В каких режимах могут работать домены windows 2000

Работа по теме: Сети ЭВМ - Конспект лекций. Глава: § 6. Администрирование доменов под управлением Active Directory. ВУЗ: ТулГУ.

С
помощью оснастки Active
Directory — домены и доверие
администратор
может просматривать все деревья доменов
в лесу и управлять доменами, а также
устанавливать доверительные отношения
между доменами и настраивать режим
работы домена (смешанный,
mixed,
или основной,
native).
Данная оснастка позволяет конфигурировать
дополнительные суффиксы основных
имен пользователей
(User
Principal Name, UPN) для всего леса, которые
облегчают пользователям процесс
регистрации в Active Directory. Суффиксы основных
имен пользователей соответствуют
стандарту RFC 822, принятому в Интернете.
Иногда их называют почтовыми
адресами.
По
умолчанию суффикс леса совпадает с его
DNS-именем.

Оснастку
Active
Directory — домены и доверие
можно
запустить, выбрав команду Пуск
— Программы — Администрирование — Active
Directory — домены и доверие.

Домены Windows 2000
могут работать в одном из двух режимов:

1.
Смешанный режим
(mixed
mode) предполагает возможность одновременной
работы контроллеров домена, основанных
как на операционной системе Windows 2000
Server, так и на более ранних версиях Windows
NT Server. Этот режим позволяет выполнять
некоторые функции, характерные для
более ранних версий Windows NT, и запрещает
выполнение некоторых функций, характерных
для Windows 2000.

2.
Основной
режим
(native
mode) предполагает, что все контроллеры
домена работают в операционной системе
Windows 2000 Server, при этом все клиентские
компьютеры должны иметь поддержку
(установленный на них клиент) Active
Directory (это касается систем Windows 9x
и
Windows NT 4.0). В этом режиме можно применять
такие новые средства, как универсальные
группы, вложенные группы и т.д.

По умолчанию домен
Windows 2000 начинает работать в смешанном
режиме. При необходимости режим работы
домена можно изменить на основной

Оснастка
Active
Directory — пользователи и компьютеры
предназначена
для управления пользователями, группами,
очередями печати и другими объектами
каталога Active Directory. Этот инструмент
позволяет создавать объекты, настраивать
их атрибуты и выполнять с ними ряд других
операций.

Оснастка
Active
Directory — пользователи и компьютеры
работает
на
контроллере домена под управлением
Windows 2000 Server; оснастка не устанавливается
на изолированных серверах или рабочих
станциях. Отметим, что работа этого
инструмента возможна на рядовом
сервере
(member server), являющемся членом домена, и
на компьютере с Windows 2000 Professional, входящем
в домен Windows 2000: для этого на них необходимо
установить пакет административных
оснасток Windows 2000 Administrative Tools.

Оснастку
Active
Directory — пользователи и компьютеры
можно
запустить из меню Пуск
— Программы — Администрирование.

В
открывшемся окне вы можете видеть
встроенные папки с группированными
определенными объектами каталога,
играющие важную роль в управлении Active
Directory, такие как:

1.
Builtin
— Содержит встроенные локальные группы:
Account Operators (Операторы учета), Administrators
(Администраторы), Backup Operators (Операторы
архива), Guests (Гости), Pro-Windows 2000 Compatible
Access (Совместимый с пред-Windows 2000 доступ),
Print Operators (Операторы печати), Replicator
(Репликатор), Server Operators (Операторы сервера)
и Users (Пользователи).

2.
Computers
— содержит учетные записи всех компьютеров,
подключаемых к домену. При выполнении
обновления систем Windows более ранних
версий служба Active Directory переносит учетные
записи машин в папку Computers, откуда эти
объекты могут быть перемещены.

3.
System — Содержит информацию о системе и
службах, например, DPS, DNS, FRS, RPC, Winsock и др.

4. Users
— Содержит информацию обо всех пользователях
домена. При обновлении более ранних
версий все .пользователи первоначального
домена будут перенесены в эту папку.
Так же, как и компьютеры, объекты этой
папки могут быть перенесены в другие
папки.

5.
Domain Controllers — Содержит информацию обо
всех контроллерах домена.

Основные
функции регистрации прав пользователей
в домене
(оснастка
Active Directory — пользователи и компьютеры)
следующие:

1.
Создание, управление, перемещение
учетной записи пользователя в домене.

2. В
процессе установки домена Windows 2000 в нем
создается несколько встроенных групп,
обладающих определенным набором прав.
Их можно использовать для присвоения
администраторам или пользователям
определенных ролей или прав доступа в
домене.

К встроенным
относятся перечисленные ниже группы.
Эти группы служат для назначения
разрешений доступа пользователям, на
которых возложено выполнение в данном
домене каких-либо административных
функций.

Локальные
группы в домене:

  1. Администраторы
    (Administrators)

  2. Гости (Guests)

  3. Операторы архива
    (Backup Operators)

  4. Операторы
    печати (Print Operators)

  5. Операторы
    сервера
    (Server Operators)

  6. Операторы
    учета
    (Account Operators)

  7. Пользователи
    (Users)

  8. Репликатор
    (Replicator)

  9. Совместимый
    с
    пред-Windows
    2000 доступ
    (Pre-Windows 2000 CompatibleAccess)

Глобальные группы:

    1. Администраторы
      домена (Domain Admins)

    2. Владельцы-создатели
      групповой политики (Group Policy Creator Owners)

    3. Гости
      домена (Domain Guests)

    4. Издатели
      сертификатов (Cert Publishers)

    5. Компьютеры домена
      (Domain Computers)

    6. Контроллеры
      домена (Domain Controllers)

    7. Пользователи
      домена (Domain Users)

Универсальные
группы:

  1. Администраторы
    предприятия (Enterprise Admins)

  2. Администраторы
    схемы (Schema Admins)

Универсальные
группы создаются только на контроллерах
корневого (первого в лесе) домена. В
зависимости от установленных на сервере
служб могут быть и дополнительные
встроенные группы, локальные в домене
или глобальные. По умолчанию все
встроенные локальные группы домена
находятся в папке Builtin
объекта
домена. Все встроенные глобальные группы
находятся в папке Users.
Встроенные
группы можно переносить в другие
контейнеры или подразделения в пределах
домена.

По умолчанию каждая
созданная в домене учетная запись
автоматически становится членом группы
Пользователи домена. Кроме того, группа
Пользователи домена является членом
локальной в домене группы Пользователи.

Любой объект типа
Компьютер (Computer) при создании по умолчанию
автоматически включается в группу
Компьютеры домена.

Группа Администраторы
домена объединяет всех пользователей,
имеющих полный административный доступ
в домене. По умолчанию Администраторы
домена являются членами локальной в
домене группы Администраторы.

Группа Гости домена
объединяет все учетные записи, с помощью
которых можно зарегистрироваться в
домене без пароля и получить минимальные
права доступа. По умолчанию Гости домена
являются членами локальной в домене
группы Гости.

Помимо
перечисленных выше встроенных групп,
при установке домена Windows 2000 создаются
особые группы, обладающие дополнительными
свойствами; среди них группы:

  • ВСЕ (Everyone) —
    объединяет всех существующих и
    создаваемых пользователей сети, включая
    гостей и пользователей других доменов.

  • СЕТЬ (Network) —
    объединяет всех пользователей, получивших
    доступ к данному ресурсу по сети.

  • ИНТЕРАКТИВНЫЕ
    (Interactive) — объединяет всех пользователей,
    получивших доступ к данному ресурсу,
    зарегистрировавшись локально на
    компьютере, где находится этот ресурс.

Состав членов
указанных трех групп нельзя просмотреть
или модифицировать. Однако любой из
групп можно предоставить различные
полномочия.

Помимо
перечисленных выше встроенных групп
администратор может cоздать
любое количество групп пользователей
и предоставить им необходимый набор
прав и разрешений.

Любая
папка, для которой организован общий
доступ, может быть опубликована в Active
Directory. Публикация заключается в создании
в Active Directory объекта типа «общая папка».
Сама публикация не подразумевает
автоматическое обеспечение общего
доступа к папке, поэтому процесс
публикации состоит из двух этапов:

  1. Обеспечение общего
    доступа к папке.

  2. Ее публикация в
    Active Directory в виде объекта каталога.

Принтер,
общий доступ к которому осуществляется
через компьютер с Windows 2000, публикуется
с помощью вкладки Доступ
(Sharing)
окна свойств принтера. По умолчанию
принтер, к которому организуется общий
доступ, публикуется автоматически. Он
находицся в каталоге в соответствующем
контейнере компьютера. При обращении
к нему нужно указать имя в формате
<Имя_сервера>-<Имя_принтера>.

Подсистема печати
будет автоматически распространять в
Active Directory информацию обо всех изменениях
атрибутов принтера (местоположения,
описания, загруженной бумаги и т. д.).

В
каталоге Active Directory могут быть опубликованы
общие принтеры, работающие в системах,
отличных от Windows 2000 (например, Windows NT или
Windows 9x)
и
не-Windows
операционных систем.

Объект типа
«компьютер» автоматически создается
при включении компьютера в домен. Этот
объект можно также создать заранее.

После создания
объекта «компьютер» можно управлять
им удаленно, диагностируя службы,
работающие на этом компьютере, просматривая
события и т.д.

Любой объект в
Active Directory можно переименовать или
удалить. При этом следует соблюдать
особую осторожность, чтобы не удалить
объекты, необходимые для работы системы.
Большинство объектов разрешено перемещать
в различные контейнеры.

Одно
из важнейших новых свойств Windows 2000
Server, которым можно пользоваться в
основном (native) режиме домена, — это
вложенные
группы
(nested
groups).

Применяя вложенные
группы, можно значительно сократить
затраты на управление объектами Active
Directory и уменьшить трафик, вызванный
репликацией изменений членства в
группах. Возможности вложенных групп
зависят от режима работы домена.

Если домен работает
в основном режиме, то применение вложенных
групп подчиняется следующим правилам:

  1. Универсальные
    группы могут иметь в качестве своих
    членов учетные записи пользователей
    и компьютеров, другие универсальные
    группы и глобальные группы из любого
    домена.

  2. Глобальные
    группы могут содержать учетные записи
    своего домена и глобальные группы
    своего домена.

  3. Локальные в домене
    группы могут иметь в качестве своих
    членов учетные записи пользователей
    и компьютеров, универсальные группы и
    глобальные группы (все указанные объекты
    могут быть из любого домена), а также
    другие локальные группы своего домена.

В смешанном (mixed)
режиме группы безопасности могут быть
вложены в соответствии со следующими
правилами:

  1. Глобальные
    группы могут иметь в качестве своих
    членов только учетные записи пользователей
    и компьютеров.

  2. Локальные в домене
    группы могут иметь в качестве своих
    членов учетные записи пользователей
    и компьютеров, а также глобальные
    группы.

Как правило, сети
больших предприятий на платформе Windows
2000 обладают чрезвычайно разветвленным
деревом каталога. Большое количество
ветвей, а также наличие достаточно
автономных площадок организации,
включенных в общее дерево каталога,
усложняют управление. Администрирование
сети, каталог которой состоит из десятков
тысяч объектов, не может безопасно
осуществляться одним или несколькими
администраторами, имеющими права доступа
ко всем объектам.

В
подобных случаях следует применять
делегирование
прав администрирования.
Это
чрезвычайно мощный инструмент, который
в больших организациях позволяет более
эффективно сконфигурировать систему
безопасного администрирования. С его
помощью управление отдельными областями
сети смогут осуществлять специально
назначенные ответственные лица —
администраторы.
При
делегировании прав администрирования
очень важно наделять ответственных лиц
полномочиями, позволяющими выполнять
функции администратора только в пределах
их зоны ответственности, они не должны
иметь возможность администрировать
объекты каталога, находящиеся в других
частях сети организации.

Права
на создание новых пользователей или
групп предоставляются на уровне
подразделения или контейнера, в котором
будут создаваться учетные записи.
Администраторы групп одного подразделения
могут не иметь прав на создание и
управление учетными записями другого
подразделения в том же домене. Однако,
если права доступа и настройки политик
получены на более высоком уровне дерева
каталога, они могут распространяться
вниз по дереву благодаря механизму
наследования
прав доступа.

Оснастка
Active
Directory — пользователи и компьютеры
значительно
облегчает просмотр информации о
делегировании прав администрирования
различным контейнерам. Само делегирование
прав администрирования также может
быть выполнено без затруднений, поскольку
интерфейс позволяет выбрать того, кому
вы хотите делегировать права, и права,
которые следует делегировать.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]

  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #
  • #

Пожалуй, среди всех компонентов новой операционной системы Windows 2000 наиболее интересным и заслуживающим отдельного разговора является служба каталога Active Directory (AD).

(С другими возможностями, впервые представленными в этой операционной системе, а также с глоссарием терминов Windows 2000 читатели могут познакомиться, прочитав статью Марка Минаси «Windows 2000: ожидания и реальность».) Это неудивительно: с появлением в структуре ОС службы AD управление ресурсами Windows NT в масштабах предприятия, что называется, вступает в новую эпоху. Отходят в прошлое такие понятия, как главные домены и домены ресурсов. Не придется более иметь дела с таящими в себе риск полной дезорганизации правами администратора, действующими по принципу «все или ничего». Не нужно будет устанавливать (по формуле Nх[N-1]) многочисленные доверительные отношения при добавлении каждого нового домена. Однако для того, чтобы эффективно использовать Active Directory, администратор должен четко понимать предназначение службы каталогов, каким образом функционирует AD, какие возможности она предоставляет и как решать проблемы, возникающие в процессе миграции.

Службы каталога

Служба каталога — это распределенный репозитарий информации или указателей на информацию (например, о пользователях, группах или ресурсах). Наличие в системе такого элемента позволяет разворачивать на его базе самые разные приложения. Это могут быть простые приложения: скажем, телефонный справочник с дополнительной информацией об абонентах или сложные программы для управления сетевой операционной системой. Подобно другим службам каталога, таким, как Novell Directory Services (NDS) и StreetTalk компании Banyan, служба AD формирует каталог объектов сетевой ОС. Это позволяет управлять не только пользователями и данными о них, но и многими объектами, характерными именно для NT: томами Dfs, объектами Group Policy Objects (GPO), инфраструктурой открытых ключей (Public Key Infrastructure, PKI). Число типов объектов, которые могут содержаться в каталоге, практически неограниченно. Впрочем, во всем нужно знать меру, ведь существуют и такие факторы, как производительность системы и потенциальные проблемы репликации данных.

Один из самых известных стандартов для служб каталогов — это разработанный Международной организацией по стандартизации (ISO) протокол X.500. В нем определяется стандартная схема описания классов объектов и связанных с ними атрибутов. Все каталоги на базе X.500 имеют ряд общих особенностей. Наиболее важная из них — это так называемый организационный блок (organizational unit, или OU). Такие блоки каталога называются объектами типа контейнер, потому что объект OU может содержать внутри себя другие объекты — будь то объекты-«листья» или иные контейнеры. Поскольку каталоги на базе протокола X.500 допускают формирование объектов, содержащих другие объекты, эти каталоги могут образовывать иерархические структуры. К примеру, из объектов OU можно формировать деревья так, что каждое новое дерево будет подчиненным по отношению к предыдущему. Организационные блоки — это мощное средство AD, позволяющее делегировать административные полномочия группам пользователей домена Windows 2000. Причем важно отметить, что при делегировании прав можно детализировать уровень контроля пользователей над ресурсами домена. Таким образом, в Windows 2000 единицей делегирования полномочий является блок OU, тогда как в NT 4.0 такая единица — домен.

Еще один ключевой элемент службы каталога — так называемая «схема», т. е. внутренняя структура каталога. Схема определяет отношения между классами объектов. Каждый класс объектов имеет ассоциированный с ним набор атрибутов. Например, класс Person может иметь атрибут First Name. Это означает, что объекты класса Person содержат данные о своих именах. Как и в объектно-ориентированной модели, классы-потомки наследуют атрибуты классов-родителей, формируя таким образом иерархию классов. Схема AD расширяема, т. е. существует возможность модифицировать ее, создавая новые классы и атрибуты внутри существующих классов.

Инфраструктура AD

В процессе разработки службы каталога AD специалистам корпорации Microsoft приходилось обеспечивать обратную совместимость со средой NT 4.0. Поэтому многие концепции новой службы пользователям уже знакомы.

Домены. В ОС Windows 2000 система обеспечения безопасности данных все еще организована по доменам, и по-прежнему существуют группы Domain Admins. Однако в доменах AD уже не применяется 15-символьный стандарт именования NetBIOS. Хотя для обеспечения обратной совместимости доменам AD присвоены имена NetBIOS, однако системы Windows 2000 распознают их по DNS-именам. По умолчанию в Windows 2000 применяется служба имен DNS, и для идентификации доменов AD используется домен DNS (например, mycompany.com).

Операционная система NT 4.0 позволяет формировать из доменов не более чем двухуровневую иерархию, поскольку действие отношений доверия не переносится на новые уровни. Представьте себе три домена NT 4.0 — A, B, и C — и поставьте задачу: домены B и C должны доверять домену A, а домен C — домену B. Можно установить доверительные отношения между доменами B и A, а также между доменами C и A, однако явное доверительное отношение к домену B со стороны домена C в любом случае придется устанавливать особо. В системе Windows 2000 без этого можно обойтись. Для новой ОС разработчики Microsoft избрали в качестве применяемого по умолчанию протокола аутентификации протокол Kerberos 5, а это значит, что доверительные отношения теперь могут быть двусторонними и транзитивными. Иными словами, допускается многоуровневая иерархия доменов. Таким образом, можно сформировать «цепочку»: домен A доверяет домену B, который в свою очередь доверяет домену C, и т. д.

Деревья и леса доменов. Дерево доменов — это совокупность доменов, объединенных доверительными отношениями и принадлежащих к непрерывному пространству имен (скажем, к дереву, в котором каждый домен является поддоменом своего родительского домена). Примером непрерывного пространства имен может служить следующее дерево доменов. Его корень — домен mycompany.com. Из корня «вырастает» домен east.mycompany .com, который в свою очередь порождает потомка finance.east.mycompany.com. В нашем примере все три домена располагаются в непрерывном пространстве имен и образуют дерево доменов.

РИСУНОК 1. Лес AD.

Лес — это одно или несколько деревьев доменов, расположенных в отдельных непрерывных пространствах имен. Доверительные отношения устанавливаются с помощью протокола Kerberos на уровне корней деревьев домена. Рисунок 1 иллюстрирует отношения между доменами и деревьями доменов в лесу AD. При установке первого контроллера домена следует указать, является ли данный контроллер частью нового леса или входит в состав существующего. Надо сказать, что в рамках службы AD все домены леса должны строиться по одной схеме; в ОС Windows 2000 слияние нескольких лесов или нескольких схем не допускается. Поэтому, если необходимо создать несколько лесов (например, когда одна компания объединяется с другой, уже сформировавшей лес AD), для объединения этих лесов следует установить явные непереходные отношения доверия «сверху вниз». Существует и другая возможность: перемещать объекты из одного леса в другой с помощью специальных инструментальных средств. Как бы то ни было, до тех пор, пока Microsoft или один из независимых производителей не разработает средство для управления несколькими лесами в рамках одного предприятия, системные администраторы будут стремиться к тому, чтобы в одной организации лесов было как можно меньше.

Информационное дерево каталога (Directory Information Tree, DIT). В системе NT 4.0 все данные о пользователях, компьютерах и группах домена содержатся в базе данных Security Accounts Manager (SAM). SAM — это куст системного реестра, поэтому объем базы ограничивается возможностями масштабирования реестра. В контроллерах доменов Windows 2000 функции SAM берет на себя DIT. В основу DIT положен разработанный в Microsoft процессор базы данных Jet, аналогичный одноименному процессору, который используется в сервере Microsoft Exchange Server. Файлу SAM соответствует файл ntds.dit, расположенный в каталоге %systemroot%
tds. В этом файле хранится почти вся база данных каталога. Вообще DIT превосходит по объему SAM; дело в том, что Active Directory содержит больше информации и типов объектов, нежели служба каталогов NT 4.0. В рамках домена содержимое файла ntds.dit реплицируется на все контроллеры домена. Может сложиться впечатление, что после миграции с NT 4.0 на Windows 2000 интенсивность связанного с репликацией трафика между контроллерами доменов возрастет. На деле же такого не наблюдается, и связано это с тем, что используемая в Windows 2000 модель репликации внесенных в каталог изменений в корне отличается от модели, применяемой в NT 4.0.

Структурные элементы AD

Служба Active Directory обогащает Windows 2000 рядом свойств, которые облегчают управление сетями крупных предприятий. В числе этих новых свойств и компонентов — общий каталог Global Catalog, организационные блоки OU, возможность создания расширенных групп, средства репликации каталогов и новая структура контроллера домена.

Общий каталог. Global Catalog — принципиально новый элемент Windows 2000. Он представляет собой отдельный индекс объектов леса AD. По умолчанию индекс содержит все объекты полной базы данных AD, однако их атрибуты представлены в нем не полностью. С помощью общего каталога пользователи могут быстро отыскивать объекты в лесу предприятия, не обращаясь к услугам контроллера домена, в котором размещается тот или иной объект. Достоинства каталога в наибольшей степени проявляются в ситуациях, когда приходится иметь дело с несколькими доменами и деревьями доменов в составе неоднородной сети. Чтобы клиенты имели доступ к ресурсам в доменах AD, в сети должен быть создан по меньшей мере один Global Catalog.

По умолчанию сервером Global Catalog становится первый контроллер первого домена первого дерева доменов. Возможно выделение в качестве сервера Global Catalog и других контроллеров домена; такие назначения производятся вручную с помощью модуля Active Directory Sites and Services консоли Microsoft Management Console (MMC). Хотя большая часть информации по домену (например, данные о пользователях и группах) реплицируется только на контроллеры внутри данного домена, служба AD тиражирует общий каталог, не считаясь с границами домена, на все контроллеры доменов, которые являются серверами Global Catalog.

При развертывании системы Windows 2000 размещению серверов Global Catalog следует уделять особое внимание. Чтобы обеспечить каждый клиентский компьютер оптимальными возможностями поиска по общему каталогу, каждый клиент должен иметь свободный доступ к этому ресурсу. Кроме того, нужно иметь в виду, что в Exchange 2000 Server (ранее известный под рабочим названием Platinum) общий каталог выполняет функции глобального списка адресов Global Address List (GAL).

Организационные блоки (OU). Эти компоненты среды каталога позволяют делегировать полномочия по управлению ресурсами доменов Windows 2000. Создавая блок OU в домене AD, администратор тем самым устанавливает границу пространства, внутри которого будет осуществляться делегирование прав управления объектами, содержащимися в данном блоке. Как я уже отмечал, блоки OU могут содержать другие OU или объекты-листья — пользователей, компьютеры или принтеры. В блок OU можно вкладывать сколь угодно много таких же блоков, но, по практическим соображениям, число вложений следует ограничивать десятью уровнями или менее того. Вложенные организационные блоки можно создавать с помощью модуля Active Directory Users and Computers консоли MMC.

На Экране 1 представлен домен с тремя вложенными организационными блоками.

ЭКРАН 1. Отображение домена с вложенными организационными блоками.

В блоке с именем US размещается блок California, который, в свою очередь, включает блок Finance. В этом последнем блоке содержится объект «пользователь» с именем Joe User. Предположим, что Joe User — это локальный администратор финансового отдела компании в Калифорнии. Так вот, с помощью мастера Delegation of Control Wizard модуля Active Directory Users and Computers можно делегировать администратору Joe User полномочия по управлению блоком Finance и всеми объектами внутри него. Чтобы инициализировать мастер, достаточно щелкнуть правой кнопкой мыши на данном блоке и выбрать пункт меню Delegate Control. После этого нужно выбрать пользователя или группу, которым предоставляется право управлять организационным блоком, и указать, права на какие действия в отношении этих объектов имеет пользователь или группа пользователей.

На Экране 2 показан набор стандартных задач по назначению полномочий с помощью этого мастера.

ЭКРАН 2. Делегирование стандартного набора задач администрирования.

Кроме того, в режиме Custom task можно присваивать права по своему усмотрению, выбирая их из полного списка. Делегируемые права соответствуют позициям списков контроля доступа (ACL) объектов OU, на которые они распространяются. При назначении прав доступа к отдельным объектам списки ACL для организационных блоков, пользователей или групп можно редактировать и вручную, но мастер Delegation of Control Wizard предоставляет для делегирования полномочий простой пользовательский интерфейс.

Группы Windows 2000. В операционной системе NT 4.0 предусмотрены группы всего двух типов: глобальные (global) и локальные (local). Эти группы предназначены исключительно для защиты данных (т. е. для назначения прав доступа к ресурсам) и могут содержать только объекты типа «пользователь». В ОС Windows 2000 допускается возможность формирования глобальных и локальных групп домена (domain local groups), но наряду с ними имеется новая группа — универсальная (universal group). Универсальные группы можно формировать при переводе доменов AD из смешанного режима работы домена Windows 2000 в собственный режим работы домена Windows 2000. Поясню ситуацию. Работая в смешанном режиме, домен может содержать как контроллеры доменов Windows 2000, так и резервные контроллеры доменов (BDC), предусмотренные в ОС NT 4.0. В собственном режиме Windows 2000 использование BDC не допускается. Переход в собственный режим — это «улица с односторонним движением»: вернуться в смешанный режим уже нельзя. Далее, универсальные группы могут состоять из глобальных групп и из других универсальных групп любого домена леса. Что же касается глобальных групп, то они ограничены объектами одного домена и содержат пользователей, компьютеры или другие глобальные группы, принадлежащие тому же домену. Разумеется, глобальные группы одного домена могут быть членами локальных групп другого. Отмечу еще одно обстоятельство: универсальные группы допускают вложение глобальных и универсальных групп из других доменов леса. В ОС Windows 2000 предусмотрено создание групп доступа, содержащих объекты типа «компьютер». Таким образом, права пользования ресурсами можно предоставлять группам, которые состоят не из пользователей, а из компьютеров.

Windows 2000 позволяет создавать группы, не ориентированные на предоставление доступа к ресурсам. Они называются группами рассылки (distribution group) и по охвату аналогичны группам доступа (т. е. так же подразделяются на локальные, глобальные и универсальные). Эти группы выполняют ту же задачу, что и списки рассылки (Distribution Lists — DL): они не обладают контекстом безопасности и позволяют группировать пользователей для выполнения таких задач, как пересылка сообщений электронной почты.

Репликация каталогов. В системе Windows 2000 используется новая модель репликации каталогов, способная обеспечить самыми последними данными все контроллеры доменов леса. В основу модели положена идея мультисерверной репликации. В ОС NT 4.0 доступная для чтения и записи копия базы данных SAM хранится только на основном контроллере домена (PDC). Система Windows 2000 организована иначе: допускающая чтение и запись данных копия информационного дерева каталогов (DIT) имеется на каждом контроллере домена. Пользователи могут вносить изменения в данные на любом контроллере домена, и эти изменения реплицируются на все остальные контроллеры домена. В операционной системе Windows 2000 используется элемент, именуемый «номер варианта корректировки» (update sequence number, USN), на основании которого принимается решение о необходимости переноса изменений с одного контроллера домена на другой. В службе AD элемент USN назначается всем объектам и всем свойствам объектов, а контроллеры домена с его помощью определяют момент времени, в который происходят изменения на контроллере — партнере по цепочке. В ходе цикла репликации передаются только изменения свойств, а не объект целиком. К примеру, если в контроллере домена 1 изменяется номер телефона объекта «пользователь», в контроллере домена 2 дублируется только новый номер телефона, а не весь объект. Если же значение одного и того же свойства изменяется на двух контроллерах домена, система с помощью метки времени определяет, какое изменение произошло позднее; оно и принимается для репликации.

При репликации данных доменов и службы AD контроллеры доменов леса используют три контекста именования. Контексты именования можно представить как пути, по которым пересылается реплицируемая информация. Каждый контекст имен ассоциируется с определенным маршрутом между контроллерами доменов леса, при этом каждый контекст отвечает за репликацию только «своих» данных, зависящих от вида информации. Так, контекст именования домена действует в рамках домена и реплицирует на контроллеры домена изменения, произошедшие в DIT; контекст именования схемы распространяется на все домены леса и реплицирует данные схемы на все контроллеры доменов; наконец, контекст именования настроек реплицирует данные о настройке, скажем топологию репликации, на все контроллеры доменов леса.

Для облегчения управления трафиком репликации между сетями, соединенными между собой низкоскоростными линиями (т. е. с пропускной способностью ниже стандарта T-1), служба AD использует сайты. Сайт AD (как, впрочем, и сайт Exchange Server) — это сети с высокой полосой пропускания. Внутри сайта процесс Knowledge Consistency Checker (KCC), выполняемый на каждом контроллере домена, автоматически генерирует для каждого контекста именования используемую при репликации топологию контроллеров доменов. Для доменов своего сайта KCC формирует кольцеподобную топологию. По мере увеличения числа контроллеров домена KCC связывает с ними дополнительные объекты типа «соединение». Это позволяет сократить число транзитных пересылок информации между любой парой контроллеров домена. В зависимости от конкретной ситуации, частоту репликации данных в сайте можно регулировать вручную.

Формирование сайтов вручную осуществляется с помощью модуля Active Directory Sites and Services консоли MMC. При этом придется создавать объекты типа «подсеть» для всех подсетей TCP/IP в сети и связывать сформированные подсети с соответствующими сайтами. Эти данные будут использоваться рабочими станциями в процессе аутентификации для выявления ближайшего контроллера домена. Дело в том, что клиенты сначала пытаются найти контроллер домена в сайте и только потом обращаются к службе DNS за адресами других контроллеров.

Структура контроллеров домена. В операционной системе NT 4.0 главный контроллер домена является единственным источником изменений содержимого базы данных SAM (и, кстати говоря, единственным потенциальным источником сбоев в работе БД). Как я уже отмечал, в системе Windows 2000 изменения в БД SAM вносятся без участия главных контроллеров доменов, ибо данная ОС обеспечивает мультисерверную репликацию данных AD. Но основные контроллеры доменов тоже остаются. Функционирование леса Windows 2000 требует наличия контроллеров домена, выполняющих пять функций или ролей — Operations Master roles. Перечислим их: основной контроллер домена (PDC), контроллер пула относительных идентификаторов (Relative Identifier — RID — Pool), контроллер инфраструктуры (Infrastructure), контроллер именования доменов (Domain Naming) и контроллер схемы (schema).

Роли Master PDC, RID Pool Master и Infrastructure Operatons Master должны выполняться по меньшей мере одним контроллером в каждом домене. Если сервер, ответственный за выполнение одной из этих ролей, выходит из строя, ее нужно вручную возложить на другой контроллер домена. Смысл роли Master PDC понятен: если имеются резервные контроллеры домена и клиенты младшей версии ОС NT 4.0, контроллер домена Windows 2000, на который возложена роль PDC, и будет основным контроллером домена.

Роль RID Pool Master получила такое название от идентификатора пользователя RID, который является частью идентификатора Security ID, SID. Поскольку в Windows 2000 допускается внесение изменений в каталог любым контроллером домена, без координации назначений относительных идентификаторов новым объектам не обойтись. Именно эту роль и выполняет RID Pool Master. Infrastructure Operatons Master — процесс, поддерживающий согласованность данных об объектах, которые реплицируются между доменами (это относится к общему каталогу, конфигурации узлов и соединениям репликации).

Роли Domain Naming и Schema Masters выполняются по меньшей мере на одном контроллере домена в каждом лесу. Роль Domain Naming Master гарантирует уникальность имени домена в масштабах леса при добавлении новых доменов. Роль Schema Master определяет, на каком контроллере домена могут вноситься изменения в схему каталога; понятно, что, если позволить вносить изменения в схему каталога на нескольких контроллерах домена, это может вызвать проблемы.

Переход к использованию службы AD

Самый простой способ миграции — модернизация существующих доменов NT 4.0. Начинать надо с PDC первого основного домена. После его модернизации первый домен будет функционировать в смешанном режиме. Т. е., хотя контроллеры домена Windows 2000 уже перешли в «новое состояние», с точки зрения систем NT 4.0 они выглядят как домены NT 4.0. С другой стороны, как только первый PDC модернизируется до уровня Windows 2000, все функционирующие под управлением этой ОС рабочие станции и серверы смогут воспользоваться некоторыми новыми возможностями, предоставляемыми AD, в том числе такими, как организационные блоки и объекты Group Policy. Каждый последующий домен NT 4.0, модернизируемый до уровня Windows 2000, становится частью леса, который был создан в ходе модернизации первого домена. Если в сети выделены домены ресурсов, их тоже нужно модернизировать; затем можно переместить ресурсы этих доменов в организационные блоки другого существующего домена, тем самым сокращая число последних. (Напомню, что с появлением организационных блоков потребность в доменах ресурсов отпадает.) После приведения всех доменов в соответствие со стандартом Windows 2000 можно приступать к консолидации доменов так, чтобы их число соответствовало потребностям организации. Для этого можно воспользоваться как инструментальными средствами независимых поставщиков, так и утилитами комплекта Microsoft Windows NT Server 4.0 Resource Kit.

Другой метод миграции состоит в том, чтобы создавать инфраструктуру Windows 2000, что называется, с чистого листа и с помощью средств независимых поставщиков (таких, как DM/Manager фирмы FastLane Technologies, DirectMigrate 2000 компании Entevo, OnePoint Domain Administrator корпорации Mission Critical Software) или утилит из комплекта Resource Kit (таких, как сценарии клонирования идентификаторов защиты) переводить пользователей в новую систему целыми группами. Этот метод обеспечивает организованный переход к системе Windows 2000 для пользователей и их компьютеров без применения принципа «все или ничего». Начать с нуля — значит избежать проблем, связанных с инфраструктурой старой системы NT, которые затрудняют продвижение вперед. Кроме того, при использовании этой стратегии всегда остается свободным «путь к отступлению»: ведь и средства независимых поставщиков, и утилиты из комплекта Resource Kit позволяют воссоздавать или клонировать объекты NT 4.0 в лесу Windows 2000, не разрушая при этом существующие объекты NT 4.0.

Путь к спасению

Наконец-то Microsoft вводит в состав NT службу каталога, способную составить конкуренцию средствам, которые компании Novell и Banyan выпускают уже несколько лет. Благодаря таким средствам AD, как общий каталог, организационные блоки, новые группы пользователей и компьютеров, репликация каталога и новая структура контроллеров доменов, управлять ресурсами NT становится легче, чем когда-либо прежде. И хотя среда AD еще не свободна от недоработок, думаю, что в конечном итоге получится вполне зрелая служба каталога. Кроме того, как мне представляется, AD со временем станет настоящей службой каталогов, и разработчики начнут писать специализированные бизнес-приложения, в которых будет реализован немалый потенциал этой среды. Одной из первых крупных программ, в которых используется такая особенность AD, как расширяемость, стал сервер Exchange 2000; в нем все функции управления каталогами для организации обмена сообщениями возложены на AD. Кстати, Microsoft недавно приобрела фирму Zoomit. Вполне возможно, что это событие сыграет важную роль в продвижении АД на рынок метакаталогов. И кто знает, может быть, доминирующее положение Microsoft на рынке информационных технологий, в конце концов, поможет службам каталога получить признание в качестве основной платформы приложений.

ОБ АВТОРЕ:

Даррен Мар-Элиа — внештатный редактор журнала Windows NT Magazine. Специалист по архитектуре NT; занимается планированием развертывания сетей NT 4.0 и Windows 2000 в масштабах США. С автором можно связаться по адресу: dmarelia@earthlink.net.

Written on 05 Июля 2006. Posted in Администрирование Windows

В процессе разворачивания сети, даже если создается домен с единственным контроллером, необходимо учитывать некоторые принципы, о которых мы сейчас поговорим, не говоря уже о сложной сети с несколькими доменами (сайтами) и множеством подразделений (организационных единиц).

Планирование доменов

Развертывание сетевой структуры целесообразно начать с создания единственного домена windows, который легче всего администрировать, и по мере необходимости добавлять новые домены.

Достоинством Active Directory (по сравнению с доменной моделью Windows NT) является возможность создания в одном домене значительно большего числа объектов (до нескольких миллионов). При этом один домен может содержать несколько географически разнесенных и администрируемых индивидуально сайтов, связанных медленными каналами.

Совсем не нужно создавать дерево из нескольких доменов только для того, чтобы таким образом отобразить структуру организации, ее подразделения или отделы. Для этого достаточно в единственном домене создать соответствующие подразделения (организационные единицы) и назначить для них групповые политики, распределить пользователей, группы и компьютеры.

Для создания нескольких доменов windows должны быть достаточно веские причины, например следующие:

— Различные требования к безопасности для отдельных подразделений

— Очень большое количество объектов

— Различные Internet-имена для доменов. Если имена доменов образуют непрерывное пространство имен DNS, то можно создать дерево доменов; если имена доменов уникальны, то возможно создание леса доменов

— Дополнительные требования к репликации

— Децентрализованное администрирование сети. При наличии нескольких доменов совершенно независимые друг от друга системные администраторы могут устанавливать собственные политики безопасности. Кроме того, можно администрировать домены на различных национальных языках

Если внутри домена создать дерево организационных единиц (Organizational Unit, OU), или подразделений, то можно распределить обязанности администраторов windows отдельных подразделений между различными пользователями и группами. В этом случае уменьшается число сотрудников, которые получают полный контроль над всем доменом.

Этот процесс называется делегированием прав администрирования. Немного позже мы увидим, как он осуществляется на практике.

После того как разработана структура подразделений и по ним распределены пользователи, следующий этап — продумать административную иерархию, т. е. определить, какие пользователи получат права управления целыми подразделениями, и кто будет выполнять только ограниченные административные функции (например, управлять отдельными группами или принтерами).

Планирование организационных единиц (подразделений)

Организационные единицы (OU), или подразделения, могут содержать пользователей, группы, компьютеры, принтеры и общие папки, а также другие OU.

OU — это минимальная «единица» администрирования, права управления которой можно делегировать некоторому пользователю или группе.

С помощью OU можно обеспечить локальное администрирование пользователей (создание, модификация и удаление учетных записей) или ресурсов

Примечание:

Организационные единицы и подразделения — это термины-синонимы; мы будет чаще использовать понятие организационная единица, говоря о структуре каталога Active Directory и его дереве, и подразделение — когда речь идет об администрировании Active Directory, делегировании управления и т. д.

В каталоге Active Directory организационные единицы представляют собой объекты типа «контейнер» и отображаются, как мы увидим позже, в окне оснастки Active Directory пользователи и компьютеры (Active Directory Users and Computers) как папки.

Их основное назначение — группирование объектов каталога с целью передачи административных функций отдельным пользователям.

Дерево OU может отображать реальную структуру организации — административную, функциональную и т. п. При этом учитываются иерархия полномочий ответственных работников и необходимые функции управления. Каждый доменов дереве или лесе может иметь свою, совершенно независящую от других структуру организационных единиц.

Организационная единица — минимальная структурная единица, которой можно назначить собственную групповую политику, т. е. определить разрешения на доступ к ней (и подчиненным OU), конфигурационные настройки и т. п. Однако OU не является структурным элементом безопасности (т. е. нельзя, скажем, назначить подразделению некоторые права доступа к определенному объекту), а служит только для группирования объектов каталога.

Для назначения полномочий и разрешений доступа к ресурсам следует применять группы безопасности (security groups).

Примечание:

Параметры безопасности групповой политики, назначенной некоторому подразделению, позволяют «сужать» область действия этой политики. Предположим, например, что в подразделении имеется несколько групп безопасности. По умолчанию групповая политика распространяется на всех членов подразделения. Однако можно сделать так, что эта политика будет действовать только на определенную группу (группы) и игнорироваться остальными группами подразделения. Подробнее об этом мы будем говорить в последующих уроках.

Вот несколько рекомендаций по выбору решения (организовать ли в сети несколько доменов или делить её на организационные единицы):

1) Создавайте несколько доменов, если в организации действует децентрализованное управление, при котором пользователями и ресурсами управляют совершенно независимые администраторы.

2) Создавайте несколько доменов, если части сети связаны медленным каналом и совершенно нежелательна полная репликация по этому каналу (если репликация возможна хотя бы иногда, то лучше создавать один домен с несколькими сайтами).

3) Разбивайте домен на организационные единицы, чтобы отразить в них структуру организации.

4) Разбивайте домен на организационные единицы, если нужно делегировать управление над ограниченными, небольшими группами пользователей и ресурсов; при этом можно делегировать все права администрирования или только некоторые.

5) Разбивайте домен на организационные единицы, если их структура соответствует будущим изменениям в организации (компании). Домены же, по возможности, нужно конфигурировать так, чтобы перемещать или делить их приходилось как можно реже

Двухуровневая иерархия доменов в дереве доменов и организационных единиц в домене обеспечивает гибкость администрирования, которое может быть и централизованным, и децентрализованным, и смешанным.

Проектирование структуры сайтов

Планирование репликации каталога следует начинать с одного сайта, а затем, с учетом каналов передачи данных и их пропускной способности, можно добавлять новые сайты.

Для локальных сетей (LAN) с быстрыми каналами обычно используются конфигурации с одним сайтом (хотя можно разбить их на несколько сайтов), поскольку зачастую такое решение упрощает администрирование.

Использование нескольких сайтов дает следующие преимущества:

— Распределяется нагрузка по сети со стороны клиенто;

— Возможна оптимизация процесса получения данных из каталога;

— Упрощается администрирование (например, управление конфигурацией) ресурсов, если они объединены в сайт;

— Возможна «тонкая» настройка репликации.

Создание нового сайта с собственными контроллерами домена windows имеет смысл в том случае, когда контроллеры домена недостаточно быстро (по вашим субъективным оценкам) реагируют на запросы пользователей. Обычно такое случается при большом территориальном удалении клиентских компьютеров и медленных каналах связи.

Создание нового сайта может быть целесообразно с точки зрения обеспечения аутентификации пользователей windows. Клиент при регистрации пытается найти контроллер домена в своем, локальном сайте. Поэтому топология сайтов должна учитывать то, насколько быстро клиент должен получать доступ к контроллеру домена.

Имеет смысл включать все контроллеры домена в один сайт, если репликация между ними должна выполняться по единому расписанию. Однако при наличии нескольких сайтов можно индивидуально настроить репликацию с учетом их специфики. Например, можно использовать по умолчанию быстрый канал, а коммутируемое соединение, если основной канал недоступен. Такой подход обеспечивает и эффективность, и отказоустойчивость.

Таковы основные рекомендации при разворачивании доменной структуры сети. Теперь перейдем к практическим решениям.

Установка контроллера доменов

Контроллер домена (Domain Controller, DC) создается из уже имеющегося изолированного (stand-alone) сервера или рядового (member) сервера при помощи операции, которая называется — повышение роли сервера (promotion) .

Обратный процесс преобразования контроллера домена в изолированный или рядовой сервер называется понижением роли сервера (denotion) .

При этом сервер удаляется из леса и изменяются сведения о нем в DNS, с сервера удаляются служба каталогов и ее элементы, восстанавливается стандартная база данных безопасности (SAM). Понижение роли последнего контроллера в домене означает уничтожение всего домена.

НО, категорически нельзя удалять корневой (первый созданный) домен в доменном дереве: вы уничтожите все дерево!!!

Подготовка к созданию контроллера домена

Контроллером домена можно сделать любой сервер, на котором функционирует Windows 2000 Server.

Если при установке системы используется контроллер домена Windows NT 4.0, то процесс повышения роли начинается автоматически после обновления системы и ее перезагрузки.

Обычный сервер преобразуется в контроллер домена при помощи утилиты DCpromo.exe, которая запускает Мастер установки Active Directory (Active Directory Installation Wizard) . Эта же утилита запускается с помощью оснастки «Настройка сервера» в меню Администрирование.

 

Мы рассмотрим несколько вариантов установки контроллера домена в зависимости то сложности структуры сети.

Создание первого контроллера домена

Первый, корневой домен в лесе, также является началом первого дерева этого леса. Если, например, создаются дочерние домены в дереве bhv.com, то DNS-имена всех доменов в этом дереве будут иметь окончание bhv.com (sales.bhv.com или office.bhv.com). Поэтому сначала следует определиться с именем первого домена.

Отметим еще одну важную особенность на подготовительном этапе установки контроллера домена — наличие DNS сервера.

Стоит отметить, что служба DNS применяется клиентами Active Directory для поиска контроллеров домена. Компания Microsoft рекомендует использовать DNS-сервер, поставляемый вместе с Windows 2000 Server, однако можно использовать и другие DNS-серверы, имеющие нужные функции (см. RFC 2136 и 2052; например можно использовать BIND версии не ниже 8.2.2).

DNS-сервер устанавливается и конфигурируется по умолчанию (это необходимо только для первого домена в новом лесе) при создании контроллера домена (т. е. при инсталляции Active Directory; при этом пользователь должен подтвердить запрос на установку DNS-сервера), но можно это сделать и вручную.

Итак, для создания первого контроллера в домене необходимо:

1. Установить Microsoft DNS-сервер. 2. Запустить мастер установки Active Directory

Внимание 1!

Если в сети, где создается контроллер домена, имеется DNS-сервер, то на готовящемся к повышению компьютере необходимо указать IP-адрес этого сервера в свойствах протокола TCP/IP и проверить правильность разрешения имен (например, с помощью команды ping DNS_имя или утилиты NetDiag)

Внимание 2!

Нельзя давать серверу, будущему контроллеру домена, динамически назначаемый IP-адрес (с помощью DHCP). Если по каким-то причинам связь с DHCP-сервером будет нарушена, контроллер домена получит при загрузке произвольный адрес, не соответствующий тому, который использовался при создании этого контроллера домена, и не сможет выполнять свои функции!

Запуск мастера установки Active Directory

Мастер установки Active Directory значительно упрощает создание и конфигурирование нового контроллера домена.

1. Запуск мастера установки выполнять нужно только пользователю с правами Администратор (Administrator).

2. Для запуска мастера можно воспользоваться командой dcpromo, которую запустить из меню Пуск|Выполнить (Start|Run). Альтернативный вариант — выбрать команду Пуск|Программы|Администрирование|Настройка сервера (Start|Programs|Administrative Tools|Configure Your Server), в открывшемся окне последовательно нажать кнопки Active Directory и Запустить (Start).

3. В появившемся окне мастера установки для данного варианта установки контроллера домена выбирается переключатель Контроллер домена в новом домене (Domain controller for a new domain) и нажимаем кнопку Далее.

 

4. В следующем окне в данном случае устанавливается переключатель Создать новое доменное дерево (Create a new domain tree), жмем на кнопку Далее (Neхt)

 

5. В следующем окне устанавливается переключатель Создать новый лес доменных деревьев (Create a new forest of domain trees).

 

5. Затем вводится полное DNS-имя, выбранное для первого домена, например, mycompany.com. Утилита DCpromo проверяет, используется ли уже данное имя. Затем для домена также определяется NetBIOS-имя (по умолчанию для нашего примера будет предложено имя MYCOMPANY), по которому идентифицируют домен клиенты нижнего уровня, например, Windows NT 4.0.

 

 

6. В следующих окнах мастера устанавливаются дополнительные параметры — местоположение базы данных Active Directory

 

журналов регистрации событий, реплицируемого системного тома.

 

7. Если на компьютере или в сети отсутствует DNS-сервер, то мастер установки выдает сообщение и предлагает установить и настроить DNS.

 

* Если в сети все же имеется работающий сервер DNS, то необходимо проверить связь с ним (и вернуться в первое окно мастера установки Active Directory) или соответствие этого сервера требованиям Active Directory.

* Если DNS-сервер отсутствует, то, установив в следующем окне переключатель Да, автоматически установить и настроить DNS (рекомендуется) (Yes, install and configure DNS on this computer (recommended)), разрешите на компьютере автоматическую установку и настройку DNS-сервера для работы с Active Directory.

Если же будет установлен переключатель Нет, установить и настроить DNS вручную (No, I will install and configure DNS myself), то после создания контроллера домена необходимо будет вручную создать на DNS-сервере все записи, обеспечивающие работу домена, что требует глубокого понимания всех аспектов взаимодействия Active Directory и DNS. В нашем случае, мы позволим мастеру самому проделать эту работу.

8. В следующем окне выберите разрешения, определяющие возможность работы в создаваемом домене служб, работающих на серверах предыдущих версий Windows NT. Обратите внимание на это окно, и внимательно прочитайте информацию, которая представлена на нем, при выборе соответствующего типа разрешений по умолчанию.

 

9. Далее вводится и подтверждается пароль администратора, который будет использоваться при восстановлении службы каталогов (это один из дополнительных вариантов загрузки Windows 2000).

 

Внимание 3!

Не путайте административный пароль (и не забудьте его, если пароли не одинаковые!) для восстановления каталога с обычным паролем администратора, это разные пароли!

Поскольку в режиме консоли нельзя ввести русские символы, для пароля рекомендуется использовать только цифры и латинские буквы.

10. После выполнения всех указанных операций мастер установки выводит сводку выбранных параметров. Необходимо их внимательно проверить: для изменения некоторых параметров можно вернуться, нажимая кнопку Назад.

 

11. После нажатия кнопки Далее начинается собственно процесс установки Active Directory и создания контроллера домена. После настройки служб и параметров безопасности начнется установка DNS-сервера, если она была разрешена пользователем. Затем служба DNS запускается и конфигурируется.

 

12. По завершении всех операций мастер установки Active Directory выводит информационное окно, в котором нужно нажать кнопку Готово (Finish), и предлагает перезагрузить компьютер: нажмите кнопку Перезагрузить сейчас (Restart Now).

Итак, после перезагрузки системы первый контроллер домена с Active Directory будет готов. Можно войти в домен с именем Администратор (Administrator) (пароль остается прежним, как и для локальной машины). Теперь можно создавать дополнительные контроллеры домена или начать работу с Active Directory. Об этом мы поговорим немного позже, а сейчас рассмотрим, как происходит подключение рабочих станций.

Подключение рабочих станций и рядовых серверов

Серверы и рабочие станции windows (клиентские компьютеры) включаются в домен Windows 2000 аналогично тому, как это делается в Windows NT 4.0. При этом используется оснастка Active Directory пользователи я компьютеры. Практически это мы увидим позже.

Компьютерам нужно указать IP-адрес хотя бы одного DNS-сервера для того, чтобы они могли находить контроллеры домена. IP-адрес DNS-сервера может передаваться клиентам автоматически при помощи DHCP (подробно о DHCP мы говорили на предыдущих уроках) или задаваться вручную.

Системы Windows NT 4.0 и Windows 9x используют для поиска контроллеров домена службу WINS, которую нужно установить, если в доменах Windows 2000 должны работать эти клиенты. Если на клиентах установлен Active Directory Client и применяется только TCP/IP, то ставить WINS необязательно.

Учетные записи для компьютеров можно создавать заранее (с помощью оснастки Active Directory пользователи и компьютеры) или в процессе подключения компьютера к домену.

Для подключения компьютера с Windows 2000 к домену необходимо осуществить следующие действия:

* В оснастке Система (System) на панели управления или по нажатию правой кнопкой мыши на значке Мой компьютер (My Computer) на рабочем столе выбрать команду Свойства (Properties) контекстного меню.

* Перейти на вкладку Сетевая идентификация (Network Identification) и нажать кнопку Свойства

* В ставшем доступном текстовом поле ввести полное DNS-имя домена, к которому следует подключиться, например, mycopany.com и нажать кнопку ОК.

* Ввести имя и пароль учетной записи в домене, имеющей полномочия на подключение компьютеров к домену. Если имеется созданная предварительно учетная запись для данного компьютера, ввести соответствующие значения. Если нужно создать учетную запись «на лету», ввести данные пользователя, имеющего разрешение на создание объектов в стандартном контейнере Computers. В любом случае можно использовать учетную запись администратора домена.

В случае успешного выполнения операции подключения компьютера к домену появляется соответствующее сообщение.

* нажав кнопку Да (Yes) в ответ на появляющееся сообщение, перезагрузить компьютер.

 

Другие варианты установки контроллера домена

Включение в домен дополнительных контроллеров

Создание дополнительных контроллеров домена также выполняется при помощи мастера установки Active Directory:

1. Регистрируйтесь в системе как Администратор.

2. Запускаете программу DCpromo и нажимаете кнопку Далее.

3. Для данного варианта установки следует установить переключатель Добавочный контроллер домена в существующем домене (Additional domain controller for an existing domain) и нажать кнопку Далее.

 

4. Вводите имя, пароль и полное DNS-имя домена для пользовательской записи с административными правами в домене (это может быть член группы Администраторы или пользователь, имеющий права на подключение компьютеров к домену).

 

5. Вводите полное DNS-имя существующего домена; при этом можно выбрать домен из списка существующих, нажав кнопку Обзор (Browse).

6. В следующих окнах мастера указываете дополнительные параметры (местоположение базы данных Active Directory, журналов регистрации событий, реплицируемого системного тома, а также пароль администратора для восстановления службы каталогов).

7. В появляющемся окне сводки проверьте правильность параметров и нажмите кнопку Далее и начнется процесс повышения роли сервера.

После перезагрузки компьютер будет работать как один из контроллеров указанного домена

Примечание

Если на сервере до начала процесса повышения роли была установлена служба DNS, то она полностью конфигурируется с использованием записей основного DNS-сервера.

Таким образом, легко получить резервный DNS-сервер, повысив отказоустойчивость сети. При этом предпочтительнее, если зоны DNS хранятся в Active Directory

Добавление к дереву дочерних доменов

Создать в существующем дереве дочерний (подчиненный) домен также можно с помощью мастера установки Active Directory:

1. Запустите программу Dcpromo.

2. Установите переключатель Контроллер домена в новом домене.

3. Введите полное DNS-имя существующего домена, который будет родительским для создаваемого домена, например, mycompany.com.

4. Введите краткое имя нового дочернего домена, например, finance. Тогда полное имя создаваемого домена будет finance.mycompany.com.

5. Введите или подтвердите NetBIOS-имя для нового домена.

6. Введите имя, пароль и название домена для учетной записи, имеющей административные полномочия в родительском домене.

7. Укажите дополнительные параметры (местоположение базы данных Active Directory и т. д.).

8. После проверки всех заданных параметров нажмите кнопку Далее — и начнется процесс повышения роли сервера.

После перезагрузки компьютер будет работать как первый контроллер домена в новом дочернем домене

Создание нового дерева в лесе

Процесс создания новых деревьев в существующем лесе аналогичен описанной выше процедуре создания дочерних доменов. Отличий совсем немного:

запустите мастер установки Active Directory, установите переключатель Контроллер домена в новом домене, укажите, что новый домен является первым доменом в новом дереве существующего леса (переключатель Создать новое доменное дерево), а затем введите полное DNS-имя нового дерева, например, new-corp.com (это имя не должно быть смежным ни с одним: из деревьев, существующих в выбранном лесе), и NetBIOS-имя нового домена.

 

После установки Active Directory и перезагрузки компьютер начнет работать как первый контроллер домена в новом дереве, при этом новый домен будет связан доверительными отношениями с корневыми доменами существующих деревьев.

Понижение контроллера домена

Для того чтобы превратить контроллер домена в рядовой сервер, также используется утилита DCPromo, т. е. мастер установки Active Directory.

Процесс понижения роли контроллера домена имеет ряд особенностей, связанных с количеством контроллеров в домене (доменах) и их функциями.

Если понижается контроллер домена, являющийся сервером глобального каталога, то будет выдано предупреждение.

 

Его можно проигнорировать в двух случаях

— если контроллер домена — единственный и уничтожается вся доменная структура;

— если в лесе имеются другие контроллеры, выполняющие эту функцию.

В противном случае нужно назначить сервером глобального каталога другой контроллер домена и выполнить репликацию, после чего можно снова запускать мастер установки Active Directory.

Кроме того, мастеру установки Active Directory необходимо указать, является ли контролер домена последним в домене.

 

Если флажок Этот сервер — последний контроллер домена в данном домене (This server is the last domain controller in the domain) остается сброшенным (т. е. контроллер домена становится рядовым сервером), то в следующем окне нужно указать и подтвердить пароль администратора на выбранном компьютере.

 

Если же флажок установить (т. е. контроллер домена становится изолированным сервером, и домен полностью уничтожается), то в следующем окне нужно указать имя пользователя с правами администратора предприятия для этого леса, пароль и имя домена, а затем пароль, назначаемый администратору компьютера.

 

Выводится окно сводки, в котором можно проверить правильность выполняемых действий.

 

После нажатия кнопки Далее начинается сам процесс понижения роли сервера. После появления сообщения об удалении Active Directory с компьютера нужно перезагрузиться.

Переключение домена в основной режим

Домены Windows 2000 могут находиться в двух режимах

Смешанный режим (mixed mode)

Смешанный режим позволяет сосуществовать контроллерам доменов, работающим с программным обеспечением как Windows 2000, так и Windows NT более ранних версий.

В этом режиме включены некоторые возможности Windows NT Server более ранних версий и отключены некоторые возможности Windows 2000 Server.

Основной режим (native mode)

Все контроллеры работают с программным обеспечением Windows 2000 Server.

По умолчанию домены создаются в смешанном режиме. В этом режиме в состав доменов могут входить BDC-контроллеры Windows NT 4.0. После того как все BDC-контроллеры будут обновлены или удалены, можно переключить домен в основной режим.

Примечание

Множественная репликация (multi-master replication) между контроллерами домена в Windows 2000 выполняется всегда, даже в смешанном режиме

При переходе в основной режим в домене не должно быть BDC-контроллеров. После переключения в этот режим уже нельзя вернуться в смешанный режим и добавлять к домену контроллеры, работающие с программным обеспечением, отличным от Windows 2000 Server.

Как осуществить переключение режима работы домена мы увидим немного позже.

Переход к Active Directory

Active Directory имеет множество достоинств, однако, это весьма значительное изменение в существующих технологиях. Как же внедрить новое средство? С одной стороны, многие службы каталогов уже существуют, и имеются средства для их переноса в Active Directory. Для многих организаций самой важной из уже используемых каталогов является служба каталога Exchange, поэтому компания Microsoft предлагает утилиту Active Directory Connector (ADC) для Exchange 5.x, упрощающую миграцию.

Кроме этого, в большинстве организаций переход от Windows NT 4.0 к Windows 2000 не произойдет мгновенно и займет некоторое время.

Поэтому важно иметь возможность совместного использования в одном домене обеих операционных систем.

Для клиентов Windows NT 4.0 домен Windows 2000 выглядит как обычный домен Windows NT 4.0, для клиентов Windows 2000 как домен Windows 2000.

Для реализации такой возможности Контроллер домена Windows 2000 Server может эмулировать РDС-контроллер Windows NT Server 4.0. BDC-контроллеры в таком домене выполняют репликацию с контроллера домена Windows 2000 Server так, будто это традиционный PDC-контроллер.

Нужно понимать, что за этим стоит: для перехода от домена Windows NT Server 4.0 к домену Windows 2000 Server необходимо сначала обновить существующий PDC-контроллер, чтобы он смог загрузить в Active Directory имеющуюся учетную информацию (учетные записи пользователей, компьютеров и т. д.). Затем, по мере необходимости, можно обновить до Windows 2000 другие BDC-контроллеры, рядовые (member) серверы и клиентов.

В домене Windows 2000, в который входят BDC-контроллеры Windows NT 4.0, репликацию системного тома SYSVOL нужно настраивать дополнительными средствами/поскольку контроллеры домена на базе Windows 2000 не реплицируют эту информацию на BDC-контроллеры.

При переходе к Windows 2000 Server можно также пересмотреть существующую структуру домена. Лучше иметь меньшее число доменов, и, поскольку Active Directory позволяет использовать домены больших размеров, можно объединить несколько доменов в один. Если новый домен получится слишком большим, могут появиться проблемы с трафиком при репликации, однако с меньшим числом доменов все равно справиться легче.

Кроме того, Windows 2000 Server позволяет делегировать административные функции на уровне учетных записей, входящих в организационную единицу внутри домена, а не только на уровне домена.

Наконец, имеет смысл потратить больше времени на проектирование доменов и пространств имен внутри каждого домена. В среде Windows NT Server 4.0 во многих организациях домены «размножались» без должного контроля, что приводило к запутанной системе имен и доверительных отношений.

При использовании Active Directory создание эффективной структуры «с нуля» окупится в дальнейшем простотой администрирования сети.

Администрирование доменов в Active Directory. Часть I. Доверительные отношения — оснастка Active Directory and Trusted

Почему назван этот раздел — Администрирование доменов в Active Directory. Часть I? Потому как в этом разделе мы рассмотрим только вопрос доверительных отношений между доменами.

После установки контроллера домена в меню Пуск|Программы|Администрирование появится целый ряд оснасток Active Directory:

 

В сегодняшнем уроке нас интересует оснастка Active Directory домены и доверие (Active Directory Domains and Trusts). Скажем несколько слов о доверительных отношениях.

Принципиальное отличие доменов Windows 2000 от доменов Windows NT 4.0 заключается в том, что все домены Windows 2000 связаны между собой транзитивными доверительными отношениями, созданными с использованием протокола Kerberos, о нем мы поговорим позже. Эти отношения устанавливаются по умолчанию, автоматически, и являются двунаправленными. Под транзитивностью подразумевается тот факт, что все домены в дереве доверяют друг другу: т. е. если домен А доверяет домену Б, а домен Б доверяет домену В, то домен А также доверяет домену В. Такой подход упрощает администрирование доменов при сохранении высокого уровня безопасности.

В Windows 2000 помощью оснастки Active Directory домены и доверие администратор может просматривать все деревья доменов в лесу и управлять доменами, а также устанавливать доверительные отношения между доменами и настраивать режим работы домена (смешанный, mixed, или основной, native).

Данная оснастка позволяет конфигурировать дополнительные суффиксы основных имен пользователей (User Principal Name, UPN) для всего леса, которые облегчают пользователям процесс регистрации в Active Directory.

Суффиксы основных имен пользователей соответствуют стандарту RFC 822, принятому в Internet. Иногда их называют почтовыми адресами. По умолчанию суффикс леса совпадает с его DNS-именем.

Оснастку Active Directory домены и доверие можно запустить стандартным способом, подключив ее к консоли управления ММС, либо выбрав команду Пуск|Программы|Администрирование|Active Directory домены и доверие (Start|Programs|Administrative Tools|Active Directory Domains and Trusts). После загрузки оснастки Active Directory домены и доверие появляется окно, показанное на рисунке.

 

Для добавления дополнительных суффиксов UPN необходимо выполнить следующее:

1. Указать корневой узел оснастки Active Directory домены и доверие и нажать правой кнопкой мыши. В появившемся контекстном меню выбрать команду Свойства (Properties).

2. В открывшемся окне диалога введите дополнительные суффиксы UPN, нажимая кнопку Добавить (Add).

 

Изменение режима работы домена windows

Как мы уже указывали ранее, домены Windows 2000 могут работать в одном из двух режимов:

Смешанный режим (mixed mode) предполагает возможность одновременной работы контроллеров домена, основанных как на операционной системе Windows 2000 Server, так и на более ранних версиях Windows NT Server. Этот режим позволяет выполнять некоторые функции, характерные для более ранних версий Windows NT, и запрещает выполнение некоторых функций, характерных для Windows 2000.

Основной режим (native mode) предполагает, что все контроллеры домена работают в операционной системе Windows 2000 Server, при этом все клиентские компьютеры должны иметь поддержку (установленный на них клиент) Active Directory (это касается систем Windows 9x и Windows NT 4.0). В этом режиме можно применять такие новые средства, как универсальные группы, вложенные группы и т. д.

По умолчанию домен Windows 2000 начинает работать в смешанном режиме. При необходимости режим работы домена можно изменить на основной. Однако обратный переход невозможен.

Для перехода к основному режиму необходимо:

Указать домен, режим которого необходимо изменить, и нажать правую кнопку мыши. В открывшемся окне диалога выбрать команду Свойства.

 

На вкладке Общие (General) окна свойств домена нажать кнопку Сменить режим (Change Mode). После изменения режима перезапустите контроллер домена

Управление доверительными отношениями

Доверительные отношения, применявшиеся в сетях Windows NT 4.0, полностью поддерживаются в сетях Windows 2000.

Они могут быть использованы для создания однонаправленного доверия между доменами Windows 2000 в дереве каталога и другими доменами, находящимися за границей вашего леса, которые могут быть образованы серверами Windows 2000, Windows NT 4.0 или более ранних версий. Это поможет поддерживать существующую инфраструктуру при переходе на сеть, полностью основанную на Active Directory.

При создании нескольких доменов в одном дереве Active Directory автоматически устанавливаются междоменные двунаправленные доверительные отношения.

Это значит, что пользователь может, зарегистрировавшись только в одном домене, получить доступ ко всем ресурсам всех доменов дерева. При объединении нескольких деревьев в лес между корневыми доменами каждого дерева также устанавливаются двунаправленные доверительные отношения. В этом случае необходимость дополнительной настройки доверительных отношений не возникает.

Конфигурирование доверительных отношений требуется, если

1) Необходимо установить однонаправленные доверительные отношения (в случае, когда соображения безопасности заставляют исключить возможность общего использования каких-либо ресурсов компьютерной сети).

2) Возникла необходимость в установлении доверительных отношений между доменами, находящимися в различных лесах (организациях).

3) Должны быть установлены доверительные отношения между доменами Windows 2000 и Windows NT 4.

Для образования однонаправленных доверительных отношений необходимо выполнить следующее:

1) Запустить оснастку Active Directory-домены и доверие.

2) Указать домен, который должен принять участие в однонаправленном доверительном отношении, и нажать правую кнопку мыши. В появившемся контекстном меню выбрать команду Свойства.

3) В окне свойств домена перейдите на вкладку Доверия (Trusts).

 

Если другой домен, участвующий в отношении, должен стать доменом-доверителем (trusting), нужно нажать кнопку Добавить в группе Домены, которые доверяют этому домену (Domains that trust this domain). Если другой домен должен стать доверенным (trusted), нужно нажать кнопку Добавить в группе Домены, которым доверяет этот домен (Domains trusted by this domain).

4) В окне диалога Добавление домена-доверителя (Add Trusting Domain) или Добавление доверенного домена (Add Trusted Domain), соответственно, необходимо укащать имя второго домена, принимающего участие в однонаправленном доверительном отношении, пароль для регистрации в указанном домене и затем подтвердить его.

После нажатия кнопки ОК появится окно сообщения о том, что доверительное отношение не может быть проверено, поскольку не установлена вторая половина доверительного отношения.

5) Установить в окне оснастки указатель мыши на домен, который является второй стороной в доверительном отношении и имя которого было указано ранее на вкладке Доверия, и нажать правую кнопку мыши. В появившемся контекстном меню выбрать команду Свойства.

6) Повторить шаги 3 и 4, имея в виду, что роль домена изменилась на противоположную: если первый домен был доверителем, то второй домен должен быть доверенным, и наоборот.

После окончания конфигурирования нажать кнопку ОК.

Появится окно сообщения об успешном создании однонаправленного доверительного отношения

Для создания двунаправленного доверительного отношения между доменами, находящимися в различных лесах, следует повторить описанную выше процедуру, но поменять роли доменов. Тот домен, который был доверенным, должен стать доверителем, и наоборот.

Для создания доверительного отношения между доменами Windows 2000 и Windows NT 4.0 действия нам уже знакомы:

На главном контроллере (PDC) существующего домена Windows NT 4.0 с помощью утилиты User Manager for Domain (Диспетчер пользователей для домена) в меню Policies (Политики)->Trust Relationships (Доверительные отношения) добавить в список Trusting Domains (Домены-доверители) необходимые данные.

Теперь домен Windows 2000 доверяет существующему домену Windows NT 4.

Однако конфигурирование доверительного отношения не завершено до тех пор, пока домен, основанный на Windows 2000 Server, не подтвердит пароль.

Для этого на контроллере домена Windows 2000 запускается оснастка Active Directory — домены и доверие.

Указывается имя домена-доверителя и в окне свойств домена на вкладке Доверия по нажатию кнопки Добавить, расположенной рядом со списком Домены, которым доверяет этот домен, ввести имя существующего главного контроллера домена Windows NT 4.0 и тот же пароль, что был введен ранее.

По нажатию ОК, откроется окно сообщения об успешности завершения установки доверительного отношения.

Для проверки доверительного отношения зарегистрируйтесь на компьютере, входящем в домен Windows 2000, под учетной записью пользователя, существующей на главном контроллере домена Windows NT 4.0. Если этот шаг завершился успешно, доверительное отношение установлено правильно

Таким образом, мы с вами научились способам установки контроллеров домена, а далее займемся процессом управления его работой.

Администрирование доменов в Active Directory. Часть II. Оснастка Active Directory Users and Computers. Локальные и глобальные группы

Главной задачей сети — управлением общими ресурсами сети в Windows 2000 «занимается» оснастка Active Directory Users and Computers (Active Directory пользователи и компьютеры) предназначена для управления пользователями, группами, очередями печати и другими объектами каталога Active Directory.

Этот инструмент позволяет создавать объекты, настраивать их атрибуты и выполнять с ними ряд других операций.

Оснастка Active Directory пользователи и компьютеры работает на контроллере домена под управлением Windows 2000 Server; оснастка не устанавливается на изолированных серверах или рабочих станциях.

Работа этого инструмента возможна на рядовом сервере (member server), являющемся членом домена, и на компьютере с Windows 2000 Professional, входящем в домен Windows 2000: для этого на них необходимо установить пакет административных оснасток Windows 2000 Administrative Tools.

Оснастку Active Directory пользователи и компьютеры можно запустить изолированно в консоли ММС или из меню Пуск|Программы|Администрирование.

 

В открывшемся окне вы можете видеть встроенные папки со сгруппированными определенными объектами каталога, играющие важную роль в управлении Active Directory, такие как Builtin, Computers, System, Users и Domain Controllers. Давайте рассмотрим содержимое каждое из этих папок отдельно.

Папка Описание
Builtin Содержит встроенные локальные группы: Account Operators (Операторы учета), Administrators (Администраторы), Backup Operators (Операторы архива), Guests (Гости), Pro-Windows 2000 Compatible Access (Совместимый с пред-Windows 2000 доступ), Print Operators (Операторы печати), Replicator (Репликатор), Server Operators (Операторы сервера) и Users (Пользователи)
Computers Содержит учетные записи всех компьютеров, подключаемых к домену. При выполнении обновления систем Windows более ранних версий служба Active Directory переносит учетные записи машин в папку Computers, откуда эти объекты могут быть перемещены
ForeignSecurityPrincipals Контейнер для SID (идентификаторов безопасности) учетных записей пользователей из внешних доверенных доменов.
Users Содержит информацию обо всех пользователях домена. При обновлении более ранних версий все .пользователи первоначального домена будут перенесены в эту папку. Так же, как и компьютеры, объекты этой папки могут быть перенесены в другие папки
Domain Controllers Содержит информацию обо всех контроллерах домена

Примечание

Следует отметить такую деталь: если контроллер домена на базе русской версии Windows 2000 Server ставился «с нуля», то имена групп и встроенных пользователей будут выводиться по-русски. Если же этот контроллер ставился как дополнительный контроллер (реплика) и база данных Active Directory реплици-ровапась с американской версии Windows 2000 Server, то имена выводятся по-английски.

Перейдем к практике, и рассмотрим основные принципы создания и управления объектами Active Directory

Создание подразделения (организационной единицы)

Для создания подразделения, или организационной единицы (Organizational Unit, OU) необходимо выполнить следующее:

1. Выбрать объект типа «домен» и нажать правую кнопку мыши. В появившемся меню выбрать команду Создать|Подразделение (New|Organizational Unit) либо нажать кнопку Создание нового подразделения в текущем контейнере (Create a new organizational unit in a current container) на панели инструментов.

 

2. В открывшемся окне указать имя создаваемого подразделения и нажать кнопку ОК.

 

В результате в выбранном вами домене будет создано подразделение с заданным именем. В дальнейшем внутри него можно создать вложенные подразделения.

 

Создание учетной записи пользователя

Теперь посмотрим, как создаются в домене учетные записи пользователей, например пользователя с идентификатором Sidorov:

1. Сначала необходимо указать подразделение, в котором вы хотите создать учетную запись, и нажать правую кнопку мыши. В появившемся меню выберите команду Создать|Пользователь.

 

2. В появившемся окне диалога Новый объект Пользователь (New Object User) в поле Имя входа пользователя (User logon name) следует указать идентификатор, в поле Имя (First name) — имя пользователя, в поле Фамилия (Last name) — фамилию пользователя, в поле Полное имя (Full name) автоматически появятся имя и фамилия пользователя.

При необходимости содержимое последнего поля можно откорректировать. После ввода всей необходимой информации в следующем окне в полях ввода Пароль (Password) и Подтверждение (Confirm password) необходимо задать пароль учетной записи пользователя.

3. Если вы не хотите, чтобы пользователь принудительно сменил пароль при первой регистрации в сети, нужно сбросить флажок Потребовать смену пароля при следующем входе в систему (User must change password at next logon).

4. В случае, если пользователь может не изменять пароль в течение неограниченного времени, нужно установить флажок Срок действия пароля не ограничен (Password never expires).

 

5. Установленный флажок Запретить смену пароля пользователем (User cannot change password) запрещает пользователю самостоятельно изменять свой пароль.

6. Если только что созданная учетная запись по каким-либо причинам должна быть заблокирована, необходимо установить флажок Отключить учетную запись (Account disabled).

7. В итоге настройки создаваемой учетной записи в окне диалога, запрашивающего подтверждение правильности выполняемого действия, нажимаем кнопку Готово (Finish).

 

И в результате в подразделении будет создана учетная запись пользователя с именем Sidorov

 

Если необходимо ввести какую-либо дополнительную информацию о пользователе или осуществить изменения уже существующих настроек достаточно выбрать учетную запись этого пользователя и, нажав правой кнопкой мыши, в появившемся меню выбрать Свойства.

 

Внести затем все необходимые изменения и нажать кнопку ОК.

 

Перемещение учетной записи пользователя

Учетную запись пользователя можно перемещать из одного подразделения в другое в пределах одного домена или между доменами. Для соответствующего перемещения учетной записи этого пользователя необходимо:

Щелкнуть на подразделении, откуда требуется перенести пользователя и указать учетную запись пользователя, которую следует перенести. Нажав правой кнопкой мыши в меню выбрать команду Переместить (Move), а в появившемся окне Переместить выбрать целевое подразделение.

 

Как правило, необходимость переноса учетных записей пользователей из папки Users в другие подразделения возникает при обновлении более ранних версий Windows NT Server на Windows 2000 Server

Создание группы

В процессе установки домена Windows 2000 в нем создается несколько встроенных групп, обладающих определенным набором прав. Их можно использовать для присвоения администраторам или пользователям определенных ролей или прав доступа в домене.

К встроенным относятся перечисленные ниже группы.

Локальные группы в домене:

Администраторы (Administrators)

Гости (Guests)

Операторы архива (Backup Operators)

Операторы печати (Print Operators)

Операторы сервера (Server Operators)

Операторы учета (Account Operators)

Пользователи (Users)

Репликатор (Replicator)

Совместимый с пред-Windows 2000 доступ (Pre-Windows 2000 CompatibleAccess)

Глобальные группы

Администраторы домена (Domain Admins)

Владельцы-создатели групповой политики (Group Policy Creator Owners)

Гости домена (Domain Guests)

Издатели сертификатов (Cert Publishers)

Компьютеры домена (Domain Computers)

Контроллеры домена (Domain Controllers)

Пользователи домена (Domain Users)

Универсальные группы:

Администраторы предприятия (Enterprise Admins)

Администраторы схемы (Schema Admins)

Все эти группы служат для назначения разрешений доступа пользователям, на которых возложено выполнение в данном домене каких-либо административных функций.

Универсальные группы создаются только на контроллерах корневого (первого в лесе) домена. В зависимости от установленных на сервере служб могут быть и дополнительные встроенные группы, локальные в домене или глобальные.

По умолчанию все встроенные локальные группы домена находятся в папке Builtin объекта домена.

Все встроенные глобальные группы находятся в папке Users.

Встроенные группы можно переносить в другие контейнеры или подразделения в пределах домена.

По умолчанию каждая созданная в домене учетная запись автоматически становится членом группы Пользователи домена. Кроме того, группа Пользователи домена является членом локальной в домене группы Пользователи.

Любой объект типа Компьютер (Computer) при создании по умолчанию автоматически включается в группу Компьютеры домена.

Группа Администраторы домена объединяет всех пользователей, имеющих полный административный доступ в домене. По умолчанию Администраторы домена являются членами локальной в домене группы Администраторы.

Группа Гости домена объединяет все учетные записи, с помощью которых можно зарегистрироваться в домене без пароля и получить минимальные права доступа. По умолчанию Гости домена являются членами локальной в домене группы Гости.

Помимо перечисленных выше встроенных групп, при установке домена Windows 2000 создаются особые группы, обладающие дополнительными свойствами; среди них группы

ВСЕ (Everyone)

— объединяет всех существующих и создаваемых пользователей сети, включая гостей и пользователей других доменов.

СЕТЬ (Network)

— объединяет всех пользователей, получивших доступ к данному ресурсу по сети (в отличие от пользователей, получивших доступ к ресурсу локально).

ИНТЕРАКТИВНЫЕ (Interactive)

— объединяет всех пользователей, получивших доступ к данному ресурсу, зарегистрировавшись локально на компьютере, где находится этот ресурс

Состав членов указанных трех групп нельзя просмотреть или модифицировать. Однако любой из групп можно предоставить различные полномочия.

Помимо перечисленных выше встроенных групп администратор может создать любое количество групп пользователей и предоставить им необходимый набор прав и разрешений. Посмотрим, что необходимо выполнить для создания группы:

1. Выбирается подразделение, где следует создать группу, по нажатию правой кнопкой мыши выбирается команда Создать|Группа (Group), либо можно воспользоваться кнопкой Создание новой группы в текущем контейнере (Create New Group in a Current Container) на панели инструментов.

 

2. В открывшемся окне диалога Новый объект Группа в поле Имя группы (Group name) нужно ввести имя создаваемой группы.

 

По умолчанию вводимое имя группы автоматически заносится в поле Имя группы (пред-Windows 2000) (Group name (pre-Windows 2000)).

3. Теперь нужно с помощью переключателя Тип группы (Group type) выбрать соответствующий типу создаваемой группы:

Группа безопасности (Security)

Группа распространения (Distribution) .

Первый тип группы служит для предоставления пользователям определенного набора прав доступа к таким ресурсам сети, как файлы и принтеры.

Второй тип группы служит только для распространения информации в сети, например в качестве списков рассылки электронной почты. Следует отметить, что группы безопасности могут использоваться в качестве групп распространения.

Затем выбрать подходящую область действия создаваемой группы, установив в одно из положений переключатель Область действия группы (Group scope). Область действия группы определяет, где может быть видна данная группа (уровень доступности) и какие типы объектов могут быть ее членами. Следующая таблица показывает нам соответствие области действия и других свойств группы.

Область действия Уровень доступности группы Тип объектов, допустимых в качестве членов группы
Локальная в домене (Domain Local) отдельный домен Пользователи, а также глобальные и универсальные группы из всего леса, другие локальные группы из этого же домена (последнее — только в основном, native, режиме домена)
Глобальная (Global) Лес Пользователи, а также глобальные и универсальные группы
Универсальная (Universal) Лес Пользователи и глобальные группы (только в основном режиме домена)

Итак, мы создали новую группу в домене, тем необходимо добавить пользователя в эту группу.

Для добавления пользователя в группу необходимо:

Указать группу, в которую вы хотите добавить пользователя, и по правой кнопке мыши в меню выберите команду Свойства.

 

Появится окно свойств группы. Переходим на вкладку Члены группы (Members) окна свойств и нажимаем кнопку Добавить. Появится окно Выбор: Пользователи, Контакты или Компьютеры (Select Users, Contacts, or Computers). Здесь можно задать область выполнения запроса: весь каталог, определенный домен или определенная часть дерева подразделения внутри домена. Обратите внимание, что каталог может состоять из множества доменов.

 

Щелкнув мышкой на имени добавляемого пользователя нажимаем кнопку Добавить.

Нажав клавишу Ctrl и одновременно выполняя щелчки на нужных объектах, в этом диалоговом окне можно одновременно выбрать несколько пользователей или групп. В результате все выбранные объекты станут членами соответствующей группы.

Итак, учетные записи пользователей домена созданы, они включены в соответствующие группы домена, теперь необходимо раздать пользователям ресурсы.

Выделение ресурсов в общее пользование. Вложенные группы

Публикация общей папки

Любая папка, для которой организован общий доступ, включая папку DFS, может быть опубликована в Active Directory.

Публикация заключается в создании в Active Directory объекта типа «общая папка».

Сама публикация не подразумевает автоматическое обеспечение общего доступа к папке, поэтому процесс публикации состоит из двух этапов:

1. Обеспечение общего доступа к папке.

2. Ее публикация в Active Directory в виде объекта каталога

Для публикации общего ресурса в виде объекта каталога необходимо выполнить следующее:

1. В оснастке Active Directory — пользователи и компьютеры указать подразделения, где необходимо опубликовать общую папку, и по правой кнопке мыши в появившемся меню выбрать команду Создать|Общую папку(New|Shared Folder).

2. В открывшемся окне в поле Имя (Name) задать имя, которое получит опубликованная папка.

 

3. Затем ввести значение UNC-имя общей папки в формате в поле Сетевой путь к общему ресурсу (\серверресурс) (Network Path (\servershare)).

Определенным неудобством является то, что система не проверяет существование указанного общего ресурса и не позволяет выбрать его в диалоговом режиме

Теперь при просмотре дерева Active Directory пользователи могут видеть опубликованную папку.

А для того чтобы просмотреть общую папку необходимо на рабочем столе зайти в папку Мое сетевое окружение (My Network Places), выбрать значок Вся сеть (Entire Network), и затем Папка (Directory). Щелкнуть на имени вашего домена и затем на папке, где расположена необходимая общая папка, в данном случае это подразделение Lesson, папка Documents.

 

Если в открывшемся окне указать общую папку и нажать правой кнопкой мыши, а в появившемся меню выбрать команду Открыть (Open), то вы увидите все файлы, находящиеся в выбранной папке.

Публикация принтеров

Принтеры, подключенные к системам Windows 2000

Принтер, общий доступ к которому осуществляется через компьютер с Windows 2000, публикуется привычным способом: с помощью вкладки Доступ (Sharing) окна свойств принтера.

 

По умолчанию принтер, к которому организуется общий доступ, публикуется автоматически. Он находится в каталоге в соответствующем контейнере компьютера. При обращении к нему нужно указать имя в формате Имя_сервера-Имя_принтера. Подсистема печати будет автоматически распространять в Active Directory информацию обо всех изменениях атрибутов принтера (местоположения, описания, загруженной бумаги и т. д.).

Для того чтобы обеспечить общий доступ к принтеру, а затем опубликовать его в каталоге необходимо выполнить следующее:

1. С помощью обычной процедуры (Пуск|Настройка|Принтеры|Установка принтера(Start |Settings|Printers|Add Printer)) можно создать новый принтер и разрешить общий доступ к нему.

2. После успешного завершения создания принтера автоматически выполняется его публикация в Active Directory.

Принтеры, работающие в других системах

В каталоге Active Directory могут быть опубликованы общие принтеры, работающие в системах, отличных от Windows 2000 (например, Windows NT или Windows 9x). Такие принтеры проще всего опубликовать с помощью сценария pubprn, который публикует все общие принтеры, находящиеся на указанном сервере. Сценарий расположен в каталоге %SystemRoot%System32. Его синтаксис:

cscript pubprn.vbs сервер [trace]

Например:

cscript pubprn.vbs prservl «LDAP://ou=Office, dc=BHV, dc=ru»

В данном случае все принтеры на сервере \prservl будут опубликованы в подразделении Office.

Этот сценарий копирует только следующее подмножество атрибутов принтера:

Местоположение (Location)

Модель (Model)

Комментарий (Comment)

Путь UNC (UNCPath)

Другие атрибуты можно добавить с помощью оснастки Active Directory -пользователи и компьютеры. Обратите внимание, что сценарий pubprn может быть выполнен повторно. В этом случае информация о существующем принтере будет обновлена.

Другой способ публикации принтеров, работающих в других (не-Windows 2000) системах, с помощью оснастки Active Directory — пользователи и компьютеры:

В этом случае необходимо выбрать подразделение, в котором вы хотите опубликовать принтер, и нажать правой кнопкой мыши. В появившемся меню выберать команду Создать (New)|Принтер (Printer);

Затем в поле Сетевой путь к пред-Windows 2000 общему ресурсу печати (Network path of the pre-Windows 2000 print share) ввести полный путь к принтеру, а в окне Имя (Name) ввести с клавиатуры имя принтера, под которым он будет опубликован.

 

Чтобы увидеть опубликованный принтер в каталоге и подключиться к нему, так же, как и в случае общего каталога, следует открыть папку Мое сетевое окружение -> Вся сеть (Entire Network)-> Папка (Directory), выбрать имя домена и зайти в папку (подразделении), где расположен необходимый принтер. Затем указать имя просматриваемого принтера, нажать правой кнопкой мыши и в появившемся меню выберите команду Подключить (Connect) для установки принтера как локального, или Открыть (Open) для просмотра текущего состояния, очереди печати.

Работа с объектами типа «компьютер»

Объект типа «компьютер» автоматически создается при включении компьютера в домен. Этот объект можно также создать заранее.

Для создания объекта «компьютер» следует:

1. Выбрать подразделение, где будет создан объект «компьютер», нажать правой кнопкой мыши и в появившемся меню выбрать команду Создать|Компьютер(New|Computer).

2. В открывшемся окне Новый объект Компьютер (New Object Computer) введите с клавиатуры имя компьютера. Вместо имени можно ввести его полный адрес. Например, windows2000.BHV.ru. Также следует проверить правильность NetBIOS-имени компьютера в поле Имя компьютера (пред-Wiadows 2000) (Computer name (Pre-Windows 2000)). Обратите внимание, что компьютеры Windows 2000 автоматически обновляют свои сетевые адреса в каталоге.

 

3. С помощью кнопки Изменить можно выбрать пользователя или группу, которым будет дано право подключить данный компьютер к домену.

 

4. Если созданный объект «компьютер» будет использоваться компьютерами под управлением более ранних версии Windows NT, необходимо установить флажок Разрешать использование этой учетной записи на пред-Windows 2000 компьютерах (Allow pre-Windows 2000 computers to use this account

После создания объекта «компьютер» можно управлять им удаленно, диагностируя службы, работающие на этом компьютере, просматривая события и т. д.

Для того чтобы управлять компьютером удаленно необходимо:

1. В окне оснастки Active Directory пользователи и компьютеры указать имя компьютера, нажать правой кнопкой мыши. В появившемся меню выберите команду Управление (Manage).

2. Для выбранного компьютера будет запущена оснастка Управление компьютером (Computer Management). Теперь с ее помощью можно осуществлять задачи управления данным компьютером.

 

Итак, мы с вами рассмотрели, как создавать объекты Active Directory, теперь увидим, как можно ими управлять.

Любой объект в Active Directory можно переименовать или удалить. При этом следует соблюдать особую осторожность, чтобы не удалить объекты, необходимые для работы системы. Большинство объектов разрешено перемещать в различные контейнеры.

Для переименования объекта следует указать нужный объект, нажать правой кнопкой мыши и в появившемся контекстном меню выбрать команду Переименовать (Rename

Если необходимо удалить объект — выбрать команду Удалить (Delete), либо нажать клавишу Del на клавиатуре.

Если необходимо переместить объект — выбрать команду Переместить (Move). Запустится браузер каталога, позволяющий выбрать контейнер, куда будет перемещен объект

Теперь поговорим еще об одном важнейшем новшестве операционной системы Windows 2000 Server, которым можно пользоваться в основном (native) режиме домена, — это вложенные группы (nested groups).

Вложенные группы

Применяя вложенные группы, можно значительно сократить затраты на управление объектами Active Directory и уменьшить трафик, вызванный репликацией изменений членства в группах. Возможности вложенных групп зависят от режима работы домена.

Если домен работает в основном режиме, то применение вложенных групп подчиняется следующим правилам

1) Универсальные группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, другие универсальные группы и глобальные группы из любого домена.

2) Глобальные группы могут содержать учетные записи своего домена и глобальные группы своего домена.

3) Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, универсальные группы и глобальные группы (все указанные объекты могут быть из любого домена), а также другие локальные группы своего домена

В смешанном (mixed) режиме группы безопасности могут быть вложены в соответствии со следующими правилами

1) Глобальные группы могут иметь в качестве своих членов только учетные записи пользователей и компьютеров.

2) Локальные в домене группы могут иметь в качестве своих членов учетные записи пользователей и компьютеров, а также глобальные группы

Чтобы понять, как работают вложенные группы, выберем одно из подразделений и по правой кнопке мыши в появившемся меню выберем команду Создать|Группа.

В качестве имени новой группы введите с клавиатуры Group1.

Теперь таким же образом создадим еще две группы Group11 и Group111. Области действия вложенных групп должны соответствовать описанным выше правилам.

Указываем группу Group1 и по правой кнопке мыши в появившемся меню выбираем Свойства.

 

В этом окне включаем группу Group11 в члены группы Group1. Для этого на вкладке Член групп (Member Of) окна свойств группы Group11 нажимаем кнопку Добавить и выбираем Group1.

Теперь указываем группу Group111 и нажмите правую кнопку мыши. В окне Свойства для данной группы включаем группу Group111 в члены группы Group11.

 

И так далее. Ограничений на число уровней вложенных групп нет.

Итак, мы с вами рассмотрели общие принципы управления ресурсами средствами Active Directory — создание объектов Active Directory, управление ими, создание ресурсов общего пользования, познакомились с новыми особенностями администрирования, которые предоставляет Windows 2000.

Автор Адрес электронной почты защищен от спам-ботов. Для просмотра адреса в вашем браузере должен быть включен Javascript.

Обновлено 27.04.2022

Введение в основные понятия Active Directory

Введение в основные понятия Active Directory

🛠Служба Active Directory — Расширяемая и масштабируемая служба каталогов Active Directory ( Активный каталог) позволяет эффективно управлять сетевыми ресурсами.
Active Directory — это иерархически организованное хранилище данных об объектах сети, обеспечивающее удобные средства для поиска и использования этих данных. Компьютер, на котором работает Active Directory, называется контроллером домена. С Active Directory связаны практически все административные задачи.
Технология Active Directory основана на стандартных Интернет — протоколах и помогает четко определять структуру сети, более детально как развернуть с нуля домен Active Directory читайте тут.

📔Что такое Active Directory и DNS

В Active Directory используется доменная система имен.

Domen Name System, (DNS) — стандартная служба Интернета, организующая группы компьютеров в домены. Домены DNS имеют иерархическую структуру, которая составляет основу Интернета. Разные уровни этой иерархии идентифицируют компьютеры, домены организаций и домены верхнего уровня. DNS также служит для преобразования имен узлов, например zeta.webatwork.com, в численные IP-адреса, например 192.168.19.2. Средствами DNS иерархию доменов Active Directory можно вписать в пространство Интернета или оставить самостоятельной и изолированной от внешнего доступа.

Для доступа к ресурсам в домене применяется полное имя узла, например zeta.webatwork.com. Здесь zeta — имя индивидуального компьютера, webatwork — домен организации, a com — домен верхнего уровня. Домены верхнего уровня составляют фундамент иерархии DNS и потому называются корневыми доменами (root domains). Они организованы географически, с названиями на основе двухбуквенных кодов стран (ru для России), по типу организации (сот для коммерческих организаций) и по назначению (mil для военных организаций).

Обычные домены, например microsoft.com, называются родительскими (parent domain), поскольку они образуют основу организационной структуры. Родительские домены можно разделить на поддомены разных отделений или удаленных филиалов. Например, полное имя компьютера в офисе Microsoft в Сиэтле может быть jacob.seattle.microsoft.com, где jacob — имя компьютера, sealtle — поддомен, а microsoft.com — родительский домен. Другое название поддомена — дочерний домен (child domain).

📔Облачная и наземная Active Directory

Сейчас в 2022 году уже ни кого не удивишь словом облако или облачный сервис и это нормально. И так классическая установка Active Directory называется «on-premise» по простому локальная AD, это когда все контроллеры домена располагаются у вас, это может быть как локальные сервера, так и мощности арендованные в цоде. Облачная Active Directory — это Azure AD.

Azure Active Directory  (Azure AD или AAD) — это облачная служба каталогов, которая является частью платформы облачных вычислений Microsoft Azure. 

Azure AD используемая для аутентификации входа в облачные приложения и обеспечивающая доступ с единым входом к другим часто используемым приложениям SaaS, таким как Slack и Salesforce. Однако Azure AD не является контроллером домена. Следовательно, он не обладает всеми возможностями оригинальной Active Directory. Серверы не могут быть добавлены в Azure AD. В Azure AD нет функции групповой политики. Поддержка Kerberos, LDAP или NTLM недоступна. Вы можете синхронизировать текущую локальную службу AD с Azure AD, но пути миграции с одной на другую нет.

Azure AD может работать в тандеме с Microsoft AD для управления доступом к SaaS и другим облачным приложениям, но не может обрабатывать ваши локальные операции. Исключением может быть ситуация, когда ваш бизнес использует исключительно облачные приложения и не имеет реальных локальных операций (т. е. вся рабочая сила удалена). Тогда вы можете просто использовать Azure AD.

Azure Active Directory поддерживает единый вход (SSO). Это означает, что пользователям необходимо войти в систему только один раз , чтобы начать использовать разные службы Microsoft 365.

Схема Ad on-premise и Azure AD

Azure AD использует REST API, тогда как Windows AD использует LDAP, как упоминалось ранее

Windows AD использует для аутентификации Kerberos и NTLM, тогда как Azure AD использует собственные встроенные веб-протоколы аутентификации.

Может ли Azure AD полностью заменить локальную версию?

НЕТ. Во всяком случае, еще нет. Azure AD на самом деле не является облачной копией оригинала. Ключевым моментом здесь является замена — можно заменить локальную AD на Azure AD, если у вас нет устаревших приложений, которым требуется локальный контроллер домена, в современных реалиях это мало вероятно. Также можно заменить некоторые функции групповой политики на Microsoft InTune, но этого мало. Существуют также сценарии, в которых желательно отказаться от локальной инфраструктуры, и Microsoft 365 и Azure AD позволяют это сделать.

Пока вы не сможете полностью перейти на облако, лучше всего использовать два решения вместе для управления доступом как для облачных, так и для локальных приложений.

Самая большая разница между локальным Active Directory и Azure AD заключается в том, как они структурированы. В то время как Active Directory поддерживает использование организационных единиц (OU) и объектов групповой политики (GPO) и позволяет администраторам визуализировать, организовывать предприятие во всей совокупности его компонентов и подразделений, Azure Active Directory НЕ поддерживает организационные единицы и объекты групповой политики. Для облачных пользователей это может привести к ряду проблем:

  • Отсутствие организационных единиц: в Azure AD невозможно создать те же домены, деревья и леса, что и в обычной AD.
  • Большая административная рабочая нагрузка: поскольку нет организационных подразделений, сложнее делегировать административные задачи или достичь определенного уровня стандартизации и/или автоматизации в Azure AD.
  • Меньший контроль: поскольку Azure AD не поддерживает групповые политики, нет возможности более подробно контролировать функции и настройки устройства .

⚙️Компоненты Active Directory on-premise

Введение в основные понятия Active Directory-02

Введение в основные понятия Active Directory-02

Active Directory объединяет физическую и логическую структуру для компонентов сети. Логические структуры Active Directory помогают организовывать объекты каталога и управлять сетевыми учетными записями и общими ресурсами. К логической структуре относятся следующие элементы:

  • Организационное подразделение (organizational unit) — подгруппа компьютеров, как правило, отражающая структуру компании;
  • Контейнер (Container) — Его очень часто путают с организационным подразделением. Контейнер кардинально от него отличается, по сути это просто папка, на которую вы не можете отдельно создать групповую политику, в отличии от OU. Например Active Directory по умолчанию имеет популярные контейнеры: Computers, Builtin, Users и многие другие. На контейнер будут распространяться только групповые политики на уровне домена. Контейнеры созданные по умолчанию Active Directory невозможно удалить.

Контейнеры в Active Directory

  • Домен (domain) — группа компьютеров, совместно использующих общую БД каталога;
  • Дерево доменов (domain tree) — один или несколько доменов, совместно использующих непрерывное пространство имен;
  • Лес доменов (domain forest) — одно или несколько деревьев, совместно использующих информацию каталога.

Физические элементы помогают планировать реальную структуру сети. На основании физических структур формируются сетевые связи и физические границы сетевых ресурсов. К физической структуре относятся следующие элементы:

  • Подсеть (subnet) — сетевая группа с заданной областью IP- адресов и сетевой маской;
  • Сайт (site) — одна или несколько подсетей. Сайт используется для настройки доступа к каталогу и для репликации.

Контейнер

При установке Active Directory автоматически создается несколько контейнеров по умолчанию и организационных единиц (OU). В следующем списке перечислены контейнеры по умолчанию и их содержимое:

  • Builtin — Контейнер Builtin содержит учетные записи администраторов служб по умолчанию и локальные группы безопасности домена. Этим группам предоставляются предварительно назначенные разрешения, необходимые для выполнения задач управления доменом.
  • Computers — Контейнер Computers содержит все компьютеры, присоединенные к домену без учетной записи компьютера. Это расположение по умолчанию для новых учетных записей компьютеров, созданных в домене.
  • Domain Controllers — Подразделение контроллеров домена — это расположение по умолчанию для учетных записей компьютеров для контроллеров домена.
  • ForeignSecurityPrincipals — Контейнер ForeignSecurityPrincipals содержит прокси-объекты для участников безопасности в доменах или доменах за пределами леса.
  • LostAndFound — Контейнер LostAndFound содержит объекты, перемещенные или созданные одновременно с удалением организационной единицы. Из-за репликации Active Directory родительское подразделение может быть удалено на одном контроллере домена, в то время как администраторы на других контроллерах домена могут добавлять или перемещать объекты в удаленное подразделение до того, как изменение будет реплицировано. Во время репликации новые объекты помещаются в контейнер LostAndFound
  • NTDS Quotas — Контейнер NTDS Quotas содержит объекты, которые содержат ограничения на количество объектов, которыми могут владеть пользователи и группы.
  • Program Data — Контейнер Program Data содержит данные для конкретного приложения, созданные другими программами. Этот контейнер пуст, пока его не использует программа, предназначенная для хранения информации в Active Directory.
  • System — Контейнер System содержит информацию о конфигурации домена, включая группы безопасности и разрешения, общий ресурс SYSVOL домена, информацию о конфигурации DFS и политики безопасности IP.
  • Users — Контейнер Users содержит дополнительные предопределенные учетные записи пользователей и групп (помимо тех, что находятся во встроенном контейнере). Пользователи и группы имеют предварительно назначенное членство и разрешения для выполнения задач управления доменами и лесами.

Организационные подразделения службы Active Directory

Организационные подразделения (ОП) (organizational unit) — это подгруппы в доменах, которые часто отражают функциональную структуру организации. ОП представляют собой своего рода логические контейнеры, в которых размещаются учетные записи, общие ресурсы и другие ОП. Например, можно создать в домене microsoft.com подразделения Resourses, IT, Marketing. Потом эту схему можно расширить, чтобы она содержала дочерние подразделения.

В ОП разрешается помещать объекты только из родительского домена. Например, ОП из домена Seattle.microsoft.com содержат объекты только этого домена. Добавлять туда объекты из my.microsoft.com нельзя. ОП очень удобны при формировании функциональной или бизнес — структуры организации. Но это не единственная причина их применения.

ОП позволяют определять групповую политику для небольшого набора ресурсов в домене, не применяя ее ко всему домену. С помощью ОП создаются компактные и более управляемые представления объектов каталога в домене, что помогает эффективнее управлять ресурсами.

Организационные подразделения позволяют делегировать полномочия и контролировать административный доступ к ресурсам домена, что помогает задавать пределы полномочий администраторов в домене. Можно передать пользователю А административные полномочия только для одного ОП и в то же время передать пользователю В административные полномочия для всех OП в домене. Это называется делегирование.

Также внешний вид OU отличается от контейнера и имеет значок папка с папкой, ниже представлено на скриншоте.

Организационные подразделения службы Active Directory

Домен

Домен Active Directory — это группа компьютеров, пользователей, принтеров и других объектов, совместно использующих общую БД каталога. Имена доменов Active Directory должны быть уникальными. Например, не может быть двух доменов microsoft.com, но может быть родительский домен microsoft.com с дочерними доменами seattle.microsoft.com и my.microsoft.com. Если домен является частью закрытой сети, имя, присвоенное новому домену, не должно конфликтовать ни с одним из существующих имен доменов в этой сети. Если домен — часть глобальной сети Интернет, то его имя не должно конфликтовать ни с одним из существующих имен доменов в Интернете. Чтобы гарантировать уникальность имен в Интернете, имя родительского домена необходимо зарегистрировать через любую полномочную регистрационную организацию.

В каждом домене действуют собственные политики безопасности и доверительные отношения с другими доменами. Зачастую домены распределяются по нескольким физическим расположениям, т. е. состоят из нескольких сайтов, а сайты — объединяют несколько подсетей. В БД каталога домена хранятся объекты, определяющие учетные записи для пользователей, групп и компьютеров, а также общие ресурсы, например принтеры и папки.

Функции домена ограничиваются и регулируются режимом его функционирования. Существует ряд функциональных режима доменов:

  • Смешанный режим Windows 2000 (mixed mode) — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Windows 2000 и Windows Server 2003 и выше;
  • Основной режим Windows 2000 (native mode) — поддерживает контроллеры доменов, работающие под управлением Windows 2000 и Windows Server 2003 и выше;
  • Промежуточный режим Windows Server 2003 (interim mode) — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003 и выше;
  • Режим Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003 и выше.
  • Режим Windows Server 2008 — Этот режим работы предоставляет все функции, доступные при режиме работы леса Windows Server 2003, но не имеет дополнительных функций
  • Режим Windows Server 2008 R2 — позволяет использовать корзину Active Directory. Так же контроль механизма проверки подлинности, добавляющий в пакет сведения о способе входа в систему (смарт-карта или имя пользователя и пароль), будет в маркере Kerberos каждого пользователя. что позволит проводить его проверку подлинности в рамках домена. И второе нововведение это автоматическое управление именем субъекта-службы для служб, запущенных на определенном компьютере в контексте управляемой учетной записи службы при изменении имени или имени узла DNS-сервера учетной записи компьютера
  • Режим Windows Server 2012 — Несет в себе все функции Active Directory, которые присутствовали в режиме Windows Server 2008 R2. Так же появилась поддержка KDC-утверждений с комплексной проверкой подлинности
  • Режим Windows Server 2012 R2 — Сохраняет за собой все функции предшественника и добавляет: Расширяет уровень защиты со стороны домена защищенных пользователей. Например, если защищенный пользователь прошел проверку подлинности в домене Windows Server 2012 R2, то у него больше не будет возможности использовать NTLM как проверку подлинности, не сможет при предварительной проверке подлинности Kerberos использовать DES и RC4, не сможет продлевать пользовательские билеты (TGT) и использовать их более 4 часов
  • Режим Windows Server 2016 — Несет в себе все функции Active Directory по умолчанию, которые были в Windows Server 2012 R2. Из нового: теперь у контроллеров домена есть возможность автоматического отката протокола NTLM и другие секреты на основе пароля для пользователя, у которого настроено требование проверки подлинности с использованием PKI. Так же если у пользователя компьютер присоединен к домену и доступ разрешен только с данного устройства, то контроллеры домена могут поддерживать проверку сети по протоколу NTLM
  • Режим Windows Server 2019 — Не имеет усовершенствований в режиме работы Active Directory
  • Режим Windows Server 2022 — Не имеет усовершенствований в режиме работы Active Directory

Режим работы домена ActiveDirectory

Леса и деревья

Каждый домен Active Directory обладает DNS-именем типа microsoft.com. Домены, совместно использующие данные каталога, образуют лес (forest). Имена доменов леса в иерархии имен DNS бывают несмежными (discontiguous) или смежными (contiguous).

Домены, обладающие смежной структурой имен, называют деревом доменов. Если у доменов леса не смежные DNS-имена, они образуют отдельные деревья доменов в лесу. В лес можно включить одно или несколько деревьев. Для доступа к доменным структурам предназначена консоль Active Directory — домены и доверие (Active Directory Domains and Trusts).

Функции лесов ограничиваются и регулируются функциональным режимом леса. Таких режимов три:

  • Windows 2000 — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Windows 2000 и Windows Server 2003;
  • промежуточный (interim) Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003 и выше;
  • Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003 и выше.

Самые современные функции Active Directory доступны в режиме Windows Server 2003. Если все домены леса работают в этом режиме, можно пользоваться улучшенной репликацией (тиражированием) глобальных каталогов и более эффективной репликацией данных Active Directory. Также есть возможность отключать классы и атрибуты схемы, использовать динамические вспомогательные классы, переименовывать домены и создавать в лесу односторонние, двухсторонние и транзитивные доверительные отношения.

Сайты и подсети доменных служб Active Directory

Сайт — это группа компьютеров в одной или нескольких IP-подсетях, используемая для планирования физической структуры сети. Планирование сайта происходит независимо от логической структуры домена. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов.

В отличие от сайтов, способных охватывать множество областей IP-адресов, подсети обладают заданной областью IP-адресов и сетевой маской. Имена подсетей указываются в формате сеть/битовая маска, например 192.168.19.0/24, где сетевой адрес 192.168.19.0 и сетевая маска 255.255.255.0 скомбинированы в имя подсети 192.168.19.0/24.

Компьютеры приписываются к сайтам в зависимости от местоположения в подсети или в наборе подсетей. Если компьютеры в подсетях способны взаимодействовать на достаточно высоких скоростях, их называют хорошо связанными (well connected).

В идеале сайты состоят из хорошо связанных подсетей и компьютеров, Если скорость обмена между подсетями и компьютерами низка, может потребоваться создать несколько сайтов. Хорошая связь дает сайтам некоторые преимущества.

• Когда клиент входит в домен, в процессе аутентификации сначала производится поиск локального контроллера домена в сайте клиента, т. е. по возможности первыми опрашиваются локальные контроллеры, что ограничивает сетевой трафик и ускоряет аутентификацию.

• Информация каталога реплицируется чаще внутри сайтов, чем между сайтами. Это снижает межсетевой трафик, вызванный репликацией, и гарантирует, что локальные контроллеры доменов быстро получат обновленную информацию.

Можно настроить порядок репликации данных каталога, используя связи сайтов (site links). Например, определить сервер-плацдарм (bridgehead) для репликации между сайтами.

Основная часть нагрузки от репликации между сайтами ляжет на этот специализированный сервер, а не на любой доступный сервер сайта. Сайты и подсети настраиваются в консоли Active Directory — сайты и службы (Active Directory Sites and Services).

Работа с доменами Active Directory

В сети Windows Server 2003 служба Active Directory настраивается одновременно с DNS. Тем не менее у доменов Active Directory и доменов DNS разное назначение. Домены Active Directory помогают управлять учетными записями, ресурсами и защитой.

Иерархия доменов DNS предназначена, главным образом, для разрешения имен.

В полной мере воспользоваться преимуществами Active Directory способны компьютеры, работающие под управлением Windows XP Professional и Windows 2000. Они работают в сети как клиенты Active Directory и им доступны транзитивные доверительные отношения, существующие в дереве или лесу доменов. Эти отношения позволяют авторизованным пользователям получать доступ к ресурсам в любом домене леса.

Система Windows Server 2003 функционирует как контроллер домена или как рядовой сервер. Рядовые серверы становятся контроллерами после установки Active Directory; контроллеры понижаются до рядовых серверов после удаления Active Directory.

Оба процесса выполняет мастер установки Active Directory. В домене может быть несколько контроллеров. Они реплицируют между собой данные каталога по модели репликации с несколькими хозяевами, которая позволяет каждому контроллеру обрабатывать изменения каталога, а затем передавать их на другие контроллеры. Благодаря структуре с несколькими хозяевами все контроллеры по умолчанию обладают равной ответственностью. Впрочем, можно предоставить некоторым контроллерам домена приоритет над другими в определенных задачах, например, создать сервер-плацдарм, который обладает приоритетом при репликации данных каталога на другие сайты.

Кроме того, некоторые задачи лучше выполнять на выделенном сервере. Сервер, обрабатывающий специфический тип задач, называется хозяином операций (operations master).

Для всех компьютеров с Windows 2000, Windows XP Professional и Windows Server 2003, присоединенных к домену, создаются учетные записи, хранящиеся, подобно другим ресурсам, в виде объектов Active Directory. Учетные записи компьютеров служат для управления доступом к сети и ее ресурсам, Прежде чем компьютер получает доступ к домену по своей учетной записи, он в обязательном порядке проходит процедуру аутентификации.

Структура каталога

Данные каталога предоставляются пользователям и компьютерам через хранилище данных (data stores) и глобальные каталоги (global catalogs). Хотя большинство функций Active Directory затрагивают хранилище данных, глобальные каталоги (ГК) не менее важны, поскольку используются для входа в систему и поиска информации. Если ГК недоступен, обычные пользователи не смогут войти в домен. Единственный способ обойти это условие — локальное кэширование членства в универсальных группах.

Доступ и распространение данных Active Directory обеспечиваются средствами протоколов доступа к каталогу (directory access protocols) и репликации (replication).

Репликация нужна для распространения обновленных данных на контроллеры. Главный метод распространения обновлений — репликация с несколькими хозяевами, но некоторые изменения обрабатываются только специализированными контроллерами — хозяевами операций (operations masters).

Способ выполнения репликации с несколькими хозяевами в Windows Server 2003 также изменился благодаря появлению разделов каталога приложений (application directory partitions). Посредством их системные администраторы могут создавать в лесу доменов разделы репликации, которые представляют собой логические структуры, используемые для управления репликацией в пределах леса доменов. Например, можно создать раздел, который будет ведать репликацией информации DNS в пределах домена. Другим системам домена репликация информации DNS запрещена.

Разделы каталога приложений могут быть дочерним элементом домена, дочерним элементом другого прикладного раздела или новым деревом в лесу доменов. Реплики разделов разрешается размещать на любом контроллере домена Active Directory, включая глобальные каталоги. Хотя разделы каталога приложений полезны в больших доменах и лесах, они увеличивают издержки на планирование, администрирование и сопровождение.

Хранилище данных

Хранилище содержит сведения о важнейших объектах службы каталогов Active Directory — учетных записях, общих ресурсах, ОП и групповых политиках. Иногда хранилище данных называют просто каталогом (directory). На контроллере домена каталог хранится в файле NTDS.DIT, расположение которого определяется при установке Active Directory (это обязательно должен быть диск NTFS). Некоторые данные каталога можно хранить и отдельно от основного хранилища, например, групповые политики, сценарии и другую информацию, записанную в общем системном ресурсе SYSVOL.

Предоставление информации каталога в совместное пользование называют публикацией (publish). Например, открывая принтер для использования в сети, его публикуют; публикуется информация об общей папке и т. д. Контроллеры доменов реплицируют большинство изменений в хранилище по схеме с несколькими хозяевами. Администратор небольшой или среднего размера организации редко управляет репликацией хранилища, поскольку она осуществляется автоматически, но её можно настроить согласно специфике сетевой архитектуры.

Реплицируются не все данные каталога, а только:

  • данные домена — информация об объектах в домене, включая объекты учетных записей, общих ресурсов, ОП и групповых политик;
  • данные конфигурации — сведения о топологии каталога: список всех доменов, деревьев и лесов, а также расположение контроллеров и серверов ГК;
  • данные схемы — информация обо всех объектах и типах данных, которые могут храниться в каталоге; стандартная схема Windows Server 2003 описывает объекты учетных записей, объекты общих ресурсов и др., её можно расширить, определив новые объекты и атрибуты или добавив атрибуты для существующих объектов.

Глобальный каталог

Если локальное кэширование членства в универсальных группах не производится, вход в сеть осуществляется на основе информации о членстве в универсальной группе, предоставленной ГК.

Он также обеспечивает поиск в каталоге по всем доменам леса. Контроллер, выполняющий роль сервера ГК, хранит полную реплику всех объектов каталога своего домена и частичную реплику объектов остальных доменов леса.

Для входа в систему и поиска нужны лишь некоторые свойства объектов, поэтому возможно использование частичных реплик. Для формирования частичной реплики при репликации нужно передать меньше данных, что снижает сетевой трафик.

По умолчанию сервером ГК становится первый контроллер домена. Поэтому, если в домене только один контроллер, то сервер ГК и контроллер домена — один и тот же сервер. Можно расположить ГК на другом контроллере, чтобы сократить время ожидания ответа при входе в систему и ускорить поиск. Рекомендуется создать по одному ГК в каждом сайте домена.

Есть несколько способов решения этой проблемы. Разумеется, можно создать сервер ГК на одном из контроллеров домена в удаленном офисе. Недостаток этого способа — увеличение нагрузки на сервер ГК, что может потребовать дополнительных ресурсов и тщательного планирования времени работы этого сервера.

Другой способ решения проблемы — локальное кэширование членства в универсальных группах. При этом любой контроллер домена может обслуживать запросы на вход в систему локально, не обращаясь к серверу ГК. Это ускоряет процедуру входа в систему и облегчает ситуацию в случае выхода сервера ГК из строя. Кроме того, при этом снижается трафик репликации.

Вместо того чтобы периодически обновлять весь ГК по всей сети, достаточно обновлять информацию в кэше о членстве в универсальной группе. По умолчанию обновление происходит каждые восемь часов на каждом контроллере домена, в котором используется локальное кэширование членства в универсальной группе.

Членство в универсальной группе индивидуально для каждого сайта. Напомним, что сайт — это физическая структура, состоящая из одной или нескольких подсетей, имеющих индивидуальный набор IP-адресов и сетевую маску. Контроллеры домена Windows Server 2003 и ГК, к которому они обращаются, должны находиться в одном сайте. Если есть несколько сайтов, придется настроить локальное кэширование на каждом из них. Кроме того, пользователи, входящие в сайт, должны быть частью домена Windows Server 2003, работающего в режиме леса Windows Server 2003.

Репликация в Active Directory

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена Схема и данные конфигурации реплицируются на все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в ГК. Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится ГК, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (он реплицируется только между серверами ГК), а также все объекты каталога и свойства для своего домена.

Чтобы понять суть репликации, рассмотрим такой сценарий настройки новой сети.

  1. ✅В домене А установлен первый контроллер. Этот сервер — единственный контроллер домена. Он же является и сервером ГК. Репликация в такой сети не происходит, поскольку нет других контроллеров.
  2. ✅В домене А устанавливается второй контроллер, и начинается репликация. Можно назначить один контроллер хозяином инфраструктуры, а другой — сервером ГК. Хозяин инфраструктуры следит за обновлениями ГК и запрашивает их для измененных объектов. Оба этих контроллера также реплицируют данные схемы и конфигурации.
  3. ✅В домене А устанавливается третий контроллер, на котором нет ГК. Хозяин инфраструктуры следит за обновлениями ГК, запрашивает их для измененных объектов, а затем реплицирует изменения на третий контроллер домена. Все три контроллера также реплицируют данные схемы и конфигурации.
  4. ✅Создается новый домен Б, в него добавляются контроллеры. Серверы ГК в домене А и домене Б реплицируют все данные схемы и конфигурации, а также подмножество данных домена из каждого домена. Репликация в домене А продолжается, как описано выше, плюс начинается репликация внутри домена Б.

Active Directory и LDAP

Упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — стандартный протокол Интернет соединений в сетях TCP/IP. LDAP спроектирован специально для доступа к службам каталогов с минимальными издержками. В LDAP также определены операции, используемые для запроса и изменения информации каталога.

Клиенты Active Directory применяют LDAP для связи с компьютерами, на которых работает Active Directory, при каждом входе в сеть или поиске общих ресурсов. LDAP упрощает взаимосвязь каталогов и переход на Active Directory с других служб каталогов. Для повышения совместимости можно использовать интерфейсы служб Active Directory (Active Directory Service- Interfaces, ADSI).

Роли хозяина операций

Хозяин операций решает задачи, которые неудобно выполнять в модели репликации с несколькими хозяевами. Существует пять ролей хозяина операций, которые можно назначить одному или нескольким контроллерам доменов. Одни роли должны быть уникальны на уровне леса, для других достаточно уровня домена. В каждом лесе Active Directory должны существовать следующие роли:

  • Хозяин схемы (schema master ) — управляет обновлениями и изменениями схемы каталога. Для обновления схемы каталога необходим доступ к хозяину схемы. Чтобы определить, какой сервер в данное время является хозяином схемы в домене, достаточно открыть окно командной строки и ввести: dsquery server -hasfsmo schema.
  • Хозяин именования доменов (domain naming master) — управляет добавлением и удалением доменов в лесу. Чтобы добавить или удалить домен, требуется доступ к хозяину именования доменов. Чтобы определить, какой сервер в данное время является хозяином именования доменов, достаточно в окне командной строки ввести: dsquery server -hasfsmo name.

Эти роли, общие для всего леса в целом, должны быть в нем уникальными. В каждом домене Active Directory в обязательном порядке существуют следующие роли.

  • Хозяин относительных идентификаторов (relative ID master) — выделяет относительные идентификаторы контроллерам доменов. Каждый раз при создании объекта пользователя, группы или компьютера контроллеры назначают объекту уникальный идентификатор безопасности, состоящий из идентификатора безопасности домена и уникального идентификатора, который был выделен хозяином относительных идентификаторов. Чтобы определить, какой сервер в данное время является хозяином относительных идентификаторов в домене, достаточно в окне командной строки ввести: dsquery server -hasfsmo rid.
  • Эмулятор PDC (PDC emulator) — в смешанном или промежуточном режиме домена действует как главный контроллер домена Windows NT. Он аутентифицирует вход в Windows NT, обрабатывает изменения пароля и реплицирует обновления на PDC. Чтобы определить, какой сервер в данное время является эмулятором PDC в домене, достаточно в окне командной строки ввести dsquery server -hasfsmo pdc.
  • Хозяин инфраструктуры (infrastructure master) — обновляет ссылки объектов, сравнивая данные своего каталога с данными ГК. Если данные устарели, он запрашивает из ГК обновления и реплицирует их на остальные контроллеры в домене. Чтобы определить, какой сервер в данное время является хозяином инфраструктуры в домене, достаточно в окне командной строки и ввести dsquery server -hasfsmo infr.

Эти роли, общие для всего домена, должны быть в нем уникальными. Иными словами, можно настроить только один хозяин относительных идентификаторов, один эмулятор PDC и один хозяин инфраструктуры для каждого домена.

Обычно роли хозяина операций назначаются автоматически, но их можно переназначить. При установке новой сети все роли хозяев операций получает первый контроллер первого домена. Если позднее будет создан новый дочерний домен или корневой домен в новом дереве, роли хозяина операций также автоматически назначаются первому контроллеру домена. В новом лесу доменов контроллеру домена назначаются все роли хозяина операций. Если новый домен создается в том же лесу, его контроллеру назначаются роли хозяина относительных идентификаторов, эмулятора РDС и хозяина инфраструктуры. Роли хозяина схемы и хозяина именования доменов остаются у первого домена леса.

Если в домене только один контроллер, он выполняет все роли хозяев операций. Если в сети один сайт, стандартное расположение хозяев операций оптимально. Но по мере добавления контроллеров домена и доменов иногда требуется переместить роли хозяев операций на другие контроллеры доменов.

Если в домене два или более контроллеров, рекомендуется сконфигурировать два контроллера домена для выполнения ролей хозяина операций. Например, назначить один контроллер домена основным хозяином операций, а другой — запасным, который понадобится при отказе основного. Также небольшая заметка про роли тут про то как их посмотреть тут

Администрирование Active Directory

C помощью службы Active Directory создаются учетные записи компьютеров, проводится подключение их к домену, производится управление компьютерами, контроллерами домена и организационными подразделениями (ОП).

Для управления Active Directory предназначены средства администрирования и поддержки. Перечисленные ниже инструменты реализованы и виде оснасток консоли ММС (Microsoft Management Console):

  • Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет управлять пользователями, группами, компьютерами и организационными подразделениями (ОП);
  • Active Directory — домены и доверие (Active Directory Domains and Trusts) служит для работы с доменами, деревьями доменов и лесами доменов;
  • Active Directory — сайты и службы (Active Directory Sites and Services) позволяет управлять сайтами и подсетями;
  • Результирующая политика (Resultant Set of Policy) используется для просмотра текущей политики пользователя или системы и для планирования изменений в политике.
  • В Microsoft Windows 2003 Server можно получить доступ к этим оснасткам напрямую из меню Администрирование (Administrative Tools).

Еще одно средство администрирования — оснастка СхемаActive Directory (Active Directory Schema) — позволяет управлять и модифицировать схему каталога.

Утилиты командной строки Active Directory

Для управления объектами Active Directory существуют средства командной строки, которые позволяют осуществлять широкий спектр административных задач:

  • DSADD — добавляет в Active Directory компьютеры, контакты, группы, ОП и пользователей.
  • DSGET — отображает свойства компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов, зарегистрированных в Active Directory.
  • DSMOD — изменяет свойства компьютеров, контактов, групп, ОП, пользователей и серверов, зарегистрированных в Active Directory.
  • DSMOVE — перемещает одиночный объект в новое расположение в пределах домена или переименовывает объект без перемещения.
  • DSQXJERY — осуществляет поиск компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов в Active Directory по заданным критериям.
  • DSRM — удаляет объект из Active Directory.
  • NTDSUTIL — позволяет просматривать информацию о сайте, домене или сервере, управлять хозяевами операций (operations masters) и обслуживать базу данных Active Directory.

Другие службы Active Directory

Помимо доменных служб Active Directory, AD предоставляет несколько других важных служб. Некоторые из этих услуг перечислены ниже:

  1. ✅Упрощенные службы каталогов (Lightweight Directory Services): AD LDS — это служба каталогов облегченного протокола доступа к каталогам (LDAP). Он предоставляет только подмножество функций AD DS, что делает его более универсальным с точки зрения того, где его можно запускать. Например, его можно запустить как автономную службу каталогов без необходимости интеграции с полной реализацией Active Directory.
  2. ✅Службы сертификации (Certificate Services): вы можете создавать, управлять и обмениваться сертификатами шифрования, которые позволяют пользователям безопасно обмениваться информацией через Интернет.
  3. ✅Службы федерации Active Directory (Active Directory Federation Services): ADFS — это решение единого входа (SSO) для AD, которое позволяет сотрудникам получать доступ к нескольким приложениям с одним набором учетных данных, тем самым упрощая взаимодействие с пользователем.
  4. ✅Службы управления правами (Rights Management Services): AD RMS — это набор инструментов, помогающих управлять технологиями безопасности, которые помогают организациям обеспечивать безопасность своих данных. Такие технологии включают шифрование, сертификаты и аутентификацию и охватывают ряд приложений и типов контента, таких как электронные письма и документы Word.

Установка и настройка Active Directory on-premise

Сам процесс установки и последующей настройки Active Directory я описывал на базе Windows Server 2019, посмотрите там все очень подробно описано.

Контроллер домена в облаке (IaaS)

Другой способ объединения обеих служб — это расширить локальные AD DS до Azure. Для этого вам необходимо перенести текущий контроллер домена на виртуальную машину в Azure. Другими словами, вы развертываете инфраструктуру AD на виртуальной машине Azure. Это решение хорошо подходит для организаций, которые используют как локальные, так и облачные ресурсы, подключенные через VPN или Azure ExpressRoute.

Этот вариант лучше всего напоминает локальную Active Directory, поскольку Microsoft предоставляет только инфраструктуру (в виде серверов Windows на виртуальных машинах Azure). В отличие от Azure AD DS, эта модель дает вам полный контроль над доменом. Однако это также означает, что вы несете ответственность за его чистоту и актуальность (исправления, обновления, резервные копии и т. д.).

Спасибо, что вы дочитали до конца, мы с вами разобрали что такое Active Directory, из чего она состоит, как с ней взаимодействовать и управлять. С вами был Иван Сёмин. Материал сайта Pyatilistnik.org

Like this post? Please share to your friends:
  • В каких программах можно делать презентации в windows
  • В каких приложениях можно делать презентации на компьютере windows
  • В каких папках находится мусор windows 10
  • В каких папках находится windows 10 для переноса
  • В каких единицах выражается размер файла в ос windows