolla (käyttäjien todennus, resurssien käyttöoikeuksien valvonta, palvelunhallinta, replikoinnin hallinta, suojauskäytännöt).

Active Directory -toimialueen nimet muodostetaan samalla tavalla kuin DNS-nimiavaruuden nimet. Ja tämä ei ole sattumaa. DNS-palvelu on keino löytää toimialueen komponentteja - ensisijaisesti toimialueen ohjaimia.

Verkkotunnuksen ohjaimet- erikoispalvelimet, jotka tallentavat tiettyä toimialuetta vastaavan osan Active Directory -tietokannasta. Toimialueohjainten päätoiminnot:

• Active Directory -tietokannan tallennustila(luettelon sisältämiin tietoihin pääsyn järjestäminen, mukaan lukien näiden tietojen hallinta ja niiden muuttaminen);
• AD:n muutosten synkronointi(AD-tietokantaan voidaan tehdä muutoksia missä tahansa toimialueen ohjauskoneessa, kaikki yhteen ohjaimiin tehdyt muutokset synkronoidaan muihin ohjaimiin tallennettujen kopioiden kanssa);
• käyttäjän todennus(mikä tahansa toimialueen ohjauskoneista tarkistaa asiakasjärjestelmiin rekisteröityvien käyttäjien oikeudet).

On erittäin suositeltavaa asentaa vähintään kaksi toimialueohjainta kuhunkin toimialueeseen - ensinnäkin suojaamaan Active Directory -tietokannan katoamiselta, jos jokin ohjain epäonnistuu, ja toiseksi kuorman jakamiseksi controllers.it.company.ru:n välillä. on aliverkkotunnus dev.it.company.ru, joka on luotu IT-palvelun ohjelmistokehitysosastolle.

• hajauttamaan luettelopalveluiden hallintoa (esimerkiksi siinä tapauksessa, että yrityksellä on maantieteellisesti kaukana toisistaan ​​olevia sivuliikkeitä ja keskitetty hallinta on teknisistä syistä vaikeaa);
• lisätä tuottavuutta (yrityksille, joilla on suuri määrä käyttäjiä ja palvelimia, verkkoalueen ohjauskoneiden suorituskyvyn lisääminen on tärkeä);
• replikoinnin tehokkaampaa hallintaa varten (jos toimialueen ohjaimet ovat etäällä toisistaan, replikointi yhdessä voi viedä enemmän aikaa ja aiheuttaa ongelmia synkronoimattomien tietojen kanssa);
metsän juuriverkkotunnus ( metsän juuriverkkotunnus), tätä verkkotunnusta ei voi poistaa (se tallentaa tietoja metsän määrityksistä ja sen muodostavista verkkoaluepuista).

Organisaatioyksiköt (OU).

Organisaatiojaostot (Organisaatioyksiköt, OU) - AD:n sisällä olevat säiliöt, jotka on luotu yhdistämään kohteita tarkoitukseen hallinnollisten oikeuksien delegointi Ja soveltamalla ryhmäkäytäntöjä verkkotunnuksessa. OP olemassa vain verkkotunnusten sisällä ja voi yhdistää vain verkkotunnuksesi objektit. OP:t voidaan upottaa toistensa sisään, mikä mahdollistaa monimutkaisen puumaisen säilöhierarkian rakentamisen toimialueen sisällä ja joustavamman hallinnollisen ohjauksen toteuttamisen. Lisäksi voidaan luoda toimintaohjeita, jotka kuvastavat yrityksen hallinnollista hierarkiaa ja organisaatiorakennetta.

Maailmanlaajuinen luettelo

Maailmanlaajuinen luettelo on lista kaikki esineet, jotka ovat Active Directory -metsässä. Toimialueen ohjauskoneet sisältävät oletusarvoisesti vain tietoja toimialueensa objekteista. Maailmanlaajuinen katalogipalvelin on toimialueen ohjain, joka sisältää tiedot kaikista tietyssä metsässä löydetyistä objekteista (tosin ei kaikista objektien määritteistä).

Active Directory tarjoaa järjestelmähallintapalveluita. Ne ovat paljon parempi vaihtoehto paikallisille ryhmille, ja niiden avulla voit luoda tietokoneverkkoja tehokkaalla hallinnalla ja luotettavalla tietosuojalla.

Jos et ole aiemmin törmännyt Active Directoryn käsitteeseen etkä tiedä, miten tällaiset palvelut toimivat, tämä artikkeli on sinua varten. Selvitetään, mitä tämä käsite tarkoittaa, mitkä ovat tällaisten tietokantojen edut ja kuinka ne luodaan ja konfiguroidaan ensimmäistä käyttöä varten.

Active Directory on erittäin kätevä tapa hallita järjestelmää. Active Directoryn avulla voit hallita tietojasi tehokkaasti.

Näiden palveluiden avulla voit luoda yhden toimialueen ohjauskoneiden hallinnoiman tietokannan. Jos omistat yrityksen, hallinnoit toimistoa tai yleensä hallitset monien ihmisten toimintaa, jotka tarvitsevat yhdistymistä, tällainen verkkotunnus on sinulle hyödyllinen.

Se sisältää kaikki objektit - tietokoneet, tulostimet, faksit, käyttäjätilit jne. Niiden verkkotunnusten summaa, joissa data sijaitsee, kutsutaan "metsäksi". Active Directory -tietokanta on toimialueympäristö, jossa objektien määrä voi olla jopa 2 miljardia. Voitko kuvitella näitä asteikkoja?

Eli tällaisen ”metsän” tai tietokannan avulla voit liittää suuren määrän työntekijöitä ja laitteita toimistoon ja olematta sidottu paikkaan - palveluissa voidaan yhdistää myös muita käyttäjiä, esim. yrityksen toimistosta toisessa kaupungissa.

Lisäksi Active Directory -palveluiden puitteissa luodaan ja yhdistetään useita verkkotunnuksia - mitä suurempi yritys, sitä enemmän työkaluja tarvitaan ohjaamaan sen laitteita tietokannassa.

Lisäksi, kun tällainen verkko luodaan, määritetään yksi ohjaava verkkotunnus, ja jopa muiden verkkotunnusten myöhemmän läsnäolon jälkeen alkuperäinen pysyy edelleen "emänä" - eli vain sillä on täysi pääsy tiedonhallintaan.

Mihin nämä tiedot tallennetaan ja mikä takaa verkkotunnusten olemassaolon? Active Directoryn luomiseen käytetään ohjaimia. Yleensä niitä on kaksi - jos yhdelle tapahtuu jotain, tiedot tallentuvat toiseen ohjaimeen.

Toinen vaihtoehto tietokannan käyttämiselle on, jos esimerkiksi yrityksesi tekee yhteistyötä toisen kanssa ja sinun on suoritettava yhteinen projekti. Tässä tapauksessa asiattomat henkilöt saattavat tarvita pääsyn verkkotunnuksen tiedostoihin, ja täällä voit luoda eräänlaisen "suhteen" kahden eri "metsän" välille, jolloin tarvittavat tiedot ovat käytettävissä vaarantamatta jäljellä olevien tietojen turvallisuutta.

Yleensä Active Directory on työkalu tietokannan luomiseen tietyn rakenteen sisällä sen koosta riippumatta. Käyttäjät ja kaikki laitteet yhdistetään yhdeksi "metsäksi", verkkotunnukset luodaan ja sijoitetaan ohjaimille.

On myös suositeltavaa selventää, että palvelut voivat toimia vain laitteissa, joissa on Windows-palvelinjärjestelmä. Lisäksi ohjaimiin luodaan 3-4 DNS-palvelinta. Ne palvelevat verkkotunnuksen päävyöhykettä, ja jos jokin niistä epäonnistuu, muut palvelimet korvaavat sen.

Lyhyen Active Directory for Dummies -katsauksen jälkeen olet luonnollisesti kiinnostunut kysymyksestä - miksi vaihtaa paikallinen ryhmä koko tietokantaan? Luonnollisesti mahdollisuudet ovat täällä monta kertaa laajempi, ja saadaksemme selville muita eroja näiden järjestelmien hallintaan liittyvissä palveluissa, katsotaanpa tarkemmin niiden etuja.

Active Directoryn edut

Active Directoryn edut ovat:

1. Yhden resurssin käyttö todennukseen. Tässä tilanteessa sinun on lisättävä jokaiseen tietokoneeseen kaikki tilit, jotka vaativat pääsyn yleisiin tietoihin. Mitä enemmän käyttäjiä ja laitteita on, sitä vaikeampaa on synkronoida nämä tiedot niiden välillä.

Ja niin, kun palveluita käytetään tietokannan kanssa, tilit tallennetaan yhteen pisteeseen ja muutokset tulevat voimaan välittömästi kaikissa tietokoneissa.

Kuinka se toimii? Jokainen toimistoon saapuva työntekijä käynnistää järjestelmän ja kirjautuu tililleen. Kirjautumispyyntö lähetetään automaattisesti palvelimelle ja todennus tapahtuu sen kautta.

Tietyn kirjanpidon järjestyksen osalta voit aina jakaa käyttäjät ryhmiin - "HR-osasto" tai "kirjanpito".

Tässä tapauksessa on vielä helpompi tarjota pääsy tietoihin - jos sinun on avattava kansio yhden osaston työntekijöille, teet sen tietokannan kautta. Yhdessä he pääsevät tarvittavaan kansioon, jossa on tietoja, kun taas toisille asiakirjat pysyvät suljettuina.

1. Hallitse jokaista tietokannan osallistujaa.

Jos paikallisessa ryhmässä jokainen jäsen on itsenäinen ja vaikeasti hallittavissa toisesta tietokoneesta, voit määrittää toimialueissa tiettyjä yrityksen käytäntöjen mukaisia ​​sääntöjä.

Järjestelmänvalvojana voit määrittää käyttöoikeus- ja suojausasetukset ja ottaa ne käyttöön jokaisessa käyttäjäryhmässä. Tietysti hierarkiasta riippuen joillekin ryhmille voidaan antaa tiukempia asetuksia, kun taas toisille voidaan antaa pääsy muihin järjestelmän tiedostoihin ja toimiin.

Lisäksi kun uusi henkilö tulee yritykseen, hänen tietokoneensa saa välittömästi tarvittavat asetukset, jotka sisältävät komponentteja työhön.

1. Monipuolisuus ohjelmiston asennuksessa.

Komponenteista puheen ollen, Active Directoryn avulla voit määrittää tulostimia, asentaa tarvittavat ohjelmat kaikille työntekijöille kerralla ja asettaa tietosuoja-asetuksia. Yleensä tietokannan luominen optimoi työn merkittävästi, valvoo turvallisuutta ja yhdistää käyttäjät maksimaalisen työtehokkuuden saavuttamiseksi.

Ja jos yrityksellä on erillinen apuohjelma tai erikoispalvelut, ne voidaan synkronoida verkkotunnusten kanssa ja yksinkertaistaa niihin pääsyä. Miten? Jos yhdistät kaikki yrityksessä käytetyt tuotteet, työntekijän ei tarvitse syöttää eri käyttäjätunnuksia ja salasanoja päästäkseen jokaiseen ohjelmaan - nämä tiedot ovat yleisiä.

Nyt kun Active Directoryn käytön edut ja merkitys tulevat selväksi, katsotaanpa näiden palvelujen asennusprosessia.

Käytämme tietokantaa Windows Server 2012:ssa

Active Directoryn asentaminen ja määrittäminen ei ole vaikea tehtävä, ja se on myös helpompaa kuin miltä ensi silmäyksellä näyttää.

Palveluiden lataamiseksi sinun on ensin tehtävä seuraavat:

1. Muuta tietokoneen nimeä: napsauta "Käynnistä", avaa Ohjauspaneeli, valitse "Järjestelmä". Valitse "Muuta asetuksia" ja napsauta "Tietokoneen nimi" -riviä vastapäätä "Muuta asetuksia" ja kirjoita uusi arvo päätietokoneelle.
2. Käynnistä tietokoneesi uudelleen tarpeen mukaan.
3. Aseta verkkoasetukset seuraavasti:
   • Avaa ohjauspaneelin kautta verkkojen ja jakamisen valikko.
   • Säädä sovittimen asetuksia. Napsauta hiiren kakkospainikkeella "Ominaisuudet" ja avaa "Verkko"-välilehti.
   • Napsauta luettelon ikkunassa Internet-protokollan numeroa 4 ja napsauta uudelleen "Ominaisuudet".
   • Anna tarvittavat asetukset, esimerkiksi: IP-osoite - 192.168.10.252, aliverkon peite - 255.255.255.0, pääyhdyskäytävä - 192.168.10.1.
   • Määritä "Preferred DNS server" -rivillä paikallisen palvelimen osoite ja "Vaihtoehtoinen..." -riville muut DNS-palvelinosoitteet.
   • Tallenna muutokset ja sulje ikkunat.

Määritä Active Directory -roolit seuraavasti:

1. Avaa Palvelinhallinta Käynnistä-valikon kautta.
2. Valitse valikosta Lisää rooleja ja ominaisuuksia.
3. Ohjattu toiminto käynnistyy, mutta voit ohittaa ensimmäisen kuvauksen sisältävän ikkunan.
4. Tarkista rivi "Roolien ja komponenttien asennus", jatka eteenpäin.
5. Valitse tietokoneesi, johon haluat asentaa Active Directoryn.
6. Valitse luettelosta rooli, joka on ladattava - sinun tapauksessasi se on "Active Directory Domain Services".
7. Näkyviin tulee pieni ikkuna, jossa sinua pyydetään lataamaan palveluihin tarvittavat komponentit - hyväksy se.
8. Sitten sinua kehotetaan asentamaan muut komponentit - jos et tarvitse niitä, ohita tämä vaihe napsauttamalla "Seuraava".
9. Ohjattu asennustoiminto näyttää ikkunan, jossa on kuvaukset asennettavista palveluista - lue ja siirry eteenpäin.
10. Näkyviin tulee luettelo komponenteista, jotka aiomme asentaa - tarkista, onko kaikki oikein, ja jos on, paina asianmukaista painiketta.
11. Kun prosessi on valmis, sulje ikkuna.
12. Siinä kaikki - palvelut ladataan tietokoneellesi.

Active Directoryn määrittäminen

Voit määrittää verkkotunnuksen palvelun seuraavasti:

• Käynnistä samanniminen ohjattu asennustoiminto.
• Napsauta keltaista osoitinta ikkunan yläosassa ja valitse "Promote the server to the domain controller".
• Napsauta Lisää uusi metsä ja luo nimi juuriverkkotunnukselle ja napsauta sitten Seuraava.
• Määritä "metsän" ja toimialueen toimintatilat - useimmiten ne ovat samat.
• Luo salasana, mutta muista se muistaa. Jatka edelleen.
• Tämän jälkeen saatat nähdä varoituksen, että verkkotunnusta ei ole delegoitu, ja kehotteen tarkistaa verkkotunnuksen nimi – voit ohittaa nämä vaiheet.
• Seuraavassa ikkunassa voit muuttaa polkua tietokantahakemistoihin - tee tämä, jos ne eivät sovi sinulle.
• Näet nyt kaikki asettamasi vaihtoehdot – tarkista, oletko valinnut ne oikein, ja siirry eteenpäin.
• Sovellus tarkistaa, täyttyvätkö edellytykset, ja jos kommentteja ei ole tai ne eivät ole kriittisiä, napsauta "Asenna".
• Kun asennus on valmis, tietokone käynnistyy uudelleen itsestään.

Saatat myös miettiä, kuinka lisätä käyttäjä tietokantaan. Voit tehdä tämän käyttämällä "Active Directory -käyttäjät tai -tietokoneet" -valikkoa, joka löytyy ohjauspaneelin "Hallinta"-osiosta, tai käyttämällä tietokannan asetusvalikkoa.

Lisää uusi käyttäjä napsauttamalla verkkotunnuksen nimeä hiiren kakkospainikkeella, valitsemalla "Luo" ja sitten "Jako". Edessäsi tulee ikkuna, johon sinun on syötettävä uuden osaston nimi - se toimii kansiona, johon voit kerätä käyttäjiä eri osastoilta. Samalla tavalla luot myöhemmin useita osastoja ja sijoitat kaikki työntekijät oikein.

Seuraavaksi, kun olet luonut osaston nimen, napsauta sitä hiiren kakkospainikkeella ja valitse "Luo" ja sitten "Käyttäjä". Nyt on vain syötettävä tarvittavat tiedot ja määritettävä käyttäjän käyttöoikeusasetukset.

Kun uusi profiili on luotu, napsauta sitä valitsemalla kontekstivalikosta ja avaa "Ominaisuudet". Poista Tili-välilehdeltä Estä... -kohdan vierestä valintaruutu. Siinä kaikki.

Yleinen johtopäätös on, että Active Directory on tehokas ja hyödyllinen järjestelmänhallintatyökalu, joka auttaa yhdistämään kaikki työntekijöiden tietokoneet yhdeksi tiimiksi. Palvelujen avulla voit luoda suojatun tietokannan ja optimoida merkittävästi kaikkien käyttäjien työn ja tietojen synkronoinnin. Jos yrityksesi tai jokin muu toimipaikka on yhteydessä sähköisiin tietokoneisiin ja verkkoihin, sinun on yhdistettävä tilit ja valvottava työtä ja luottamuksellisuutta, Active Directory -pohjaisen tietokannan asentaminen on erinomainen ratkaisu.