Active Directory: šume i domene. Active Directory jednostavnim riječima (Base) Što je šuma aktivnog imenika

U našim prethodnim materijalima raspravljali smo o općim pitanjima vezanim uz imeničke usluge i Active Directory. Sada je vrijeme da prijeđemo na praksu. Ali nemojte žuriti na poslužitelj; prije postavljanja strukture domene u vašoj mreži, morate je isplanirati i imati jasno razumijevanje svrhe pojedinačnih poslužitelja i procesa interakcije između njih.

Prije nego što izradite svoj prvi kontroler domene, morate odlučiti o njegovom načinu rada. Način rada određuje dostupne mogućnosti i ovisi o verziji operativnog sustava koji se koristi. Nećemo razmatrati sve moguće načine, osim onih koji su trenutno relevantni. Postoje tri takva načina: Windows Server 2003, 2008 i 2008 R2.

Način Windows Server 2003 treba odabrati samo kada su poslužitelji koji pokreću ovaj OS već postavljeni u vašoj infrastrukturi i planirate koristiti jedan ili više ovih poslužitelja kao kontrolere domene. U ostalim slučajevima potrebno je odabrati način rada Windows Server 2008 ili 2008 R2, ovisno o kupljenim licencama. Treba imati na umu da se način rada domene uvijek može povećati, ali ga neće biti moguće smanjiti (osim vraćanjem iz sigurnosne kopije), stoga ovom pitanju pristupite pažljivo, uzimajući u obzir moguća proširenja, licence u podružnicama, itd. i tako dalje.

Sada nećemo detaljno razmatrati proces stvaranja kontrolera domene; vratit ćemo se na ovo pitanje kasnije, ali sada bismo vam htjeli skrenuti pozornost na činjenicu da bi u punopravnoj strukturi Active Directory kontrolera domene trebalo postojati barem dva. Inače se izlažete nepotrebnom riziku jer ako vaš jedini kontroler domene zakaže, vaša AD struktura bit će potpuno uništena. Dobro je ako je relevantno sigurnosna kopija i moći ćete se oporaviti od toga, u svakom slučaju, sve ovo vrijeme vaša mreža će biti potpuno paralizirana.

Stoga, odmah nakon stvaranja prvog kontrolera domene, trebate implementirati drugi, bez obzira na veličinu mreže i proračun. Drugi kontroler treba osigurati u fazi planiranja, a bez njega se AD implementacija ne bi trebala niti poduzeti. Također, ne biste trebali kombinirati ulogu kontrolera domene s bilo kojim drugim ulogama poslužitelja; kako bi se osigurala pouzdanost operacija s AD bazom podataka na disku, predmemorija pisanja je onemogućena, što dovodi do oštrog pada performansi diskovni podsustav (ovo također objašnjava dugo vrijeme učitavanja domenskih kontrolera).

Kao rezultat toga, naša bi mreža trebala imati sljedeći oblik:

Suprotno uvriježenom mišljenju, svi kontrolori u domeni su jednaki, tj. svaki kontroler sadrži potpune informacije o svim objektima domene i može poslužiti zahtjev klijenta. Ali to ne znači da su kontroleri međusobno zamjenjivi; nerazumijevanje ove točke često dovodi do AD kvarova i prekida rada mreže poduzeća. Zašto se ovo događa? Vrijeme je da se prisjetimo uloga FSMO-a.

Kada kreiramo prvi kontroler, on sadrži sve dostupne uloge, a ujedno je i globalni direktorij, a dolaskom drugog kontrolera na njega se prenose uloge mastera infrastrukture, RID mastera i PDC emulatora. Što se događa ako administrator odluči privremeno onemogućiti DC1 poslužitelj, na primjer, da ga očisti od prašine? Na prvi pogled nema ništa loše u tome, dobro, domena će se prebaciti u način rada samo za čitanje, ali će raditi. Ali zaboravili smo na globalni katalog, a ako vaša mreža ima postavljene aplikacije koje to zahtijevaju, na primjer Exchange, tada ćete znati za to prije nego što skinete poklopac s poslužitelja. Učit ćete od nezadovoljnih korisnika, a uprava vjerojatno neće biti oduševljena.

Iz čega slijedi zaključak: u šumi moraju postojati najmanje dva globalna direktorija, a po mogućnosti jedan u svakoj domeni. Budući da imamo jednu domenu u šumi, oba poslužitelja moraju biti globalni katalozi; to će vam omogućiti da bilo koji od poslužitelja stavite na održavanje bez ikakvih problema; privremena odsutnost bilo koje FSMO uloge ne dovodi do kvara AD-a, već ga samo čini nemoguće stvoriti nove objekte.

Kao administrator domene, morate jasno razumjeti kako su FSMO uloge raspoređene između vaših poslužitelja i kada se poslužitelj stavlja izvan pogona dugoročno prenijeti te uloge na druge poslužitelje. Što se događa ako poslužitelj koji sadrži FSMO uloge nepovratno zakaže? U redu je, kao što smo već napisali, svaki kontroler domene sadrži sve potrebne informacije, a ako se takav problem dogodi, morat ćete preuzeti potrebne uloge od strane jednog od kontrolera, što će vam omogućiti da vratite puni rad imenička služba.

Vrijeme prolazi, vaša organizacija raste i ima podružnicu na drugom kraju grada i javlja se potreba za uključivanjem njihove mreže u opću infrastrukturu poduzeća. Na prvi pogled ništa komplicirano, postavite komunikacijski kanal između ureda i u njega postavite dodatni kontroler. Sve bi bilo u redu, ali postoji jedna stvar. Ne možete kontrolirati ovaj poslužitelj i stoga nije isključen neovlašten pristup njemu, a lokalni administrator sumnja u njegove kvalifikacije. Što učiniti u takvoj situaciji? Za ove svrhe postoji posebna vrsta kontrolera: kontroler domene samo za čitanje (RODC), ovu funkciju dostupno u načinima rada domene počevši od Windows Servera 2008 i novijih.

Kontroler domene samo za čitanje sadrži puna kopija sve objekte domene i može biti globalni katalog, ali vam ne dopušta bilo kakve promjene u AD strukturi; također vam dopušta da bilo kojeg korisnika dodijelite kao lokalnog administratora, što će mu omogućiti da u potpunosti servisira ovaj poslužitelj, ali opet bez pristup AD uslugama. U našem slučaju to je liječnik naredio.

Postavili smo RODC podružnicu, sve radi, mirni ste, ali korisnici se počinju žaliti na duge prijave i računi za promet na kraju mjeseca pokazuju višak. Što se događa? Vrijeme je da se još jednom prisjetimo jednakosti kontrolera u domeni; klijent može poslati svoj zahtjev bilo kojem kontroleru domene, čak i onom koji se nalazi u drugoj grani. Uzmite u obzir spor i, najvjerojatnije, zagušen komunikacijski kanal - to je razlog kašnjenja prijave.

Sljedeći faktor koji truje naše živote u ovoj situaciji je replikacija. Kao što znate, sve promjene napravljene na jednom od kontrolera domene automatski se prenose na druge i taj se proces naziva replikacija; omogućuje vam da imate ažurnu i dosljednu kopiju podataka na svakom kontroleru. Usluga replikacije ne zna za našu podružnicu i spori komunikacijski kanal, te će se stoga sve promjene u uredu odmah replicirati u podružnicu, opterećujući kanal i povećavajući potrošnju prometa.

Ovdje se približavamo konceptu AD stranica, koje ne treba brkati s Internet stranicama. Web stranice aktivnog imenika predstavljaju metodu fizičke podjele strukture imeničke usluge na područja odvojena od ostalih područja sporim i/ili nestabilnim komunikacijskim vezama. Stranice se kreiraju na temelju podmreža i svi zahtjevi klijenata se primarno šalju kontrolerima njihove stranice, a također je vrlo poželjno da svaka stranica ima svoj globalni direktorij. U našem slučaju, trebat ćemo izraditi dvije stranice: AD stranica 1 za središnji ured i AD stranica 2 za granu, odnosno jednu, budući da po defaultu AD struktura već sadrži mjesto koje uključuje sve prethodno stvorene objekte. Sada pogledajmo kako se replikacija događa u mreži s više stranica.

Pretpostavimo da je naša organizacija malo narasla i glavni ured sadrži čak četiri kontrolera domene; replikacija između kontrolera jednog mjesta se zove intrasite i to se događa trenutno. Topologija replikacije izgrađena je prema prstenastoj shemi uz uvjet da ne postoje više od tri koraka replikacije između bilo kojeg kontrolera domene. Prstenasta shema se održava za uključivo do 7 kontrolera, svaki kontroler uspostavlja vezu sa svoja dva najbliža susjeda, kada više kontrolera, pojavljuju se dodatne veze i zajednički se prsten pretvara u skupinu prstenova postavljenih jedan na drugi.

Intersite replikacija se odvija drugačije, u svakoj domeni automatski se odabire jedan od poslužitelja (poslužitelj mosta) koji uspostavlja vezu sa sličnim poslužiteljem na drugom mjestu. Prema zadanim postavkama, replikacija se događa jednom svaka 3 sata (180 minuta), međutim, možemo postaviti vlastiti raspored replikacije i radi uštede prometa, svi podaci se prenose u komprimiranom obliku. Ako na mjestu postoji samo RODC, replikacija se događa jednosmjerno.

Naravno, teme koje smo dotakli su vrlo duboke iu ovom materijalu smo ih se samo neznatno dotakli, međutim, ovo je neophodno minimalno znanje koje morate imati prije praktične implementacije Active Directory-a u infrastrukturu poduzeća. To će vam omogućiti da izbjegnete glupe pogreške tijekom postavljanja i hitnih situacija tijekom održavanja i proširenja strukture, a o svakoj od pokrenutih tema detaljnije ćemo raspravljati.

Active Directory (AD) su pomoćni programi dizajnirani za operativni sustav Microsoftov poslužitelj. Izvorno je stvoren kao lagani algoritam za pristup korisničkim imenicima. S Windows verzije Server 2008 uveo je integraciju s uslugama autorizacije.

Omogućuje usklađivanje s pravilima grupe koja primjenjuje istu vrstu postavki i softvera na svim kontroliranim računalima pomoću System Center Configuration Managera.

Ako jednostavnim riječima za početnike, ovo je poslužiteljska uloga koja vam omogućuje upravljanje svim pristupima i dopuštenjima na vašoj lokalnoj mreži s jednog mjesta

Funkcije i namjene

Microsoft Active Directory – (tzv. imenik) paket alata koji vam omogućuje manipuliranje korisnicima i mrežnim podacima. primarni cilj kreiranje – olakšavanje rada administratora sustava u velikim mrežama.

Imenici sadrže razne informacije vezane uz korisnike, grupe, mrežne uređaje, izvore datoteka – jednom riječju objekte. Na primjer, korisnički atributi koji su pohranjeni u imeniku trebaju biti sljedeći: adresa, prijava, lozinka, broj mobitel itd. Imenik se koristi kao točke provjere autentičnosti, s kojim možete saznati potrebne informacije o korisniku.

Osnovni pojmovi koji se susreću tijekom rada

Postoji niz specijaliziranih koncepata koji se koriste pri radu s AD-om:

1. Server je računalo koje sadrži sve podatke.
2. Kontrolor je poslužitelj s ulogom AD koji obrađuje zahtjeve ljudi koji koriste domenu.
3. AD domena je skup uređaja objedinjenih pod jednim jedinstvenim imenom, koji istovremeno koriste zajedničku bazu podataka imenika.
4. Pohrana podataka dio je direktorija odgovornog za pohranjivanje i dohvaćanje podataka s bilo kojeg kontrolera domene.

Kako rade aktivni direktoriji

Glavni principi rada su:

• Autorizacija, s kojim možete koristiti svoje računalo na mreži jednostavnim unosom svoje osobne lozinke. Ujedno, sve informacije iz račun prenijeti.
• Sigurnost. Active Directory sadrži funkcije prepoznavanja korisnika. Za bilo koji mrežni objekt možete daljinski, s jednog uređaja, postaviti potrebna prava, koja će ovisiti o kategorijama i određenim korisnicima.
• Mrežna administracija iz jedne točke. Kada radi s Active Directoryjem, administrator sustava ne treba ponovno konfigurirati sva računala ako je potrebno promijeniti prava pristupa, na primjer, pisaču. Promjene se provode na daljinu i globalno.
• puna DNS integracija. Uz njegovu pomoć, u AD-u nema zabune, svi su uređaji označeni potpuno isto kao i na World Wide Webu.
• Veliki razmjeri. Jedan Active Directory može kontrolirati skup poslužitelja.
• traži proizvedeni prema različitim parametrima, npr. naziv računala, prijaviti se

Objekti i atributi

Objekt je skup atributa, objedinjenih pod vlastitim imenom, koji predstavljaju mrežni resurs.

Atribut - karakteristika predmeta u katalogu. Na primjer, to uključuje puno ime korisnika i prijavu. Ali atributi PC računa mogu biti naziv ovog računala i njegov opis.

“Zaposlenik” je objekt koji ima atribute “Ime”, “Pozicija” i “TabN”.

LDAP spremnik i naziv

Spremnik je vrsta objekta koji može sastoje se od drugih objekata. Domena, na primjer, može uključivati ​​objekte računa.

Njihova glavna svrha je organiziranje objekata po vrstama znakova. Najčešće se spremnici koriste za grupiranje objekata s istim atributima.

Gotovo svi spremnici mapiraju kolekciju objekata, a resursi se mapiraju u jedinstveni objekt Active Directory. Jedna od glavnih vrsta AD spremnika je organizacijski modul ili OU (organizacijska jedinica). Objekti koji se nalaze u ovom spremniku pripadaju samo domeni u kojoj su stvoreni.

Lightweight Directory Access Protocol (LDAP) osnovni je algoritam za TCP/IP veze. Osmišljen je kako bi smanjio količinu nijansi prilikom pristupa imeničkim uslugama. LDAP također definira radnje koje se koriste za postavljanje upita i uređivanje podataka imenika.

Stablo i mjesto

Stablo domene je struktura, skup domena koje imaju opći dijagram i konfiguraciju, koji tvore zajednički imenski prostor i vezani su odnosima povjerenja.

Šuma domene skup je stabala međusobno povezanih.

Mjesto je skup uređaja u IP podmrežama, koji predstavlja fizički model mreže, čije se planiranje provodi bez obzira na logički prikaz njegove konstrukcije. Active Directory ima mogućnost kreiranja n-broja web-mjesta ili kombiniranja n-broja domena pod jednim web-mjestom.

Instalacija i konfiguracija Active Directoryja

Sada prijeđimo izravno na postavljanje Active Directoryja Windows primjer Server 2008 (postupak je identičan na drugim verzijama):

Kliknite na gumb "OK". Važno je napomenuti da takve vrijednosti nisu potrebne. Možete koristiti IP adresu i DNS iz vaše mreže.

• Zatim morate otići na izbornik "Start", odabrati "Administracija" i "".
  
• Idite na stavku "Uloge", odaberite " Dodajte uloge”.
  
• Odaberite "Active Directory Domain Services", kliknite dvaput "Dalje", a zatim "Instaliraj".
  
• Pričekajte da se instalacija završi.
  
• Otvorite izbornik "Start" -" Izvršiti" Unesite dcpromo.exe u polje.
  
• Pritisnite "Dalje".
  
• Izaberi " Stvoriti nova domena u novoj šumi” i ponovno kliknite “Dalje”.
  
• U sljedećem prozoru unesite ime i kliknite "Dalje".
  
• Odaberite Način kompatibilnosti(Windows Server 2008).
  
• U sljedećem prozoru ostavite sve kao zadano.
  
• Početi će konfiguracijski prozorDNS. Budući da se prije nije koristio na poslužitelju, nije stvoreno delegiranje.
  
• Odaberite instalacijski direktorij.
  
• Nakon ovog koraka morate postaviti administratorska lozinka.

Kako bi bila sigurna, lozinka mora ispunjavati sljedeće zahtjeve:

Nakon što AD dovrši proces konfiguracije komponente, morate ponovno pokrenuti poslužitelj.

Postavljanje je dovršeno, dodatak i uloga instalirani su na sustav. AD se može instalirati samo na Windows obitelj poslužitelj regularne verzije, poput 7 ili 10, može dopustiti samo instalaciju upravljačke konzole.

Administracija u Active Directory

Prema zadanim postavkama, u sustavu Windows Server, konzola Active Directory Users and Computers radi s domenom kojoj računalo pripada. Možete pristupiti računalu i korisničkim objektima u ovoj domeni putem stabla konzole ili se povezati s drugim kontrolerom.

Alati u istoj konzoli omogućuju vam pregled Dodatne mogućnosti objekata i tražiti ih, možete stvoriti nove korisnike, grupe i promijeniti dopuštenja.

Usput, postoji 2 vrste grupa u Imeniku imovine - sigurnost i distribucija. Sigurnosne grupe odgovorne su za određivanje prava pristupa objektima; mogu se koristiti kao distribucijske grupe.

Grupe za distribuciju ne mogu razlikovati prava i prvenstveno se koriste za distribuciju poruka na mreži.

Što je AD delegiranje

Sama delegacija je prijenos dijela dopuštenja i kontrole od roditelja do druge odgovorne strane.

Poznato je da svaka organizacija ima nekoliko sistem administratora u svom sjedištu. Različiti zadaci trebaju biti dodijeljeni različitim ramenima. Za primjenu promjena morate imati prava i dopuštenja koja se dijele na standardna i posebna. Poseban - primjenjiv na konkretnog objekta, a standard je skup postojećih dozvola koje pojedinačne značajke čine dostupnima ili nedostupnima.

Uspostavljanje povjerenja

Postoje dvije vrste odnosa povjerenja u AD-u: "jednosmjerni" i "dvosmjerni". U prvom slučaju, jedna domena vjeruje drugoj, ali ne i obrnuto; prema tome, prva ima pristup resursima druge, ali druga nema pristup. U drugom tipu povjerenje je "uzajamno". Također postoje "odlazni" i "dolazni" odnosi. U odlaznoj, prva domena vjeruje drugoj, dopuštajući tako korisnicima druge da koriste resurse prve.

Tijekom instalacije potrebno je slijediti sljedeće postupke:

• Ček mrežne veze između kontrolera.
• Provjerite postavke.
• ugoditi razlučivanje imena za vanjske domene.
• Stvorite vezu iz domene povjerenja.
• Stvorite vezu sa strane kontrolera na koji je povjerenje upućeno.
• Provjerite stvorene jednosmjerne odnose.
• Ako javlja se potreba u uspostavljanju bilateralnih odnosa – napraviti instalaciju.

Globalni katalog

Ovo je kontroler domene koji pohranjuje kopije svih objekata u šumi. Korisnicima i programima daje mogućnost traženja objekata u bilo kojoj domeni trenutne šume korištenjem alati za otkrivanje atributa uvršten u globalni katalog.

Globalni katalog (GC) uključuje ograničen skup atributa za svaki šumski objekt u svakoj domeni. Prima podatke sa svih particija imenika domene u šumi i kopira se pomoću standardnog procesa replikacije Active Directoryja.

Shema određuje hoće li se atribut kopirati. Postoji mogućnost konfiguracija dodatne karakteristike , koji će se ponovno kreirati u globalnom katalogu pomoću "Sheme aktivnog direktorija". Za dodavanje atributa u globalni katalog potrebno je odabrati atribut replikacije i koristiti opciju "Kopiraj". Ovo će stvoriti replikaciju atributa u globalnom katalogu. Vrijednost parametra atributa isMemberOfPartialAttributeSet postat će istina.

Da bi saznati lokaciju globalni katalog, morate unijeti u naredbeni redak:

Dsquery poslužitelj –isgc

Replikacija podataka u Active Directory

Replikacija je postupak kopiranja koji se provodi kada je potrebno pohraniti jednako aktualne informacije koje postoje na bilo kojem kontroleru.

Proizvodi se bez sudjelovanja operatera. Postoje sljedeće vrste replika sadržaja:

• Replike podataka stvaraju se iz svih postojećih domena.
• Replike shema podataka. Budući da je shema podataka ista za sve objekte u šumi aktivnog imenika, njezine se replike održavaju u svim domenama.
• Podaci o konfiguraciji. Prikazuje konstrukciju kopija između kontrolera. Informacije se distribuiraju svim domenama u šumi.

Glavne vrste replika su intra-čvor i među-čvor.

U prvom slučaju, nakon promjena, sustav čeka, zatim obavještava partnera da izradi repliku kako bi dovršio promjene. Čak i u nedostatku promjena, proces replikacije odvija se automatski nakon određenog vremenskog razdoblja. Nakon što se na direktorije primijene prijelomne promjene, replikacija se događa odmah.

Postupak replikacije između čvorova događa između minimalno opterećenje mreže, čime se izbjegava gubitak informacija.

Nakon što ste instalirali Active Directory u svoje mrežno okruženje i počeli implementirati dizajn usluge koji odgovara vašim poslovnim ciljevima, radit ćete s logičkom strukturom Active Directory. To je model imeničke usluge koji definira svakog sigurnosnog sudionika u poduzeću, kao i organizaciju tih sudionika. Baza podataka Active Directory sadrži sljedeće strukturne objekte:

• odjeljci;
• domene;
• stabla domena;
• šume;
• web stranice;
• organizacijske jedinice.

Sljedeće predstavlja uvod u ove komponente i koncepte odnosa povjerenja koji se koriste za dodjeljivanje dopuštenja pristupa principala sigurnosti resursima pohranjenim u različitim domenama. U 5. poglavlju naučit ćete kako se ti građevni blokovi koriste za postizanje specifičnih ciljeva (kao što je zaštita pristupa resursima) i optimiziranje performansi mreže. Sami sigurnosni principali (korisnici, grupe i računala) nisu razmatrani u ovom poglavlju.
Particije aktivnog imenika
Kao što već znate, baza podataka Active Directory pohranjena je u datoteci na tvrdom disku svakog kontrolera domene. Podijeljen je na nekoliko logičkih particija od kojih svaka pohranjuje Različite vrste informacija. Particije aktivnog imenika nazivaju se konteksti imenovanja (NC). Možete ih pregledati pomoću alata Ldp.exe ili ADSI Edit (Slika 2-4).

Riža. 2-4. Pregled particija aktivnog imenika pomoću ADSI alata za uređivanje

Odjeljak domene imenika

Odjeljak domene je mjesto gdje se događa većina radnji. Sadrži sve informacije o domeni o korisnicima, grupama, računalima i kontaktima: sve što se može vidjeti pomoću alata za administraciju korisnika i računala Active Directory.
Particija domene automatski se replicira na sve kontrolere u domeni. Informacije koje sadrži potrebne su svakom kontroleru domene za provjeru autentičnosti korisnika.

Odjeljak konfiguracije imenika

Odjeljak konfiguracije sadrži informacije o konfiguraciji šume, kao što su informacije o stranicama, vezama stranica i replikacijskim vezama. Mnogi aplikacijski programi pohranjuju informacije u njega. Exchange Server 2000, Microsoftove aplikacije sigurnost na internetu A Acceleration (ISA) poslužitelji smještaju svoje informacije o konfiguraciji u konfiguracijsku particiju direktorija Active Directory umjesto u svoju vlastitu imeničku uslugu. Kada instalirate prvi ISA vatrozid u svojoj organizaciji, možete konfigurirati niz koji će pohraniti sve informacije o konfiguraciji ISA u Active Directory. Dodatni ISA firewall se tada lako instalira koristeći istu konfiguraciju, koja se čita iz Active Directoryja.
Konfiguracijska particija direktorija ima svoje kopije u cijeloj šumi. Svaki kontroler domene sadrži kopiju konfiguracijske particije s mogućnošću pisanja, a promjene na ovoj particiji direktorija mogu se napraviti s bilo kojeg kontrolera domene u organizaciji. To znači da se informacije o konfiguraciji repliciraju na sve kontrolere domene. Kada je replikacija potpuno sinkronizirana, svaki kontroler domene u šumi imat će iste informacije o konfiguraciji.

Odjeljak sheme imenika

Odjeljak sheme sadrži shemu za cijelu šumu. Kao što već znate, shema je skup pravila o tome koje se vrste objekata mogu kreirati u aktivnom direktoriju, kao i pravila za svaku vrstu objekta. Particija sheme se replicira na sve kontrolere domene u šumi. Međutim, samo jedan kontroler domene, glavni sheme, održava kopiju particije sheme direktorija s mogućnošću pisanja. Sve promjene sheme vrše se na glavnom kontroleru sheme, a zatim se repliciraju na druge kontrolere domene.

Particija globalnog kataloga

Particija GC globalnog kataloga nije particija u pravom smislu. Pohranjuje se u bazi podataka kao druga particija, ali administratori ne mogu izravno unijeti podatke u nju. GC particija je samo za čitanje na svim GC poslužiteljima i izgrađena je od sadržaja baza podataka domene. Svaki atribut u shemi ima Booleovu vrijednost imenovanu jeMemberOfDjelomičnoAtributiet. Ako je postavljeno na pravi(true), atribut se kopira u GC direktorij.

Odjeljci za prijavu kataloga

Posljednja vrsta particije u Windows Server 2003 Active Directory je particija aplikacije imenika. Samo jedna vrsta particije aplikacije imenika kreirana je u Active Directory prema zadanim postavkama, a to je particija posvećena usluzi poslužitelja Domain Name System (DNS). Kada instalirate prvu integriranu Active Directory zonu, stvaraju se particije direktorija aplikacije ForestDnsZones i DomainDnsZones. Particija aplikacije imenika može pohraniti bilo koju vrstu objekta Active Directory osim sigurnosnih principala. Dodatno, kreiraju se particije kataloške aplikacije za upravljanje procesom replikacije podataka, a nijedan od objekata particije kataloške aplikacije ne može se replicirati na GC particiju.
Particije aplikacije imenika koriste se za pohranu informacija specifičnih za aplikaciju. Prednost njihove uporabe je u tome što je moguće kontrolirati replikaciju informacija u particiju. Za informacije koje su previše dinamične, potrebno je upravljati replikama kako bi se ograničila količina mrežnog prometa. Kada kreirate particiju aplikacije imenika, možete odrediti koji će kontroleri domene primiti repliku particije. Kontroleri domene koji primaju repliku particije aplikacije mogu biti u bilo kojoj domeni ili mjestu u šumi.

Shema imenovanja za particije direktorija aplikacija identična je ostalim particijama direktorija Active Directory. Na primjer, DNS naziv za particiju konfiguracijskog direktorija u šumi Contoso.com je dc=Configuration, dc=Contoso, dc=com. Ako kreirate particiju aplikacije imenika pod nazivom AppPartitionl u domeni Contoso.com, njen DNS naziv je dc=AppPartitionl, dc=Contoso, dc=com. Particije aplikacije direktorija prilično su fleksibilne s obzirom na to gdje su stvorene, ili točnije, njihov kontekst imenovanja. Na primjer, možete stvoriti dodatnu particiju aplikacije kataloga pod AppPartitionl. To će uzrokovati da particija dobije naziv dc=AppPartition2, dc=AppPartitionl, dc=Contoso, dc=com. Moguće je stvoriti particiju aplikacije imenika s DNS imenom koje nije susjedno ni jednoj domeni u šumi. Možete stvoriti particiju aplikacije u domeni Contoso.com koja ima DNS naziv dc=AppPartition, stvarajući tako novo stablo u šumi.

Bilješka. Odabir DNS naziva za imenski prostor aplikacije nema utjecaja na funkcionalnost odjeljak za aplikacije. Jedina razlika bit će konfiguracija LDAP klijenta koji pristupa particiji. Particije aplikacije imenika namijenjene su LDAP pristupu, tako da klijent mora biti konfiguriran da traži poslužitelj u ispravnom prostoru naziva.
Stvaranje particije aplikacije imenika komplicirano je potrebom za održavanjem dopuštenja za objekte particije. Zadane particije Active Directory imaju dopuštenja dodijeljena automatski. Kada stvorite objekt u particiji direktorija domene, grupi administratora domene automatski se dodjeljuju puna dopuštenja objektu. Kada kreirate objekt u odjeljku konfiguracije ili odjeljku sheme direktorija, dopuštenja se dodjeljuju korisničkim računima i grupama koje pripadaju korijenskoj domeni šume. Budući da se particija direktorija aplikacije može stvoriti u bilo kojoj particiji u domeni direktorija ili kao zasebno stablo u šumi, zadana staza dodjele dozvola se ne primjenjuje. Grupi administratora domene lako je dati potpunu kontrolu nad objektima u particiji, ali nije jasno koja je domena zadana. Stoga se particije aplikacije direktorija uvijek kreiraju s referencom na domenu koja sadrži sigurnosne deskriptore. Ova domena postaje zadana i koristi se za dodjelu dopuštenja objektima u odjeljku aplikacije kataloga. Ako je particija aplikacije direktorija kreirana u particiji domene direktorija, nadređena domena se koristi kao domena koja sadrži sigurnosne deskriptore i stvara se nasljeđe dozvola. Ako particija direktorijske aplikacije kreira novo stablo u šumi, tada se korijenska domena šume koristi kao domena koja sadrži sigurnosne deskriptore.

Savjet. Obično se particije direktorijske aplikacije stvaraju tijekom procesa instalacije aplikacije koja zahtijeva korištenje particije direktorija. Postupak instalacije aplikacije mora omogućiti stvaranje dodatnih replika na drugim kontrolerima domene. Možete kreirati katalog aplikacija pomoću uslužnog programa Ntdsutil, ali to se obično ne koristi u poslovnom okruženju. Za postupke za upravljanje particijama aplikacije direktorija, pogledajte Windows Server 2003 Centar za pomoć i podršku. Windows podrška poslužitelj 2003). Za detaljne informacije o particijama direktorija aplikacije i kako im programski pristupiti potražite "Korištenje particija direktorija aplikacije" na msdn.microsoft.com.

Nakon što se kreira particija direktorijske aplikacije s više replika, replikacijom particije upravlja se na isti način kao i drugim particijama. Dodatne informacije o replikaciji Active Directory, pogledajte pogl. 4.

Domene

Domena je osnovni građevni blok u servisnom modelu Active Directory. Instaliranjem Active Directory na vaše računalo pokrenuto Windows kontrola Server 2003, stvorite domenu. Domena služi kao administrativna granica; ona također definira granice
zu sigurnosnu politiku. Svaka domena ima barem jedan kontroler domene (optimalno je imati dva ili više).
Domene aktivnog imenika organizirane su na hijerarhijski način. Prva domena u poduzeću postaje šumska korijenska domena obično se zove korijenska domena ili šumsko područje. Korijenska domena je Polazna točka za imenski prostor Active Directory. Na primjer, prva domena u organizaciji Contoso je Contoso.com. Prva domena bi mogla biti imenovani(posvećeno) ili nedodijeljen(nenamjenska) korijenska domena. Određena korijenska domena, tzv prazan korijen je prazna domena rezerviranog mjesta dizajnirana za pokretanje Active Directoryja. Ova domena neće sadržavati stvarne korisničke (grupne) račune i koristit će se za dodjelu pristupa resursima. Jedini računi koji su sadržani u određenoj korijenskoj domeni su zadani korisnički i grupni računi, kao što su administratorski račun i globalna grupa administratora domene. Nedodijeljena korijenska domena je domena u kojoj se stvaraju stvarni korisnički i grupni računi. O razlozima za odabir određene ili nedodijeljene korijenske domene šume govori se u 1. poglavlju. 5.
Preostale domene u poduzeću postoje ili kao ravnopravne u odnosu na korijensku domenu ili kao podređene domene. Ravnopravne domene su na istoj hijerarhijskoj razini kao i korijenska domena. Slika 2-5 prikazuje model peer domene.

Riža. 2-5. Domene Active Directory organizirane kao ravnopravne

Općenito je prihvaćeno da domene instalirane nakon korijenske domene postaju podređene domene. Podređene domene dijele isti imenski prostor Active Directory s nadređenom domenom. Na primjer, ako se prva domena u organizaciji Contoso zove Contoso.com, tada bi se podređena domena u toj strukturi mogla zvati NAmerica.Contoso.com i koristiti za upravljanje svim sigurnosnim sudionicima u organizaciji Contoso koja se nalazi u Sjevernoj Americi. Ako je organizacija velika ili dovoljno složena, možda će biti potrebne dodatne poddomene, kao što je Sales.NAmerica.Contoso.com. Slika 2-6 prikazuje hijerarhiju domene roditelj-dijete za organizaciju Contoso.

Riža. 2-6. Model domene roditelj-dijete za Contoso Corporation

Stabla domena

Domene koje se stvaraju u infrastrukturi Active Directory nakon što se stvori korijenska domena mogu dijeliti postojeći imenski prostor Active Directory ili imaju zaseban imenski prostor. Da biste dodijelili zaseban imenski prostor za novu domenu, morate stvoriti novo stablo domene. Bez obzira na to koristi li se jedan prostor imena ili više njih, dodatne domene u istoj šumi funkcioniraju potpuno isto. Stvaranje dodatnih stabala domena čisto je organizacijsko pitanje i problem imenovanja i ni na koji način ne utječe na funkcionalnost. Stablo domene sadrži najmanje jednu domenu. Čak i organizacija s jednom domenom ima stablo domena. Korištenje više stabala umjesto podređenih domena utječe na konfiguraciju DNS-a, o čemu ćete naučiti u 1. poglavlju. 3.

Stablo domene nastaje kada organizacija kreira domenu nakon stvaranja korijenske domene šume, ali ne želi koristiti postojeći prostor naziva. U slučaju Contosa, ako postojeće stablo domene koristi prostor naziva Contoso.com, može se stvoriti nova domena koja koristi potpuno drugačiji prostor imena, kao što je Fabrikam.com. Ako se u budućnosti budu trebale kreirati domene koje odgovaraju potrebama jedinice Fabrikam, mogu se stvoriti kao djeca stabla domena Fabrikam. Slika 2-7 prikazuje Contoso organizaciju s više stabala domene.

Riža. 2-7 (prikaz, ostalo). Contoso Corporation s više stabala domene

šume

Šuma predstavlja najdalju replikaciju i sigurnosna je granica za poduzeće. Sve domene i stabla domena postoje unutar jedne ili više šuma aktivnog imenika. Šuma se dijeli između svih kontrolera domene u šumi. Uobičajene komponente mogu biti:

• Uobičajena shema: Svi kontroleri domene u šumi imaju istu shemu. Jedini način za raspoređivanje dva razne sheme u jednoj organizaciji je rasporediti dvije odvojene šume.
• Odjeljak za opću konfiguraciju imenika. Svi kontroleri domene u šumi imaju isti konfiguracijski spremnik koji se koristi za replikaciju unutar šume. Konfiguracijsku particiju imenika intenzivno koriste aplikacije koje podržavaju Active Directory (Exchange Server 2000 i ISA).
• Opći globalni katalog GC Sadrži podatke o svim objektima u šumi. To čini traženje bilo kojeg objekta učinkovitijim i omogućuje korisnicima da se prijave na bilo koju domenu u šumi koristeći svoj UPN.
• Uobičajen skup administratora unutar šume. Ukorijenska domena Za šumu su stvorene dvije sigurnosne grupe. Njima su dodijeljena dopuštenja koja nijedan drugi korisnik nema. Grupa administratora sheme jedina je grupa koja ima dozvolu za izmjenu sheme, a grupa administratora poduzeća jedina je grupa koja ima dozvolu za izvođenje radnji na razini šume, kao što je dodavanje ili uklanjanje domena iz šume. Grupa Enterprise Admins automatski se dodaje svakoj lokalnoj grupi Administratora na kontrolerima domene u svakoj domeni u šumi.
• Opća konfiguracija odnosa povjerenja. Sve domene u šumi automatski su konfigurirane da vjeruju svim drugim domenama u šumi. O odnosima povjerenja detaljnije se govori u sljedećem odjeljku.

Slika 2-8 prikazuje šumu Contoso.

Odnos pun povjerenja

Prema zadanim postavkama, domena je granica pristupa resursima u organizaciji. S odgovarajućim dopuštenjima, svaki sigurnosni principal (kao što je korisnički ili grupni račun) može pristupiti bilo kojem javnom resursu u istoj domeni. Povjerenja Active Directory-a koriste se za dobivanje pristupa resursima koji su izvan domene. Odnos pun povjerenja predstavljaju autentifikacijski odnos između dviju domena preko kojih sigurnosni principali mogu dobiti ovlaštenje za pristup resursima koji se nalaze u drugoj domeni. Postoji nekoliko vrsta odnosa povjerenja, uključujući:

• tranzitivni odnosi povjerenja;
• jednosmjerni odnosi povjerenja;
• odnosi povjerenja u šumama;
• odnosi povjerenja u regiji.

Tranzitivni trustovi

Sve domene u stablu održavaju tranzitivne dvosmjerne odnose povjerenja s drugim domenama u stablu. U gornjem primjeru, kada se domena NAmerica.Contoso.com kreira kao podređena domena korijenske domene Contoso.com, automatski se stvara dvosmjerni odnos povjerenja između domena NAmerica.Contoso.com i Contoso.com. Kroz odnos povjerenja, svaki korisnik u domeni NAmerica.Contoso.com može pristupiti bilo kojem resursu u domeni Contoso.com za koji ima dopuštenje za pristup. Isto tako, ako postoje sigurnosni principali u domeni Contoso.com (kao u nedodijeljenoj korijenskoj domeni), može im se dati pristup resursima u domeni NAmerica.Contoso.com.

Unutar šume, trustovi se uspostavljaju kao trustovi roditelj-dijete ili kao root roots (drvokorijen). Primjer odnosa povjerenja roditelj-dijete je odnos između domena NAmerica.Contoso.com i Contoso.com. Trust root trust je odnos između dva stabla u šumi, na primjer između Contoso.com i Fabrikam.com.
Sva povjerenja između šumskih domena su tranzitivna. To znači da sve domene u šumi vjeruju jedna drugoj. Ako domena Contoso.com vjeruje domeni NAmerica.Contoso.com, a domena Europe.Contoso.com vjeruje domeni Contoso.com, tada tranzitivnost ukazuje da domena Europe.Contoso.com također vjeruje domeni NAmerica.Contoso.com. Stoga korisnici u domeni NAmerica. Contoso.com može pristupiti resursima koji se nalaze u domeni Europe.Contoso.com i obrnuto. Svojstvo tranzitivnosti odnosa povjerenja primjenjuje se na odnose povjerenja korijena stabla. Domena NAmerica.Contoso.com vjeruje domeni Contoso.com, a domena Contoso.com vjeruje domeni Fabrikam.com. Dakle, domena je NAmerica. Contoso.com i Fabrikam.com domena također imaju tranzitivne međusobne odnose povjerenja.

Jednosmjerni odnos povjerenja

Uz dvosmjerna tranzitivna povjerenja koja se uspostavljaju kada se stvori nova dječja domena, jednosmjerna povjerenja mogu se stvoriti između šumskih domena. Ovo se radi kako bi se omogućio pristup resursima između domena koje nemaju izravan odnos povjerenja. Također se koriste jednosmjerni odnosi povjerenja
stvoreni su za optimizaciju performansi između domena koje su povezane tranzitivnim odnosima povjerenja. Ovi jednosmjerni trustovi nazivaju se skraćeni trustovi (prečacpovjerenja). Kratki odnosi povjerenja potrebni su kada je potreban čest pristup resursima između domena koje su udaljeno povezane putem stabla ili šume domene. Primjer ovoga je šuma Contoso prikazana na slici 2-9.

Riža. 2-9 (prikaz, ostalo). Odnosi povjerenja u šumi Contoso

Ako sigurnosna grupa u domeni Sales.Europe.Contoso.com često pristupa dijeljenju u domeni Research.NAmerica.Contoso.com, tada ako postoje samo prijelazna povjerenja između domena, korisnici u domeni Sales.Europe.Contoso.com moraju se autentificirati za svaku domenu u stablu koje se nalazi između njih i domene koja sadrži resurs. Ovakva organizacija rada je neučinkovita ako postoji česta potreba za pristupom tim resursima. Skraćena povjerenja su ravna, jednosmjerna povjerenja koja će korisnicima u domeni Sales.Europe.Contoso.com omogućiti učinkovitu autentifikaciju na domeni Research.NAmerica.Contoso.com bez potrebe da prolaze kroz cijelo stablo direktorija da bi tamo stigli. Slika 2-10 ilustrira te izravne odnose povjerenja. Ako postoji potreba za uspostavom istog povjerenja u drugom smjeru, možete stvoriti izravno povjerenje između dviju domena zamjenom njihovih uloga. (Čini se da su takvi dvostruki izravni trustovi tranzitivni odnosi, ali ti se isključivi trustovi ne protežu izvan te dvije domene).

Odnosi povjerenja u šumama

Odnosi povjerenja u šumama su nova značajka u sustavu Windows Server 2003. Oni predstavljaju dvosmjerni tranzitivni odnos povjerenja između dvije odvojene šume. Korištenjem trustova šuma, sigurnosni principal koji pripada jednoj šumi može dobiti pristup resursima u bilo kojoj domeni u potpuno drugoj šumi. Osim toga, korisnici se mogu prijaviti na bilo koju domenu u obje šume koristeći isti UPN.

• Šumski fondovi nisu prijelazni u druge šume. Na primjer, ako Forest 1 ima povjerenje šume sa Forest2, a Forest2 ima povjerenje šume sa Forest3, tada Forestl nema automatsko povjerenje šume sa Forest3.
• Povjerenja šuma omogućuju samo identifikaciju između šuma; ne pružaju druge funkcije. Na primjer, svaka šuma će imati jedinstveni GC direktorij, shemu i odjeljak konfiguracije direktorija. Informacije se ne kopiraju između dviju šuma; šumski trustovi jednostavno omogućuju dodjeljivanje pristupa resursima između šuma.
• U nekim slučajevima morat ćete uspostaviti povjerenje između svih domena u jednoj šumi i svih domena u drugoj šumi. Da biste to postigli, možete uspostaviti jednosmjerne, neprelazne odnose povjerenja između pojedinačnih domena u dvije odvojene šume.

Slika 2-11 prikazuje Contosove šumske fondove.

Riža. 2-11 (prikaz, stručni). Odnos povjerenja šuma Contoso povezuje domene Contoso.com i NWTraders.com koje se nalaze u različitim šumama

Odnosi povjerenja u regiji

Posljednja vrsta povjerenja je povjerenje opsega. (CarstvoZaklade). Instaliraju se između domene ili šume sustava Windows Server 2003 i implementacije područja Kerberos v5 koja nije Windows. Kerberos sigurnost temelji se na otvorenom standardu, a postoje i drugi mrežni sigurnosni sustavi temeljeni na Kerberos protokolu. Povjerenja područja mogu se stvoriti između bilo kojeg Kerberos područja koja podržavaju standard Kerberos v5. Realm trustovi mogu biti jednosmjerni ili dvosmjerni i mogu se konfigurirati kao tranzitivni ili neprelazni.

Web stranice

Sve logičke komponente aktivnog imenika o kojima se do sada govorilo uglavnom su neovisne o fizičkoj mrežnoj infrastrukturi. Na primjer, kada dizajnirate strukturu domene za korporaciju, gdje se korisnici nalaze nije najvažnije pitanje. Svi korisnici u domeni mogu se nalaziti u jednoj poslovnoj zgradi ili u uredima diljem svijeta. Neovisnost logičkih komponenti o mrežnoj infrastrukturi proizlazi iz korištenja web stranica u

Aktivni direktorij.

Stranice pružaju vezu između logičkih komponenti Active Directory i fizičke mrežne infrastrukture. Web stranica predstavlja područje mreže gdje su svi kontroleri domene povezani brzom, jeftinom i pouzdanom mrežnom vezom. U većini slučajeva, stranica sadrži jednu ili više povezanih podmreža internetskog protokola (IP). lokalna mreža(LAN) ili brza mreža širokog područja (WAN), povezana s ostatkom mreže putem sporijih WAN veza.
Glavni razlog za izradu web stranica je mogućnost upravljanja svim mrežnim prometom koji treba koristiti spore mrežne veze. Mjesta se koriste za kontrolu mrežnog prometa unutar Windows Server 2003 mreže na tri različita načina.

• Replikacija. Jedan od najvažnijih načina na koji stranice optimiziraju mrežni promet je upravljanje prometom replikacije između kontrolera domene i GC poslužitelja. Unutar stranice, svaka promjena u imeniku bit će kopirana unutar približno pet minuta. Raspored replikacije između stranica može se kontrolirati tako da se replikacija odvija tijekom neradnog vremena. Prema zadanim postavkama, replikacijski promet između web-mjesta komprimiran je kako bi se očuvala propusnost mreže; replikacijski promet unutar web-mjesta nije komprimiran. (Poglavlje 4 pruža više pojedinosti o razlikama između intrasite i intersite replikacije.)
• Identifikacija. Kada se korisnik prijavi na domenu Windows Server 2003 s klijenta koji radi Windows sustav 2000 ili Microsoft Windows XP Professional, računalo klijenta pokušava se povezati s kontrolerom domene koji se nalazi na istom mjestu na kojem se nalazi klijent. U 3. poglavlju raspravljat će se o tome kako svaki kontroler domene registrira zapise lokatora usluga specifičnih za web mjesto (SRV). Kada klijentsko računalo pokuša pronaći kontroler domene, ono uvijek postavlja upite DNS poslužiteljima za zapise web mjesta. To znači da će promet prijave klijenta ostati unutar stranice. Ako se domena izvodi na funkcionalnoj razini sustava Windows 2000 ili Windows Server 2003, klijent će pokušati pronaći GC direktorij tijekom prijave. Ako stranica ima GC poslužitelj, klijent će se spojiti na taj poslužitelj. (Uloga web-mjesta u pronalaženju kontrolera domene detaljno je objašnjena u 3. poglavlju.)

Bilješka. Klijentska računala koji rade pod sustavom Windows NT 4 SP6a mogu se registrirati s kontrolerima domene Active Directory ako su instalirali Directory Services Client, koji je dostupan za preuzimanje na http://www.microsoft.com/windows2000/server /evaluation/news/bulletins/adextension.asp . Za one klijente koji nisu nadograđeni s Windows 95 ili Windows 98, softver Directory Services Client dostupan je na Windows Server 2000 CD-u.

• Mrežne usluge koje uzimaju u obzir prisutnost stranica. Treća metoda koja web stranicama omogućuje održavanje visoke razine propusnost, sastoji se od ograničavanja veza klijenta s web-mjestom samo na one aplikacije i usluge koje uzimaju u obzir prisutnost web-mjesta. Na primjer, korištenje distribuiranih sustav datoteka(DFS - Distribuirani datotečni sustav), možete stvoriti više replika mape na različitim stranicama na mreži. Budući da je DFS dizajniran da bude svjestan web-mjesta, klijentska računala uvijek pokušavaju pristupiti replici DFS-a na vlastitom web-mjestu prije korištenja WAN veza za pristup informacijama na drugom web-mjestu.

Svakom računalu na mreži Windows Server 2003 bit će dodijeljeno mjesto. Kada je Active Directory instaliran u Windows okruženje Server 2003, stvara se zadana stranica pod nazivom Default First Site Name i sva će računala u šumi biti dodijeljena toj stranici osim ako se ne stvore dodatne stranice. Kada se stvore dodatne stranice, povezuju se s IP podmrežama. Kada poslužitelj sa sustavom Windows Server 2003 postane kontroler domene, automatski se dodjeljuje stranici koja je dodijeljena IP adresi računala. Ako je potrebno, kontrolere domene možete premještati između web-mjesta pomoću administrativnog alata za web-mjesta i usluge aktivnog imenika.
Klijentska računala otkrivaju svoje stranice prvi put kada počnu i pridruže se domeni. Budući da klijentsko računalo ne zna kojem mjestu pripada, povezuje se s bilo kojim kontrolerom domene u domeni. Tijekom procesa prijave, kontroler domene će reći klijentu kojoj stranici pripada, a klijent će te informacije spremiti u predmemoriju za sljedeću prijavu.
Bilješka. Ako kontroler domene ili klijentsko računalo ima IP adresu koja nije povezana s određenim mjestom, tada će tom računalu biti dodijeljen zadani naziv prvog mjesta. Svako računalo koje je dio Windows Server 2003 domene mora pripadati web mjestu.
Kao što je gore navedeno, ne postoji izravna veza između web stranica i drugih logičkih koncepata u Active Directory. Jedna stranica može sadržavati više od jedne domene, a jedna domena može pripadati više stranica. Slika 2-12 pokazuje da mjesto Seattle sadrži dvije domene: Contoso.com i NAmerica.Contoso.com. Domena NWTraders.com raspoređena je na nekoliko stranica.

Napomene: O stranicama se detaljno govori u drugim poglavljima. Poglavlje 3 detaljno opisuje ulogu DNS-a i stranica za prijavu klijenata. U 4. poglavlju govori se o ulozi web-mjesta u replikaciji te o tome kako stvoriti i konfigurirati web-mjesta. Poglavlje 5 daje detaljne informacije o dizajniranju optimalne konfiguracije stranice za šumu aktivnog imenika.
Organizacijske jedinice
Implementacijom višestrukih domena u šumi kao jednog ili više stabala, Windows Server 2003 Active Directory može se skalirati za pružanje imeničkih usluga mreži bilo koje veličine. Mnoge komponente aktivnog imenika, kao što su globalni katalog i automatska prijelazna povjerenja, dizajnirane su da učine korištenje i upravljanje imenikom poduzeća učinkovitim, bez obzira na to koliko veliki imenik postane.
Organizacijske jedinice (OU) dizajnirane su za lakše upravljanje Active Directoryjem. OU-ovi se koriste kako bi upravljanje jednom domenom bilo učinkovitije, umjesto da se morate baviti upravljanjem više domena Active Directoryja. OU-ovi služe za stvaranje hijerarhijske strukture unutar domene. Domena može sadržavati stotine tisuća objekata. Upravljanje tolikim brojem objekata bez korištenja nekih sredstava za organiziranje objekata u logičke grupe je teško. Organizacijske jedinice obavljaju upravo te funkcije. Slika 2-13 prikazuje primjer strukture OU u Contoso Corporation.

Riža. 2-13 (prikaz, ostalo). Primjer strukture organizacijske jedinice

OU su spremnici objekata koji sadrže nekoliko vrsta objekata imeničke usluge:

• računala;
• kontakti;
• grupe;
• inetOrgPerson;
• pisači;
• korisnici;
• javne mape;
• organizacijske jedinice.

Organizacijske jedinice služe za grupiranje objekata u administrativne svrhe. Mogu delegirati administrativna prava i upravljati grupom objekata kao zasebnom jedinicom.
Korištenje organizacijskih jedinica za delegiranje administrativnih prava
Organizacijske jedinice mogu se koristiti za delegiranje administrativnih prava. Na primjer, korisnik može dobiti prava za obavljanje administrativnih zadataka u određenoj OU. To mogu biti prava visoke razine, gdje korisnik ima punu kontrolu nad organizacijskom jedinicom, ili vrlo ograničena i specifična (na primjer, samo mogućnost resetiranja korisničkih lozinki u ovoj organizacijskoj jedinici). Korisnik koji ima administrativna prava za pristup organizacijskoj jedinici prema zadanim postavkama nema nikakva administrativna prava izvan OU-a.
Organizacijske jedinice imaju fleksibilnu strukturu za dodjelu prava pristupa objektima unutar OU. U mnogim dijalozima Windows prozori a u karticama Svojstva nazivaju se dozvole. Sama organizacijska jedinica OJ ima listu kontrole pristupa (ACL - Access Control List), u kojoj možete dodijeliti prava pristupa ovoj OJ. Svaki objekt u OU i svaki atribut objekta ima ACL. To znači da možete imati vrlo preciznu kontrolu nad administratorskim pravima koja su dana bilo kome u tom odjelu. Na primjer, grupi Help Desk možete dati pravo da mijenja korisničke lozinke u OU bez mijenjanja drugih svojstava korisničkog računa. Možete dati ljudskim resursima pravo da mijenjaju osobne podatke koji se odnose na bilo koji korisnički račun u bilo kojoj OU, ali im ne možete dati nikakva prava na druge objekte.
Korištenje organizacijskih jedinica za upravljanje grupama objekata
Jedna od funkcija OU-a je organiziranje objekata u grupe tako da se tim objektima može upravljati na isti način. Ako želite jednako upravljati svim računalima u odjelu (na primjer, postavljanjem ograničenja na to koji korisnici imaju pravo prijave u operativni sustav), možete grupirati računala u OU i
Postavite dopuštenje za lokalnu prijavu na razini organizacijske jedinice. Ovo će dopuštenje biti postavljeno za sva računala u ovoj OU. Drugi primjer grupiranja objekata u administrativne svrhe je kada skup korisnika zahtijeva istu standardnu ​​konfiguraciju radne površine i isti skup aplikacija. U ovom slučaju, korisnici se kombiniraju u jedan OU, a pravila grupe koriste se za konfiguriranje radne površine i upravljanje instalacijama aplikacija.
U mnogim slučajevima, objektima u OU upravljat će se putem grupnih pravila. Group Policy Object Editor je alat koji se može koristiti za upravljanje radnim okruženjem svakog korisnika. Grupna pravila mogu se koristiti za zaključavanje korisničkih radnih površina, čineći ih standardni prikaz, pružanje skripti za prijavu i odjavu, preusmjeravanje mape. Tablica 2-3 daje kratki popis Vrste postavki dostupnih u uređivaču objekata pravila grupe.
Stol 2-3. Vrste postavki pravila grupe

Grupna pravila se najčešće dodjeljuju na razini OU. Ovo olakšava zadatak upravljanja korisnicima jer možete dodijeliti jedan objekt pravila grupe (GPO), kao što je politika instalacije softvera, organizacijskoj jedinici, koja se zatim distribuira svim korisnicima ili računalima u OU.
Upozorenje. Organizacijske jedinice nisu sudionici sigurnosti. Ne mogu se koristiti za dodjeljivanje dopuštenja resursu tako da korisnici u cijeloj OU automatski nasljeđuju ta dopuštenja. OU se koriste u administrativne svrhe. Za pristup resursima morate koristiti grupe.

Osnove aktivnog imenika

Servis Aktivni direktorij

Proširiva i skalabilna imenička usluga Aktivan Imenik omogućuje vam učinkovito upravljanje mrežnim resursima.

Aktivan Imenik je hijerarhijski organizirano spremište podataka o mrežnim objektima, pružajući prikladna sredstva za pretraživanje i korištenje tih podataka. Računalo radi Aktivno Imenik, tzv kontroler domene . S Aktivni direktorijGotovo svi administrativni poslovi su povezani.

Active Directory tehnologija temelji se na standardu internetski protokoli te pomaže u jasnom definiranju strukture mreže.

Active Directory i DNS

U Aktivan DirektorgKoristi se sustav imena domena.

DomenaIme Sustav (DNS) je standardna internetska usluga koja organizira grupe računala u domene.DNS domene imaju hijerarhijsku strukturu koja čini osnovu Interneta. Različite razine ove hijerarhije identificiraju računala, organizacijske domene i domene vrhunska razina. DNS također služi za rješavanje imena hostova, npr. z eta.webatwork.com na numeričke IP adrese, kao što je 192.168.19.2. Korištenjem DNS-a, hijerarhija domene Active Directory može se integrirati u internetski prostor ili ostaviti neovisnom i izoliranom od vanjskog pristupa.

Za pristup resursima u Domena koristi potpuno kvalificirano ime glavnog računala, na primjer zeta.webatwork.com. Ovdjezeta- naziv pojedinačnog računala, webatwork - domena organizacije i com - vršna domena. Domene najviše razine čine temelj DNS hijerarhije i stoga se nazivaju korijenske domene (korijenske domene). Organizirane su zemljopisno, s imenima temeljenim na dvoslovnim kodovima zemalja (ruza Rusiju), prema vrsti organizacije (stotine za komercijalne organizacije) i za predviđene svrhe ( mil za vojne organizacije).

Uobičajene domene, kao što je microsoft.com, se zovu roditelji (roditeljska domena) budući da čine temelj organizacijske strukture. Roditeljske domene mogu se podijeliti na poddomene različitih ogranaka ili udaljenih ogranaka. Na primjer, puno ime računala u Microsoftov ured u Seattleu bi to moglo biti jacob.seattle.microsoft.com , Gdje jakob- naziv računala, sesve - poddomena, a microsoft.com je nadređena domena. Drugi naziv za poddomenu je dječja domena (domena djeteta).

Komponente Aktivan Imenik

Active Directory kombinira fizičku i logičku strukturu mrežnih komponenti. Logičke strukture Active Directory pomažu organizirati objekte imenika i upravljati mrežnim računima i dijeljenjima. Logička struktura uključuje sljedeće elemente:

organizacijska jedinica - podskupina računala, koja obično odražava strukturu poduzeća;

domena ( domena) - skupina računala koja dijele zajedničku katalošku bazu podataka;

stablo domene (domena drvo) - jedna ili više domena koje dijele susjedni prostor imena;

šuma domene - jedno ili više stabala koja dijele informacije direktorija.

Fizički elementi pomažu u planiranju stvarne strukture mreže. Na temelju fizičkih struktura formiraju se mrežne veze i fizičke granice mrežnih resursa. Fizička struktura uključuje sljedeće elemente:

podmreža ( podmreža) - mrežna grupa s određenim područjem IP adrese i mrežna maska;

web stranica ( mjesto) - jedna ili više podmreža. Stranica se koristi za konfiguriranje pristupa imeniku i za replikaciju.

Organizacijske podjele

Organizacijske jedinice (OU) su podskupine unutar domena koje često odražavaju funkcionalnu strukturu organizacije. OU-ovi su vrsta logičkih spremnika u kojima se nalaze računi, dionice i drugi OU-ovi. Na primjer, možete kreirati u domeni mikrosoft. com podjele Resursi, TO, Marketing. Ova se shema zatim može proširiti tako da sadrži podređene jedinice.

U OP se smiju smjestiti samo objekti iz nadređene domene. Na primjer, OU s domene Seattle.microsoft.com sadrže objekte samo s te domene. Dodajte objekte od tamomg. microsoft.com nije dopušten. OP su vrlo zgodni pri formiranju funkcionalnog ili poslovne strukture organizacije. Ali to nije jedini razlog njihove upotrebe.

OP-ovi vam omogućuju definiranje pravila grupe za mali skup resursa u domeni bez potrebe da ih primjenjujete na cijelu domenu. OP stvara kompaktne prikaze objekata imenika u domeni kojima se lakše upravlja, što vam pomaže da učinkovitije upravljate resursima.

OP-ovi vam omogućuju delegiranje ovlasti i kontrolu administrativnog pristupa resursima domene, što pomaže u postavljanju ograničenja ovlasti administratora u domeni. Moguće je dodijeliti administrativna prava korisniku A samo za jedan OU i istovremeno prenijeti korisniku B administrativna prava za sve OU u domeni.

Domene

Domena Active Directory je grupa računala koja dijele zajedničku bazu podataka imenika. Nazivi domena Active Directory moraju biti jedinstveni. Na primjer, ne mogu postojati dvije domene microsoft.com, ali može postojati nadređena domena microsoft.com s podređenim domenama seattle.microsoft.com i my.microsoft.com. Ako je domena dio zatvorene mreže, naziv dodijeljen novoj domeni ne smije biti u sukobu s postojećim nazivima domena na toj mreži. Ako je domena dio globalna mreža Internet, njegovo ime ne smije biti u sukobu s bilo kojim postojećim nazivom internetske domene. Kako bi se osiguralo da su imena jedinstvena na Internetu, naziv nadređene domene mora biti registriran putem bilo koje ovlaštene organizacije za registraciju.

Svaka domena ima vlastitu sigurnosnu politiku i odnose povjerenja s drugim domenama. Često su domene raspoređene na nekoliko fizičkih lokacija, odnosno sastoje se od nekoliko stranica, a stranice kombiniraju nekoliko podmreža. Baza podataka imenika domene pohranjuje objekte koji definiraju račune za korisnike, grupe i računala, kao i zajedničke resurse kao što su pisači i mape.

Funkcije domene ograničene su i regulirane načinom njezina rada. Postoje četiri funkcionalna načina domene:

mješoviti način rada Windows 2000 (mješoviti način rada) - podržava kontrolere domene sa sustavom Windows NT 4.0, Wi ndows 2000 i Windows poslužitelj 2003;

Windows 2000 izvorni način rada - podržava kontrolere domene koji rade pod sustavom Windows 2000 i Windows poslužitelj 2003;

srednji način rada Windows poslužitelj 2003 ( privremeni način rada) - podržava rad kontrolera domene Windows NT 4.0 i Windows poslužitelj 2003;

način rada Windows Server 2003 - podržava kontrolere domene koji rade na Windows Serveru 2003.

Šume i drveće

Svaka domena Aktivan Imenik ima DNS- upišite ime Microsoft.com. Domene koje dijele podatke direktorija čine šumu. Imena šumskih domena u hijerarhiji DNS imena su nesusjedne(discontiguous) ili susjedni(granični).

Domene koje imaju kontinuiranu strukturu imenovanja nazivaju se stablo domene. Ako šumske domene imaju DNS nazive koji nisu susjedni, one tvore zasebna stabla domena u šumi. Šuma može uključivati ​​jedno ili više stabala. Konzola se koristi za pristup strukturama domeneAktivan Imenik- domene i povjerenje (AktivanImenik Domenei povjerenja).

Funkcije šuma ograničene su i regulirane funkcionalnim režimom šume. Postoje tri takva načina:

Windows 2000 - podržava kontrolere domene koji rade pod Windows NT 4.0, Windows 2000 i Windows poslužitelj 2003;

srednji ( privremeni) Windows poslužitelj 2003 - podržava kontrolere domene koji rade pod Windows NT 4.0 i Windows Server 2003;

Windows Server 2003 - podržava kontrolere domene koji rade na Windows Serveru 2003.

Najnovije značajke Active Directoryja dostupne su u Windows način rada Server 2003: Ako sve domene u šumi rade u ovom načinu rada, možete uživati ​​u poboljšanoj replikaciji globalnog kataloga i učinkovitijoj replikaciji podataka Active Directory. Također možete onemogućiti klase i atribute sheme, koristiti dinamičke pomoćne klase, preimenovati domene i stvoriti jednosmjerne, dvosmjerne i tranzitivne odnose povjerenja u šumi.

Mjesta i podmreže

Web stranica je grupa računala na jednoj ili više IP podmreža koja se koristi za planiranje fizičke strukture mreže. Planiranje web mjesta događa se neovisno o logičkoj strukturi domene. Active Directory vam omogućuje stvaranje više stranica u jednoj domeni ili jedne stranice koja obuhvaća više domena.

Za razliku od web-mjesta, koja mogu obuhvaćati više opsega IP adresa, podmreže imaju određeni opseg IP adrese i mrežnu masku. Nazivi podmreža navedeni su u formatu mreža/bitmaska, na primjer 192.168.19.0/24, gdje Internet adresa 192.168.19.0 i mrežna maska ​​255.255.255.0 kombiniraju se u naziv podmreže 192.168.19.0/24.

Računala se dodjeljuju stranicama na temelju njihove lokacije na podmreži ili skupu podmreža. Ako računala u podmrežama mogu komunicirati dovoljno velikim brzinama, nazivaju se dobro povezan (dobro povezan).

U idealnom slučaju, stranice se sastoje od dobro povezanih podmreža i računala. Ako je promet između podmreža i računala spor, možda ćete morati stvoriti više stranica. Dobra povezanost stranicama daje neke prednosti.

Kada se klijent prijavi u domenu, proces provjere autentičnosti prvo traži lokalni kontroler domene na klijentovoj stranici, što znači da se prvi postavljaju upiti lokalnim kontrolerima kada je to moguće, ograničavajući mrežni promet i ubrzavajući autentifikaciju.

Informacije iz imenika češće se repliciraju iznutra mjesta nego između stranice. Ovo smanjuje međumrežni promet uzrokovan replikacijom i osigurava da lokalni kontroleri domene brzo primaju ažurirane informacije.

Možete konfigurirati redoslijed kojim se podaci direktorija repliciraju pomoću linkovi na stranice (veze na stranice). Na primjer, definirajte mostobran poslužitelj (mostobran) za replikaciju između mjesta.

Najveći dio opterećenja od replikacije između stranica pasti će na ovaj namjenski poslužitelj, a ne na bilo koji dostupni poslužitelj stranice. Web stranice a podmreže su konfigurirane u konzoli Aktivni direktorij - stranice i usluge(Active Directory stranice i usluge).

Rad s domenama Aktivni direktorij

Na liniji Windows poslužitelj 2003 servis AktivanImenikkonfiguriran istovremeno sDNS. Međutim, domene Active Directory i DNS domene imaju različite svrhe. Domene Active Directory pomažu u upravljanju računima, resursima i sigurnošću.

Hijerarhija DNS domene prvenstveno je dizajnirana za razlučivanje imena.

Računala s operativnim sustavima Windows XP Professional i Windows 2000 mogu u potpunosti iskoristiti prednosti aktivnog imenika. Oni rade na mreži kao klijenti aktivnog imenika i imaju pristup tranzitivnim odnosima povjerenja koji postoje u stablu ili šumi domena. Ovi odnosi omogućuju ovlaštenim korisnicima pristup resursima u bilo kojoj domeni u šumi.

Sustav Windows Server 2003 funkcionira kao kontroler domene ili kao poslužitelj član. Poslužitelji članovi postaju kontrolori nakon instaliranja Active Directoryja; kontroleri su degradirani na poslužitelje članove nakon uklanjanja Active Directoryja.

Izvode se oba procesaČarobnjak za instalaciju aktivnog imenika. U domeni može biti više kontrolera. Međusobno repliciraju podatke imenika pomoću modela replikacije s više glavnih, koji omogućuje svakom kontroleru da obradi promjene direktorija i zatim ih propagira drugim kontrolerima. Sa strukturom s više glavnih, svi kontroleri prema zadanim postavkama imaju jednaku odgovornost. Međutim, nekim kontrolerima domene možete dati prioritet u odnosu na druge za određene zadatke, kao što je stvaranje poslužitelja mosta koji ima prioritet pri repliciranju podataka direktorija na druga mjesta.

Osim toga, neke je zadatke bolje obavljati na namjenskom poslužitelju. Poziva se poslužitelj koji obrađuje određenu vrstu zadatka majstor operacija (majstor operacija).

Računi se stvaraju za sva računala sa sustavom Windows 2000, Windows XP Professional i Windows Server 2003 koja su pridružena domeni i, kao i drugi resursi, pohranjuju se kao objekti aktivnog imenika. Računalni računi koriste se za kontrolu pristupa mreži i njenim resursima. Prije nego što računalo može pristupiti domeni koristeći svoj račun, mora proći proceduru provjere autentičnosti.

Struktura imenika

Podaci imenika dostupni su korisnicima i računalima putem pohrana podataka (pohrane podataka) i globalni imenici (globalnokatalozi). Iako većina značajkiAktivanImenikutječu na pohranu podataka, globalni katalozi (GC) nisu ništa manje važni jer služe za prijavu u sustav i traženje informacija. Ako GC nije dostupan, redovni korisnici se neće moći prijaviti na domenu. Jedini način da se zaobiđe ovaj uvjet je lokalno spremanje članstva u predmemoriju univerzalne grupe.

Pristup i distribucija podataka Active Directory omogućen je putem sredstava protokoli za pristup imeniku (imenik pristupprotokoli) I replikacija (replikacija).

Replikacija je potrebna za distribuciju ažuriranih podataka kontrolerima. Glavna metoda za distribuciju ažuriranja je multi-master replikacija, ali neke promjene obrađuju samo specijalizirani kontroleri - majstori operacija (majstori operacija).

Način na koji se izvodi višeglavna replikacija u sustavu Windows Server 2003 također se promijenio uvođenjem odjeljci kataloga aplikacije (primjenaimenikpregrade). Kroz njih administratori sustava može stvoriti replikacijske particije u šumi domene, koje su logičke strukture koje se koriste za upravljanje replikacijom unutar šume domene. Na primjer, možete stvoriti particiju koja će upravljati replikacijom DNS informacija unutar domene. Ostali sustavi u domeni ne smiju replicirati DNS informacije.

Particije imenika aplikacija mogu biti element djeteta domena, dijete druge particije aplikacije ili novo stablo u šumi domena. Replike particija mogu biti smještene na bilo kojem kontroleru domene Active Directory, uključujući globalne kataloge. Iako su particije direktorija aplikacija korisne u velikim domenama i šumama, one povećavaju troškove planiranja, administracije i održavanja.

Pohrana podataka

Repozitorij sadrži informacije o najvažnijim objektima imeničke usluge Active Directory - računima, zajedničkim resursima, OP i grupnim pravilima. Ponekad se jednostavno zove skladište podataka katalog (imenik). Na kontroleru domene, direktorij je pohranjen u datoteci NTDS.DIT ​​​​čija se lokacija određuje kada se instalira Active Directory (ovo mora biti NTFS pogon). Neki podaci imenika mogu se pohraniti odvojeno od glavne pohrane, na primjer, grupne politike, skripte i druge informacije snimljene u dijeljenju sustava SYSVOL.

Poziva se dijeljenje informacija imenika objavljivanje (objaviti). Na primjer, kada se pisač otvori za korištenje na mreži, on se objavljuje; objavljene su informacije o dijeljenoj mapi, itd. Kontrolori domene repliciraju većinu promjena u pohrani na višeglavni način. Administrator u maloj ili srednjoj organizaciji rijetko upravlja replikacijom pohrane jer je automatska, ali se može konfigurirati tako da odgovara specifičnostima mrežne arhitekture.

Ne repliciraju se svi podaci imenika, samo:

Podaci o domeni - informacije o objektima u domeni, uključujući objekte računa, dijeljene resurse, OP i grupna pravila;

Podaci o konfiguraciji - informacije o topologiji direktorija: popis svih domena, stabala i šuma, kao i lokacija kontrolera i GC poslužitelja;

Schema data - podaci o svim objektima i tipovima podataka koji se mogu pohraniti u imenik; Standardna shema sustava Windows Server 2003 opisuje objekte računa, objekte zajedničkih resursa itd. i može se proširiti definiranjem novih objekata i atributa ili dodavanjem atributa postojećim objektima.

Globalni katalog

Ako lokalno predmemoriranje članstva univerzalne grupe se ne provode, prijava na mrežu se temelji na podacima o članstvu u univerzalnoj grupi koje daje Građanski zakonik.

Također pruža pretraživanje imenika u svim domenama u šumi. upravljač, igranje uloga GK poslužitelj pohranjuje punu repliku svih objekata direktorija u svojoj domeni i djelomičnu repliku objekata u drugim domenama šume.

Za prijavu i pretraživanje potrebno je samo nekoliko svojstava objekta, tako da se mogu koristiti djelomične replike. Za formiranje djelomične replike, replikacija zahtijeva prijenos manje podataka, što smanjuje mrežni promet.

Prema zadanim postavkama, prvi kontroler domene postaje glavni kontroler domene. Stoga, ako postoji samo jedan kontroler u domeni, tada su glavni poslužitelj domene i kontroler domene isti poslužitelj. Možete postaviti GC na drugi kontroler kako biste smanjili vrijeme potrebno za čekanje odgovora prilikom prijave i ubrzali pretraživanje. Preporuča se stvoriti jedan GC u svakoj domeni.

Postoji nekoliko načina za rješavanje ovog problema. Naravno, možete stvoriti GC poslužitelj na jednom od kontrolera domene u udaljenom uredu. Nedostatak ove metode je što povećava opterećenje GK poslužitelja, što može zahtijevati dodatne resurse i pažljivo planiranje vremena rada ovog poslužitelja.

Još jedno zaobilazno rješenje je lokalno predmemoriranje univerzalnih grupnih članstava. U tom slučaju bilo koji kontroler domene može servisirati zahtjeve za prijavu lokalno, bez kontaktiranja glavnog poslužitelja domene. Ovo ubrzava proceduru prijave i olakšava situaciju u slučaju kvara GK servera. Osim toga, ovo smanjuje replikacijski promet.

Umjesto povremenog ažuriranja cijele grupe na cijeloj mreži, dovoljno je ažurirati predmemorirane informacije o članstvu u univerzalnoj grupi. Prema zadanim postavkama ažuriranje se odvija svakih osam sati na svakom kontroleru domene koji koristi predmemoriju lokalnog univerzalnog grupnog članstva.

Članstvo u univerzalna grupa pojedinačno za svako mjesto. Podsjetimo se da je stranica fizička struktura koja se sastoji od jedne ili više podmreža koje imaju pojedinačni skup IP adresa i mrežnu masku. Kontrolori domene Windows Server 2003 i GC kojem pristupaju moraju biti na istom mjestu. Ako postoji nekoliko stranica, morat ćete konfigurirati lokalno predmemoriranje na svakoj od njih. Osim toga, korisnici koji se prijavljuju na stranicu moraju biti dio Windows Server 2003 domene koja radi u šumskom načinu rada Windows Server 2003.

Replikacija u Active Directory

Imenik pohranjuje tri vrste informacija: podatke o domeni, podatke o shemi i podatke o konfiguraciji. Podaci domene se repliciraju na sve kontrolere domene. Svi kontroleri domene imaju jednaka prava, tj. sve promjene napravljene s bilo kojeg kontrolera domene replicirat će se na sve druge kontrolere domene. Podaci o dizajnu i konfiguraciji repliciraju se na sve domene u stablu ili šumi. Osim toga, svi objekti pojedine domene i neka svojstva šumskih objekata repliciraju se u GC. To znači da kontroler domene pohranjuje i replicira shemu za stablo ili šumu, podatke o konfiguraciji za sve domene u stablu ili šumi i sve objekte direktorija i svojstva za vlastitu domenu.

Kontroler domene na kojem je pohranjen GC sadrži i replicira informacije o shemi za šumu, informacije o konfiguraciji za sve domene u šumi i ograničen skup svojstava za sve objekte direktorija u šumi (replicira se samo između GC poslužitelja), kao i sve objekte direktorija i svojstva za vašu domenu.

Da biste razumjeli bit replikacije, razmotrite ovaj scenarij za postavljanje nove mreže.

1. U domeni Instaliran je prvi kontroler. Ovaj poslužitelj je jedini kontroler domene. On je također GK poslužitelj. Replikacija se ne događa u takvoj mreži, budući da nema drugih kontrolera.

2. U domeni Instalira se drugi kontroler i počinje replikacija. Možete odrediti jedan kontroler kao glavni infrastrukturni, a drugi kao GC poslužitelj. Vlasnik infrastrukture prati i zahtijeva GL ažuriranja za promijenjene objekte. Oba ova kontrolera također repliciraju podatke o shemi i konfiguraciji.

3. U domeni I ugrađen je treći regulator koji nema glavnu upravljačku jedinicu. Glavni infrastrukturni nadzor nadzire ažuriranja GC-a, zahtijeva ih za promijenjene objekte, a zatim replicira promjene na treći kontroler domene. Sva tri kontrolera također repliciraju podatke o shemi i konfiguraciji.

4. Stvorena je nova domena B i dodani su joj kontroleri. GC poslužitelji u domeni A i domeni B repliciraju sve podatke o shemi i konfiguraciji, kao i podskup podataka domene iz svake domene. Replikacija u domeni A nastavlja se kako je gore opisano, plus počinje replikacija unutar domene B.

AktivanImenik I LDAP

Lightweight Directory Access Protocol (LDAP) standardni je protokol za internetske veze u TCP/IP mrežama. LDAP je dizajniran posebno za pristup imeničkim uslugama uz minimalne troškove. LDAP također definira operacije koje se koriste za postavljanje upita i promjenu informacija direktorija.

Klijenti Active Directory koristi LDAP za komunikaciju s računalima koja koriste Active Directory kad god se prijave na mrežu ili traže zajedničke resurse. LDAP pojednostavljuje međusobno povezivanje imenika i migraciju na Active Directory iz drugih imeničkih usluga. Za poboljšanje kompatibilnosti možete koristiti sučelja Active Directory Services (AktivanImenik Servis- sučelja, ADSI).

Uloge voditelja operacija

Glavni operacija rukuje zadacima koji su nezgodni za izvođenje u modelu replikacije s više glavnih. Postoji pet uloga nadređenih operacija koje se mogu dodijeliti jednom ili više kontrolera domene. Neke uloge moraju biti jedinstvene na razini šume, dok druge moraju biti jedinstvene na razini domene. Sljedeće uloge moraju postojati u svakoj šumi aktivnog direktorija:

Master sheme) - upravlja ažuriranjima i promjenama sheme imenika. Da biste ažurirali shemu direktorija, morate imati pristup glavnoj shemi. Da biste utvrdili koji je poslužitelj trenutno vlasnik sheme u domeni, samo otvorite prozor naredbeni redak i unesite: dsquery server -imafsmo shema.

Majstor za imenovanje domena – upravlja dodavanjem i uklanjanjem domena u šumi. Da biste dodali ili uklonili domenu, potreban vam je pristup masteru za imenovanje domene. Da odredite koji je poslužitelj trenutno glavni za imenovanje domene, samo unesite u prozor naredbenog retka: dsquery server -imafsmo Ime.

Ove uloge, zajedničke šumi kao cjelini, moraju biti jedinstvene za šumu.

Sljedeće uloge potrebne su u svakoj domeni Active Directory.

Relativni ID master - dodjeljuje relativne identifikatore kontrolerima domene. Svaki put kada stvorite korisnik, grupni objekt ili računalni kontroleri dodjeljuju objektu jedinstveni sigurnosni identifikator, koji se sastoji od sigurnosnog identifikatora domene i jedinstvenog identifikatora koji je dodijeljen od strane relativnog glavnog identifikatora. Da biste odredili koji je poslužitelj trenutno vlasnik relativnih identifikatora u domeni, jednostavno unesite u prozor naredbenog retka: dsqueryposlužitelj -imafsmoosloboditi.

PDC emulator - U načinu rada mješovite ili srednje domene, djeluje kao Windows NT glavni kontroler domene. Provjerava autentičnost Windows NT prijava, obrađuje promjene lozinki i replicira ažuriranja na P DC. Da biste odredili koji je poslužitelj trenutno PDC emulator u domeni, samo unesite u prozor naredbenog retka dsquery poslužitelj - hasfsmo pdc.

Vlasnik infrastrukture ovladati; majstorski ) - ažurira poveznice objekata uspoređujući svoje kataloške podatke s podacima GK. Ako su podaci zastarjeli, on zahtijeva ažuriranja od GC-a i replicira ih na preostale kontrolere u domeni. Da biste odredili koji je poslužitelj trenutno vlasnik infrastrukture u domeni, samo u prozoru naredbenog retka i unesite dsqueryposlužitelj -hasfsmo infr.

Te uloge, koje su zajedničke cijeloj domeni, moraju biti jedinstvene unutar domene. Drugim riječima, možete konfigurirati samo jedan master relativnog identiteta, jedan PDC emulator i jedan master infrastrukture po domeni.

Uloge voditelja operacija obično se dodjeljuju automatski, ali se mogu ponovno dodijeliti. Prilikom instaliranja nove mreže, prvi kontroler domene prve domene preuzima sve uloge glavnog upravitelja operacija. Ako se nova podređena domena ili korijenska domena kasnije kreiraju u novom stablu, uloge gospodara operacija također se automatski dodjeljuju prvom kontroleru domene. U novoj šumi domene, kontroloru domene dodijeljene su sve uloge glavnog upravitelja operacija. Ako se nova domena stvori u istoj šumi, njezinom se kontroleru dodjeljuje uloga Relative ID Master, Emulator PDC i vlasnik infrastrukture. Uloge mastera sheme i mastera imenovanja domene ostaju s prvom domenom u šumi.

Ako postoji samo jedan kontroler u domeni, on obavlja sve glavne uloge operacija. Ako postoji samo jedno mjesto na mreži, standardna lokacija mastera operacija je optimalna. Ali dok dodajete kontrolere domene i domene, ponekad morate premjestiti uloge glavnog upravitelja operacija na druge kontrolere domene.

Ako u domeni postoje dva ili više kontrolera domene, preporuča se da dva kontrolera domene budu konfigurirana da služe kao glavne uloge operacija. Na primjer, odredite jedan kontroler domene kao primarni master operacija, a drugi kao rezervni, koji će biti potreban ako glavni zakaže.

administracija Aktivni direktorij

CPomoću servisa Active Directory kreiraju se računalni računi, povezuju se s domenom te se upravlja računalima, kontrolerima domena i organizacijskim jedinicama (OU).

Alati za administraciju i podršku dostupni su za upravljanje Active Directoryjem. Dolje navedeni alati također su implementirani kao dodaci MMC konzole (Microsoft UpravljanjeKonzola):

Active Directory - Korisnici i računala (Active Directory Korisnici i Računala) omogućuje vam upravljanje korisnicima, grupama, računalima i organizacijskim jedinicama (OU);

Aktivan Imenik- domene i povjerenje ( Aktivan Imenik Domenei Zaklade ) služi za rad s domenama, domenskim stablima i domenskim šumama;

Aktivni direktorij - stranice Iusluge (Active Directory stranice i usluge) omogućuje vam upravljanje stranicama i podmrežama;

Rezultat politika (Rezultirajući skup pravila) koristi se za pregled trenutne politike korisnika ili sustava i za planiranje promjena politike.

U U sustavu Microsoft Windows 2003 Server ovim dodacima možete pristupiti izravno iz izbornika Administrativni alati.

Drugi administrativni alat je snap-in Shema AktivanImenik (Aktivan Imenik Shema) - omogućuje vam upravljanje i izmjenu sheme imenika.

Uslužni programi naredbenog retka Aktivan Imenik

Za upravljanje objektima Aktivan Imenik Postoje alati naredbenog retka koji vam omogućuju obavljanje širokog spektra administrativnih zadataka:

DSADD - dodaje na Aktivan Imenik računala, kontakti, grupe, OP i korisnici.

DSGET - prikazuje svojstva računala, kontakata, grupa, OP-ova, korisnika, web-mjesta, podmreža i poslužitelja registriranih u Aktivan Imenik.

DSMOD - mijenja svojstva računala, kontakata, grupa, OP-ova, korisnika i poslužitelja registriranih u Aktivan Imenik.

DSMIJENI - Premješta jedan objekt na novu lokaciju unutar domene ili preimenuje objekt bez pomicanja.

DSQXJERY - traži računala, kontakte, grupe, OP-ove, korisnike, stranice, podmreže i poslužitelje u Aktivan Imenik prema određenim kriterijima.

DSRM - uklanja predmet iz Aktivan Imenik.

NTDSUTIL - omogućuje pregled informacija o web mjestu, domeni ili poslužitelju, upravljanje majstori operacija (operacije gospodari) i održavati bazu podatakaAktivan Imenik.

Funkcionalna razina domene ili šume određuje funkcionalnost dostupnu za korištenje. Viša funkcionalna razina domene ili šume omogućuje vam korištenje dodatnih značajki koje su se pojavile u novijim verzijama Active Directoryja. Međutim, čak i ako koristite najnovije verzije kontrolera domene, ali niste promovirali svoju domenu, nova funkcionalnost AD domene neće biti dostupna.
Na primjer, imate instalirane kontrolere domene Windows Server 2012 ili Windows Server 2016, ali funkcionalna razina domene je Windows Server 2003, tada takva opcija kao što je korištenje koša za smeće Active Directory neće biti dostupna, jer se mogućnost njezinog omogućavanja pojavljuje samo na funkcionalnoj razini domene Windows Server 2008 R2 i više.

Odredite trenutnu domenu i funkcionalnu razinu šume kroz GUI
Da biste odredili trenutnu funkcionalnu razinu domene i šume pomoću GUI-ja, morate pokrenuti dodatak Active Directory Domains and Trusts i kartica General će prikazati trenutnu funkcionalnu razinu domene i šume.

Odredite trenutnu funkcionalnu razinu putem PowerShell-a

Kako povećati funkcionalnu razinu domene kroz GUI

U prozoru koji se otvori odaberite željenu funkcionalnu razinu domene i kliknite gumb Povisi

Kako povećati funkcionalnu razinu šume kroz GUI

Važno: Povišenja funkcionalne razine domene i šume ne mogu se poništiti ili smanjiti. Iznimka: funkcionalna razina domene može se vratiti samo s Windows Server 2008 R2 na Windows Server 2008; u svim drugim slučajevima ova se operacija ne može poništiti.

Kako podići funkcionalnu razinu domene pomoću PowerShell-a

• Windows Server 2000: 0 ili Windows2000Domain
• Windows Server 2003 Interim Domain: 1 ili Windows2003InterimDomain
• Windows Server 2003: 2 ili Windows2003Domain
• Windows Server 2008: 3 ili Windows2008Domena
• Windows Server 2008 R2:4 ili Windows2008R2Domain
• Windows Server 2012: 5 ili Windows2012Domain
• Windows Server 2012 R2:6 ili Windows2012R2Domain
• Windows Server 2016: 7 ili Windows2016Domain

• Windows Server 2000: Windows2000Forest ili 0
• Windows Server 2003: Windows2003InterimForest ili 1
• Windows Server 2003: Windows2003Forest ili 2
• Windows Server 2008: Windows2008Forest ili 3
• Windows Server 2008 R2: Windows2008R2Forest ili 4
• Windows Server 2012: Windows2012Forest ili 5
• Windows Server 2012 R2: Windows2012R2Forest ili 6
• Windows Server 2016: Windows2016Forest ili 7