ชีวประวัติ ลักษณะเฉพาะ การวิเคราะห์
ขยาย
บ้าน

Ubuntu ติดตั้งโฟลเดอร์เครือข่าย cifs วิธีแมป Windows Network Drive ใน Linux

ผู้ดูแลระบบเครือข่าย Windows ไม่สามารถหลีกเลี่ยงความคุ้นเคยกับ . บทความภาพรวมนี้จะกล่าวถึง Active Directory คืออะไรและกินกับอะไร

ดังนั้น Active Directory คือการนำบริการไดเร็กทอรีของ Microsoft มาใช้งาน ในกรณีนี้ บริการไดเร็กทอรีหมายถึงชุดซอฟต์แวร์ที่ช่วยให้ผู้ดูแลระบบทำงานกับทรัพยากรเครือข่าย เช่น โฟลเดอร์ที่ใช้ร่วมกัน เซิร์ฟเวอร์ เวิร์กสเตชัน เครื่องพิมพ์ ผู้ใช้ และกลุ่ม

Active Directory มีโครงสร้างแบบลำดับชั้นที่ประกอบด้วยวัตถุ วัตถุทั้งหมดแบ่งออกเป็นสามประเภทหลัก

  • บัญชีผู้ใช้และคอมพิวเตอร์
  • ทรัพยากร (เช่น เครื่องพิมพ์);
  • บริการต่างๆ (เช่น อีเมล)

วัตถุแต่ละชิ้นมีชื่อเฉพาะและมีลักษณะหลายอย่าง สามารถจัดกลุ่มวัตถุได้

คุณสมบัติผู้ใช้

Active Directory มีโครงสร้างฟอเรสต์ ป่ามีต้นไม้หลายต้นที่มีโดเมน ในทางกลับกัน โดเมนมีวัตถุข้างต้น


โครงสร้างไดเรกทอรีที่ใช้งานอยู่

โดยทั่วไปแล้ว วัตถุในโดเมนจะถูกจัดกลุ่มเป็น OU แผนกย่อยทำหน้าที่สร้างลำดับชั้นภายในโดเมน (องค์กร แผนกย่อยในอาณาเขต แผนก ฯลฯ) นี่เป็นสิ่งสำคัญอย่างยิ่งสำหรับองค์กรที่กระจายอยู่ทั่ว คุณลักษณะทางภูมิศาสตร์. เมื่อสร้างโครงสร้าง ขอแนะนำให้สร้างโดเมนให้น้อยที่สุดเท่าที่จะเป็นไปได้ หากจำเป็น ให้สร้างหน่วยงานแยกต่างหาก เป็นเรื่องที่สมเหตุสมผลที่จะใช้นโยบายกลุ่ม

คุณสมบัติเวิร์กสเตชัน

อีกวิธีในการจัดโครงสร้าง Active Directory คือ เว็บไซต์. ไซต์เป็นวิธีการทางกายภาพมากกว่าการจัดกลุ่มเชิงตรรกะตามกลุ่มเครือข่าย

ตามที่ได้กล่าวไปแล้ว แต่ละวัตถุใน Active Directory จะมีชื่อเฉพาะ ตัวอย่างเช่น เครื่องพิมพ์ HPLaserJet4350dtnซึ่งตั้งอยู่ในส่วน ทนายความและในโดเมน ไพรเมอร์.ruจะมีชื่อ CN=HPLaserJet4350dtn,OU=ทนายความ,DC=ไพรเมอร์,DC=ru. ซี.เอ็น- นี้ ชื่อสามัญ, อู๋- แผนกย่อย กระแสตรง- คลาสวัตถุโดเมน ชื่อของวัตถุสามารถเป็นได้มาก ชิ้นส่วนเพิ่มเติมกว่าในตัวอย่างนี้

รูปแบบอื่นของชื่อวัตถุมีลักษณะดังนี้: primer.ru/Lawyers/HPLaserJet4350dtn. แต่ละออบเจ็กต์ยังมีตัวระบุที่ไม่ซ้ำกันทั่วโลก ( คู่มือ) เป็นสตริง 128 บิตที่ไม่เปลี่ยนรูปและไม่เปลี่ยนรูปซึ่งใช้โดย Active Directory สำหรับการค้นหาและการจำลองแบบ อ็อบเจ็กต์บางตัวยังมีชื่อผู้ใช้หลัก ( ยูพีเอ็น) ในรูปแบบ วัตถุ@โดเมน.

ที่นี่ ข้อมูลทั่วไปเกี่ยวกับ Active Directory คืออะไร และเหตุใดจึงจำเป็นในเครือข่ายท้องถิ่นที่ใช้ Windows ท้ายที่สุด มันสมเหตุสมผลที่จะบอกว่าผู้ดูแลระบบมีความสามารถในการทำงานกับ Active Directory จากระยะไกลผ่าน เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows 7 (KB958830)(ดาวน์โหลด) และ เครื่องมือการดูแลเซิร์ฟเวอร์ระยะไกลสำหรับ Windows 8.1 (KB2693643) (ดาวน์โหลด).


โดเมนเป็นหน่วยดูแลระบบหลักในโครงสร้างพื้นฐานเครือข่ายขององค์กร ซึ่งรวมถึงอ็อบเจ็กต์เครือข่ายทั้งหมด เช่น ผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ การแชร์ และอื่นๆ การรวบรวม (ลำดับชั้น) ของโดเมนเรียกว่าฟอเรสต์ แต่ละบริษัทสามารถมีโดเมนภายนอกและภายในได้

ตัวอย่างเช่น ไซต์เป็นโดเมนภายนอกบนอินเทอร์เน็ตที่ซื้อจากผู้รับจดทะเบียนชื่อ โดเมนนี้โฮสต์เว็บไซต์และเซิร์ฟเวอร์อีเมลของเรา lankey.local - โดเมนบริการไดเรกทอรี Active Directory ภายในที่โฮสต์บัญชีผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ เซิร์ฟเวอร์ และแอปพลิเคชันขององค์กร บางครั้งชื่อโดเมนภายนอกและภายในจะถูกสร้างให้เหมือนกัน

Microsoft Active Directory ได้กลายเป็นมาตรฐานสำหรับระบบไดเรกทอรีรวมขององค์กร โดเมนที่ใช้ Active Directory ถูกนำมาใช้ในเกือบทุกบริษัทในโลก และ Microsoft แทบไม่เหลือคู่แข่งในตลาดนี้แล้ว ส่วนแบ่งของ Novell Directory Service (NDS) เดียวกันนั้นน้อยมาก และบริษัทที่เหลือก็ค่อยๆ ย้ายไปยัง ไดเรกทอรีที่ใช้งานอยู่

Active Directory (Directory Service) เป็นฐานข้อมูลแบบกระจายที่มีวัตถุโดเมนทั้งหมด สภาพแวดล้อมของโดเมน Active Directory เป็นจุดเดียวของการรับรองความถูกต้องและการให้สิทธิ์สำหรับผู้ใช้และแอปพลิเคชันทั่วทั้งองค์กร มันขึ้นอยู่กับองค์กรของโดเมนและการปรับใช้ Active Directory ที่การก่อสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กรเริ่มต้นขึ้น ฐานข้อมูล Active Directory ถูกจัดเก็บไว้ในเซิร์ฟเวอร์เฉพาะ - ตัวควบคุมโดเมน Active Directory เป็นบทบาทของเซิร์ฟเวอร์ ระบบปฏิบัติการ ไมโครซอฟท์ วินโดวส์เซิร์ฟเวอร์ ใน ช่วงเวลานี้ LanKey ใช้โดเมน Active Directory ตามระบบปฏิบัติการ Windows Server 2008 R2

การปรับใช้บริการไดเรกทอรี Active Directory บน Workgroup ให้ประโยชน์ดังต่อไปนี้:

  • จุดเดียวการรับรองความถูกต้อง เมื่อคอมพิวเตอร์ทำงานในเวิร์กกรุ๊ป พวกเขาไม่มีฐานข้อมูลผู้ใช้รายเดียว คอมพิวเตอร์แต่ละเครื่องจะมีของตัวเอง ดังนั้น ตามค่าเริ่มต้น ไม่มีผู้ใช้ใดที่สามารถเข้าถึงเครือข่ายไปยังคอมพิวเตอร์หรือเซิร์ฟเวอร์ของผู้ใช้รายอื่น และอย่างที่ทราบกันดีว่าความหมายของเครือข่ายนั้นเป็นเพียงการที่ผู้ใช้สามารถโต้ตอบกันได้ พนักงานจำเป็นต้องแบ่งปันเอกสารหรือใบสมัคร ในกลุ่มงานบนคอมพิวเตอร์หรือเซิร์ฟเวอร์แต่ละเครื่อง คุณจะต้องเพิ่มรายชื่อผู้ใช้ทั้งหมดที่ต้องการการเข้าถึงเครือข่ายด้วยตนเอง หากจู่ๆ พนักงานคนใดคนหนึ่งต้องการเปลี่ยนรหัสผ่าน ก็จะต้องเปลี่ยนรหัสผ่านในคอมพิวเตอร์และเซิร์ฟเวอร์ทุกเครื่อง ไม่เป็นไรถ้าเครือข่ายประกอบด้วยคอมพิวเตอร์ 10 เครื่อง แต่ถ้ามี 100 หรือ 1,000 เครื่อง การใช้เวิร์กกรุ๊ปจะไม่เป็นที่ยอมรับ เมื่อใช้โดเมน Active Directory บัญชีผู้ใช้ทั้งหมดจะถูกจัดเก็บไว้ในฐานข้อมูลเดียว และคอมพิวเตอร์ทุกเครื่องจะเข้าถึงเพื่อขออนุญาต ผู้ใช้โดเมนทั้งหมดจะรวมอยู่ในกลุ่มที่เหมาะสม เช่น "บัญชี" "บุคลากร" "แผนกการเงิน" เป็นต้น การตั้งค่าสิทธิ์สำหรับบางกลุ่มเพียงครั้งเดียวก็เพียงพอแล้ว และผู้ใช้ทุกคนจะได้รับสิทธิ์เข้าถึงเอกสารและแอปพลิเคชันที่เหมาะสม ถ้าบริษัทมา พนักงานใหม่มีการสร้างบัญชีสำหรับเขาซึ่งรวมอยู่ในกลุ่มที่เกี่ยวข้อง แค่นั้น! หลังจากผ่านไปสองสามนาที พนักงานใหม่จะสามารถเข้าถึงทรัพยากรเครือข่ายทั้งหมดที่เขาควรได้รับอนุญาตให้เข้าถึงได้บนเซิร์ฟเวอร์และคอมพิวเตอร์ทุกเครื่อง หากพนักงานลาออก ก็เพียงพอแล้วที่จะบล็อกหรือลบบัญชีของเขา และเขาจะไม่สามารถเข้าถึงคอมพิวเตอร์ เอกสาร และแอปพลิเคชันทั้งหมดได้ทันที
  • จุดเดียวของการจัดการนโยบาย ในเครือข่ายเพียร์ทูเพียร์ (เวิร์กกรุ๊ป) คอมพิวเตอร์ทุกเครื่องจะเท่าเทียมกัน ไม่มีคอมพิวเตอร์เครื่องใดสามารถควบคุมเครื่องอื่นได้ คอมพิวเตอร์ทุกเครื่องได้รับการกำหนดค่าต่างกัน เป็นไปไม่ได้ที่จะควบคุมการปฏิบัติตามนโยบายหรือกฎความปลอดภัยที่เหมือนกัน เมื่อใช้ไดเร็กทอรี Active Directory เดียว ผู้ใช้และคอมพิวเตอร์ทั้งหมดจะถูกแจกจ่ายตามลำดับชั้นในหน่วยขององค์กร ซึ่งแต่ละหน่วยจะอยู่ภายใต้นโยบายกลุ่มเดียวกัน นโยบายอนุญาตให้คุณตั้งค่าเครื่องแบบและการตั้งค่าความปลอดภัยสำหรับกลุ่มคอมพิวเตอร์และผู้ใช้ เมื่อมีการเพิ่มคอมพิวเตอร์หรือผู้ใช้ใหม่ลงในโดเมน คอมพิวเตอร์นั้นจะได้รับการตั้งค่าที่สอดคล้องกับมาตรฐานองค์กรที่ยอมรับโดยอัตโนมัติ นอกจากนี้ เมื่อใช้นโยบาย คุณสามารถกำหนดเครื่องพิมพ์เครือข่ายให้กับผู้ใช้จากส่วนกลาง ติดตั้งแอปพลิเคชันที่จำเป็น ตั้งค่าความปลอดภัยของเบราว์เซอร์อินเทอร์เน็ต กำหนดค่าแอปพลิเคชัน ไมโครซอฟต์ออฟฟิศเป็นต้น
  • การผสานรวมกับแอปพลิเคชันและอุปกรณ์ขององค์กร ข้อได้เปรียบที่สำคัญของ Active Directory คือการปฏิบัติตามมาตรฐาน LDAP ซึ่งรองรับโดยแอปพลิเคชันหลายร้อยรายการ เช่น เมลเซิร์ฟเวอร์ (Exchange, Lotus, Mdaemon), ระบบ ERP (Dynamics, CRM), พร็อกซีเซิร์ฟเวอร์ (ISA Server, Squid) ฯลฯ และนี่ไม่ใช่แค่แอปพลิเคชัน Microsoft Windows เท่านั้น แต่ยังรวมถึงเซิร์ฟเวอร์ที่ใช้ Linux ข้อดีของการรวมนี้คือผู้ใช้ไม่จำเป็นต้องจำ จำนวนมากการเข้าสู่ระบบและรหัสผ่านสำหรับการเข้าถึงแอปพลิเคชันเฉพาะ ในทุกแอปพลิเคชัน ผู้ใช้มีข้อมูลรับรองเดียวกันเพราะ การรับรองความถูกต้องเกิดขึ้นในไดเร็กทอรี Active Directory เดียว นอกจากนี้ พนักงานไม่จำเป็นต้องป้อนชื่อผู้ใช้และรหัสผ่านหลาย ๆ ครั้ง แค่เข้าสู่ระบบครั้งเดียวก็เพียงพอแล้วเมื่อเริ่มคอมพิวเตอร์ และในอนาคต ผู้ใช้จะได้รับการรับรองความถูกต้องโดยอัตโนมัติในแอปพลิเคชันทั้งหมด Windows Server สำหรับการรวมเข้ากับ Active Directory มีโปรโตคอล RADIUS ซึ่งรองรับ จำนวนมากอุปกรณ์เครือข่าย ดังนั้นจึงเป็นไปได้ เช่น ให้การรับรองความถูกต้องของผู้ใช้โดเมนเมื่อเชื่อมต่อกับเราเตอร์ CISCO ผ่าน VPN
  • ที่เก็บการกำหนดค่าแอ็พพลิเคชันแบบรวม แอปพลิเคชันบางตัวจัดเก็บการกำหนดค่าไว้ใน Active Directory เช่น Exchange Server หรือ Office Communications Server การปรับใช้บริการไดเรกทอรี Active Directory เป็นข้อกำหนดเบื้องต้นสำหรับแอปพลิเคชันเหล่านี้ในการทำงาน คุณยังสามารถเก็บการกำหนดค่าเซิร์ฟเวอร์ชื่อโดเมน DNS ไว้ในบริการไดเร็กทอรี การจัดเก็บการกำหนดค่าแอปพลิเคชันในบริการไดเร็กทอรีมีประโยชน์ในแง่ของความยืดหยุ่นและความน่าเชื่อถือ ตัวอย่างเช่น ในกรณีที่เซิร์ฟเวอร์ Exchange ล้มเหลวโดยสิ้นเชิง การกำหนดค่าทั้งหมดจะยังคงเหมือนเดิม เนื่องจาก เก็บไว้ใน Active Directory และหากต้องการคืนค่าการทำงานของอีเมลองค์กร การติดตั้งเซิร์ฟเวอร์ Exchange ใหม่ในโหมดการกู้คืนก็เพียงพอแล้ว
  • ระดับที่ปรับปรุงแล้ว ความปลอดภัยของข้อมูล. การใช้ Active Directory ช่วยปรับปรุงความปลอดภัยของเครือข่ายอย่างมาก ประการแรก มันเป็นที่เก็บข้อมูลบัญชีเดียวและปลอดภัย ในเครือข่ายเพียร์ทูเพียร์ ข้อมูลประจำตัวของผู้ใช้จะถูกเก็บไว้ในฐานข้อมูลบัญชีท้องถิ่น (SAM) ซึ่งในทางทฤษฎีสามารถถูกแฮ็กได้โดยการครอบครองคอมพิวเตอร์ ในสภาพแวดล้อมของโดเมน รหัสผ่านทั้งหมดสำหรับผู้ใช้โดเมนจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์เฉพาะ ตัวควบคุมโดเมน ซึ่งโดยปกติแล้วจะได้รับการปกป้องจากการเข้าถึงจากภายนอก ประการที่สอง เมื่อใช้สภาพแวดล้อมของโดเมน โปรโตคอล Kerberos จะใช้สำหรับการพิสูจน์ตัวตน ซึ่งมีความปลอดภัยมากกว่า NTLM ที่ใช้ในเวิร์กกรุ๊ป คุณยังสามารถใช้การรับรองความถูกต้องด้วยสองปัจจัยโดยใช้สมาร์ทการ์ดเพื่อลงชื่อเข้าใช้ผู้ใช้ เหล่านั้น. เพื่อให้พนักงานสามารถเข้าถึงคอมพิวเตอร์ได้ เขาจะต้องป้อนข้อมูลเข้าสู่ระบบและรหัสผ่าน รวมทั้งใส่สมาร์ทการ์ดด้วย

ความสามารถในการปรับขนาดและความยืดหยุ่นของ Active Directory

บริการไดเรกทอรี Microsoft Active Directory สามารถปรับขนาดได้สูง สามารถสร้างวัตถุได้มากกว่า 2 พันล้านรายการในฟอเรสต์ Active Directory ทำให้สามารถใช้บริการไดเรกทอรีในบริษัทที่มีคอมพิวเตอร์และผู้ใช้หลายแสนเครื่อง โครงสร้างแบบลำดับชั้นของโดเมนช่วยให้คุณปรับขนาดโครงสร้างพื้นฐานด้านไอทีของคุณได้อย่างยืดหยุ่นไปยังทุกสาขาและหน่วยงานระดับภูมิภาคของบริษัท สำหรับแต่ละสาขาหรือแผนกของบริษัท สามารถสร้างโดเมนแยกต่างหาก โดยมีนโยบาย ผู้ใช้ และกลุ่มของตนเอง สำหรับแต่ละโดเมนย่อย สามารถมอบอำนาจการดูแลระบบให้กับผู้ดูแลระบบภายในได้ ในขณะเดียวกัน โดเมนลูกยังคงรองลงมาจากโดเมนหลัก

นอกจากนี้ Active Directory ยังให้คุณตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ของโดเมน แต่ละบริษัทมีฟอเรสต์ออฟโดเมนของตนเอง แต่ละแห่งมีทรัพยากรของตนเอง แต่บางครั้งอาจจำเป็นต้องให้สิทธิ์การเข้าถึงทรัพยากรขององค์กรแก่พนักงานจากบริษัทคู่ค้า ตัวอย่างเช่น เมื่อเข้าร่วมโครงการร่วมกัน พนักงานจากบริษัทคู่ค้าอาจต้องทำงานร่วมกันในเอกสารหรือใบสมัครทั่วไป ในการทำเช่นนี้ คุณสามารถตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ขององค์กร ซึ่งจะอนุญาตให้พนักงานจากองค์กรหนึ่งเข้าสู่ระบบในโดเมนของอีกองค์กรหนึ่งได้

ความทนทานต่อข้อบกพร่องของบริการไดเร็กทอรีมีให้โดยการปรับใช้เซิร์ฟเวอร์ 2 ตัวขึ้นไป - ตัวควบคุมโดเมนในแต่ละโดเมน การเปลี่ยนแปลงทั้งหมดจะถูกจำลองโดยอัตโนมัติระหว่างตัวควบคุมโดเมน ในกรณีที่ตัวควบคุมโดเมนตัวใดตัวหนึ่งล้มเหลว เครือข่ายจะไม่ได้รับผลกระทบ เนื่องจาก ส่วนที่เหลือยังคงทำงานต่อไป ความยืดหยุ่นเพิ่มเติมมีให้โดยการโฮสต์เซิร์ฟเวอร์ DNS บนตัวควบคุมโดเมนใน Active Directory ซึ่งช่วยให้แต่ละโดเมนมีเซิร์ฟเวอร์ DNS หลายตัวที่ให้บริการในโซนโดเมนหลัก และในกรณีที่หนึ่งในเซิร์ฟเวอร์ DNS ล้มเหลว เซิร์ฟเวอร์ที่เหลือจะยังคงทำงานต่อไป และจะพร้อมใช้งานสำหรับทั้งการอ่านและการเขียน ซึ่งไม่สามารถรับประกันได้โดยใช้ ตัวอย่างเช่น เซิร์ฟเวอร์ DNS ที่ใช้ Linux ของ BIND

ประโยชน์ของการย้ายไปยัง Windows Server 2008 R2

แม้ว่าบริษัทของคุณจะปรับใช้บริการไดเรกทอรี Active Directory ที่ใช้ Windows Server 2003 แล้ว คุณก็จะได้รับ ทั้งเส้นสิทธิประโยชน์โดยการย้ายไปยัง Windows Server 2008 R2 Windows Server 2008 R2 มีคุณสมบัติเพิ่มเติมดังต่อไปนี้:

    ตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODC) ตัวควบคุมโดเมนจัดเก็บบัญชีผู้ใช้ ใบรับรอง และข้อมูลที่ละเอียดอ่อนอื่นๆ จำนวนมาก หากเซิร์ฟเวอร์ตั้งอยู่ในศูนย์ข้อมูลที่ปลอดภัย คุณก็ไม่ต้องกังวลเกี่ยวกับความปลอดภัยของข้อมูลนี้ แต่จะเกิดอะไรขึ้นหากตัวควบคุมโดเมนอยู่ในสาขาในที่สาธารณะ ในกรณีนี้ มีความเป็นไปได้ที่เซิร์ฟเวอร์จะถูกผู้โจมตีขโมยและแฮ็คเข้าไป จากนั้นจึงใช้ข้อมูลนี้เพื่อจัดการการโจมตีเครือข่ายองค์กรของคุณเพื่อขโมยหรือทำลายข้อมูล เพื่อป้องกันกรณีดังกล่าวที่มีการติดตั้งตัวควบคุมโดเมนแบบอ่านอย่างเดียว (RODCs) ในสาขา ประการแรก ตัวควบคุม RODC ไม่เก็บรหัสผ่านของผู้ใช้ แต่จะแคชไว้เพื่อเพิ่มความเร็วในการเข้าถึง และประการที่สอง จะใช้การจำลองแบบทางเดียว จากเซิร์ฟเวอร์ส่วนกลางไปยังสาขาเท่านั้น แต่จะไม่ย้อนกลับ และแม้ว่าผู้โจมตีจะเข้าครอบครองตัวควบคุมโดเมน RODC พวกเขาก็จะไม่ได้รับรหัสผ่านของผู้ใช้และจะไม่สามารถสร้างความเสียหายให้กับเครือข่ายหลักได้

    การกู้คืนวัตถุ Active Directory ที่ถูกลบ ผู้ดูแลระบบเกือบทุกคนต้องเผชิญกับความจำเป็นในการกู้คืนบัญชีผู้ใช้ที่ถูกลบโดยไม่ตั้งใจหรือผู้ใช้ทั้งกลุ่ม ใน Windows 2003 สิ่งนี้จำเป็นต้องกู้คืนบริการไดเร็กทอรีจาก การสำรองข้อมูลซึ่งมักจะไม่ใช่ แต่แม้ว่าจะเป็นเช่นนั้น การฟื้นฟูก็ใช้เวลานานมาก Windows Server 2008 R2 เปิดตัว Active Directory Recycle Bin ตอนนี้ เมื่อผู้ใช้หรือคอมพิวเตอร์ถูกลบ ระบบจะไปที่ถังรีไซเคิล ซึ่งจะสามารถกู้คืนได้ภายในไม่กี่นาทีภายใน 180 วัน โดยยังคงคุณลักษณะดั้งเดิมไว้ทั้งหมด

    การจัดการที่ง่ายขึ้น ใน Windows Server 2008 R2 มีการเปลี่ยนแปลงหลายอย่างเพื่อลดภาระของผู้ดูแลระบบลงอย่างมาก และทำให้ง่ายต่อการจัดการโครงสร้างพื้นฐานด้านไอทีของคุณ ตัวอย่างเช่น มีเครื่องมือต่างๆ เช่น การตรวจสอบการเปลี่ยนแปลง Active Directory การแสดงว่าใครเปลี่ยนแปลงอะไรและเมื่อใด นโยบายความซับซ้อนของรหัสผ่านที่กำหนดค่าในระดับกลุ่มผู้ใช้ ก่อนหน้านี้สามารถทำได้ในระดับโดเมนเท่านั้น เครื่องมือการจัดการผู้ใช้และคอมพิวเตอร์ใหม่ เทมเพลตนโยบาย การจัดการโดยใช้บรรทัดคำสั่ง PowerShell เป็นต้น

การใช้ Active Directory

บริการไดเรกทอรี Active Directory เป็นหัวใจของโครงสร้างพื้นฐานด้านไอทีขององค์กร ในกรณีที่เกิดความล้มเหลว เครือข่ายทั้งหมด เซิร์ฟเวอร์ทั้งหมด การทำงานของผู้ใช้ทั้งหมดจะเป็นอัมพาต จะไม่มีใครสามารถเข้าสู่ระบบคอมพิวเตอร์ เข้าถึงเอกสารและแอปพลิเคชันของตนได้ ดังนั้น บริการไดเร็กทอรีจึงต้องได้รับการออกแบบและปรับใช้อย่างระมัดระวัง โดยคำนึงถึงความแตกต่างที่เป็นไปได้ทั้งหมด ตัวอย่างเช่น โครงสร้างของไซต์ควรสร้างขึ้นบนพื้นฐานของโทโพโลยีทางกายภาพของเครือข่ายและแบนด์วิธของช่องทางระหว่างสาขาหรือสำนักงานของบริษัท เพราะ สิ่งนี้ส่งผลโดยตรงต่อความเร็วในการเข้าสู่ระบบของผู้ใช้ เช่นเดียวกับการจำลองแบบระหว่างตัวควบคุมโดเมน นอกจากนี้ ขึ้นอยู่กับโทโพโลยีของไซต์ Exchange Server 2007/2010 ดำเนินการกำหนดเส้นทางอีเมล คุณยังต้องคำนวณจำนวนและตำแหน่งของเซิร์ฟเวอร์แค็ตตาล็อกส่วนกลางที่เก็บรายการของกลุ่มสากลและแอตทริบิวต์ที่ใช้กันทั่วไปอื่นๆ ที่หลากหลายในทุกโดเมนในฟอเรสต์อย่างเหมาะสม นั่นคือเหตุผลที่บริษัทต่างๆ ทิ้งงานของการนำไปใช้ จัดระเบียบใหม่ หรือย้ายบริการไดเรกทอรี Active Directory ให้กับผู้รวมระบบ อย่างไรก็ตาม คุณไม่ควรทำผิดพลาดเมื่อเลือกผู้รวมระบบ คุณควรตรวจสอบให้แน่ใจว่าเขาได้รับการรับรองให้ทำงานประเภทนี้และมีความสามารถที่เหมาะสม

LanKey เป็นผู้รวมระบบที่ได้รับการรับรองและเป็น Microsoft Gold Certified Partner LanKey มีความสามารถด้านแพลตฟอร์มศูนย์ข้อมูล (โซลูชันโครงสร้างพื้นฐานขั้นสูง) ซึ่งยืนยันประสบการณ์และคุณสมบัติของเราในเรื่องที่เกี่ยวข้องกับการปรับใช้ Active Directory และการใช้งานโซลูชันเซิร์ฟเวอร์จาก Microsoft


งานโครงการทั้งหมดดำเนินการโดย MCSE ที่ผ่านการรับรองจาก Microsoft วิศวกร MCITP ซึ่งมีประสบการณ์มากมายในการเข้าร่วมในโครงการขนาดใหญ่และซับซ้อนเพื่อสร้างโครงสร้างพื้นฐานด้านไอทีและนำโดเมน Active Directory ไปใช้

LanKey จะพัฒนาโครงสร้างพื้นฐานด้านไอที ปรับใช้บริการไดเรกทอรี Active Directory และรับประกันการรวมทรัพยากรขององค์กรที่มีอยู่ทั้งหมดไว้ในพื้นที่ข้อมูลเดียว การใช้งาน Active Directory จะช่วยลดต้นทุนรวมในการเป็นเจ้าของระบบข้อมูล รวมทั้งเพิ่มประสิทธิภาพในการแบ่งปันทรัพยากรร่วมกัน LanKey ยังให้บริการสำหรับการโยกย้ายโดเมน การรวมและการแยกโครงสร้างพื้นฐานด้านไอทีระหว่างการควบรวมกิจการ การบำรุงรักษาและการสนับสนุนระบบข้อมูล

ตัวอย่างโครงการใช้งาน Active Directory บางโครงการที่ดำเนินการโดย LanKey:

ลูกค้า คำอธิบายโซลูชัน

ในการเชื่อมต่อกับการทำธุรกรรมเพื่อซื้อหุ้น 100% ใน OAO SIBUR-Minudobreniya (ต่อมาเปลี่ยนชื่อเป็น OAO SDS-Azot) ของ Siberian Business Union Holding Company ในเดือนธันวาคม 2554 จึงจำเป็นต้องแยกโครงสร้างพื้นฐานด้านไอทีของ OAO SDS-Azot จากเครือข่ายของ SIBUR Holding

LanKey ได้ย้ายบริการไดเรกทอรี Active Directory ของแผนก SIBUR Minudobreniya จากเครือข่ายที่ถือครอง SIBUR ไปยังโครงสร้างพื้นฐานใหม่ บัญชีผู้ใช้ คอมพิวเตอร์ และแอปพลิเคชันก็ถูกย้ายเช่นกัน ผลของโครงการได้รับจดหมายขอบคุณจากลูกค้า
ในการเชื่อมต่อกับการปรับโครงสร้างของธุรกิจ บริการไดเรกทอรี Active Directory ถูกปรับใช้สำหรับสำนักงานกลางและ 50 มอสโกและร้านค้าในภูมิภาค บริการไดเร็กทอรีให้การจัดการแบบรวมศูนย์ของทรัพยากรขององค์กรทั้งหมด ตลอดจนการพิสูจน์ตัวตนและการให้สิทธิ์ผู้ใช้ทั้งหมด
เป็นส่วนหนึ่งของ โครงการที่ซับซ้อนเพื่อสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กร LanKey ได้เสร็จสิ้นการปรับใช้โดเมน Active Directory สำหรับบริษัทจัดการและหน่วยงานระดับภูมิภาค 3 แห่ง มีการสร้างไซต์แยกต่างหากสำหรับแต่ละสาขา และมีการใช้ตัวควบคุมโดเมน 2 ตัวในแต่ละไซต์ มีการปรับใช้บริการใบรับรองด้วย บริการทั้งหมดถูกปรับใช้บนเครื่องเสมือนที่ใช้ Microsoft Hyper-V คุณภาพของงาน LanKey นั้นได้รับการตรวจสอบโดยการตรวจสอบ
เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างองค์กร ระบบข้อมูลมีการปรับใช้บริการไดเรกทอรี Active Directory ที่ใช้ Windows Server 2008 R2 ระบบถูกปรับใช้โดยใช้เทคโนโลยีการจำลองเสมือนของเซิร์ฟเวอร์ที่ใช้ Microsoft Hyper-V บริการไดเร็กทอรีให้การรับรองความถูกต้องและการให้สิทธิ์เพียงครั้งเดียวสำหรับพนักงานของโรงพยาบาลทั้งหมด และยังรับประกันการทำงานของแอปพลิเคชันต่างๆ เช่น Exchange, TMG, SQL เป็นต้น



การปรับใช้บริการไดเรกทอรี Active Directory ตาม Windows Server 2008 R2 เพื่อลดต้นทุน การติดตั้งได้ดำเนินการในระบบเวอร์ชวลไลเซชันของเซิร์ฟเวอร์ที่ใช้ Microsoft Hyper-V
ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กร บริการไดเร็กทอรีที่ใช้ Windows Server 2008 R2 ได้ถูกปรับใช้ ตัวควบคุมโดเมนทั้งหมดถูกปรับใช้โดยใช้ระบบการจำลองเสมือนของเซิร์ฟเวอร์ Microsoft Hyper-V คุณภาพของงานได้รับการยืนยันจากข้อเสนอแนะที่ได้รับจากลูกค้า


ในเวลาที่สั้นที่สุด ความสามารถในการทำงานของบริการไดเรกทอรี Active Directory ได้รับการกู้คืนในสถานการณ์ทางธุรกิจที่สำคัญ ผู้เชี่ยวชาญของ LanKey กู้คืนรูทโดเมนอย่างแท้จริงภายในเวลาไม่กี่ชั่วโมง และเขียนคำแนะนำสำหรับการกู้คืนการจำลองแบบของสำนักงานสาขา 80 แห่ง ได้รับการตอบรับจากลูกค้าในด้านประสิทธิภาพและคุณภาพของงาน
ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอที โดเมน Active Directory ที่ใช้ Windows Server 2008 R2 ได้ถูกปรับใช้ มั่นใจได้ถึงประสิทธิภาพของบริการไดเร็กทอรีโดยใช้ตัวควบคุมโดเมน 5 ตัวที่ติดตั้งบนคลัสเตอร์ของเครื่องเสมือน การสำรองข้อมูลบริการไดเร็กทอรีถูกนำมาใช้โดยใช้ Microsoft Data Protection Manager 2010 คุณภาพของงานได้รับการยืนยันจากคำติชม

ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างระบบข้อมูลขององค์กร Active Directory ของบริการไดเรกทอรีแบบรวมได้รับการปรับใช้ตาม Windows Server 2008 โครงสร้างพื้นฐานด้านไอทีถูกสร้างขึ้นโดยใช้ Hyper-V virtualization หลังจากเสร็จสิ้นโครงการได้มีการทำสัญญาเพื่อบำรุงรักษาระบบข้อมูลต่อไป คุณภาพของงานได้รับการยืนยันจากข้อเสนอแนะ
เทคโนโลยีน้ำมันและก๊าซ ในฐานะที่เป็นส่วนหนึ่งของโครงการที่ครอบคลุมเพื่อสร้างโครงสร้างพื้นฐานด้านไอที จึงมีการนำ Active Directory แบบครบวงจรที่ใช้ Windows Server 2008 R2 มาใช้ โครงการแล้วเสร็จใน 1 เดือน หลังจากเสร็จสิ้นโครงการได้มีการลงนามข้อตกลงในการบำรุงรักษาระบบต่อไป คุณภาพของงานได้รับการยืนยันโดยการตรวจสอบ
การปรับใช้ Active Directory บน Windows Server 2008 ซึ่งเป็นส่วนหนึ่งของโครงการการใช้งาน Exchange Server 2007
จัดระเบียบบริการไดเรกทอรี Active Directory ที่ใช้ Windows Server 2003 ก่อนใช้งาน Exchange Server 2007 คุณภาพของงานได้รับการยืนยันจากคำติชม
การปรับใช้บริการไดเรกทอรี Active Directory ตาม Windows Server 2003 R2 หลังจากเสร็จสิ้นโครงการได้มีการลงนามในสัญญาเพื่อบำรุงรักษาระบบต่อไป คุณภาพของงานได้รับการยืนยันโดยการตรวจสอบ

Active Directory ถูกปรับใช้บน Windows Server 2003 หลังจากเสร็จสิ้นโครงการ มีการเซ็นสัญญาสำหรับการบำรุงรักษาระบบเพิ่มเติม

กล่าวโดยย่อ AD อนุญาตให้คุณใช้จุดเดียวของการจัดการสำหรับทรัพยากรที่เผยแพร่ทั้งหมด AD เป็นไปตามมาตรฐานการตั้งชื่อ X.500 ระบบชื่อโดเมน (DNS) ใช้สำหรับการกำหนดตำแหน่ง และ Lightweight Directory Access Protocol (LDAP) ใช้เป็นโปรโตคอลพื้นฐาน

AD รวมโครงสร้างทางตรรกะและทางกายภาพของเครือข่าย โครงสร้างเชิงตรรกะ AD ประกอบด้วยองค์ประกอบต่อไปนี้:

  • หน่วยองค์กร - ตามกฎแล้วกลุ่มย่อยของคอมพิวเตอร์สะท้อนถึงโครงสร้างของ บริษัท
  • โดเมน – กลุ่มของคอมพิวเตอร์ที่ใช้ฐานข้อมูลไดเร็กทอรีร่วมกัน
  • ต้นไม้โดเมน - การแชร์โดเมนตั้งแต่หนึ่งโดเมนขึ้นไป พื้นที่ต่อเนื่องชื่อ;
  • ฟอเรสต์โดเมน – ต้นไม้หนึ่งต้นหรือมากกว่าแบ่งปันข้อมูลไดเร็กทอรี

โครงสร้างทางกายภาพประกอบด้วยองค์ประกอบต่อไปนี้:

  • เครือข่ายย่อย – กลุ่มเน็ตที่มีช่วงของที่อยู่ IP และเน็ตมาสก์ที่ระบุ
  • เว็บไซต์ เครือข่ายย่อยตั้งแต่หนึ่งเครือข่ายขึ้นไป ไซต์นี้ใช้เพื่อกำหนดค่าการเข้าถึงไดเร็กทอรีและการจำลองแบบ

ไดเรกทอรีเก็บข้อมูลสามประเภท: ข้อมูลโดเมน ข้อมูลสคีมา และข้อมูลการกำหนดค่า AD ใช้ตัวควบคุมโดเมนเท่านั้น ข้อมูลโดเมนถูกจำลองแบบไปยังตัวควบคุมโดเมนทั้งหมด ตัวควบคุมโดเมนทั้งหมดมีค่าเท่ากัน เช่น การเปลี่ยนแปลงทั้งหมดที่เกิดขึ้นจากตัวควบคุมโดเมนใด ๆ จะถูกจำลองแบบไปยังตัวควบคุมโดเมนอื่น ๆ ทั้งหมด ข้อมูลสคีมาและการกำหนดค่าถูกจำลองแบบไปยังโดเมนทั้งหมดในแผนผังหรือฟอเรสต์ นอกจากนี้ วัตถุโดเมนแต่ละรายการและคุณสมบัติของวัตถุฟอเรสต์บางส่วนจะถูกจำลองแบบไปยังแค็ตตาล็อกส่วนกลาง (GC) ซึ่งหมายความว่าตัวควบคุมโดเมนจัดเก็บและจำลองแบบแผนสำหรับทรีหรือฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในทรีหรือฟอเรสต์ และวัตถุไดเร็กทอรีและคุณสมบัติทั้งหมดสำหรับโดเมนของตนเอง

ตัวควบคุมโดเมนที่โฮสต์ GC จะเก็บและจำลองข้อมูลสคีมาสำหรับฟอเรสต์ ข้อมูลการกำหนดค่าสำหรับโดเมนทั้งหมดในฟอเรสต์ และชุดคุณสมบัติที่จำกัดสำหรับอ็อบเจ็กต์ไดเร็กทอรีทั้งหมดในฟอเรสต์ (ซึ่งจำลองระหว่างเซิร์ฟเวอร์ GC เท่านั้น) และวัตถุไดเร็กทอรีและคุณสมบัติทั้งหมดสำหรับโดเมนของคุณ

ตัวควบคุมโดเมนสามารถมีได้ บทบาทที่แตกต่างกันเจ้าของการดำเนินการ ต้นแบบการดำเนินการดำเนินการงานที่ไม่สะดวกในแบบจำลองการจำลองแบบหลายหลัก

มีบทบาทหลักในการดำเนินงานห้ารายการที่สามารถกำหนดให้กับตัวควบคุมโดเมนตั้งแต่หนึ่งตัวขึ้นไป บางบทบาทต้องไม่ซ้ำกันในระดับฟอเรสต์ ส่วนบทบาทอื่นๆ ในระดับโดเมน

มีบทบาทต่อไปนี้ในแต่ละฟอเรสต์ AD:

  • ต้นแบบสคีมา – จัดการการอัปเดตและการเปลี่ยนแปลงไดเร็กทอรีสคีมา การอัปเดตสคีมาของแคตตาล็อกจำเป็นต้องเข้าถึงต้นแบบสคีมา เพื่อพิจารณาว่าเซิร์ฟเวอร์ใด เวลาที่กำหนดเป็นต้นแบบของสคีมาในโดเมน คุณต้องพิมพ์คำสั่งในหน้าต่างบรรทัดคำสั่ง เซิร์ฟเวอร์ dsquery -hasfsmo schema
  • ต้นแบบการตั้งชื่อโดเมน - จัดการการเพิ่มและลบโดเมนในฟอเรสต์ การเพิ่มหรือลบโดเมนจำเป็นต้องเข้าถึงต้นแบบการตั้งชื่อโดเมน ในการตรวจสอบว่าเซิร์ฟเวอร์ใดเป็นเซิร์ฟเวอร์หลักในการตั้งชื่อโดเมน ในหน้าต่างพรอมต์คำสั่ง ให้พิมพ์ dsquery server -hasismo name

บทบาทเหล่านี้มีอยู่ทั่วไปในป่าโดยรวมและมีเอกลักษณ์เฉพาะตัว

แต่ละโดเมน AD มีบทบาทต่อไปนี้:

  • ต้นแบบ ID ญาติ - จัดสรรตัวระบุสัมพัทธ์ให้กับตัวควบคุมโดเมน แต่ละครั้งที่มีการสร้างวัตถุผู้ใช้ กลุ่ม หรือคอมพิวเตอร์ ตัวควบคุมจะกำหนด SID เฉพาะให้กับวัตถุ ซึ่งประกอบด้วย SID ของโดเมนและตัวระบุเฉพาะที่จัดสรรโดยต้นแบบตัวระบุที่เกี่ยวข้อง ในการระบุว่าเซิร์ฟเวอร์ใดเป็นเซิร์ฟเวอร์หลักของตัวระบุโดเมนแบบสัมพัทธ์ ที่พรอมต์คำสั่ง ให้พิมพ์ dsquery server -hasfsmo rid
  • โปรแกรมจำลอง PDC (โปรแกรมจำลอง PDC) - ทำหน้าที่เป็นตัวควบคุมโดเมนหลักของ Windows NT ในโหมดโดเมนแบบผสมหรือแบบชั่วคราว ตรวจสอบสิทธิ์การเข้าสู่ระบบ Windows จัดการการเปลี่ยนแปลงรหัสผ่าน และทำซ้ำการอัปเดตเป็น BDC หากมี ในการตรวจสอบว่าเซิร์ฟเวอร์ใดเป็นโปรแกรมจำลอง PDC ของโดเมนในปัจจุบัน ให้พิมพ์ dsquery server -hasfsmo pdc ที่พรอมต์คำสั่ง
  • ต้นแบบโครงสร้างพื้นฐาน - อัปเดตการอ้างอิงวัตถุโดยเปรียบเทียบข้อมูลไดเรกทอรีกับข้อมูล GC หากข้อมูลล้าสมัย ระบบจะขอการอัปเดตจาก GC และจำลองข้อมูลเหล่านั้นไปยังตัวควบคุมโดเมนที่เหลือ หากต้องการตรวจสอบว่าเซิร์ฟเวอร์ใดเป็นโครงสร้างพื้นฐานหลักของโดเมน ให้พิมพ์ dsquery server -hasfsmo infr ที่พรอมต์คำสั่ง

บทบาทเหล่านี้เป็นบทบาททั่วไปสำหรับทั้งโดเมนและต้องไม่ซ้ำกันในโดเมนนั้น

บทบาทหลักของการดำเนินงานถูกกำหนดให้กับตัวควบคุมแรกในโดเมนโดยอัตโนมัติ แต่คุณสามารถกำหนดใหม่ได้ในภายหลัง หากมีตัวควบคุมเพียงตัวเดียวในโดเมน ก็จะดำเนินการตามบทบาททั้งหมดของการดำเนินการหลักพร้อมกัน

เราไม่แนะนำให้แยกบทบาทหลักของสคีมาและหลักในการตั้งชื่อโดเมน ถ้าเป็นไปได้ ให้กำหนดให้กับตัวควบคุมโดเมนเดียวกัน เพื่อประสิทธิภาพสูงสุด เป็นที่พึงปรารถนาว่าต้นแบบตัวระบุสัมพัทธ์และตัวจำลอง PDC ยังอยู่บนตัวควบคุมเดียวกัน แม้ว่าบทบาทเหล่านี้สามารถแยกออกได้หากจำเป็น ในเครือข่ายขนาดใหญ่ที่ บรรทุกหนักลดประสิทธิภาพ ID หลักที่เกี่ยวข้องและตัวจำลอง PDC จะต้องวางบนตัวควบคุมที่แตกต่างกัน นอกจากนี้ เราไม่แนะนำให้โฮสต์โครงสร้างพื้นฐานหลักบนตัวควบคุมโดเมนที่เก็บแค็ตตาล็อกส่วนกลาง

การติดตั้งตัวควบคุมโดเมน Windows Server 2003 (DC) โดยใช้ตัวช่วยสร้างการติดตั้ง Active Directory

มีการติดตั้งตัวควบคุมโดเมนโดยใช้ตัวช่วยสร้างการติดตั้ง Active Directory ในการเลื่อนระดับเซิร์ฟเวอร์เป็นตัวควบคุมโดเมน คุณต้องตรวจสอบให้แน่ใจว่าตรงตามข้อกำหนดที่จำเป็นทั้งหมดสำหรับสิ่งนี้:

  1. เซิร์ฟเวอร์ต้องมีพาร์ติชัน NTFS อย่างน้อยหนึ่งพาร์ติชันเพื่อโฮสต์ไดรฟ์ข้อมูลระบบ SYSVOL
  2. เซิร์ฟเวอร์ต้องมีสิทธิ์เข้าถึงเซิร์ฟเวอร์ DNS ขอแนะนำให้ติดตั้งบริการ DNS บนเซิร์ฟเวอร์เดียวกัน หากใช้เซิร์ฟเวอร์แบบสแตนด์อโลน จะต้องแน่ใจว่ารองรับ Service Location Resource Records (RFC 2052) และ Dynamic Updates Protocol (RFC 2136)
  3. คุณต้องมีบัญชีที่มีสิทธิ์ของผู้ดูแลระบบบนเซิร์ฟเวอร์

เรามาพิจารณารายละเอียดเกี่ยวกับการส่งเสริมบทบาทของเซิร์ฟเวอร์ไปยังตัวควบคุมโดเมน Active Directory ในขั้นตอน:

พื้นฐานการจัดการโดเมน Active Directory

เครื่องมือจำนวนหนึ่งในสแน็ปอิน Microsoft Management Console (MMC) ช่วยให้ทำงานกับ Active Directory ได้ง่าย

สแนปอิน (ผู้ใช้ Active Directory และคอมพิวเตอร์) คือคอนโซลการจัดการ MMC ที่คุณสามารถใช้เพื่อจัดการและเผยแพร่ข้อมูลไปยังไดเร็กทอรี เป็นเครื่องมือการดูแลระบบหลักสำหรับ Active Directory และใช้เพื่อดำเนินการทั้งหมดที่เกี่ยวข้องกับผู้ใช้ กลุ่ม และคอมพิวเตอร์ ตลอดจนจัดการหน่วยขององค์กร

ในการเปิดใช้งานสแน็ปอิน (ผู้ใช้ Active Directory และคอมพิวเตอร์) ให้เลือกคำสั่งที่มีชื่อเดียวกันจากเมนูเครื่องมือการดูแลระบบ

ตามค่าเริ่มต้น คอนโซลผู้ใช้ Active Directory และคอมพิวเตอร์จะทำงานร่วมกับโดเมนที่คอมพิวเตอร์ของคุณเป็นเจ้าของ คุณสามารถเข้าถึงคอมพิวเตอร์และวัตถุผู้ใช้ในโดเมนนี้ผ่านโครงสร้างคอนโซลหรือเชื่อมต่อกับโดเมนอื่น เครื่องมือของคอนโซลเดียวกันช่วยให้คุณสามารถดูพารามิเตอร์เพิ่มเติมของวัตถุและค้นหาได้

เมื่อได้รับสิทธิ์เข้าถึงโดเมนแล้ว คุณจะเห็นชุดโฟลเดอร์มาตรฐาน:

  • ข้อความค้นหาที่บันทึกไว้ (ข้อความค้นหาที่บันทึกไว้) - เกณฑ์การค้นหาที่บันทึกไว้ซึ่งช่วยให้คุณสามารถทำซ้ำการค้นหาที่ดำเนินการก่อนหน้านี้ได้อย่างรวดเร็วใน Active Directory
  • สร้างขึ้นใน – รายชื่อบัญชีผู้ใช้ในตัว;
  • คอมพิวเตอร์ – คอนเทนเนอร์เริ่มต้นสำหรับบัญชีคอมพิวเตอร์
  • ตัวควบคุมโดเมน – คอนเทนเนอร์เริ่มต้นสำหรับตัวควบคุมโดเมน
  • ป.ป.ช.ต่างประเทศ – มีข้อมูลเกี่ยวกับวัตถุจากโดเมนภายนอกที่เชื่อถือได้ โดยทั่วไปแล้ว วัตถุเหล่านี้ถูกสร้างขึ้นเมื่อมีการเพิ่มวัตถุจากโดเมนภายนอกลงในกลุ่มโดเมนปัจจุบัน
  • ผู้ใช้ เป็นคอนเทนเนอร์เริ่มต้นสำหรับผู้ใช้

โฟลเดอร์คอนโซลบางโฟลเดอร์จะไม่แสดงตามค่าเริ่มต้น ในการแสดงให้เลือกคำสั่งคุณสมบัติขั้นสูงจากเมนูมุมมอง โฟลเดอร์เพิ่มเติมเหล่านี้คือ:

  • สูญหายและพบ - เจ้าของสูญหาย วัตถุไดเร็กทอรี
  • โควต้า NTDS – ข้อมูลเกี่ยวกับโควต้าบริการไดเร็กทอรี
  • ข้อมูลโปรแกรม – ข้อมูลที่จัดเก็บไว้ในบริการไดเร็กทอรีสำหรับแอปพลิเคชัน Microsoft
  • ระบบ – พารามิเตอร์ระบบในตัว

คุณสามารถเพิ่มโฟลเดอร์สำหรับหน่วยขององค์กรในแผนผัง AD ได้ด้วยตัวเอง

พิจารณาตัวอย่างการสร้างบัญชีผู้ใช้โดเมน หากต้องการสร้างบัญชีผู้ใช้ ให้คลิกขวาที่คอนเทนเนอร์ที่คุณต้องการวางบัญชีผู้ใช้ เลือก ใหม่ จากเมนูบริบท จากนั้นเลือก ผู้ใช้ หน้าต่างตัวช่วยสร้างวัตถุใหม่ – ผู้ใช้จะเปิดขึ้น:

  1. ป้อนชื่อ ชื่อย่อ และนามสกุลของผู้ใช้ในช่องที่เหมาะสม ข้อมูลนี้จำเป็นสำหรับการสร้างชื่อที่แสดงของผู้ใช้
  2. แก้ไขชื่อเต็ม จะต้องไม่ซ้ำกันภายในโดเมนและมีความยาวไม่เกิน 64 อักขระ
  3. ใส่ชื่อเข้าสู่ระบบของคุณ ใช้รายการแบบเลื่อนลงเพื่อเลือกโดเมนที่จะเชื่อมโยงกับบัญชี
  4. หากจำเป็น ให้เปลี่ยนชื่อผู้ใช้ล็อกอินสำหรับระบบที่ใช้ Windows NT 4.0 หรือใหม่กว่า รุ่นแรก. ตามค่าเริ่มต้น ชื่อเต็มของผู้ใช้ 20 อักขระแรกจะถูกใช้เป็นชื่อล็อกอินสำหรับระบบที่ใช้ Windows รุ่นก่อนหน้า ชื่อนี้จะต้องไม่ซ้ำกันภายในโดเมนด้วย
  5. คลิก ถัดไป (ถัดไป). ระบุรหัสผ่านสำหรับผู้ใช้ การตั้งค่าต้องตรงกับนโยบายรหัสผ่านของคุณ
    ยืนยันรหัสผ่าน - ฟิลด์ที่ใช้เพื่อยืนยันความถูกต้องของรหัสผ่านที่ป้อน
    ผู้ใช้ต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งต่อไป(กำหนดให้เปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป) - หากทำเครื่องหมายในช่องนี้ ผู้ใช้จะต้องเปลี่ยนรหัสผ่านเมื่อเข้าสู่ระบบครั้งถัดไป
    ผู้ใช้ไม่สามารถเปลี่ยนรหัสผ่าน - หากทำเครื่องหมายในช่องนี้ ผู้ใช้จะไม่สามารถเปลี่ยนรหัสผ่านได้
    รหัสผ่านไม่มีวันหมดอายุ - หากเลือกช่องนี้ รหัสผ่านสำหรับบัญชีนี้จะไม่มีวันหมดอายุ (การตั้งค่านี้ลบล้างนโยบายบัญชีโดเมน)
    บัญชีถูกปิดใช้งาน - หากเลือก บัญชีจะถูกปิดใช้งาน (มีประโยชน์ในการป้องกันไม่ให้ผู้อื่นใช้บัญชีชั่วคราว)

บัญชีอนุญาตให้คุณจัดเก็บข้อมูลติดต่อของผู้ใช้ ตลอดจนข้อมูลเกี่ยวกับการมีส่วนร่วมในกลุ่มโดเมนต่างๆ เส้นทางโปรไฟล์ สคริปต์การเข้าสู่ระบบ เส้นทางโฟลเดอร์เริ่มต้น รายชื่อคอมพิวเตอร์ที่อนุญาตให้ผู้ใช้เข้าสู่โดเมน ฯลฯ

สคริปต์การเข้าสู่ระบบกำหนดคำสั่งที่ดำเนินการในการเข้าสู่ระบบแต่ละครั้ง ช่วยให้คุณสามารถกำหนดค่าเวลาของระบบ เครื่องพิมพ์เครือข่าย เส้นทางไดรฟ์เครือข่าย ฯลฯ สคริปต์ใช้เพื่อเรียกใช้คำสั่งเพียงครั้งเดียว และการตั้งค่าสภาพแวดล้อมที่กำหนดโดยสคริปต์จะไม่ถูกบันทึกเพื่อใช้ในภายหลัง สคริปต์การเข้าสู่ระบบสามารถเป็นไฟล์ Windows Script Server ที่มีนามสกุล .VBS, .JS และอื่นๆ, ไฟล์แบตช์ที่มีนามสกุล .BAT, ไฟล์คำสั่งที่มีนามสกุล .CMD, โปรแกรมที่มีนามสกุล .EXE

คุณสามารถกำหนดให้แต่ละบัญชีมีโฮมโฟลเดอร์สำหรับจัดเก็บและกู้คืนไฟล์ของผู้ใช้ แอปพลิเคชันส่วนใหญ่เปิดโฮมโฟลเดอร์ตามค่าเริ่มต้นสำหรับการดำเนินการเปิดไฟล์และบันทึก ทำให้ผู้ใช้สามารถค้นหาข้อมูลได้ง่าย ในบรรทัดรับคำสั่ง โฮมโฟลเดอร์คือไดเร็กทอรีปัจจุบันเริ่มต้น โฟลเดอร์เริ่มต้นสามารถอยู่ในฮาร์ดไดรฟ์ในเครื่องของผู้ใช้หรือในไดรฟ์เครือข่ายที่ใช้ร่วมกัน

นโยบายกลุ่มสามารถนำไปใช้กับคอมพิวเตอร์โดเมนและบัญชีผู้ใช้ นโยบายกลุ่มทำให้การดูแลระบบง่ายขึ้นโดยให้ผู้ดูแลระบบรวมศูนย์ควบคุมสิทธิ์ สิทธิ์ และความสามารถของผู้ใช้และคอมพิวเตอร์ นโยบายกลุ่มช่วยให้คุณ:

  • สร้างโฟลเดอร์พิเศษที่จัดการจากส่วนกลาง เช่น My Documents (เอกสารของฉัน);
  • จัดการการเข้าถึงส่วนประกอบ Windows ทรัพยากรระบบและเครือข่าย เครื่องมือแผงควบคุม เดสก์ท็อป และเมนูเริ่ม
  • กำหนดค่าผู้ใช้และสคริปต์คอมพิวเตอร์เพื่อเรียกใช้งานตามเวลาที่กำหนด
  • กำหนดนโยบายสำหรับรหัสผ่านและการล็อคบัญชี การตรวจสอบ การกำหนดสิทธิ์ผู้ใช้ และการรักษาความปลอดภัย

นอกจากการจัดการบัญชีผู้ใช้และกลุ่มแล้ว ยังมีงานการจัดการโดเมนอื่นๆ อีกมากมาย มีเครื่องมือและแอปพลิเคชันอื่นสำหรับสิ่งนี้

เสื้อผ้า โดเมน Active Directory และความน่าเชื่อถือ(Active Directory - Domains and Trusts) ใช้เพื่อทำงานกับโดเมน ต้นไม้โดเมน และฟอเรสต์โดเมน

เสื้อผ้า ไซต์และบริการของ Active Directory(Active Directory - ไซต์และบริการ) ช่วยให้คุณสามารถจัดการไซต์และเครือข่ายย่อย รวมถึงการจำลองแบบระหว่างไซต์

ในการจัดการวัตถุ AD มีเครื่องมือบรรทัดคำสั่งที่ช่วยให้คุณทำงานด้านการดูแลระบบได้หลากหลาย:

  • ดีสอาด - เพิ่มคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร และผู้ใช้ใน Active Directory สำหรับการได้รับ ข้อมูลพื้นฐานพิมพ์ dsadd /? เช่น dsadd คอมพิวเตอร์/?
  • dsmod - แก้ไขคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory หากต้องการความช่วยเหลือ ให้พิมพ์ dsmod /? เช่น เซิร์ฟเวอร์ dsmod /?
  • ดีสมูฟ – ย้ายวัตถุเดียวไปยังตำแหน่งใหม่ภายในโดเมน หรือเปลี่ยนชื่อวัตถุโดยไม่ต้องย้าย
  • ดีสเก็ท - แสดงคุณสมบัติของคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ ไซต์ เครือข่ายย่อย และเซิร์ฟเวอร์ที่ลงทะเบียนใน Active Directory หากต้องการความช่วยเหลือ ให้พิมพ์ dsget /? ตัวอย่างเช่น ซับเน็ต dsget /?
  • dsquery – ค้นหาคอมพิวเตอร์ ผู้ติดต่อ กลุ่ม หน่วยองค์กร ผู้ใช้ ไซต์ เครือข่ายย่อย และเซิร์ฟเวอร์ใน Active Directory ตามเกณฑ์ที่กำหนด
  • ดีเอสอาร์เอ็ม – ลบวัตถุออกจาก Active Directory
  • ปิด - อนุญาตให้คุณดูไซต์ โดเมน หรือข้อมูลเซิร์ฟเวอร์ จัดการต้นแบบการดำเนินงาน และบำรุงรักษาฐานข้อมูล Active Directory

นอกจากนี้ยังมีเครื่องมือสนับสนุน Active Directory:

  • แอลดีพี – ดำเนินการใน Active Directory Administration โดยใช้โปรโตคอล LDAP
  • เรพมอน – จัดการการจำลองแบบและแสดงผลในส่วนติดต่อแบบกราฟิก
  • Dsacls – จัดการ ACLs (รายการควบคุมการเข้าถึง) สำหรับวัตถุ Active Directory
  • ดีซูทิล – จัดการ Distributed File System (DFS) และแสดงข้อมูลเกี่ยวกับการทำงานของระบบ
  • dnscmd – จัดการคุณสมบัติของเซิร์ฟเวอร์ โซน และระเบียนทรัพยากร DNS
  • มูฟทรี – ย้ายวัตถุจากโดเมนหนึ่งไปยังอีกโดเมนหนึ่ง
  • รีแพดมิน – จัดการการจำลองแบบและแสดงผลในหน้าต่างบรรทัดคำสั่ง
  • เอสดีเบค – วิเคราะห์การแจกจ่าย การจำลองแบบ และการสืบทอดรายการควบคุมการเข้าถึง
  • ไซด์วอล์คเกอร์ – ระบุรายการควบคุมการเข้าถึงสำหรับออบเจกต์เดิมเป็นของบัญชีที่ถูกย้าย ลบ หรือถูกละเลย
  • ตาข่าย – ให้คุณจัดการโดเมนและความสัมพันธ์ที่เชื่อถือได้จากบรรทัดคำสั่ง

ดังที่เห็นได้จากบทความนี้ การรวมกลุ่มคอมพิวเตอร์เป็นโดเมนตาม Active Directory ช่วยให้คุณลดต้นทุนของงานการดูแลระบบได้อย่างมากโดยการรวมศูนย์การจัดการบัญชีโดเมนสำหรับคอมพิวเตอร์และผู้ใช้ และยังช่วยให้คุณจัดการสิทธิ์ของผู้ใช้ได้อย่างยืดหยุ่น ความปลอดภัยและโฮสต์ของพารามิเตอร์อื่นๆ เอกสารที่มีรายละเอียดเพิ่มเติมเกี่ยวกับการจัดระเบียบโดเมนสามารถพบได้ในเอกสารที่เกี่ยวข้อง

ด้วยความคุ้นเคยกับธุรกิจขนาดเล็กจากภายใน ฉันจึงสนใจคำถามต่อไปนี้อยู่เสมอ อธิบายว่าเหตุใดพนักงานจึงควรใช้เบราว์เซอร์ที่ผู้ดูแลระบบชอบในคอมพิวเตอร์ที่ทำงาน หรือใช้ซอฟต์แวร์อื่น ๆ เช่น Archiver, ไคลเอนต์อีเมล, ไคลเอ็นต์การส่งข้อความโต้ตอบแบบทันที ... สิ่งนี้ฉันบอกใบ้อย่างราบรื่นเกี่ยวกับมาตรฐานไม่ใช่บนพื้นฐานของความเห็นอกเห็นใจส่วนตัวของผู้ดูแลระบบ แต่อยู่บนพื้นฐานของความเพียงพอ ของการทำงาน ค่าใช้จ่ายในการบำรุงรักษา และการสนับสนุนผลิตภัณฑ์ซอฟต์แวร์เหล่านี้ เรามาเริ่มพิจารณาว่าไอทีเป็นวิทยาศาสตร์ ไม่ใช่งานฝีมือ เมื่อทุกคนทำในสิ่งที่ทำได้ อีกครั้งมีปัญหามากมายเกี่ยวกับสิ่งนี้ในธุรกิจขนาดเล็กเช่นกัน ลองนึกภาพว่าบริษัทกำลังเปลี่ยนผู้ดูแลระบบหลายคนในช่วงเวลาวิกฤต ผู้ใช้ที่น่าสงสารควรทำอย่างไรในสถานการณ์เช่นนี้ เรียนรู้ใหม่อย่างต่อเนื่อง?

ลองดูจากอีกด้านหนึ่ง ผู้นำทุกคนควรเข้าใจสิ่งที่เกิดขึ้นในบริษัท (รวมถึงด้านไอที) ในขณะนี้ สิ่งนี้จำเป็นสำหรับการติดตามสถานการณ์ปัจจุบัน เพื่อตอบสนองต่อเหตุการณ์ที่เกิดขึ้นอย่างทันท่วงที ชนิดที่แตกต่างปัญหา. แต่ความเข้าใจนี้มีความสำคัญมากกว่าสำหรับการวางแผนเชิงกลยุทธ์ ท้ายที่สุดด้วยรากฐานที่แข็งแกร่งและเชื่อถือได้เราสามารถสร้างบ้านบน 3 ชั้นหรือ 5 สร้างหลังคาได้ รูปร่างที่แตกต่างกันทำระเบียงหรือสวนฤดูหนาว ในทำนองเดียวกัน ในด้านไอที เรามีรากฐานที่มั่นคง - เราสามารถใช้ผลิตภัณฑ์และเทคโนโลยีที่ซับซ้อนมากขึ้นต่อไปเพื่อแก้ปัญหาทางธุรกิจ

ในบทความแรกและ จะมีการหารือเกี่ยวกับรากฐานดังกล่าว - Active Directory Services สิ่งเหล่านี้ได้รับการออกแบบมาเพื่อเป็นรากฐานที่แข็งแกร่งสำหรับโครงสร้างพื้นฐานด้านไอทีของบริษัททุกขนาดและทุกสายธุรกิจ มันคืออะไร? มาคุยกันที่นี่...

มาเริ่มการสนทนากับ แนวคิดง่ายๆ– บริการโดเมนและ Active Directory

โดเมนเป็นหน่วยดูแลระบบหลักในโครงสร้างพื้นฐานเครือข่ายขององค์กร ซึ่งรวมถึงอ็อบเจ็กต์เครือข่ายทั้งหมด เช่น ผู้ใช้ คอมพิวเตอร์ เครื่องพิมพ์ การแชร์ และอื่นๆ การรวบรวมโดเมนดังกล่าวเรียกว่าฟอเรสต์

บริการไดเรกทอรีที่ใช้งานอยู่ (บริการไดเรกทอรีที่ใช้งานอยู่) เป็นฐานข้อมูลแบบกระจายที่มีวัตถุโดเมนทั้งหมด สภาพแวดล้อมของโดเมน Active Directory เป็นจุดเดียวของการรับรองความถูกต้องและการให้สิทธิ์สำหรับผู้ใช้และแอปพลิเคชันทั่วทั้งองค์กร มันขึ้นอยู่กับองค์กรของโดเมนและการใช้บริการ Active Directory ที่การก่อสร้างโครงสร้างพื้นฐานด้านไอทีขององค์กรเริ่มต้นขึ้น

ฐานข้อมูล Active Directory ถูกจัดเก็บไว้ในเซิร์ฟเวอร์เฉพาะ - ตัวควบคุมโดเมน Active Directory Services เป็นบทบาทของระบบปฏิบัติการ Microsoft Windows Server Active Directory Services สามารถปรับขนาดได้สูง สามารถสร้างวัตถุได้มากกว่า 2 พันล้านรายการในฟอเรสต์ Active Directory ทำให้สามารถใช้บริการไดเรกทอรีในบริษัทที่มีคอมพิวเตอร์และผู้ใช้หลายแสนเครื่อง โครงสร้างแบบลำดับชั้นของโดเมนช่วยให้คุณปรับขนาดโครงสร้างพื้นฐานด้านไอทีของคุณได้อย่างยืดหยุ่นไปยังทุกสาขาและหน่วยงานระดับภูมิภาคของบริษัท สำหรับแต่ละสาขาหรือแผนกของบริษัท สามารถสร้างโดเมนแยกต่างหาก โดยมีนโยบาย ผู้ใช้ และกลุ่มของตนเอง สำหรับแต่ละโดเมนย่อย สามารถมอบอำนาจการดูแลระบบให้กับผู้ดูแลระบบภายในได้ ในขณะเดียวกัน โดเมนลูกยังคงรองลงมาจากโดเมนหลัก

นอกจากนี้ บริการ Active Directory ยังช่วยให้คุณสามารถตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ของโดเมน แต่ละบริษัทมีฟอเรสต์ออฟโดเมนของตนเอง แต่ละแห่งมีทรัพยากรของตนเอง แต่บางครั้งอาจจำเป็นต้องให้สิทธิ์การเข้าถึงทรัพยากรขององค์กรแก่พนักงานของบริษัทอื่น - ทำงานกับเอกสารและแอปพลิเคชันที่ใช้ร่วมกันซึ่งเป็นส่วนหนึ่งของโครงการร่วม ในการทำเช่นนี้ คุณสามารถตั้งค่าความสัมพันธ์ที่เชื่อถือได้ระหว่างฟอเรสต์ขององค์กร ซึ่งจะอนุญาตให้พนักงานขององค์กรหนึ่งเข้าสู่ระบบโดเมนของอีกองค์กรหนึ่งได้

เพื่อให้ยอมรับข้อบกพร่องสำหรับบริการ Active Directory คุณต้องปรับใช้ตัวควบคุมโดเมนสองตัวขึ้นไปในแต่ละโดเมน การเปลี่ยนแปลงทั้งหมดจะถูกจำลองโดยอัตโนมัติระหว่างตัวควบคุมโดเมน ในกรณีที่ตัวควบคุมโดเมนตัวใดตัวหนึ่งล้มเหลว เครือข่ายจะไม่ได้รับผลกระทบ เนื่องจากส่วนที่เหลือยังคงทำงานต่อไป ความยืดหยุ่นเพิ่มเติมมีให้โดยการโฮสต์เซิร์ฟเวอร์ DNS บนตัวควบคุมโดเมนใน Active Directory ซึ่งช่วยให้แต่ละโดเมนมีเซิร์ฟเวอร์ DNS หลายตัวที่ให้บริการในโซนโดเมนหลัก และหากหนึ่งในเซิร์ฟเวอร์ DNS ล้มเหลว ส่วนที่เหลือจะทำงานต่อไป เราจะพูดถึงบทบาทและความสำคัญของเซิร์ฟเวอร์ DNS ในโครงสร้างพื้นฐานด้านไอทีในบทความหนึ่งในซีรีส์

แต่สิ่งเหล่านี้ล้วนเป็นลักษณะทางเทคนิคของการนำไปใช้และการบำรุงรักษาบริการ Active Directory เรามาพูดถึงประโยชน์ที่บริษัทได้รับจากการย้ายออกจากเครือข่ายแบบเพียร์ทูเพียร์โดยใช้เวิร์กกรุ๊ป

1. จุดเดียวของการรับรองความถูกต้อง

ในกลุ่มงานบนคอมพิวเตอร์หรือเซิร์ฟเวอร์แต่ละเครื่อง คุณจะต้องเพิ่มรายชื่อผู้ใช้ทั้งหมดที่ต้องการการเข้าถึงเครือข่ายด้วยตนเอง หากจู่ๆ พนักงานคนใดคนหนึ่งต้องการเปลี่ยนรหัสผ่าน จะต้องเปลี่ยนรหัสผ่านในคอมพิวเตอร์และเซิร์ฟเวอร์ทุกเครื่อง ถ้าเครือข่ายประกอบด้วยคอมพิวเตอร์ 10 เครื่อง แต่ถ้ามีมากกว่านั้น เมื่อใช้โดเมน Active Directory บัญชีผู้ใช้ทั้งหมดจะถูกจัดเก็บไว้ในฐานข้อมูลเดียว และคอมพิวเตอร์ทุกเครื่องจะเข้าถึงเพื่อขออนุญาต ผู้ใช้โดเมนทั้งหมดจะรวมอยู่ในกลุ่มที่เหมาะสม เช่น "การบัญชี" "แผนกการเงิน" การตั้งค่าสิทธิ์สำหรับบางกลุ่มเพียงครั้งเดียวก็เพียงพอแล้ว และผู้ใช้ทุกคนจะได้รับสิทธิ์เข้าถึงเอกสารและแอปพลิเคชันที่เหมาะสม หากพนักงานใหม่มาที่ บริษัท บัญชีจะถูกสร้างขึ้นสำหรับเขาซึ่งรวมอยู่ในกลุ่มที่เหมาะสม - พนักงานจะสามารถเข้าถึงทรัพยากรเครือข่ายทั้งหมดที่เขาควรได้รับอนุญาตให้เข้าถึงได้ หากพนักงานลาออก ก็เพียงพอแล้วที่จะบล็อก - และเขาจะไม่สามารถเข้าถึงทรัพยากรทั้งหมดได้ทันที (คอมพิวเตอร์ เอกสาร แอปพลิเคชัน)

2. การจัดการนโยบายแบบจุดเดียว

ในเวิร์กกรุ๊ป คอมพิวเตอร์ทุกเครื่องมีค่าเท่ากัน ไม่มีคอมพิวเตอร์เครื่องใดสามารถควบคุมเครื่องอื่นได้ เป็นไปไม่ได้ที่จะควบคุมการปฏิบัติตามนโยบายและกฎความปลอดภัยที่เหมือนกัน เมื่อใช้ไดเร็กทอรี Active Directory เดียว ผู้ใช้และคอมพิวเตอร์ทั้งหมดจะถูกแจกจ่ายตามลำดับชั้นในหน่วยขององค์กร ซึ่งแต่ละหน่วยจะอยู่ภายใต้นโยบายกลุ่มเดียวกัน นโยบายอนุญาตให้คุณตั้งค่าเครื่องแบบและการตั้งค่าความปลอดภัยสำหรับกลุ่มคอมพิวเตอร์และผู้ใช้ เมื่อมีการเพิ่มคอมพิวเตอร์หรือผู้ใช้ใหม่ลงในโดเมน คอมพิวเตอร์นั้นจะได้รับการตั้งค่าที่สอดคล้องกับมาตรฐานองค์กรที่ยอมรับโดยอัตโนมัติ ด้วยความช่วยเหลือของนโยบาย คุณสามารถกำหนดเครื่องพิมพ์เครือข่ายให้กับผู้ใช้จากส่วนกลาง ติดตั้งแอปพลิเคชันที่จำเป็น ตั้งค่าความปลอดภัยของเบราว์เซอร์ และกำหนดค่าแอปพลิเคชัน Microsoft Office

3. เพิ่มระดับความปลอดภัยของข้อมูล

การใช้บริการ Active Directory ช่วยปรับปรุงความปลอดภัยของเครือข่ายได้อย่างมาก ประการแรก มันเป็นที่เก็บข้อมูลบัญชีเดียวและปลอดภัย ในสภาพแวดล้อมของโดเมน รหัสผ่านทั้งหมดสำหรับผู้ใช้โดเมนจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์เฉพาะ ตัวควบคุมโดเมน ซึ่งโดยปกติแล้วจะได้รับการปกป้องจากการเข้าถึงจากภายนอก ประการที่สอง เมื่อใช้สภาพแวดล้อมของโดเมน โปรโตคอล Kerberos จะใช้สำหรับการพิสูจน์ตัวตน ซึ่งมีความปลอดภัยมากกว่า NTLM ที่ใช้ในเวิร์กกรุ๊ป

4. การผสานรวมกับแอพพลิเคชั่นและอุปกรณ์ขององค์กร

ข้อได้เปรียบที่สำคัญของบริการ Active Directory คือการปฏิบัติตามมาตรฐาน LDAP ซึ่งรองรับโดยระบบอื่นๆ เช่น เมลเซิร์ฟเวอร์ (Exchange Server) พร็อกซีเซิร์ฟเวอร์ (ISA Server, TMG) และไม่จำเป็นต้องเป็นเฉพาะผลิตภัณฑ์ของ Microsoft เท่านั้น ข้อดีของการรวมนี้คือผู้ใช้ไม่จำเป็นต้องจำข้อมูลการเข้าสู่ระบบและรหัสผ่านจำนวนมากเพื่อเข้าถึงแอปพลิเคชันใดแอปพลิเคชันหนึ่ง ผู้ใช้จะมีข้อมูลรับรองเดียวกันในแอปพลิเคชันทั้งหมด - การตรวจสอบความถูกต้องเกิดขึ้นในไดเร็กทอรี Active Directory เดียว Windows Server มีการรวม Active Directory กับโปรโตคอล RADIUS ซึ่งรองรับโดยอุปกรณ์เครือข่ายที่หลากหลาย ดังนั้นจึงเป็นไปได้ เช่น ให้การรับรองความถูกต้องของผู้ใช้โดเมนเมื่อเชื่อมต่อผ่าน VPN จากภายนอก การใช้จุดเชื่อมต่อ Wi-Fi ในบริษัท

5. ที่เก็บการกำหนดค่าแอปพลิเคชันแบบรวม

แอปพลิเคชันบางตัวจัดเก็บการกำหนดค่าไว้ใน Active Directory เช่น Exchange Server การปรับใช้บริการไดเรกทอรี Active Directory เป็นข้อกำหนดเบื้องต้นสำหรับแอปพลิเคชันเหล่านี้ในการทำงาน การจัดเก็บการกำหนดค่าแอปพลิเคชันในบริการไดเร็กทอรีมีประโยชน์ในแง่ของความยืดหยุ่นและความน่าเชื่อถือ ตัวอย่างเช่น ในกรณีที่เซิร์ฟเวอร์ Exchange ล้มเหลวโดยสิ้นเชิง การกำหนดค่าทั้งหมดจะยังคงเหมือนเดิม หากต้องการคืนค่าฟังก์ชันการทำงานของอีเมลองค์กร การติดตั้ง Exchange Server ใหม่ในโหมดการกู้คืนก็เพียงพอแล้ว

โดยสรุป ฉันต้องการเน้นอีกครั้งว่าบริการ Active Directory เป็นหัวใจของโครงสร้างพื้นฐานด้านไอทีขององค์กร ในกรณีที่เกิดความล้มเหลว เครือข่ายทั้งหมด เซิร์ฟเวอร์ทั้งหมด การทำงานของผู้ใช้ทั้งหมดจะเป็นอัมพาต จะไม่มีใครสามารถเข้าสู่ระบบคอมพิวเตอร์ เข้าถึงเอกสารและแอปพลิเคชันของตนได้ ดังนั้น บริการไดเร็กทอรีจึงต้องได้รับการออกแบบและปรับใช้อย่างระมัดระวัง โดยคำนึงถึงความแตกต่างที่เป็นไปได้ทั้งหมด ตัวอย่างเช่น แบนด์วิธของช่องทางระหว่างสาขาหรือสำนักงานของบริษัท (ซึ่งส่งผลโดยตรงต่อความเร็วในการเข้าสู่ระบบของผู้ใช้ เช่นเดียวกับการแลกเปลี่ยนข้อมูลระหว่าง ตัวควบคุมโดเมน)

ไม่พบคำตอบสำหรับคำถามของคุณ? ดูที่นี่
Bibliotherapy: หนังสือ 15 เล่มที่จะช่วยให้คุณค้นพบตัวเองBibliotherapy: หนังสือ 15 เล่มที่จะช่วยให้คุณค้นพบตัวเอง
หนึ่ง. Tolstoy หนึ่ง. Tolstoy "เดินผ่านความทรมาน Alexey Nikolaevich Tolstoy - ต้องผ่านความเจ็บปวด ผู้เขียนเดินผ่านความเจ็บปวด
ทำไมการเริ่มต้นจึงเป็นเรื่องยากและจะทำอย่างไรกับมันทำไมการเริ่มต้นจึงเป็นเรื่องยากและจะทำอย่างไรกับมัน