Ubuntu mount cifs nettverksmappe. Hvordan kartlegge en Windows-nettverksstasjon i Linux

Windows-nettverksadministratorer kan ikke unnslippe kjennskap til . Denne oversiktsartikkelen vil være viet til hva som er Active Directory og hva de spises med.

Så, Active Directory er Microsofts implementering av en katalogtjeneste. I dette tilfellet betyr en katalogtjeneste en programvarepakke som hjelper en systemadministrator å jobbe med nettverksressurser som delte mapper, servere, arbeidsstasjoner, skrivere, brukere og grupper.

Active Directory har en hierarkisk struktur som består av objekter. Alle objekter er delt inn i tre hovedkategorier.

Bruker- og datamaskinkontoer;
Ressurser (for eksempel skrivere);
Tjenester (for eksempel e-post).

Hvert objekt har et unikt navn og har en rekke egenskaper. Objekter kan grupperes.

Brukeregenskaper

Active Directory har en skogstruktur. Skogen har flere trær som inneholder domener. Domener inneholder på sin side objektene ovenfor.

Active Directory-struktur

Vanligvis er objekter i et domene gruppert i OUer. Underavdelinger tjener til å bygge et hierarki innenfor et domene (organisasjoner, territorielle underavdelinger, avdelinger, etc.). Dette er spesielt viktig for organisasjoner spredt over geografiske trekk. Når du bygger en struktur, anbefales det å opprette så få domener som mulig, om nødvendig opprette separate divisjoner. Det er på dem det er fornuftig å bruke grupperetningslinjer.

Arbeidsstasjonsegenskaper

En annen måte å strukturere Active Directory på er nettsteder. Nettsteder er en måte å fysisk snarere enn logisk gruppering basert på nettverkssegmenter.

Som allerede nevnt har hvert objekt i Active Directory et unikt navn. For eksempel en skriver HPLaserJet4350dtn, som ligger i divisjonen Advokater og i domenet primer.ru vil ha et navn CN=HPLaserJet4350dtn,OU=Advokater,DC=primer,DC=ru. CN- dette er vanlig navn, ou- underavdeling DC— domeneobjektklasse. Navnet på et objekt kan være mye flere deler enn i dette eksemplet.

En annen form for objektnavnet ser slik ut: primer.ru/Advokater/HPLaserJet4350dtn. Hvert objekt har også en globalt unik identifikator ( GUID) er en unik og uforanderlig 128-bits streng som brukes av Active Directory for søk og replikering. Noen objekter har også et brukernavn ( UPN) i formatet objekt@domene.

Her generell informasjon om hva som er Active Directory og hvorfor de trengs i lokale nettverk basert på Windows. Til slutt er det fornuftig å si at administratoren har muligheten til å arbeide med Active Directory eksternt gjennom Administrasjonsverktøy for ekstern server for Windows 7 (KB958830)(nedlasting) og Administrasjonsverktøy for ekstern server for Windows 8.1 (KB2693643) (nedlasting).

Et domene er den viktigste administrative enheten i en bedrifts nettverksinfrastruktur, som inkluderer alle nettverksobjekter som brukere, datamaskiner, skrivere, delinger og så videre. Samlingen (hierarkiet) av domener kalles en skog. Hvert selskap kan ha et eksternt og internt domene.

Et nettsted er for eksempel et eksternt domene på Internett som ble kjøpt fra en navneregistrator. Dette domenet er vert for vår WEB-side og e-postserver. lankey.local - Et internt Active Directory-katalogtjenestedomene som er vert for brukerkontoer, datamaskiner, skrivere, servere og bedriftsapplikasjoner. Noen ganger gjøres eksterne og interne domenenavn like.

Microsoft Active Directory har blitt standarden for enhetlige katalogsystemer for bedrifter. Et Active Directory-basert domene er implementert i nesten alle selskaper i verden, og Microsoft har praktisk talt ingen konkurrenter igjen i dette markedet, andelen av den samme Novell Directory Service (NDS) er ubetydelig, og de gjenværende selskapene migrerer gradvis til Active Directory.

Active Directory (Directory Service) er en distribuert database som inneholder alle domeneobjekter. Active Directory-domenemiljøet er et enkelt autentiserings- og autorisasjonspunkt for brukere og applikasjoner på tvers av bedriften. Det er med organiseringen av domenet og distribusjonen av Active Directory at byggingen av IT-infrastrukturen til bedriften begynner. Active Directory-databasen er lagret på dedikerte servere – domenekontrollere. Active Directory er en serverrolle. operativsystemer Microsoft Windows server. PÅ dette øyeblikket LanKey implementerer Active Directory-domener basert på operativsystemet Windows Server 2008 R2.

Å distribuere Active Directory-katalogtjenesten over en arbeidsgruppe gir følgende fordeler:

enkelt poeng godkjenning. Når datamaskiner jobber i en arbeidsgruppe, har de ikke en enkelt brukerdatabase, hver datamaskin har sin egen. Derfor har ingen brukere som standard nettverkstilgang til en annen brukers datamaskin eller server. Og, som du vet, er meningen med nettverket bare at brukere kan samhandle. Ansatte må dele dokumenter eller søknader. I en arbeidsgruppe på hver datamaskin eller server må du manuelt legge til en komplett liste over brukere som trenger nettverkstilgang. Hvis plutselig en av de ansatte ønsker å endre passordet sitt, må det endres på alle datamaskiner og servere. Det er greit hvis nettverket består av 10 datamaskiner, men hvis det er 100 eller 1000 av dem, vil det være uakseptabelt å bruke en arbeidsgruppe. Når du bruker et Active Directory-domene, lagres alle brukerkontoer i én database, og alle datamaskiner får tilgang til den for autorisasjon. Alle domenebrukere er inkludert i de aktuelle gruppene, for eksempel "Regnskap", "Personal", "Finansavdeling", etc. Det er nok å angi tillatelser for bestemte grupper én gang, og alle brukere vil få riktig tilgang til dokumenter og applikasjoner. Hvis selskapet kommer ny ansatt, det opprettes en konto for ham, som er inkludert i den tilsvarende gruppen, og det er det! Etter et par minutter får den nyansatte tilgang til alle nettverksressurser han skal få tilgang til, på alle servere og datamaskiner. Hvis en ansatt slutter, er det nok å blokkere eller slette kontoen hans, og han vil umiddelbart miste tilgangen til alle datamaskiner, dokumenter og applikasjoner.
Enkeltpunkt for policystyring. I et peer-to-peer-nettverk (arbeidsgruppe) er alle datamaskiner like. Ingen av datamaskinene kan kontrollere den andre, alle datamaskiner er konfigurert annerledes, det er umulig å kontrollere overholdelse av enhetlige retningslinjer eller sikkerhetsregler. Når du bruker én enkelt Active Directory-katalog, er alle brukere og datamaskiner hierarkisk fordelt i organisasjonsenheter, som hver er underlagt enhetlige gruppepolicyer. Retningslinjer lar deg angi enhetlige innstillinger og sikkerhetsinnstillinger for en gruppe datamaskiner og brukere. Når en ny datamaskin eller bruker legges til domenet, mottar den automatisk innstillinger som samsvarer med aksepterte bedriftsstandarder. Ved å bruke policyer kan du sentralt tilordne nettverksskrivere til brukere, installere de nødvendige applikasjonene, angi sikkerhetsinnstillinger for nettleseren, konfigurere applikasjoner Microsoft Office etc.
Integrasjoner med bedriftsapplikasjoner og utstyr. Den store fordelen med Active Directory er dens samsvar med LDAP-standarden, som støttes av hundrevis av applikasjoner, som e-postservere (Exchange, Lotus, Mdaemon), ERP-systemer (Dynamics, CRM), proxy-servere (ISA Server, Squid) , etc. Og dette er ikke bare Microsoft Windows-applikasjoner, men også Linux-baserte servere. Fordelen med denne integrasjonen er at brukeren ikke trenger å huske et stort nummer av pålogginger og passord for tilgang til en bestemt applikasjon, i alle applikasjoner har brukeren samme legitimasjon, fordi. autentiseringen finner sted i en enkelt Active Directory-katalog. I tillegg trenger ikke den ansatte å skrive inn login og passord flere ganger, det er nok å logge på en gang når du starter datamaskinen, og i fremtiden vil brukeren automatisk bli autentisert i alle applikasjoner. Windows Server for integrasjon med Active Directory gir RADIUS-protokollen, som støttes stor kvantitet nettverksutstyr. Dermed er det for eksempel mulig å gi autentisering av domenebrukere ved tilkobling til en CISCO-ruter via VPN.
Unified Application Configuration Store. Noen programmer lagrer konfigurasjonen i Active Directory, for eksempel Exchange Server eller Office Communications Server. Distribusjon av Active Directory-katalogtjenesten er en forutsetning for at disse programmene skal fungere. Du kan også lagre konfigurasjonen av DNS-domenenavnserveren i katalogtjenesten. Lagring av applikasjonskonfigurasjon i en katalogtjeneste er fordelaktig med tanke på fleksibilitet og pålitelighet. For eksempel, i tilfelle en fullstendig feil på Exchange-serveren, vil hele konfigurasjonen forbli intakt, fordi lagret i Active Directory. Og for å gjenopprette funksjonaliteten til bedriftspost, vil det være nok å installere Exchange-serveren på nytt i gjenopprettingsmodus.
Forbedret nivå informasjonssikkerhet. Bruk av Active Directory forbedrer nettverkssikkerheten betraktelig. For det første er det en enkelt og sikker lagring av kontoer. I et peer-to-peer-nettverk lagres brukerlegitimasjon i en lokal kontodatabase (SAM), som teoretisk kan hackes ved å ta en datamaskin i besittelse. I et domenemiljø lagres alle passord for domenebrukere på dedikerte servere, domenekontrollere, som vanligvis er beskyttet mot ekstern tilgang. For det andre, når du bruker et domenemiljø, brukes Kerberos-protokollen for autentisering, som er mye sikrere enn NTLM som brukes i arbeidsgrupper. Du kan også bruke tofaktorautentisering ved å bruke smartkort for å logge på brukere. De. For at en ansatt skal få tilgang til en datamaskin, må han skrive inn påloggingsinformasjon og passord, samt sette inn smartkortet sitt.

Active Directory-skalerbarhet og robusthet

Microsoft Active Directory-katalogtjenesten er svært skalerbar. Mer enn 2 milliarder objekter kan opprettes i en Active Directory-skog, noe som gjør det mulig å implementere en katalogtjeneste i selskaper med hundretusenvis av datamaskiner og brukere. Den hierarkiske strukturen til domener lar deg fleksibelt skalere IT-infrastrukturen til alle grener og regionale divisjoner av selskaper. For hver gren eller avdeling av selskapet kan det opprettes et eget domene, med egne retningslinjer, egne brukere og grupper. For hvert underordnede domene kan administrativ myndighet delegeres til lokale systemadministratorer. Samtidig er underordnede domener fortsatt underordnet de overordnede.

I tillegg lar Active Directory deg sette opp tillitsforhold mellom domeneskoger. Hvert selskap har sin egen skog av domener, hver med sine egne ressurser. Men noen ganger kan det være nødvendig å gi tilgang til bedriftens ressurser til ansatte fra partnerbedrifter. For eksempel, når de deltar i felles prosjekter, kan ansatte fra partnerbedrifter trenge å samarbeide om felles dokumenter eller søknader. For å gjøre dette kan tillitsrelasjoner settes opp mellom skogene til organisasjoner, noe som vil tillate ansatte fra en organisasjon å logge på domenet til en annen.

Feiltoleranse for katalogtjenesten leveres ved å distribuere 2 eller flere servere - domenekontrollere i hvert domene. Alle endringer blir automatisk replikert mellom domenekontrollere. Ved feil på en av domenekontrollerne, påvirkes ikke nettverket, pga resten fortsetter å jobbe. Et ekstra lag med motstandskraft er gitt ved å være vert for DNS-servere på domenekontrollere i Active Directory, som lar hvert domene ha flere DNS-servere som betjener den primære domenesonen. Og ved svikt på en av DNS-serverne vil de resterende fortsette å fungere, og de vil være tilgjengelige for både lesing og skriving, noe som ikke kan sikres ved bruk av for eksempel BINDs Linux-baserte DNS-servere.

Fordeler med å flytte til Windows Server 2008 R2

Selv om bedriften din allerede har distribuert Active Directory-katalogtjenesten basert på Windows Server 2003, kan du få hele linjen fordeler ved å flytte til Windows Server 2008 R2. Windows Server 2008 R2 har følgende tilleggsfunksjoner:

Skrivebeskyttet domenekontroller (RODC). Domenekontrollere lagrer brukerkontoer, sertifikater og mye annen sensitiv informasjon. Hvis serverne er plassert i sikre datasentre, så kan du være rolig om sikkerheten til denne informasjonen, men hva om domenekontrolleren er plassert i en filial på et offentlig sted. I dette tilfellet er det en mulighet for at serveren blir stjålet av angripere og hacket inn i den. Og så bruker de disse dataene til å organisere et angrep på bedriftens nettverk for å stjele eller ødelegge informasjon. Det er for å forhindre slike tilfeller at skrivebeskyttede domenekontrollere (RODC-er) er installert i filialer. For det første lagrer ikke RODC-kontrollere brukerpassord, men cacher dem bare for å øke hastigheten på tilgangen, og for det andre bruker de enveisreplikering, kun fra sentrale servere til filialen, men ikke tilbake. Og selv om angripere tar RODC-domenekontrolleren i besittelse, vil de ikke motta brukerpassord og vil ikke kunne skade hovednettverket.

Gjenoppretter slettede Active Directory-objekter. Nesten alle systemadministratorer har møtt behovet for å gjenopprette en utilsiktet slettet brukerkonto eller en hel gruppe brukere. I Windows 2003 krevde dette gjenoppretting av katalogtjenesten fra backup, som ofte ikke var det, men selv om det var det, tok restitusjonen mye tid. Windows Server 2008 R2 introduserte Active Directory-papirkurven. Nå, når en bruker eller datamaskin slettes, går den til papirkurven, hvorfra den kan gjenopprettes på et par minutter innen 180 dager med alle originale attributter bevart.

Forenklet administrasjon. I Windows Server 2008 R2 er det gjort en rekke endringer for å redusere byrden på systemadministratorer betydelig og gjøre det enklere å administrere IT-infrastrukturen din. For eksempel finnes det verktøy som: Revisjon av Active Directory-endringer, som viser hvem som endret hva og når; passordkompleksitetspolicyer konfigurert på nivå med brukergrupper, tidligere var det mulig å gjøre dette kun på domenenivå; nye bruker- og datamaskinadministrasjonsverktøy; policy maler; administrasjon ved hjelp av PowerShell-kommandolinjen, etc.

Implementering av Active Directory

Active Directory-katalogtjenesten er hjertet i en bedrifts IT-infrastruktur. I tilfelle feil, vil hele nettverket, alle servere, arbeidet til alle brukere bli lammet. Ingen vil kunne logge på datamaskinen, få tilgang til dokumentene og applikasjonene deres. Derfor må katalogtjenesten være nøye utformet og distribuert, med tanke på alle mulige nyanser. For eksempel bør strukturen til nettstedene bygges på grunnlag av den fysiske topologien til nettverket og båndbredden til kanalene mellom grenene eller kontorene til selskapet, fordi. dette påvirker direkte hastigheten på brukerpålogging, samt replikering mellom domenekontrollere. I tillegg, basert på nettstedtopologien, utfører Exchange Server 2007/2010 e-postruting. Du må også beregne antall og plassering av globale katalogservere som lagrer lister over universelle grupper og en rekke andre ofte brukte attributter på tvers av alle domener i skogen. Det er derfor selskaper overlater oppgaven med å implementere, omorganisere eller migrere Active Directory-katalogtjenesten til systemintegratorer. Du bør imidlertid ikke gjøre en feil når du velger en systemintegrator, du bør sørge for at han er sertifisert til å utføre denne typen arbeid og har passende kompetanse.

LanKey er en sertifisert systemintegrator og er en Microsoft Gold Certified Partner. LanKey har Datacenter Platform (Advanced Infrastructure Solutions) kompetansen, som bekrefter vår erfaring og kvalifikasjoner i saker knyttet til utrulling av Active Directory og implementering av serverløsninger fra Microsoft.

Alt prosjektarbeid utføres av Microsoft-sertifiserte MCSE, MCITP-ingeniører, som har rik erfaring med å delta i store og komplekse prosjekter for å bygge IT-infrastrukturer og implementere Active Directory-domener.

LanKey vil utvikle en IT-infrastruktur, distribuere Active Directory-katalogtjenesten og sikre konsolidering av alle tilgjengelige bedriftsressurser til ett enkelt informasjonsrom. Implementeringen av Active Directory vil bidra til å redusere de totale eierkostnadene for informasjonssystemet, samt øke effektiviteten ved å dele felles ressurser. LanKey leverer også tjenester for domenemigrering, integrasjon og separasjon av IT-infrastruktur ved fusjoner og oppkjøp, vedlikehold og support av informasjonssystemer.

Eksempler på noen Active Directory-implementeringsprosjekter implementert av LanKey:

Kunde	Løsningsbeskrivelse
	I forbindelse med transaksjonen for kjøp av en 100 % eierandel i OAO SIBUR-Minudobreniya (senere omdøpt til OAO SDS-Azot) av Siberian Business Union Holding Company i desember 2011, ble det nødvendig å skille IT-infrastrukturen til OAO SDS-Azot " fra nettverket til SIBUR Holding. LanKey har migrert Active Directory-katalogtjenesten til SIBUR Minudobreniya-divisjonen fra SIBUR-holdnettverket til den nye infrastrukturen. Brukerkontoer, datamaskiner og applikasjoner har også blitt migrert. Som et resultat av prosjektet ble det mottatt et takkebrev fra kunden.
	I forbindelse med restruktureringen av virksomheten ble Active Directory-katalogtjenesten distribuert for sentralkontoret og 50 Moskva og regionale butikker. Katalogtjenesten ga sentralisert administrasjon av alle bedriftsressurser, samt autentisering og autorisasjon av alle brukere.
	Som en del av komplekst prosjekt for å opprette en IT-infrastruktur for bedrifter, fullførte LanKey distribusjonen av et Active Directory-domene for et administrasjonsselskap og 3 regionale divisjoner. Et eget nettsted ble opprettet for hver gren, og 2 domenekontrollere ble distribuert på hvert nettsted. Sertifikattjenester er også utplassert. Alle tjenester ble distribuert på virtuelle maskiner som kjører Microsoft Hyper-V. Kvaliteten på LanKeys arbeid ble notert av anmeldelsen.
	Som en del av et omfattende prosjekt for å opprette en bedrift informasjon System, ble distribusjonen av Active Directory-katalogtjenesten basert på Windows Server 2008 R2 utført. Systemet ble distribuert ved hjelp av servervirtualiseringsteknologi som kjører Microsoft Hyper-V. Katalogtjenesten ga én enkelt autentisering og autorisasjon for alle sykehusansatte, og sørget også for funksjonen til applikasjoner som Exchange, TMG, SQL, etc.
	Distribusjon av Active Directory-katalogtjenesten basert på Windows Server 2008 R2. For å redusere kostnadene ble installasjonen utført i et servervirtualiseringssystem basert på Microsoft Hyper-V.
	Som en del av et omfattende prosjekt for å lage en IT-infrastruktur for bedrifter, ble en katalogtjeneste basert på Windows Server 2008 R2 distribuert. Alle domenekontrollere ble distribuert ved hjelp av Microsoft Hyper-V servervirtualiseringssystem. Kvaliteten på arbeidet bekreftes av tilbakemeldingene mottatt fra kunden.
	På kortest mulig tid ble driften av Active Directory-katalogtjenesten gjenopprettet i en kritisk forretningssituasjon. LanKey-spesialister gjenopprettet bokstavelig talt rotdomenet på et par timer og skrev instruksjoner for å gjenopprette replikering av 80 avdelingskontorer. Det ble mottatt tilbakemeldinger fra kunden for effektiviteten og kvaliteten på arbeidet.
	Som en del av et omfattende prosjekt for å lage en IT-infrastruktur, ble et Active Directory-domene basert på Windows Server 2008 R2 distribuert. Katalogtjenesteytelsen ble sikret ved hjelp av 5 domenekontrollere distribuert på en klynge av virtuelle maskiner. Sikkerhetskopieringen av katalogtjenesten ble implementert ved hjelp av Microsoft Data Protection Manager 2010. Kvaliteten på arbeidet ble bekreftet av tilbakemeldingen.
	Som en del av et omfattende prosjekt for å bygge et bedriftsinformasjonssystem, ble den enhetlige katalogtjenesten Active Directory distribuert basert på Windows Server 2008. IT-infrastrukturen ble bygget ved hjelp av Hyper-V-virtualisering. Etter ferdigstillelse av prosjektet ble det inngått kontrakt for videre vedlikehold av informasjonssystemet. Kvaliteten på arbeidet bekreftes av tilbakemeldingene.
Olje- og gassteknologier	Som en del av et omfattende prosjekt for å lage en IT-infrastruktur, ble en enhetlig Active Directory basert på Windows Server 2008 R2 distribuert. Prosjektet ble fullført på 1 måned. Etter ferdigstillelse av prosjektet ble det inngått avtale om videre vedlikehold av systemet. Kvaliteten på arbeidet bekreftes av anmeldelsen.
	Distribusjon av Active Directory basert på Windows Server 2008 som en del av implementeringsprosjektet for Exchange Server 2007.
	Omorganiserte den Windows Server 2003-baserte Active Directory-katalogtjenesten før implementering av Exchange Server 2007. Kvaliteten på arbeidet bekreftes av tilbakemeldingen .
	Distribusjon av Active Directory-katalogtjenesten basert på Windows Server 2003 R2. Etter ferdigstillelse av prosjektet ble det signert kontrakt for videre vedlikehold av systemet. Kvaliteten på arbeidet bekreftes av anmeldelsen.
	Active Directory ble distribuert basert på Windows Server 2003. Etter fullføringen av prosjektet ble det signert kontrakter for videre systemvedlikehold.

Kort sagt lar AD deg bruke ett enkelt administrasjonspunkt for alle publiserte ressurser. AD er basert på navnestandarden X.500, Domain Name System (DNS) brukes for stedsbestemmelse, og Lightweight Directory Access Protocol (LDAP) brukes som den underliggende protokollen.

AD kombinerer den logiske og fysiske strukturen til et nettverk. AD logiske struktur består av følgende elementer:

organisasjonsenhet - en undergruppe av datamaskiner, som regel, som gjenspeiler selskapets struktur;
domene – en gruppe datamaskiner som deler en felles katalogdatabase;
domenetre - ett eller flere domener som deler kontinuerlig plass navn;
domeneskog – ett eller flere trær som deler kataloginformasjon.

Den fysiske strukturen inkluderer følgende elementer:

subnett – en nettgruppe med et spesifisert utvalg av IP-adresser og en nettmaske;
nettstedet ett eller flere undernett. Nettstedet brukes til å konfigurere katalogtilgang og for replikering.

Katalogen lagrer tre typer informasjon: domenedata, skjemadata og konfigurasjonsdata. AD bruker kun domenekontrollere. Domenedata blir replikert til alle domenekontrollere. Alle domenekontrollere er like, dvs. alle endringer som gjøres fra en domenekontroller, vil bli replikert til alle andre domenekontrollere. Skjema- og konfigurasjonsdata blir replikert til alle domener i et tre eller en skog. I tillegg blir alle individuelle domeneobjekter og noen skogobjektegenskaper replikert til den globale katalogen (GC). Dette betyr at domenekontrolleren lagrer og replikerer skjemaet for treet eller skogen, konfigurasjonsinformasjonen for alle domener i treet eller skogen, og alle katalogobjekter og egenskaper for sitt eget domene.

Domenekontrolleren som er vert for GC-en holder og replikerer skjemainformasjonen for skogen, konfigurasjonsinformasjonen for alle domener i skogen, og et begrenset sett med egenskaper for alle katalogobjekter i skogen (som bare replikeres mellom GC-servere), og alle katalogobjekter og egenskaper for domenet ditt.

Domenekontrollere kan ha ulike roller driftseiere. Operasjonsmasteren utfører oppgaver som er upraktiske å utføre i en multi-master replikeringsmodell.

Det er fem operasjonsmasterroller som kan tilordnes til én eller flere domenekontrollere. Noen roller må være unike på skognivå, andre på domenenivå.

Følgende roller finnes i hver AD-skog:

Skjemamester – administrerer oppdateringer og endringer i katalogskjemaer. Oppdatering av katalogskjemaet krever tilgang til skjemamasteren. For å finne ut hvilken server gitt tid er mester for skjemaet i domenet, må du skrive inn kommandoen i kommandolinjevinduet dsquery server -hasfsmo skjema
Domenenavnmester - administrerer tillegg og fjerning av domener i skogen. Å legge til eller fjerne et domene krever tilgang til masteren for domenenavn. For å finne ut hvilken server som for øyeblikket er domenenavningsmaster, skriver du dsquery server -hasismo name i et ledetekstvindu

Disse rollene er felles for skogen som helhet og er unike i den.

Hvert AD-domene har følgende roller:

Relativ ID-mester - Tildeler relative identifikatorer til domenekontrollere. Hver gang et bruker-, gruppe- eller dataobjekt opprettes, tildeler kontrollerne en unik SID til objektet, bestående av en domene-SID og en unik identifikator som ble tildelt av den relative identifikatormasteren. For å finne ut hvilken server som for øyeblikket er master for relative domeneidentifikatorer, ved ledeteksten, skriv dsquery server -hasfsmo rid
PDC-emulator (PDC-emulator) - Fungerer som en primær domenekontroller for Windows NT i blandet domenemodus. Den autentiserer Windows-påloggingen, håndterer passordendringer og replikerer oppdateringer til BDC, hvis noen. For å finne ut hvilken server som for øyeblikket er domenets PDC-emulator, ved ledeteksten, skriv dsquery server -hasfsmo pdc
Infrastrukturmester - Oppdaterer objektreferanser ved å sammenligne katalogdataene med GC-data. Hvis dataene er utdaterte, ber den om oppdateringer fra GC og replikerer dem til resten av domenekontrollerne. For å finne ut hvilken server som for øyeblikket er domeneinfrastrukturmaster, ved ledeteksten, skriv dsquery server -hasfsmo infr

Disse rollene er felles for hele domenet og må være unike innenfor det.

Operasjonsmasterroller blir automatisk tildelt den første kontrolleren i domenet, men kan tildeles på nytt av deg senere. Hvis det bare er én kontroller i domenet, utfører den alle rollene som operasjonsledere samtidig.

Vi anbefaler ikke å skille skjemamaster- og domenenavn-masterrollene. Hvis mulig, tilordne dem til samme domenekontroller. For mest mulig effektivitet er det ønskelig at den relative identifikatormasteren og PDC-emulatoren også ligger på samme kontroller, selv om disse rollene kan skilles fra hverandre om nødvendig. I et stort nettverk hvor tunge belastninger redusere ytelsen, må den relative ID-masteren og PDC-emulatoren plasseres på forskjellige kontrollere. Vi anbefaler heller ikke å være vert for infrastrukturmasteren på en domenekontroller som har den globale katalogen.

Installere en Windows Server 2003-domenekontroller (DC) ved hjelp av Active Directory-installasjonsveiviseren

Domenekontrolleren installeres ved hjelp av Active Directory-installasjonsveiviseren. For å markedsføre en server til en domenekontroller, må du sørge for at alle nødvendige krav for dette er oppfylt:

Serveren må ha minst én NTFS-partisjon for å være vert for SYSVOL-systemvolumet.
Serveren må ha tilgang til DNS-serveren. Det anbefales å installere DNS-tjenesten på samme server. Hvis det brukes en frittstående server, må det sikres at den støtter Service Location Resource Records (RFC 2052) og Dynamic Updates Protocol (RFC 2136).
Du må ha en konto med lokale administratorrettigheter på serveren.

La oss vurdere i detalj promoteringen av rollen til serveren til Active Directory-domenekontrolleren i trinn:

Grunnleggende om Active Directory-domeneadministrasjon

En rekke verktøy i Microsoft Management Console (MMC) snap-in-moduler gjør det enkelt å jobbe med Active Directory.

Snap-in-modulen (Active Directory-brukere og datamaskiner) er en MMC-administrasjonskonsoll som du kan bruke til å administrere og publisere informasjon til katalogen. Det er hovedadministrasjonsverktøyet for Active Directory og brukes til å utføre alle oppgaver knyttet til brukere, grupper og datamaskiner, samt til å administrere organisasjonsenheter.

For å starte snapin-modulen (Active Directory-brukere og datamaskiner), velg kommandoen med samme navn fra Administrative Tools-menyen.

Som standard fungerer Active Directory-brukere og datamaskiner-konsollen med domenet som datamaskinen din tilhører. Du kan få tilgang til datamaskin- og brukerobjekter i dette domenet gjennom konsolltreet eller koble til et annet domene. Verktøyene til den samme konsollen lar deg se flere parametere for objekter og søke etter dem.

Etter å ha fått tilgang til domenet, vil du se et standardsett med mapper:

Lagrede søk (Lagrede søk) - lagrede søkekriterier som lar deg raskt gjenta et tidligere utført søk i Active Directory;
Innebygd – liste over innebygde brukerkontoer;
datamaskiner – standardbeholder for datamaskinkontoer;
Domenekontrollere – standardbeholder for domenekontrollere;
Foreign Security Principals – inneholder informasjon om objekter fra et klarert eksternt domene. Vanligvis opprettes disse objektene når et objekt fra et eksternt domene legges til den gjeldende domenegruppen;
Brukere er standardbeholderen for brukere.

Noen konsollmapper vises ikke som standard. For å vise dem, velg kommandoen Avanserte funksjoner fra Vis-menyen. Disse ekstra mappene er:

Mistet og funnet – tapte eiere, katalogobjekter;
NTDS-kvoter – data om katalogtjenestekvoter;
Programdata – Data lagret i katalogtjenesten for Microsoft-applikasjoner;
System – innebygde systemparametere.

Du kan selv legge til mapper for organisasjonsenheter i AD-treet.

Tenk på et eksempel på hvordan du oppretter en domenebrukerkonto. For å opprette en brukerkonto, høyreklikk beholderen der du vil plassere brukerkontoen, velg Ny fra hurtigmenyen og deretter Bruker. Vinduet Nytt objekt – Brukerveiviser åpnes:

Skriv inn brukerens fornavn, fornavn og etternavn i de aktuelle feltene. Denne informasjonen vil være nødvendig for å generere brukerens visningsnavn.
Rediger hele navnet. Den må være unik innenfor domenet og ikke lenger enn 64 tegn.
Skriv inn påloggingsnavnet ditt. Bruk rullegardinlisten til å velge domenet som kontoen skal knyttes til.
Om nødvendig, endre påloggingsbrukernavnet for systemer som kjører Windows NT 4.0 eller nyere tidlige versjoner. Som standard brukes de første 20 tegnene i brukerens fulle navn som påloggingsnavn for systemer som kjører tidligere versjoner av Windows. Dette navnet må også være unikt innenfor domenet.
Klikk Neste (Neste). Angi et passord for brukeren. Innstillingene må samsvare med passordpolicyen din;
Bekreft passord - et felt som brukes til å bekrefte riktigheten av det angitte passordet;
Bruker må endre passord ved neste pålogging(Krev passordendring ved neste pålogging) - hvis denne boksen er merket av, må brukeren endre passordet ved neste pålogging;
Brukeren kan ikke endre passord - hvis denne boksen er merket, kan ikke brukeren endre passordet;
Passordet utløper aldri - hvis denne boksen er merket, utløper ikke passordet for denne kontoen (denne innstillingen overstyrer domenekontopolicyen);
Kontoen er deaktivert - Hvis det er merket av, er kontoen deaktivert (nyttig for midlertidig å hindre noen fra å bruke kontoen).

Kontoer lar deg lagre brukerkontaktinformasjon, samt informasjon om deltakelse i ulike domenegrupper, profilsti, påloggingsskript, hjemmemappebane, liste over datamaskiner som brukeren har lov til å gå inn på domenet fra, etc.

Påloggingsskript definerer kommandoene som utføres ved hver pålogging. De lar deg konfigurere systemtiden, nettverksskrivere, nettverksstasjonsbaner, etc. Skript brukes til å kjøre kommandoer én gang, og miljøinnstillingene angitt av skriptene lagres ikke for senere bruk. Påloggingsskript kan være Windows Script Server-filer med filtypen .VBS, .JS og andre, batchfiler med filtypen .BAT, kommandofiler med filtypen .CMD, programmer med filtypen .EXE.

Du kan tildele hver konto sin egen hjemmemappe for lagring og gjenoppretting av brukerens filer. De fleste applikasjoner åpner hjemmemappen som standard for filåpnings- og lagringsoperasjoner, noe som gjør det enkelt for brukere å finne dataene sine. På kommandolinjen er hjemmemappen den opprinnelige gjeldende katalogen. Hjemmemappen kan være plassert enten på brukerens lokale harddisk eller på en delt nettverksstasjon.

Gruppepolicyer kan brukes på domenedatamaskiner og brukerkontoer. Gruppepolicy forenkler administrasjonen ved å gi administratorer sentralisert kontroll over privilegiene, tillatelsene og egenskapene til brukere og datamaskiner. Gruppepolicy lar deg:

opprette sentralt administrerte spesialmapper, for eksempel Mine dokumenter (Mine dokumenter);
administrere tilgang til Windows-komponenter, system- og nettverksressurser, kontrollpanelverktøy, skrivebordet og Start-menyen;
konfigurere bruker- og datamaskinskript for å utføre en oppgave på et spesifisert tidspunkt;
konfigurere retningslinjer for passord og kontosperringer, revisjon, tilordninger av brukerrettigheter og sikkerhet.

I tillegg til å administrere brukerkontoer og grupper, er det mange andre domeneadministrasjonsoppgaver. Det finnes andre verktøy og applikasjoner for dette.

rigger Active Directory-domener og truster(Active Directory - Domains and Trusts) brukes til å jobbe med domener, domenetrær og domeneskoger.

rigger Active Directory-nettsteder og -tjenester(Active Directory - Sites and Services) lar deg administrere nettsteder og undernett, samt replikering mellom nettsteder.

For å administrere AD-objekter finnes det kommandolinjeverktøy som lar deg utføre et bredt spekter av administrative oppgaver:

Dsadd - Legger til datamaskiner, kontakter, grupper, organisasjonsenheter og brukere i Active Directory. For å få bakgrunnsinformasjon skriv dsadd /? , for eksempel dsadd datamaskin/?
dsmod - Endrer egenskapene til datamaskiner, kontakter, grupper, organisasjonsenheter, brukere og servere registrert i Active Directory. For hjelp, skriv dsmod /? , for eksempel dsmod server /?
Dsmove – Flytter et enkelt objekt til et nytt sted innenfor et domene, eller gir nytt navn til et objekt uten å flytte det.
Dsget - Viser egenskapene til datamaskiner, kontakter, grupper, organisasjonsenheter, brukere, nettsteder, undernett og servere registrert i Active Directory. For hjelp, skriv dsget /? , for eksempel dsget subnet /?
dsquery – søker etter datamaskiner, kontakter, grupper, organisasjonsenheter, brukere, nettsteder, undernett og servere i Active Directory i henhold til angitte kriterier.
Dsrm – sletter et objekt fra Active Directory.
Ntdsutil - lar deg se nettsted-, domene- eller serverinformasjon, administrere operasjonsmastere og vedlikeholde Active Directory-databasen.

Det finnes også Active Directory-støtteverktøy:

ldp – Utfører operasjoner i Active Directory Administration ved å bruke LDAP-protokollen.
Replmon – Håndterer replikering og viser resultatene i et grafisk grensesnitt.
Dsacls – Administrerer ACL-er (Access Control Lists) for Active Directory-objekter.
Dfsutil – Administrerer det distribuerte filsystemet (DFS) og viser informasjon om driften.
dnscmd – Administrerer egenskapene til servere, soner og DNS-ressursposter.
Movetree – Flytter objekter fra ett domene til et annet.
Repadmin – Administrerer replikering og viser resultatene i et kommandolinjevindu.
Sdcbeck – Analyserer distribusjon, replikering og arv av tilgangskontrolllister.
Sidewalker – Angir tilgangskontrolllister for objekter som tidligere var eid av flyttede, slettede eller foreldreløse kontoer.
netdom – Lar deg administrere domener og tillitsforhold fra kommandolinjen.

Som det fremgår av denne artikkelen, kan du ved å kombinere grupper av datamaskiner til domener basert på Active Directory redusere kostnadene for administrative oppgaver betydelig ved å sentralisere administrasjonen av domenekontoer for datamaskiner og brukere, og det lar deg også fleksibelt administrere brukerrettigheter, sikkerhet og en rekke andre parametere. Mer detaljert materiale om organisering av domener finnes i relevant litteratur.

Siden jeg er godt kjent med småbedrifter fra innsiden, har jeg alltid vært interessert i følgende spørsmål. Forklar hvorfor den ansatte skal bruke nettleseren som systemadministratoren liker på arbeidsdatamaskinen? Eller ta hvilken som helst annen programvare, for eksempel, samme arkiver, e-postklient, direktemeldingsklient ... Dette antyder jeg jevnt til standardisering, og ikke på grunnlag av den personlige sympatien til systemadministratoren, men på grunnlag av tilstrekkeligheten funksjonalitet, vedlikeholdskostnader og støtte for disse programvareproduktene. La oss begynne å betrakte IT som en eksakt vitenskap, ikke et håndverk, når alle gjør det de kan. Igjen, det er mange problemer med dette også i små bedrifter. Tenk deg at et selskap skifter flere slike administratorer i en vanskelig krisetid, hva skal dårlige brukere gjøre i en slik situasjon? Lære på nytt hele tiden?

La oss se fra den andre siden. Enhver leder bør forstå hva som skjer i selskapet (inkludert innen IT) nå. Dette er nødvendig for å spore den nåværende situasjonen, for å reagere raskt på hendelsen annen type problemer. Men denne forståelsen er viktigere for strategisk planlegging. Tross alt, med et sterkt og pålitelig fundament, kan vi bygge et hus i 3 eller 5 etasjer, lage et tak forskjellige former, lage balkonger eller en vinterhage. På samme måte har vi innen IT et solid fundament - vi kan fortsette å bruke mer komplekse produkter og teknologier for å løse forretningsproblemer.

I den første artikkelen og vil bli diskutert om en slik stiftelse - Active Directory Services. De er designet for å bli et sterkt grunnlag for IT-infrastrukturen til et selskap av enhver størrelse og enhver bransje. Hva det er? La oss snakke om det her...

La oss starte samtalen med enkle konsepter– domene- og Active Directory-tjenester.

Domene er den viktigste administrative enheten i nettverksinfrastrukturen til en bedrift, som inkluderer alle nettverksobjekter, for eksempel brukere, datamaskiner, skrivere, delinger og mer. Samlingen av slike domener kalles en skog.

Active Directory Services (Active Directory Services) er en distribuert database som inneholder alle domeneobjekter. Active Directory-domenemiljøet er et enkelt autentiserings- og autorisasjonspunkt for brukere og applikasjoner på tvers av bedriften. Det er med organiseringen av domenet og distribusjonen av Active Directory-tjenester at byggingen av IT-infrastrukturen til bedriften begynner.

Active Directory-databasen er lagret på dedikerte servere – domenekontrollere. Active Directory Services er en rolle for Microsoft Windows Server-operativsystemer. Active Directory Services er svært skalerbare. Mer enn 2 milliarder objekter kan opprettes i en Active Directory-skog, noe som gjør det mulig å implementere en katalogtjeneste i selskaper med hundretusenvis av datamaskiner og brukere. Den hierarkiske strukturen til domener lar deg fleksibelt skalere IT-infrastrukturen til alle grener og regionale divisjoner av selskaper. For hver gren eller avdeling av selskapet kan det opprettes et eget domene, med egne retningslinjer, egne brukere og grupper. For hvert underordnede domene kan administrativ myndighet delegeres til lokale systemadministratorer. Samtidig er underordnede domener fortsatt underordnet de overordnede.

I tillegg lar Active Directory-tjenester deg sette opp tillitsforhold mellom domeneskoger. Hvert selskap har sin egen skog av domener, hver med sine egne ressurser. Men noen ganger kan det være nødvendig å gi tilgang til bedriftens ressurser til ansatte i et annet selskap – arbeid med delte dokumenter og applikasjoner som en del av et felles prosjekt. For å gjøre dette, kan tillitsrelasjoner settes opp mellom skogene til organisasjoner, som vil tillate ansatte i en organisasjon å logge på domenet til en annen.

For å gi feiltoleranse for Active Directory-tjenester, må du distribuere to eller flere domenekontrollere i hvert domene. Alle endringer blir automatisk replikert mellom domenekontrollere. Ved svikt i en av domenekontrollerne, påvirkes ikke nettverket, fordi resten fortsetter å fungere. Et ekstra lag med motstandskraft er gitt ved å være vert for DNS-servere på domenekontrollere i Active Directory, som lar hvert domene ha flere DNS-servere som betjener den primære domenesonen. Og hvis en av DNS-serverne svikter, vil resten fortsette å fungere. Vi vil snakke om rollen og betydningen av DNS-servere i IT-infrastrukturen i en av artiklene i serien.

Men disse er alle tekniske aspekter ved implementering og vedlikehold av Active Directory-tjenester. La oss snakke om fordelene en bedrift får ved å gå bort fra peer-to-peer-nettverk ved å bruke arbeidsgrupper.

1. Enkelt autentiseringspunkt

I en arbeidsgruppe på hver datamaskin eller server må du manuelt legge til en komplett liste over brukere som trenger nettverkstilgang. Hvis plutselig en av de ansatte ønsker å endre passordet sitt, må det endres på alle datamaskiner og servere. Vel, hvis nettverket består av 10 datamaskiner, men hvis det er flere? Når du bruker et Active Directory-domene, lagres alle brukerkontoer i én database, og alle datamaskiner får tilgang til den for autorisasjon. Alle domenebrukere er inkludert i de aktuelle gruppene, for eksempel "Regnskap", "Finansavdeling". Det er nok å angi tillatelser for bestemte grupper én gang, og alle brukere vil få riktig tilgang til dokumenter og applikasjoner. Hvis en ny ansatt kommer til bedriften, opprettes en konto for ham, som er inkludert i den aktuelle gruppen - den ansatte får tilgang til alle nettverksressurser han skal få tilgang til. Hvis en ansatt slutter, er det nok å blokkere - og han vil umiddelbart miste tilgangen til alle ressurser (datamaskiner, dokumenter, applikasjoner).

2. Enkeltpunkt for policystyring

I en arbeidsgruppe er alle datamaskiner like. Ingen av datamaskinene kan kontrollere den andre, det er umulig å kontrollere overholdelse av enhetlige retningslinjer og sikkerhetsregler. Når du bruker én enkelt Active Directory-katalog, er alle brukere og datamaskiner hierarkisk fordelt i organisasjonsenheter, som hver er underlagt enhetlige gruppepolicyer. Retningslinjer lar deg angi enhetlige innstillinger og sikkerhetsinnstillinger for en gruppe datamaskiner og brukere. Når en ny datamaskin eller bruker legges til domenet, mottar den automatisk innstillinger som samsvarer med aksepterte bedriftsstandarder. Ved hjelp av policyer kan du sentralt tilordne nettverksskrivere til brukere, installere de nødvendige applikasjonene, angi sikkerhetsinnstillinger for nettleseren og konfigurere Microsoft Office-applikasjoner.

3. Økt nivå av informasjonssikkerhet

Bruk av Active Directory-tjenester forbedrer nettverkssikkerheten betraktelig. For det første er det en enkelt og sikker lagring av kontoer. I et domenemiljø lagres alle passord for domenebrukere på dedikerte servere, domenekontrollere, som vanligvis er beskyttet mot ekstern tilgang. For det andre, når du bruker et domenemiljø, brukes Kerberos-protokollen for autentisering, som er mye sikrere enn NTLM som brukes i arbeidsgrupper.

4. Integrasjon med bedriftsapplikasjoner og utstyr

En stor fordel med Active Directory-tjenester er samsvar med LDAP-standarden, som støttes av andre systemer, for eksempel e-postservere (Exchange Server), proxy-servere (ISA Server, TMG). Og det er ikke nødvendigvis bare Microsoft-produkter. Fordelen med denne integrasjonen er at brukeren ikke trenger å huske et stort antall pålogginger og passord for å få tilgang til en bestemt applikasjon, i alle applikasjoner har brukeren samme legitimasjon - hans autentisering finner sted i en enkelt Active Directory-katalog. Windows Server gir Active Directory-integrasjon med RADIUS-protokollen, som støttes av et bredt utvalg nettverksutstyr. Dermed er det for eksempel mulig å gi autentisering av domenebrukere ved tilkobling via VPN fra utsiden, bruk av Wi-Fi aksesspunkter i bedriften.

5. Unified Application Configuration Store

Noen programmer lagrer konfigurasjonen i Active Directory, for eksempel Exchange Server. Distribusjon av Active Directory-katalogtjenesten er en forutsetning for at disse programmene skal fungere. Lagring av applikasjonskonfigurasjon i en katalogtjeneste er fordelaktig med tanke på fleksibilitet og pålitelighet. For eksempel, i tilfelle en fullstendig feil på Exchange-serveren, vil hele konfigurasjonen forbli intakt. For å gjenopprette funksjonaliteten til bedriftspost, vil det være nok å installere Exchange Server på nytt i gjenopprettingsmodus.

Oppsummert vil jeg igjen fokusere på det faktum at Active Directory-tjenester er hjertet i en bedrifts IT-infrastruktur. Ved feil vil hele nettverket, alle servere, arbeidet til alle brukere bli lammet. Ingen vil kunne logge på datamaskinen, få tilgang til dokumentene og applikasjonene deres. Derfor må katalogtjenesten være nøye utformet og distribuert, med tanke på alle mulige nyanser, for eksempel båndbredden til kanaler mellom filialer eller bedriftskontorer (dette påvirker direkte hastigheten på brukerinnlogging til systemet, samt datautveksling mellom domenekontrollere).