Служба каталогов active directory. Домен Active Directory – что это простыми словами, описание и отзывы

Домен Active Directory – что это простыми словами, описание и отзывы

Любой начинающий юзер, сталкиваясь с аббревиатурой AD, задается вопросцем, что такое Active Directory? Active Directory — это служба каталогов, разработанная Microsoft для доменных сетей Windows. Заходит в большая часть операционных систем Windows Server, как набор действий и сервисов. Сначало служба занималась лишь централизованным управлением доменами. Но, начиная с Windows Server 2008, AD стала наименованием для широкого диапазона служб, связанных с идентификацией, основанных на каталогах. Это делает Active Directory для начинающих наиболее хорошей для изучения.

Базовое определение

Сервер, на котором работают доменные службы каталогов Active Directory, именуется контроллером домена. Он аутентифицирует и авторизует всех юзеров и компы в сетевом домене Windows, назначая и применяя политику сохранности для всех ПК, а также устанавливая либо обновляя программное обеспечение. К примеру, когда юзер заходит в комп, включенный в домен Windows, Active Directory инспектирует предоставленный пароль и описывает, является ли объект системным админом либо обыденным юзером. Также он дозволяет управлять и хранить информацию, предоставляет механизмы аутентификации и авторизации и устанавливает структуру для развертывания остальных связанных сервисов: службы сертификации, федеративные и облегченные службы каталогов и управления правами.

В Active Directory употребляются протоколы LDAP версии 2 и 3, версия Kerberos от Microsoft и DNS.

Active Directory — что это? Простыми словами о сложном

Отслеживание данных сети — трудозатратная задача.Даже в маленьких сетях юзеры, как правило, испытывают трудности с поиском сетевых файлов и принтеров.Без какого-нибудь каталога средними и большими сетями нереально управлять, и нередко приходится сталкиваться с трудностями при поиске ресурсов.

Предыдущие версии Microsoft Windows включали службы, помогающие юзерам и админам отыскивать данные.Сетевое свита полезно во почти всех средах, но явным недочетом являются неловкий интерфейс и его непредсказуемость.WINS Manager и Server Manager могут употребляться для просмотра перечня систем, но они не были доступны конечным пользователям.Администраторы употребляли User Manager для прибавления и удаления данных совсем другого типа сетевого объекта.Эти приложения оказались неэффективными для работы в больших сетях и вызывали вопросец, для чего в компании Active Directory?

Каталог, в самом общем смысле, представляет собой полный перечень объектов.Телефонная книжка — это тип каталога, в котором хранится информация о людях, предприятиях и правительственных организациях, и традиционно в их записывают имена, адреса и номера телефонов. Задаваясь вопросцем, Active Directory — что это, простыми словами можно огласить, что эта разработка похожа на справочник, но является еще наиболее гибкой.AD хранит информацию о организациях, веб-сайтах, системах, юзерах, общих ресурсах и любом другом сетевом объекте.

Читайте также  Как в контакте увидеть кто заходил. Мои гости в Контакте

Введение в главные понятия Active Directory

Зачем организации нужна Active Directory? Как уже упоминалось во внедрении в Active Directory, служба хранит информацию о сетевых компонентах. В пособии «Active Directory для начинающих» говорится о том, что это дозволяет клиентам отыскивать объекты в собственном пространстве имен. Этот термин (также именуемый деревом консоли) относится к области, в которой может размещаться сетевой компонент.Например, оглавление книжки делает место имен, в котором главы могут быть соотнесены к номерам страниц.

DNS — это дерево консоли, которое разрешает имена узлов IP-адресам, как телефонные книжки предоставляют место имен для разрешения имен для номеров телефонов. А как это происходит в Active Directory? AD предоставляет дерево консоли для разрешения имен сетевых объектов самим объектам и может разрешить широкий диапазон объектов, включая юзеров, системы и службы в сети.

Объекты и атрибуты

Все, что выслеживает Active Directory, считается объектом. Можно огласить простыми словами, что сиим в Active Directory является хоть какой юзер, система, ресурс либо служба.Общий объект определений употребляется, так как AD способен выслеживать множество частей, а почти все объекты могут вместе употреблять общие атрибуты. Что это значит?

Атрибуты обрисовывают объекты в активный каталог Active Directory, к примеру, все пользовательские объекты вместе употребляют атрибуты для хранения имени юзера. Это касается и их описания. Системы также являются объектами, но у их есть отдельный набор атрибутов, который включает имя хоста, IP-адрес и местоположение.

Набор атрибутов, доступных для хоть какого определенного типа объекта, именуется схемой. Она делает классы объектов хорошими друг от друга. Информация о схеме практически хранится в Active Directory. Что такое поведение протокола сохранности чрезвычайно принципиально, говорит тот факт, что схема дозволяет админам добавлять атрибуты к классам объектов и распределять их по сети во всех уголках домена без перезапуска всех контроллеров домена.

Контейнер и имя LDAP

Контейнер – это особенный тип объекта, который употребляется для организации работы службы. Он не представляет собой физического объекта, как юзер либо система. Заместо этого он употребляется для группировки остальных частей. Контейнерные объекты могут быть вложены в остальные контейнеры.

У каждого элемента в AD есть имя. Это не те, к которым вы привыкли, к примеру, Иван либо Ольга. Это отличительные имена LDAP. Различающиеся имена LDAP сложны, но они разрешают идентифицировать хоть какой объект снутри каталога однозначно, независимо от его типа.

Дерево определений и сайт

Дерево определений употребляется для описания набора объектов в Active Directory. Что это? Простыми словами это можно разъяснить при помощи древовидной ассоциации. Когда контейнеры и объекты объединены иерархически, они имеют тенденцию сформировывать ветки — отсюда и заглавие. Связанным термином является непрерывное поддерево, которое относится к неразрывному основному стволу дерева.

Продолжая метафорию, термин «лес» обрисовывает совокупа, которая не является частью 1-го и того же места имен, но имеет общую схему, конфигурацию и глобальный каталог. Объекты в этих структурах доступны всем юзерам, ежели это дозволяет сохранность. Организации, разбитые на несколько доменов, должны группировать деревья в один лес.

Читайте также  Архивация по расписанию winrar. Как настроить автоматическое архивирование файлов через WinRAR

Сайт — это географическое положение, определенное в Active Directory. Веб-сайты соответствуют логическим IP-подсетям и, как таковые, могут употребляться приложениями для поиска наиблежайшего сервера в сети. Внедрение инфы веб-сайта из Active Directory может существенно понизить трафик в глобальных сетях.

Управление Active Directory

Компонент оснастки Active Directory — юзеры. Это самый удачный инструмент для администрирования Active Directory.Он впрямую доступен из группы программ «Администрирование» в меню «Пуск».Он подменяет и улучшает работу диспетчера сервера и диспетчера юзеров из Windows NT 4.0.

Безопасность

Active Directory играет важную роль в будущем сетей Windows.Администраторы должны иметь возможность защищать собственный каталог от злоумышленников и юзеров, сразу делегируя задачки остальным администраторам.Все это может быть с внедрением модели сохранности Active Directory, которая связывает перечень управления доступом (ACL) с каждым атрибутом контейнера и объекта в каталоге.

Высокий уровень контроля дозволяет админу предоставлять отдельным юзерам и группам разные уровни разрешений для объектов и их свойств.Они могут даже добавлять атрибуты к объектам и скрывать эти атрибуты от определенных групп пользователей.Например, можно установить ACL, чтоб лишь менеджеры могли просматривать домашние телефоны остальных пользователей.

Делегированное администрирование

Концепцией, новейшей для Windows 2000 Server, является делегированное администрирование.Это дозволяет назначать задачки иным юзерам, не предоставляя доп прав доступа.Делегированное администрирование может быть назначено через определенные объекты либо непрерывные поддеревья каталога.Это еще наиболее действенный способ предоставления возможностей по сетям.

Вместо назначения кому-либо всех глобальных прав админа домена, юзеру могут быть даны разрешения лишь в рамках определенного поддерева.Active Directory поддерживает наследование, потому любые новейшие объекты наследуют ACL собственного контейнера.

Термин «доверительные отношения»

Термин «доверительные отношения» по-прежнему употребляется, но доверительные дела имеют разную функциональность.Не существует различия меж односторонними и двусторонними трастами. Ведь все доверительные дела Active Directory двунаправлены.Кроме того, все они являются транзитивными.Итак, ежели домен A доверяет домену B, а B доверяет C, тогда существует автоматические неявные доверительные дела меж доменом A и доменом C.

Аудит в Active Directory — что это простыми словами? Это функция сохранности, которая дозволяет найти, кто пробует получить доступ к объектам, а также как эта попытка успешна.

Использование DNS (Domain Name System)

Система доменных имен, по-другому DNS, нужна для хоть какой организации, присоединенной к Интернету.DNS предоставляет разрешение имен меж общими именами, таковыми как mspress.microsoft.com, и необработанные IP-адреса, которые употребляют составляющие сетевого уровня для связи.

Active Directory обширно употребляет технологию DNS для поиска объектов.Это существенное изменение в сопоставлении с прошлыми операционными системами Windows, которые требуют, чтоб имена NetBIOS были разрешены IP-адресами, и полагаются на WINS либо другую технику разрешения имен NetBIOS.

Active Directory работает лучше всего при использовании с DNS-серверами под управлением Windows 2000.Microsoft упростила для админов переход на DNS-серверы под управлением Windows 2000 методом предоставления мастеров передвижения, которые управляют админом через этот процесс.

Могут употребляться остальные DNS-серверы. Но в этом случае админы должны будут растрачивать больше времени на управление базами данных DNS. В чем заключаются нюансы?Если вы решите не применять DNS-серверы под управлением Windows 2000, вы должны убедиться, что ваши DNS-серверы соответствуют новенькому протоколу динамического обновления DNS.Серверы полагаются на динамическое обновление собственных записей, чтоб отыскать контроллеры домена. Это неловко. Ведь, ежели динамическое обновление не поддерживается, обновлять базы данных приходится вручную.

Читайте также  Подключить ip телефонию дома. Почему IP-телефония вытесняет аналоговую связь и кто предлагает подобные услуги на российском рынке

Домены Windows и интернет-домены сейчас на сто процентов совместимы.Например, имя, такое как mspress.microsoft.com, будет определять контроллеры домена Active Directory, ответственные за домен, потому хоть какой клиент с DNS-доступом может отыскать контроллер домена. Клиенты могут применять разрешение DNS для поиска хоть какого количества услуг, так как серверы Active Directory публикуют перечень адресов в DNS с внедрением новейших функций динамического обновления.Эти данные определяются как домен и публикуются через записи ресурсов службы.SRV RR следуют формату service.protocol.domain.

Серверы Active Directory предоставляют службу LDAP для размещения объекта, а LDAP употребляет TCP как базисный протокол транспортного уровня.Поэтому клиент, который отыскивает сервер Active Directory в домене mspress.microsoft.com, будет находить запись DNS для ldap.tcp.mspress.microsoft.com.

Глобальный каталог

Active Directory предоставляет глобальный каталог (GC) и предоставляет единственный источник для поиска хоть какого объекта в сети организации.

Глобальный каталог — это сервис в Windows 2000 Server, который дозволяет юзерам отыскивать любые объекты, которым был предоставлен доступ.Эта функциональность намного превосходит способности приложения Find Computer, включенного в прошлые версии Windows. Ведь юзеры могут находить хоть какой объект в Active Directory: серверы, принтеры, юзеров и приложения.

Установка и настройка контроллера домена Active Directory Domain

Active Directory («Активный каталог», AD) — службы каталогов компании Microsoft для операционных систем Windows Server. Сначало создавалась как LDAP-совместимая реализация службы каталогов, но, начиная с Windows Server 2008, включает способности интеграции с иными службами авторизации, выполняя для их интегрирующую и объединяющую роль. Дозволяет админам применять групповые политики для обеспечения единообразия опции пользовательской рабочей среды, разворачивать программное обеспечение на множестве компов через групповые политики либо средством System Center Configuration Manager (ранее — Microsoft Systems Management Server), устанавливать обновления операционной системы, прикладного и серверного программного обеспечения на всех компах в сети, используя Службу обновления Windows Server. Хранит данные и опции среды в централизованной базе данных. Сети Active Directory могут быть различного размера: от пары 10-ов до пары миллионов объектов.

Задача: Развернуть сервер с ролью контроллера домена на виртуальной машине.

Шаг 1 — Подготовка и требования к оборудованию

Основные малые требования к аппаратному и программному обеспечению:

  • Наличие хотя бы 1-го узла (аппаратного либо виртуального) под управлением MS Windows Server
  • 64-битный процессор с тактовой частотой не наименее 1.4 Ггц
  • ОЗУ не наименее 512 МБ
  • Системный диск не наименее 40 ГБ

Тестовый щит представляет из себя виртуальную машинку под управлением MS Windows Server 2016 Standard, развернутую на сервере с ролью Hyper-V.

Шаг 2 — Установка и настройка контроллера домена

  1. Необходимо зайти на сервер под учетной записью локального админа. В связи с тем, что на сервер кроме роли Active Directory Domain Services будет установлена служба DNS, нам необходимо поменять опции сетевого интерфейса на ВМ, указав в поле первичного DNS сервера ip-адрес нашего шлюза по умолчанию.

Рисунок 1 – Настройка сетевого интерфейса

    Оставьте комментарий