Біографії Характеристики Аналіз
Розгорнути
Головна

Ubuntu монтувати мережну папку CIFS. Як підключити мережний диск Windows до Linux

Адміністраторам Windows-мереж не уникнути знайомства з . Ця оглядова стаття буде присвячена тому, що таке Active Directory і з чим їх їдять.

Отже, Active Directory – це реалізація служби каталогів від компанії Microsoft. Під службою каталогів у цьому випадку мається на увазі програмний комплекс, який допомагає системному адміністратору працювати з такими мережевими ресурсами, як спільні папки, сервери, робочі станції, принтери, користувачі та групи.

Active Directory має ієрархічну структуру, що складається з об'єктів. Усі об'єкти поділяються на три основні категорії.

  • Облікові записи користувачів та комп'ютерів;
  • ресурси (наприклад, принтери);
  • Служби (наприклад, електронна пошта).

Кожен об'єкт має унікальне ім'я і має низку характеристик. Об'єкти можна групувати.

Властивості користувача

Active Directory має лісоподібну структуру. Ліс має кілька дерев, які містять домени. Домени, у свою чергу, містять вищезазначені об'єкти.


Структура Active Directory

Зазвичай об'єкти в домені групуються до підрозділів. Підрозділи служать для будівництва ієрархії всередині домену (організації, територіальні підрозділи, відділи і т.д.). Це особливо важливо для організацій, розкиданих по географічною ознакою. При вибудовуванні структуру рекомендується створювати якнайменше доменів, створюючи, за потреби, окремі підрозділи. Саме на них і є сенс застосовувати групові політики.

Властивості робочої станції

Іншим способом структурування Active Directory є сайти. Сайти є способом фізичного, а чи не логічного угруповання з урахуванням сегментів мережі.

Як було зазначено, кожен об'єкт у Active Directory має унікальне ім'я. Наприклад, принтер HPLaserJet4350dtn, що знаходиться в підрозділі Юристиі в домені primer.ruматиме ім'я CN=HPLaserJet4350dtn,OU=Юристи,DC=primer,DC=ua. CN- це спільне ім'я, OU- підрозділ, DC- Клас об'єкта домену. Ім'я об'єкта може мати набагато більше частин, Чим у цьому прикладі.

Інша форма запису імені об'єкта виглядає так: primer.ru/Юристи/HPLaserJet4350dtn. Також кожен об'єкт має глобальний унікальний ідентифікатор ( GUID) - унікальний і незмінний 128-бітовий рядок, який використовується в Active Directory для пошуку та реплікації. Деякі об'єкти також мають ім'я користувача-учасника ( UPN) у форматі об'єкт@домен.

Ось загальні відомостіпро те, що ж таке Active Directory і для чого вони необхідні в локальних мережах на базі Windows. Насамкінець має сенс сказати, що адміністратор має можливість працювати з Active Directory віддалено за допомогою Засоби віддаленого адміністрування сервера для Windows 7 (KB958830)(завантажити) та Засоби віддаленого адміністрування сервера для Windows 8.1 (KB2693643) (завантажити).


Домен – це основна адміністративна одиниця у мережній інфраструктурі підприємства, до якої входять усі мережеві об'єкти, такі як користувачі, комп'ютери, принтери, загальні ресурси тощо. Сукупність (ієрархія) доменів називається лісом. Кожна компанія може мати зовнішній і внутрішній домен.

Наприклад, сайт – зовнішній домен у мережі Інтернет, який був придбаний у реєстратора імен. У цьому домені розміщено наш WEB-сайт та поштовий сервер. lankey.local – внутрішній домен служби каталогів Active Directory, в якому розміщуються облікові записи користувачів, комп'ютерів, принтерів, серверів та корпоративних програм. Іноді зовнішні та внутрішні доменні імена роблять однаковими.

Microsoft Active Directory стала стандартом систем єдиного каталогу підприємства. Домен на базі Active Directory впроваджений практично у всіх компаніях світу, і на цьому ринку у Microsoft практично не залишилося конкурентів, частка того ж Novell Directory Service (NDS) зневажливо мала, та й компанії, що залишилися, поступово мігрують на Active Directory.

Active Directory (Служба каталогів) є розподіленою базою даних, яка містить усі об'єкти домену. Доменне середовище Active Directory є єдиною точкою автентифікації та авторизації користувачів та додатків у масштабах підприємства. Саме з організації домену та розгортання Active Directory починається побудова ІТ-інфраструктури підприємства. База даних Active Directory зберігається на виділених серверах – контролерах домену. Служба Active Directory є роллю серверних операційних систем Microsoft Windows Server. У Наразікомпанія ЛанКей здійснює впровадження доменів Active Directory на базі операційної системи Windows Server 2008 R2.

Розгортання служби каталогів Active Directory у порівнянні з робочою групою (Workgroup) дає такі переваги:

  • Єдина точкаавтентифікації. Коли комп'ютери працюють у робочій групі, вони не мають єдиної бази даних користувачів, кожен комп'ютер вона своя. Тому за замовчуванням жоден з користувачів не має доступу до мережі до комп'ютера іншого користувача або сервера. А, як відомо, сенс мережі якраз у тому, щоб користувачі могли взаємодіяти. Співробітникам потрібний спільний доступ до документів або програм. У робочій групі на кожному комп'ютері або сервері доведеться вручну додавати повний список користувачів, яким потрібний доступ до мережі. Якщо раптом, один із співробітників захоче змінити свій пароль, його потрібно буде поміняти на всіх комп'ютерах і серверах. Добре, якщо мережа складається з 10 комп'ютерів, але якщо їх 100 або 1000, використання робочої групи буде неприйнятним. При використанні домену Active Directory всі облікові записи користувачів зберігаються в одній базі даних, і всі комп'ютери звертаються до неї за авторизацією. Усі користувачі домену включаються до відповідних груп, наприклад, «Бухгалтерія», «Кадри», «Фінансовий відділ» тощо. Достатньо один раз задати дозволи для тих чи інших груп, і всі користувачі отримають відповідний доступ до документів та додатків. Якщо до компанії приходить новий співробітник, йому створюється обліковий запис, що входить у відповідну групу, і все! Через кілька хвилин новий співробітник отримує доступ до всіх ресурсів мережі, до яких йому повинен бути дозволений доступ, на всіх серверах та комп'ютерах. Якщо співробітник звільняється, достатньо заблокувати або видалити його обліковий запис, і він відразу втратить доступ до всіх комп'ютерів, документів і додатків.
  • Єдина точка управління політиками. У одноранговій мережі (робочій групі) всі комп'ютери є рівноправними. Жоден з комп'ютерів не може керувати іншим, всі комп'ютери налаштовані по-різному, неможливо проконтролювати дотримання єдиних політик, ні правил безпеки. При використанні єдиного каталогу Active Directory всі користувачі та комп'ютери ієрархічно розподіляються по організаційним підрозділам, до кожного з яких застосовуються єдині групові політики. Політики дають змогу встановити єдині параметри та параметри безпеки для групи комп'ютерів та користувачів. При додаванні до домену нового комп'ютера або користувача він автоматично отримує настройки, що відповідають прийнятим корпоративним стандартам. Також за допомогою політик можна централізовано призначити користувачам мережні принтери, встановити необхідні програми, встановити параметри безпеки Інтернет-браузера, налаштувати програми Microsoft Officeі т.д.
  • Інтеграції з корпоративними програмами та обладнанням. Великою перевагою Active Directory є відповідність стандарту LDAP, який підтримується сотнями програм, такими як поштові сервери (Exchange, Lotus, Mdaemon), ERP-системи (Dynamics, CRM), проксі-сервери (ISA Server, Squid) та ін. лише програми під Microsoft Windows, а й сервери з урахуванням Linux. Переваги такої інтеграції полягає в тому, що користувач не повинен пам'ятати велика кількістьлогінів і паролів для доступу до того чи іншого додатку, у всіх додатках користувач має одні й самі облікові дані, т.к. його автентифікація відбувається у єдиному каталозі Active Directory. Крім того, співробітнику не потрібно по кілька разів вводити свій логін і пароль, достатньо при запуску комп'ютера один раз увійти в систему, і надалі користувач автоматично автентифікуватиметься у всіх додатках. Windows Server для інтеграції з Active Directory надає протокол RADIUS, який підтримується великою кількістюмережевого обладнання. Таким чином, можна, наприклад, забезпечити автентифікацію доменних користувачів при підключенні до маршрутизатора CISCO VPN.
  • Єдине сховище конфігурації програм. Деякі програми зберігають конфігурацію в Active Directory, наприклад Exchange Server або Office Communications Server. Розгортання служби каталогів Active Directory є обов'язковою умовою для роботи цих програм. Також у службі каталогів можна зберігати конфігурацію сервера доменних імен DNS. Зберігання конфігурації програм у службі каталогів є вигідним з точки зору гнучкості та надійності. Наприклад, у разі повної відмови сервера Exchange, вся конфігурація залишиться недоторканою, т.к. зберігається у Active Directory. І для відновлення працездатності корпоративної пошти достатньо буде перевстановити Exchange сервер у режимі відновлення.
  • Підвищений рівень інформаційної безпеки. Використання Active Directory значно підвищує рівень безпеки мережі. По-перше – це єдине та захищене сховище облікових записів. В одноранговій мережі облікові дані користувачів зберігаються у локальній базі даних облікових записів (SAM), яку теоретично можна зламати, заволодівши комп'ютером. У доменному середовищі всі паролі доменних користувачів зберігаються на виділених серверах контролерах домену, які зазвичай захищені від зовнішнього доступу. По-друге, при використанні доменного середовища для аутентифікації використовується протокол Kerberos, який значно безпечніший, ніж NTLM, що використовується в робочих групах. Крім того, для входу користувачів до системи можна використовувати двофакторну автентифікацію за допомогою смарт-карток. Тобто. щоб співробітник отримав доступ до комп'ютера, йому потрібно буде ввести свій логін та пароль, а також вставити свою смарт-картку.

Масштабованість та відмовостійкість служби каталогів Active Directory

Служба каталогів Microsoft Active Directory має широкі можливості масштабування. У лісі Active Directory може бути створено понад 2 мільярди об'єктів, що дозволяє впроваджувати службу каталогів у компаніях із сотнями тисяч комп'ютерів та користувачів. Ієрархічна структура доменів дозволяє гнучко масштабувати ІТ-інфраструктуру на всі філії та регіональні підрозділи компаній. Для кожної філії або підрозділу компанії може бути створений окремий домен зі своїми політиками, своїми користувачами та групами. До кожного дочірнього домену можуть бути делеговані адміністративні повноваження місцевим системним адміністраторам. При цьому дочірні домени підпорядковуються батьківським.

Крім того, Active Directory дозволяє настроїти довірчі стосунки між доменними лісами. Кожна компанія має власний ліс доменів, кожен із яких має власні ресурси. Але іноді буває потрібно надати доступ до своїх корпоративних ресурсів співробітникам компаній-партнерів. Наприклад, за участю у спільних проектах співробітникам із компаній партнером може спільно знадобитися працювати із спільними документами чи додатками. Для цього між лісами організацій можна налаштувати довірчі стосунки, що дозволить співробітникам з однієї організації авторизуватись у домені іншої.

Відмовостійкість служби каталогів забезпечується шляхом розгортання 2-х і більше серверів - контролерів домену в кожному домені. Між контролерами домену забезпечується автоматична реплікація всіх змін. Що стосується виходу з ладу однієї з контролерів домену, працездатність мережі порушується, т.к. продовжують працювати ті, що залишилися. Додатковий рівень стійкості до відмови забезпечує розміщення серверів DNS на контролерах домену в Active Directory, що дозволяє в кожному домені отримати кілька серверів DNS, що обслуговують основну зону домену. І в разі відмови одного з DNS серверів, продовжать працювати, що залишилися, причому вони будуть доступні, як на читання, так і на запис, що не можна забезпечити, використовуючи, наприклад, DNS сервера BIND на базі Linux.

Переваги Windows Server 2008 R2

Навіть якщо у вашій компанії вже розгорнуто службу каталогів Active Directory на базі Windows Server 2003, то ви можете отримати цілий рядпереваг, перейшовши на Windows Server 2008 R2. Windows Server 2008 R2 надає такі додаткові можливості:

    Контролер домену лише для читання RODC (Read-only Domain Controller). Контролери домену зберігають облікові записи користувачів, сертифікати та багато іншої конфіденційної інформації. Якщо сервери розташовані в захищених ЦОД-ах, то про збереження цієї інформації можна бути спокійним, але що робити, якщо котролер домену стоїть у філії в загальнодоступному місці. В даному випадку існує можливість, що сервер вкрадуть зловмисники і зламають його. А потім використовують ці дані для організації атаки на вашу корпоративну мережу з метою крадіжки чи знищення інформації. Саме для запобігання таким випадкам у філіях встановлюють контролери домену тільки для читання (RODC). По-перше, RODC-контролери не зберігають паролі користувачів, а лише кешують їх для прискорення доступу, а по-друге вони використовують односторонню реплікацію, тільки з центральних серверів у філію, але не назад. І навіть якщо зловмисники заволодіють RODC контролером домену, то вони не отримають паролі користувачів і не зможуть завдати шкоди основній мережі.

    Відновлення видалених об'єктів Active Directory. Майже кожен системний адміністратор стикався з необхідністю відновити випадково віддалений обліковий запис користувача або цілої групи користувачів. У Windows 2003 для цього потрібно відновлювати службу каталогів з резервної копії, Якої часто не було, але навіть якщо вона і була, то відновлення займало досить багато часу. У Windows Server 2008 R2 з'явився кошик Active Directory. Тепер при видаленні користувача або комп'ютера він потрапляє в кошик, з якого він може бути відновлений за пару хвилин протягом 180 днів зі збереженням всіх початкових атрибутів.

    Спрощене керування. У Windows Server 2008 R2 було внесено низку змін, які значно скорочують навантаження на системних адміністраторів і полегшують управління ІТ-інфраструктурою. Наприклад, з'явилися такі засоби, як: Аудит змін Active Directory, що показує, хто, що і коли змінював; політики складності паролів, що налаштовуються на рівні груп користувачів, раніше це було можливо зробити тільки на рівні домену; нові засоби управління користувачами та комп'ютерами; шаблони політик; керування за допомогою командного рядка PowerShell і т.д.

Використання служби каталогів Active Directory

Служба каталогів Active Directory є серцем ІТ-інфраструктури підприємства. У разі її відмови вся мережа, всі сервери, робота всіх користувачів будуть паралізовані. Ніхто не зможе увійти в комп'ютер, отримати доступ до своїх документів та програм. Тому служба каталогів має бути ретельно спроектована та розгорнута, з урахуванням усіх можливих нюансів. Наприклад, структура сайтів має будуватися на основі фізичної топології мережі та пропускної спроможності каналів між філіями чи офісами компанії, т.к. від цього залежить швидкість входу користувачів у систему, і навіть реплікація між контролерами домену. Крім того, на основі топології сайтів Exchange Server 2007/2010 здійснює маршрутизацію пошти. Також потрібно правильно розрахувати кількість та розміщення серверів глобального каталогу, які зберігають списки універсальних груп, та безліч інших часто використовуваних атрибутів усіх доменів лісу. Саме тому компанії покладають завдання щодо впровадження, реорганізації чи міграції служби каталогів Active Directory на системних інтеграторів. Тим не менш, потрібно не помилитися при виборі системного інтегратора, слід переконатися, що він сертифікований на виконання даного виду робіт та має відповідні компетенції.

Компанія ЛанКей є сертифікованим системним інтегратором і має статус Microsoft Gold Certified Partner. ЛанКей має компетенцію Datacenter Platform (Advanced Infrastructure Solutions), що підтверджує наш досвід та кваліфікацію у питаннях пов'язаних із розгортанням Active Directory та впровадженням серверних рішень компанії Microsoft.


Всі роботи в проектах виконують сертифіковані Microsoft інженери MCSE, MCITP, які мають багатий досвід участі у великих та складних проектах з побудови ІТ-інфраструктур та впровадження доменів Active Directory.

Компанія ЛанКей розробить ІТ-інфраструктуру, розгорне службу каталогів Active Directory та забезпечить консолідацію всіх наявних ресурсів підприємства у єдиний інформаційний простір. Впровадження Active Directory допоможе зменшити сукупну вартість володіння інформаційною системою, а також підвищити ефективність спільного використання спільних ресурсів. ЛанКей також надає послуги з міграції доменів, об'єднання та поділу ІТ-інфраструктур при злиття та поглинання, обслуговування та підтримки інформаційних систем.

Приклади деяких проектів із впровадження Active Directory, реалізованих компанією ЛанКей:

Замовник Опис рішення

У зв'язку із вчиненням угоди з купівлі 100% акцій компанії ВАТ «СІБУР-Міндобрива» (згодом перейменований на ВАТ "СДС-Азот") Холдингової компаній "Сибірський діловий союз" у грудні 2011 року, виникла потреба у відділенні ІТ-інфраструктури ВАТ «СДС -Азот» від мережі Холдингу СІБУР.

Команія ЛанКей здійснила міграцію служби каталогів Active Directory підрозділу СІБУР-Міндобрива з мережі холдингу СІБУР до нової інфраструктури. Також були перенесені облікові записи користувачів, комп'ютери та програми. За результатами проекту від замовника отримано лист подяки.
У зв'язку з реструктуризацією бізнесу було виконано розгортання служби каталогів Active Directory для центрального офісу та 50 московських та регіональних магазинів. Служба каталогів забезпечила централізоване ураження всіх ресурсів підприємства, а також аутентифікацію та авторизацію всіх користувачів.
У рамках комплексного проектузі створення ІТ-інфраструктури підприємства, компанія ЛанКей виконала розгортання домену Active Directory для керуючої компанії та трьох регіональних підрозділів. Для кожної філії було створено окремий сайт, у кожному сайті було розгорнуто по 2 контролери домену. Також було розгорнуто служби сертифікації. Усі послуги були розгорнуті на віртуальних машинах під управлінням Microsoft Hyper-V. Якість роботи компанії ЛанКей була відзначена відгуком.
В рамках комплексного проекту зі створення корпоративної інформаційної системи, було здійснено розгортання служби каталогів Active Directory на базі Windows Server 2008 R2. Система була розгорнута з використанням технології віртуалізації серверів під керуванням Microsoft Hyper-V. Служба каталогів забезпечила єдину автентифікацію та авторизацію всіх співробітників лікарні, а також забезпечила функціонування таких додатків, як Exchange, TMG, SQL та ін.



Розгортання служби каталогів Active Directory на базі Windows Server 2008 R2. З метою скорочення витрат інсталяція зроблена в системі віртуалізації серверів на базі Microsoft Hyper-V.
У рамках комплексного проекту зі створення ІТ-інфраструктури підприємства було розгорнуто службу каталогів на базі Windows Server 2008 R2. Усі контролери домену розгорнули з використанням системи віртуалізації серверів Microsoft Hyper-V. Якість роботи підтверджено отриманим від замовника відгуком.


У найкоротші терміни відновлено працездатність служби каталогів Active Directory у критичній для бізнесу ситуації. Фахівці "ЛанКей" буквально за кілька годин відновили працездатність кореневого домену та написали інструкцію щодо відновлення реплікації 80 філіальних підрозділів. За оперативність та якість роботи від замовника було отримано відгук.
У рамках комплексного проекту створення ІТ-інфраструктури було розгорнуто домен Active Directory на базі Windows Server 2008 R2. Працездатність служби каталогів була забезпечена за допомогою п'яти контролерів домену, розгорнутих на кластері віртуальних машин. Резервне копіювання служби каталогів було реалізовано за допомогою Microsoft Data Protection Manager 2010. Якість роботи підтверджено відгуком.

У рамках комплексного проекту з побудови корпоративної інформаційної системи виконано розгортання служби єдиного каталогу Active Directory на базі Windows Server 2008. ІТ-інфраструктура була побудована із застосуванням віртуалізації Hyper-V. Після завершення проекту було укладено договір щодо подальшого обслуговування інформаційної системи. Якість роботи підтверджено відгуком.
Нафтогазові технології У рамках комплексного проекту створення ІТ-інфраструктури, виконано розгортання єдиного каталогу Active Directory на базі Windows Server 2008 R2. Проект було виконано за 1 місяць. Після завершення проекту було укладено договір на подальше обслуговування системи. Якість роботи підтверджено відгуком.
Виконано розгортання Active Directory на базі Windows Server 2008 у рамках проекту з впровадження Exchange Server 2007.
Здійснено реорганізацію служби каталогів Active Directory на базі Windows Server 2003 перед впровадженням Exchange Server 2007. Якість роботи підтверджена відкликанням .
Здійснено розгортання служби каталогів Active Directory на базі Windows Server 2003 R2. Після завершення проекту було укладено договір подальше обслуговування системи. Якість роботи підтверджено відгуком.

Здійснено розгортання Active Directory на базі Windows Server 2003. Після завершення проекту було укладено договори на подальший супровід системи.

Коротше кажучи, AD дозволяє використовувати єдину точку адміністрування для всіх ресурсів, що публікуються. В основі AD використовується стандарт іменування X.500, система доменних імен – Domain Name System (DNS) для визначення місцезнаходження, і як основний протокол використовується Lightweight Directory Access Protocol (LDAP).

AD поєднує логічну та фізичну структуру мережі. Логічна структура AD складається з наступних елементів:

  • організаційний підрозділ (organizational unit) - Підгрупа комп'ютерів, як правило, що відображає структуру компанії;
  • домен (domain) - Група комп'ютерів, що спільно використовують загальну базу даних каталогу;
  • дерево доменів (domain tree) – один або кілька доменів, які спільно використовують безперервний простірімен;
  • ліс доменів (domain forest) – одне або кілька дерев, які спільно використовують інформацію каталогу.

До фізичної структури належать такі елементи:

  • підмережа (subnet) – мережна група із заданою областю IP-адрес та мережевою маскою;
  • сайт (site) - Одна або кілька підмереж. Сайт використовується для налаштування доступу до каталогу та реплікації.

У каталозі зберігаються відомості трьох типів: дані домену, дані схеми та дані конфігурації. AD використовує лише контролери доменів. Дані домену реплікуються на всі контролери домену. Усі контролери домену рівноправні, тобто. всі зміни, що вносяться з будь-якого контролера домену, будуть репліковані на всі інші контролери домену. Схема та дані конфігурації реплікуються на всі домени дерева або лісу. Крім того, всі об'єкти індивідуального домену та частина властивостей об'єктів лісу реплікуються до глобального каталогу (GC). Це означає, що контролер домену зберігає та реплікує схему для дерева чи лісу, інформацію про конфігурацію для всіх доменів дерева чи лісу та всі об'єкти каталогу та властивості для власного домену.

Контролер домену, на якому зберігається GC, містить та реплікує інформацію схеми для лісу, інформацію про конфігурацію для всіх доменів лісу та обмежений набір властивостей для всіх об'єктів каталогу в лісі (який реплікується лише між серверами GC), а також усі об'єкти каталогу та властивості для свого домену.

Контролери домену можуть мати різні ролігосподарів операцій. Господар операцій вирішує завдання, які незручно виконувати моделі реплікації з кількома господарями.

Існує п'ять ролей господаря операцій, які можуть бути призначені одному чи кільком контролерам доменів. Одні ролі мають бути унікальні лише на рівні лісу, інші лише на рівні домену.

У кожному лісі AD існують такі ролі:

  • Господар схеми (Schema Master) – керує оновленнями та змінами схеми каталогу. Для оновлення схеми каталогу потрібний доступ до власника схеми. Щоб визначити, який сервер у даний часє господарем схеми в домені, потрібно у вікні командного рядка набрати команду dsquery server -hasfsmo schema
  • Господар іменування доменів (domain naming master) – керує додаванням та видаленням доменів у лісі. Щоб додати або видалити домен, потрібний доступ до власника домену. Щоб визначити, який сервер є власником доменів, у вікні командного рядка введіть dsquery server -hasismo name

Ці ролі, спільні для всього лісу загалом і є у ньому унікальними.

У кожному домені AD обов'язково існують такі ролі:

  • Господар відносних ідентифікаторів (relative ID master) - Виділяє відносні ідентифікатори контролерам доменів. Щоразу під час створення об'єкта користувача, групи, чи комп'ютера, контролери призначають об'єкту унікальний ідентифікатор безпеки, що з ідентифікатора безпеки домену і унікального ідентифікатора, виділений господарем відносних ідентифікаторів. Щоб визначити, який сервер є власником відносних ідентифікаторів домену, введіть в командному рядку dsquery server -hasfsmo rid
  • Емулятор PDC (PDC emulator) – у змішаному або проміжному режимі домену діє як головний контролер домену Windows NT. Він аутентифікує вхід до Windows, обробляє зміни пароля та реплікує оновлення на BDC, якщо вони є. Щоб визначити, який сервер є емулятором PDC домену, в командному рядку введіть dsquery server -hasfsmo pdc
  • Господар інфраструктури (infrastructure master) – оновлює посилання на об'єкти, порівнюючи дані свого каталогу з даними GC. Якщо дані застаріли, він запитує з оновлення GC і реплікує їх на інші контролери домену. Щоб визначити, який сервер є господарем інфраструктури домену, введіть в командному рядку dsquery server -hasfsmo infr

Ці ролі, спільні для всього домену і мають бути в ньому унікальні.

Ролі господарів операцій призначаються автоматично першому контролеру в домені, але можуть бути переназначені вами. Якщо в домені тільки один контролер, він виконує всі ролі господарів операцій відразу.

Не рекомендується розносити ролі власника схеми та власника іменування доменів. По-можливості призначайте їх одному контролеру домену. Для найбільшої ефективності бажано, щоб господар відносних ідентифікаторів та емулятор PDC також знаходилися на одному контролері, хоча за необхідності ці ролі можна розділити. У великій мережі, де великі навантаженнязнижують швидкодію, господар відносних ідентифікаторів та емулятор PDC повинні бути розміщені на різних контролерах. Крім того, господар інфраструктури не рекомендується розміщувати на контролері домену, який зберігає глобальний каталог.

Інсталяція контролера домену (DC) на базі Windows Server 2003 за допомогою майстра інсталяції Active Directory

Встановлення контролера домену здійснюється за допомогою майстра Active Directory Installation Wizard. Щоб підвищити статус сервера до контролера домену, необхідно переконатися у виконанні всіх необхідних для цього вимог:

  1. На сервері повинен бути хоча б один розділ NTFS розміщувати системний том SYSVOL.
  2. Сервер повинен мати доступ до сервера DNS. Бажано встановити службу DNS на цьому сервері. Якщо використовується окремий сервер, необхідно переконатися, що він підтримує ресурсні записи Service Location (RFC 2052) та протокол Dynamic Updates (RFC 2136).
  3. Необхідно мати обліковий запис із правами локального адміністратора на сервері.

Розглянемо докладно підвищення ролі сервера до контролера домену Active Directory за кроками:

Основи керування доменом Active Directory

Ряд коштів у оснащеннях Microsoft Management Console (MMC) спрощує роботу з Active Directory.

Оснащення (Active Directory – користувачі та комп'ютери) є консоллю управління MMC, яку можна використовувати для адміністрування та публікації відомостей у каталозі. Це головний засіб адміністрування Active Directory, який використовується для виконання всіх завдань, пов'язаних з користувачами, групами та комп'ютерами, а також управління організаційними підрозділами.

Щоб запустити оснащення (Active Directory – користувачі та комп'ютери), виберіть однойменну команду в меню Administrative Tools (Адміністрування).

За промовчанням консоль Active Directory Users and Computers працює з доменом, до якого належить Ваш комп'ютер. Ви можете отримати доступ до об'єктів комп'ютерів та користувачів у цьому домені через дерево консолі або підключитися до іншого домену. Засоби цієї консолі дозволяють переглядати додаткові параметри об'єктів і здійснювати їх пошук.

Отримавши доступ до домену ви побачите стандартний набір папок:

  • Saved Queries (Збережені запити) – збережені критерії пошуку, що дозволяють оперативно повторити виконаний пошук у Active Directory;
  • Builtin - Список вбудованих облікових записів користувачів;
  • Комп'ютери – стандартний контейнер для облікових записів комп'ютерів;
  • Domain Controllers – контейнер за замовчуванням для контролерів домену;
  • ForeignSecurityPrincipals – містить інформацію про об'єкти із довіреного зовнішнього домену. Зазвичай ці об'єкти створюються при додаванні до групи поточного домену об'єкта із зовнішнього домену;
  • Users – стандартний контейнер для користувачів.

Деякі папки стандартної консолі не відображаються. Щоб вивести їх на екран, виберіть Advanced Features (Додаткові функції) у меню View (Вигляд). Ось ці додаткові папки:

  • LostAndFound - Втрати власника, об'єкти каталогу;
  • NTDS Quotas – дані про квотування служби каталогів;
  • Program Data – збережені у службі каталогів дані для програм Microsoft;
  • System - Вбудовані параметри системи.

Ви можете самостійно додавати папки для організаційних підрозділів до дерева AD.

Розглянемо приклад створення облікового запису користувача домену. Щоб створити обліковий запис користувача, клацніть правою кнопкою контейнер, до якого потрібно помістити обліковий запис користувача, виберіть у контекстному меню New (Створити), а потім – User (Користувач). Відкриється вікно майстра New Object – User (Новий об'єкт – Користувач):

  1. Введіть ім'я, ініціал та прізвище користувача у відповідних полях. Ці дані потрібні для створення відображуваного імені користувача.
  2. Відредагуйте повне ім'я. Воно має бути унікальним у домені та мати довжину не більше 64 символів.
  3. Введіть ім'я входу. За допомогою розкривного списку виберіть домен, з яким буде пов'язаний обліковий запис.
  4. У разі потреби змініть ім'я користувача для входу в систему з Windows NT 4.0 або більше ранніми версіями. За промовчанням в якості імені для входу до системи з попередніми версіями Windows використовуються перші 20 символів повного імені користувача. Це ім'я також має бути унікальним у домені.
  5. Клацніть Next (Далі). Введіть пароль для користувача. Його параметри повинні відповідати вашій політиці паролів;
    Confirm Password (Підтвердження) – поле, яке використовується для підтвердження правильності введеного пароля;
    User must change password at next logon(Вимагати зміну пароля під час наступного входу в систему) – якщо цей прапорець встановлений, користувачеві доведеться змінити пароль при наступному вході до системи;
    User cannot change password (Заборонити зміну пароля користувачем) – якщо цей прапорець встановлений, користувач не може змінити пароль;
    Password never expires (Термін дії пароля не обмежений) – якщо цей прапорець встановлений, час дії пароля для цього облікового запису не обмежений (цей параметр перекриває доменну політику облікових записів);
    Account is disabled (Вимкнути обліковий запис) – якщо цей прапорець встановлений, обліковий запис не діє (параметр зручний для тимчасової заборони використання будь-якого облікового запису).

Облікові записи дозволяють зберігати контактну інформацію користувачів, а також інформацію про участь у різних доменних групах, шлях до профілю, сценарій входу, шлях домашньої папки, список комп'ютерів, з яких користувачеві дозволено вхід до домену і т.д.

Сценарії входу визначають команди, які виконуються при кожному вході в систему. Вони дозволяють налаштувати системний час, мережні принтери, шляхи до мережних дисків тощо. Сценарії застосовуються для разового запуску команд, при цьому параметри середовища, які задаються сценаріями, не зберігаються для подальшого використання. Сценаріями входу можуть бути файли сервера сценаріїв Windows з розширеннями. VBS, . JS та інші, пакетні файли з розширенням. ВАТ, командні файли з розширенням. CMD, програми з розширенням.

Для кожного облікового запису можна призначити свою домашню папку для зберігання та відновлення файлів користувача. Більшість програм за замовчуванням відкривають домашню папку для операцій відкриття та збереження файлів, що спрощує користувачам пошук своїх даних. У командному рядку домашня папка є початковим каталогом. Домашня папка може розташовуватися як на жорсткому диску користувача, так і на загальнодоступному мережному диску.

Доменні облікові записи комп'ютерів та користувачів можуть застосовувати групові політики. Групова політика спрощує адміністрування, надаючи адміністраторам централізований контроль над привілеями, дозволами та можливостями користувачів та комп'ютерів. Групова політика дозволяє:

  • створювати централізовано керовані спеціальні папки, наприклад My Documents (Мої документи);
  • керувати доступом до компонентів Windows, системних та мережевих ресурсів, інструментів панелі управління, робочого столу та меню Start (Пуск);
  • налаштувати сценарії користувачів та комп'ютерів на виконання завдання у заданий час;
  • налаштовувати політики паролів та блокування облікових записів, аудиту, присвоєння прав користувача та безпеки.

Крім завдань керування обліковими записами користувача і групами існує маса інших завдань управління доменом. Для цього служать інші оснащення та додатки.

Оснащення Active Directory Domains and Trusts(Active Directory – домени та довіра) служить для роботи з доменами, деревами доменів та лісами доменів.

Оснащення Active Directory Sites and Services(Active Directory – сайти та служби) дозволяє керувати сайтами та підмережами, а також міжсайтовою реплікацією.

Для управління об'єктами AD існують засоби командного рядка, які дозволяють здійснювати широкий спектр адміністративних завдань:

  • Dsadd – додає до Active Directory комп'ютери, контакти, групи, організаційні підрозділи та користувачів. Для отримання довідкової інформаціївведіть dsadd /? наприклад dsadd computer/?
  • Dsmod – змінює властивості комп'ютерів, контактів, груп, організаційних підрозділів, користувачів та серверів, зареєстрованих у Active Directory. Щоб отримати довідкову інформацію, введіть dsmod /? наприклад dsmod server /?
  • Dsmove – переміщує одиночний об'єкт у нове розташування в межах домену або перейменовує об'єкт без переміщення.
  • Dsget – відображає властивості комп'ютерів, контактів, груп, організаційних підрозділів, користувачів, сайтів, підмереж та серверів, зареєстрованих у Active Directory. Щоб отримати довідкову інформацію, введіть dsget /? наприклад dsget subnet /?
  • Dsquery – здійснює пошук комп'ютерів, контактів, груп, організаційних підрозділів, користувачів, сайтів, підмереж та серверів у Active Directory за заданими критеріями.
  • Dsrm – видаляє об'єкт із Active Directory.
  • Ntdsutil – дозволяє переглядати інформацію про сайт, домен або сервер, керувати господарями операцій (operations masters) та обслуговувати базу даних Active Directory.

Також існують засоби підтримки Active Directory:

  • Ldp – Здійснює в Active Directory Administration операції протоколу LDAP.
  • Replmon – Керує реплікацією та відображає її результати у графічному інтерфейсі.
  • Dsacls – Керує списками ACL (списками керування доступом) для об'єктів Active Directory.
  • Dfsutil – Керує розподіленою файловою системою (Distributed File System, DFS) та відображає відомості про її роботу.
  • Dnscmd – Керує властивостями серверів, зон та записів ресурсів DNS.
  • Movetree – Переміщує об'єкти з одного домену до іншого.
  • Repadmin – Керує реплікацією та відображає її результати у вікні командного рядка.
  • Sdcbeck – Аналізує поширення, реплікацію та успадкування списків управління доступом.
  • Sidwalker – Задає списки керування доступом для об'єктів, які в минулому належали переміщеним, віддаленим або втраченим обліковим записам.
  • Netdom – Дозволяє керувати доменами та довірчими стосунками з командного рядка.

Як видно з цієї статті, об'єднання груп комп'ютерів у домени на базі Active Directory дозволяє суттєво знизити витрати адміністративних завдань за рахунок централізації управління доменними обліковими записами комп'ютерів та користувачів, а також дозволяє гнучко керувати правами користувачів, безпекою та масою інших параметрів. Докладніші матеріали з організації доменів можна знайти у відповідній літературі.

Будучи добре знайомим із малим бізнесом зсередини, мене завжди цікавили такі питання. Поясніть, чому працівник повинен користуватися на робочому комп'ютері тим браузером, який подобається сісадміну? Або взяти будь-яке інше програмне забезпечення, наприклад, той самий архіватор, поштовий клієнт, клієнт миттєвих повідомлень… Це я плавно натякаю на стандартизацію, причому не за ознаками особистої симпатії сисадміну, а за ознаками достатності функціоналу, вартості обслуговування та підтримки цих програмних продуктів. Почнемо вважати ІТ точною наукою, а не ремеслом, коли кожен робить так, як у нього виходить. Знову ж таки, з цим у малому бізнесі теж дуже багато проблем. Уявіть, що компанія в нелегкий кризовий час змінює кількох таких адміністраторів, що робити в такій ситуації бідним користувачам? Постійно переучуватись?

Давайте подивимося з іншого боку. Будь-який керівник повинен розуміти, що він зараз відбувається в компанії (у тому числі і в ІТ). Це необхідно для відстеження поточної ситуації, для оперативного реагування на виникнення різного родупроблем. Але це розуміння є важливішим для стратегічного планування. Адже, маючи міцний та надійний фундамент, ми можемо будувати будинок на 3 поверхи або на 5, робити дах різної формиробити балкони або зимовий сад. Так само і в ІТ, маємо надійну основу – можемо надалі використовувати більш складні продукти та технології для вирішення бізнес-завдань.

У першій статті та піде мовапро такий фундамент – служби Active Directory. Саме вони покликані стати міцним фундаментом ІТ-інфраструктури компанії будь-якого розміру та будь-якого напряму діяльності. Що це таке? Ось давайте про це і поговоримо.

А розмову почнемо з простих понять– домену та служби Active Directory.

Домен– це основна адміністративна одиниця у мережній інфраструктурі підприємства, до якої входять усі мережеві об'єкти, такі як користувачі, комп'ютери, принтери, загальні ресурси та багато іншого. Сукупність таких доменів називається лісом.

Служби Active Directory (служби активного каталогу) є розподілену базу даних, яка містить всі об'єкти домену. Доменне середовище Active Directory є єдиною точкою автентифікації та авторизації користувачів та додатків у масштабах підприємства. Саме з організації домену та розгортання служб Active Directory починається побудова ІТ-інфраструктури підприємства.

База даних Active Directory зберігається на виділених серверах – контролерах домену. Служби Active Directory є участю серверних операційних систем Microsoft Windows Server. Служби Active Directory мають широкі можливості масштабування. У лісі Active Directory може бути створено понад 2 мільярди об'єктів, що дозволяє впроваджувати службу каталогів у компаніях із сотнями тисяч комп'ютерів та користувачів. Ієрархічна структура доменів дозволяє гнучко масштабувати ІТ-інфраструктуру на всі філії та регіональні підрозділи компаній. Для кожної філії або підрозділу компанії може бути створений окремий домен зі своїми політиками, своїми користувачами та групами. До кожного дочірнього домену можуть бути делеговані адміністративні повноваження місцевим системним адміністраторам. При цьому дочірні домени підпорядковуються батьківським.

Крім того, служби Active Directory дозволяють налагодити довірчі стосунки між доменними лісами. Кожна компанія має власний ліс доменів, кожен із яких має власні ресурси. Але іноді буває потрібно надати доступ до своїх корпоративних ресурсів співробітникам іншої компанії – робота із загальними документами та додатками у рамках спільного проекту. Для цього між лісами організацій можна налаштувати довірчі стосунки, що дозволить співробітникам однієї організації авторизуватись у домені іншої.

Для забезпечення стійкості до служби Active Directory необхідно розгорнути два або більше контролерів домену в кожному домені. Між контролерами домену забезпечується автоматична реплікація всіх змін. У разі виходу з ладу одного з контролерів домену працездатність мережі не порушується, адже продовжують працювати. Додатковий рівень стійкості до відмови забезпечує розміщення серверів DNS на контролерах домену в Active Directory, що дозволяє в кожному домені отримати кілька серверів DNS, що обслуговують основну зону домену. І у разі відмови одного із DNS серверів, продовжать працювати інші. Про роль і значущість серверів DNS в ІТ-інфраструктурі ми ще поговоримо в одній із статей циклу.

Але це все технічні аспекти застосування та підтримки працездатності служб Active Directory. Давайте поговоримо про ті переваги, які отримує компанія, відмовляючись від однорангової мережі з використанням робочих груп.

1. Єдина точка аутентифікації

У робочій групі на кожному комп'ютері або сервері доведеться вручну додавати повний список користувачів, яким потрібний доступ до мережі. Якщо раптом один із співробітників захоче змінити свій пароль, його потрібно буде поміняти на всіх комп'ютерах і серверах. Добре, якщо мережа складається із 10 комп'ютерів, але якщо їх більше? При використанні домену Active Directory всі облікові записи користувачів зберігаються в одній базі даних, і всі комп'ютери звертаються до неї за авторизацією. Усі користувачі домену включаються до відповідних груп, наприклад, «Бухгалтерія», «Фінансовий відділ». Достатньо один раз задати дозволи для тих чи інших груп, і всі користувачі отримають відповідний доступ до документів та додатків. Якщо в компанію приходить новий співробітник, для нього створюється обліковий запис, який включається до відповідної групи, співробітник отримує доступ до всіх ресурсів мережі, до яких йому повинен бути дозволений доступ. Якщо співробітник звільняється, достатньо заблокувати – і він відразу втратить доступ до всіх ресурсів (комп'ютерів, документів, додатків).

2. Єдина точка управління політиками

У робочій групі всі комп'ютери є рівноправними. Жоден із комп'ютерів не може керувати іншим, неможливо проконтролювати дотримання єдиних політик, правил безпеки. При використанні єдиного каталогу Active Directory всі користувачі та комп'ютери ієрархічно розподіляються по організаційним підрозділам, до кожного з яких застосовуються єдині групові політики. Політики дають змогу встановити єдині параметри та параметри безпеки для групи комп'ютерів та користувачів. При додаванні до домену нового комп'ютера або користувача він автоматично отримує настройки, що відповідають прийнятим корпоративним стандартам. За допомогою політик можна централізовано призначити користувачам мережні принтери, встановити необхідні програми, встановити параметри безпеки браузера, налаштувати програми Microsoft Office.

3. Підвищений рівень інформаційної безпеки

Використання служб Active Directory значно підвищує рівень безпеки мережі. По-перше – це єдине та захищене сховище облікових записів. У доменному середовищі всі паролі доменних користувачів зберігаються на виділених серверах контролерах домену, які зазвичай захищені від зовнішнього доступу. По-друге, при використанні доменного середовища для аутентифікації використовується протокол Kerberos, який значно безпечніший за NTLM, що використовується в робочих групах.

4. Інтеграція з корпоративними додатками та обладнанням

Великою перевагою Active Directory є відповідність стандарту LDAP, який підтримується іншими системами, наприклад, поштовими серверами (Exchange Server), проксі-серверами (ISA Server, TMG). Причому це не обов'язково лише продукти Microsoft. Перевага такої інтеграції полягає в тому, що користувачу не потрібно пам'ятати велику кількість логінів і паролів для доступу до того чи іншого додатку, у всіх додатках користувач має одні й ті самі облікові дані – його автентифікація відбувається в єдиному каталозі Active Directory. Windows Server для інтеграції з Active Directory надає протокол RADIUS, який підтримується великою кількістю мережного обладнання. Таким чином, можна, наприклад, забезпечити аутентифікацію доменних користувачів при підключенні з VPN ззовні, використання Wi-Fi точок доступу в компанії.

5. Єдине сховище конфігурації додатків

Деякі програми зберігають свою конфігурацію в Active Directory, наприклад, Exchange Server. Розгортання служби каталогів Active Directory є обов'язковою умовою для роботи цих програм. Зберігання конфігурації програм у службі каталогів є вигідним з точки зору гнучкості та надійності. Наприклад, у разі повної відмови сервера Exchange, вся його конфігурація залишиться недоторканою. Для відновлення працездатності корпоративної пошти, достатньо буде інсталювати Exchange Server в режимі відновлення.

Підбиваючи підсумки, хочеться ще раз акцентувати увагу на тому, що служби Active Directory є серцем ІТ-інфраструктури підприємства. У разі відмови вся мережа, всі сервери, робота всіх користувачів будуть паралізовані. Ніхто не зможе увійти в комп'ютер, отримати доступ до своїх документів та програм. Тому служба каталогів має бути ретельно спроектована і розгорнута, з урахуванням всіх можливих нюансів, наприклад, пропускної спроможності каналів між філією або офісами компанії (від цього залежить швидкість входу користувачів в систему, а також обмін даними між контролерами домену).

Чи не знайшли відповідь на своє запитання? Подивіться тут
Ораторське мистецтво як прообраз публіцистикиОраторське мистецтво як прообраз публіцистики
Цитати про Наполеона - dslinkov — LiveJournalЦитати про Наполеона - dslinkov — LiveJournal
Мені помста Людина на бульдозері зруйнувала містоМені помста Людина на бульдозері зруйнувала місто