Active Directory – что это простыми словами для чайников и начинающих, настройка и установка на Windows Server 2008, делегирование AD

Active Directory (AD) — это утилита, разработанная для операционной системы Microsoft Server. Изначально он был создан как легкий алгоритм для доступа к пользовательским каталогам. Windows Server 2008 теперь имеет интегрированные службы авторизации.

С помощью System Center Configuration Manager можно развернуть групповую политику, которая применяет однотипные настройки и программное обеспечение ко всем контролируемым компьютерам.

Говоря простым языком, это роль сервера, которая позволяет вам управлять всеми разрешениями в вашей локальной сети из одного места.

Функции и предназначения

Microsoft Active Directory — это инструментарий (каталог) для управления пользователями и данными в сети. Его основное назначение — облегчить работу администраторов в больших сетях.

Каталоги содержат всевозможную информацию, связанную с пользователями, группами, устройствами, совместным использованием файлов — короче говоря, объекты. Например, атрибуты пользователя, хранящиеся в каталоге, должны включать: адрес, имя пользователя, пароль, номер мобильного телефона и т.д. Каталог используется в качестве точки аутентификации для получения необходимой информации о пользователе.

Основные понятия, встречающиеся в ходе работы

При работе с AD используется несколько специфических понятий:

1. Сервер — компьютер, на котором хранятся все данные.
2. Контроллер — сервер, имеющий роль AD и обрабатывающий запросы от людей, использующих домен.
3. Домен AD — совокупность устройств, объединенных под одним уникальным именем и имеющих общую базу данных каталога.
4. Хранилище данных — это часть каталога, которая отвечает за хранение и получение данных с любого контроллера домена.

Как работают активные директории

Основными принципами работы являются:

• Авторизация, которая позволяет получить доступ к компьютеру, подключенному к сети, просто введя личный пароль. Одновременно передается вся информация о счете.
• Безопасность. Active Directory содержит функции для идентификации пользователя. Права доступа могут быть назначены удаленно с одного устройства на любой объект в сети на основе каждого класса и каждого пользователя.
• Управляйте сетью из одной точки. Когда администратор работает с Active Directory, ему не нужно перенастраивать все компьютеры, чтобы, например, изменить разрешения на принтеры. Изменения вносятся удаленно и глобально.
• Полная интеграция с DNS. С ним нет путаницы в AD, и все устройства помечаются так же, как и во Всемирной паутине.
• Крупный масштаб. Одна Active Directory может управлять целым набором серверов.
• Можно получить различные параметры, например, имя компьютера, логин.

Объекты и атрибуты

Объект — это набор атрибутов, связанных по имени, которые представляют сетевой ресурс.

Атрибут — это свойство объекта в справочнике. Примерами таких атрибутов являются имя, фамилия и имя пользователя. Учетная запись компьютера, с другой стороны, может иметь в качестве атрибутов имя компьютера и его описание.

Создание предварительного просмотра видео на YouTube

Пример:

‘Employee’ — это объект с атрибутами ‘Name’, ‘Position’ и ‘TabN’.

Контейнер и имя LDAP

Контейнер — это тип объекта, который может быть составлен из других объектов. Например, домен может содержать объекты учетных записей.

Их основное назначение — организация объектов по типу атрибутов. Контейнеры чаще всего используются для группировки объектов, имеющих одинаковые атрибуты.

Почти все контейнеры представляют собой коллекцию объектов, а ресурсы представлены уникальным объектом Active Directory. Одним из основных типов контейнеров AD является организационная единица (OU). Объекты, помещенные в этот контейнер, принадлежат только тому домену, в котором они были созданы.

LDAP (Lightweight Directory Access Protocol) — базовый алгоритм доступа TCP/IP. Она призвана уменьшить количество нюансов при доступе к службам каталогов. LDAP также определяет функции, используемые для запроса и редактирования информации каталога.

Дерево и сайт

Дерево доменов — это структура, совокупность доменов, которые имеют общую схему и конфигурацию, образуют общее пространство имен и связаны доверительными отношениями.

Лес домена — совокупность взаимосвязанных деревьев.

Сайт — это набор устройств IP-подсетей, представляющих физическую модель сети, разработанную независимо от логического представления ее построения. Active Directory имеет возможность создавать n-ное количество сайтов или объединять n-ное количество доменов под одним сайтом.

Установка и настройка Active Directory

Теперь мы перейдем к настройке Active Directory, используя в качестве примера Windows Server 2008 (процедура идентична для других версий):

• Сначала необходимо настроить статический IP-адрес для компьютера, на котором установлен Windows Server Перейдите в «Пуск» — «Панель управления», найдите «Сетевые подключения», щелкните правой кнопкой мыши (ПКМ) на существующем сетевом подключении и выберите «Свойства».
• В появившемся окне выберите ‘Internet Protocol Version 4’ и снова нажмите ‘Properties’.
• IP-адрес — 192.168.1.5. DNS — 127.0.0.1.

Нажмите на кнопку OK. Стоит отметить, что эти значения не являются обязательными. Вы можете использовать IP-адрес сети и DNS.

• Далее зайдите в меню «Пуск», выберите «Администрирование» и «Диспетчер сервера».
• Перейдите в раздел «Роли» и выберите «Добавить роли».
• Выберите «Active Directory Domain Services», дважды нажмите «Next» и нажмите «Install».
• Дождитесь завершения установки.
• Откройте меню «Пуск» — «Выполнить». Введите dcpromo.exe.
• Нажмите «Далее».
• Выберите «Создать новый домен в новом лесу» и нажмите «Далее».
• Введите имя в следующем окне и нажмите «Далее».
• Выберите режим совместимости (Windows Server 2008).
• В следующем окне оставьте все по умолчанию.
• В результате откроется окно конфигурации DNS. Поскольку эта функция ранее не использовалась на сервере, делегирование не создавалось.
• Выберите каталог для установки.
• После этого шага вам нужно будет установить пароль администратора.

Что такое FPS в играх

Для обеспечения надежности пароль должен отвечать следующим требованиям:

• Содержать номера.
• При желании включите специальные символы.
• Включают прописные и строчные буквы латинского алфавита.

Когда AD завершит процесс настройки компонента, сервер необходимо перезапустить.

• Следующим шагом будет настройка DHCP. Вы можете сделать это, вернувшись в «Менеджер сервера» и нажав «Добавить роль». Выберите опцию «Сервер DHCP». Система начнет поиск активных сетевых адаптеров, и IP-адрес будет добавлен автоматически.
• Введите статический адрес.
• Укажите адрес DNS.

• Далее выберите «WINS не требуется».
• Настройте DHCP.
• Если IPv6 не включен, отключите его.
• Затем выберите учетную запись, которой вы хотите управлять. Нажмите на кнопку «Установить» и дождитесь завершения настройки.

Конфигурация завершена, оснастка и роль установлены в системе. AD можно установить только на семейство Windows Server, на обычные версии, такие как 7 или 10, можно установить только консоль управления.

Администрирование в Active Directory

В Windows Server консоль Active Directory Users and Computers по умолчанию работает с доменом, к которому принадлежит компьютер. Вы можете получить доступ к компьютерам и пользовательским объектам в этом домене через дерево консоли или подключиться к другому контроллеру.

Вы также можете использовать инструменты этой консоли для просмотра и получения дополнительных параметров для объектов, создания новых пользователей и групп, а также изменения их разрешений.

Кстати, в Active Directory существует два типа групп — группы безопасности и группы распространения. Группы безопасности отвечают за разграничение доступа к объектам и могут использоваться в качестве групп распределения.

Группы распределения не могут разделять разрешения и в основном используются для распространения сообщений по сети.

Что такое делегирование AD

Само делегирование — это передача некоторых прав и контроля от родительского объекта другому ответственному лицу.

Общеизвестно, что в каждой организации есть более одного администратора. Разные задачи должны быть возложены на разные плечи. Для внесения изменений необходимо иметь права и разрешения, которые делятся на обычные и специальные. Специальные права применяются к конкретному элементу, а стандартные права — это набор существующих прав, которые делают определенные функции доступными или недоступными.

Как технологии влияют на то, как мы спим?

Установка доверительных отношений

В AD существует два типа доверительных отношений: «односторонние» и «двусторонние». В первом случае один домен доверяет другому, но не наоборот, поэтому первый имеет доступ к ресурсам второго домена, а второй — нет. Во втором типе доверие является «взаимным». Существуют также «исходящие» и «входящие» отношения. В исходящих отношениях первый домен доверяет второму, позволяя пользователям второго домена получать доступ к ресурсам первого домена.

При установке необходимо соблюдать следующие процедуры:

• Проверьте доменные отношения между контроллерами.
• Проверьте конфигурацию.
• Настройте разрешение внешних доменных имен.
• Установите соединение с доверенным доменом.
• Установите отношения на стороне контроллера, которому назначено доверие.
• Проверьте созданную одностороннюю связь.
• Если необходимо установить двунаправленные отношения, установите их.

Глобальный каталог

Это контроллер домена, который хранит копии всех объектов в лесу. Он позволяет пользователям и программам искать объекты в любой точке текущего лесного домена, используя информацию об атрибутах, содержащуюся в глобальном каталоге.

Глобальный каталог (GC) содержит ограниченное количество атрибутов для каждого объекта леса в каждом домене. Он получает информацию от всех разделов каталога в лесном домене и реплицируется с помощью стандартного процесса репликации Active Directory.

Схема определяет, реплицируется ли атрибут. Можно указать дополнительные атрибуты, которые будут воссозданы в глобальном каталоге с использованием схемы Active Directory. Чтобы добавить атрибут в глобальный каталог, выберите атрибут репликации и используйте опцию ‘Copy’. Затем создается репликация атрибута в глобальный каталог. Параметр атрибута isMemberOfPartialAttributeSet имеет значение true.

Расположение глобального каталога можно получить, набрав в командной строке:

dsquery-server -isgc

Репликация данных в Active Directory

Репликация — это процедура тиражирования, которая выполняется, когда есть необходимость поддерживать одинаково актуальные данные, существующие в любом контроллере.

Она выполняется без вмешательства пользователя. Существуют различные типы содержимого репликации:

• Реплики данных создаются из всех существующих доменов.
• Реплики схем данных. Поскольку схема данных одинакова для всех объектов в лесу Active Directory, копии схемы данных хранятся во всех доменах.
• Данные конфигурации. Отображает построение репликации между администраторами. Эта информация относится ко всем доменам в лесу.

Основными типами репликации являются внутриузловая и межузловая репликация.

В первом случае система ждет после внесения изменений, а затем уведомляет партнера о необходимости создать реплику для завершения изменений. Даже если изменения не внесены, репликация автоматически произойдет через определенное время. Когда в каталоги внесены критические изменения, репликация происходит немедленно.

Процесс межузлового копирования происходит с минимальными интервалами загрузки сети, что позволяет избежать потери данных.