Концепции и администриране на Active Directory

Опитайте Нашия Инструмент За Премахване На Проблемите
18 декември 2021 г 1266 г Изгледи Домейн услуги на Active Directory

Разгледайте темите на публикациите





Въведение

Active Directory (AD) е услуга за директории на Microsoft, която съхранява информация за обекти в мрежа. AD също така улеснява достъпа до съхранените данни от оторизирани потребители.



Примери за обекти на Active Directory са потребители, компютри, принтери и други ресурси в мрежа.

Потребителят трябва да бъде удостоверен, преди на потребителя да бъде разрешено да влезе в AD мрежа. Удостоверяването обикновено се постига чрез проверка на потребителското име и парола на потребителите.



След като потребител влезе в мрежата, Active Directory съхранява информация за разрешенията на потребителите (членство в групи и т.н.) и правата за достъп. Когато потребителят поиска достъп до ресурс, AD предоставя или отказва достъп. Процесът на предоставяне или отказ на достъп се нарича авторизация.



Този урок ще обхване основните концепции на AD, включително неговата физическа и логическа структура. Той също така ще обхваща контролери на домейни, AD схема, гора и домейн. Някои други концепции, които ще научите, включват репликация, роли на домейн контролер (главни роли на операциите), сървъри на глобален каталог, кеширане на универсално групово членство и контролери на домейн само за четене.

Докато завършите този урок, можете уверено да обсъдите как работи Active Directory и да разберете основните й концепции. И накрая, ще научите някои задачи, които можете да изпълнявате с потребители и компютри на Active Directory, сайтове и услуги, домейни и тръстове и др.



Някои важни концепции за Active Directory

Active Directory има някои много важни концепции, които трябва да разберете, за да го внедрите и управлявате ефективно. Ето някои от основните понятия:



AD домейн контролер

AD Domain Control (AD DC) е Windows Server, работещ с AD Domain Services. За да може Windows Server да изпълнява AD DC услуга, той трябва да бъде повишен до контролер на домейн с помощта на Server Manager. По-късно в този урок ще научите как да популяризирате Windows Serer в домейн контролер.

Схема на Active Directory

Следващата важна концепция е AD Схема. AD Schema дефинира обектни класове и техните атрибути. Пример за клас на AD обект е потребител. Потребителят има някои атрибути като потребителско име, мениджър и т.н.

как да стриймвам от компютър към огнена

AD съхранява класове на обекти и техните атрибути, използвайки AD схема. Схемата на Active Directory има стандартни обекти като потребители, компютри, принтери и т.н. Въпреки това, ако имате нужда от допълнителни обекти, можете да разширите схемата. Като пример ще трябва да разширите AD схемата, преди да инсталирате Microsoft Exchange или SCCM.

За да видите как можете да разширите AD схемата, вижте Разширете схемата в Допълнителни ресурси и препратки в края на този урок.

Гора на Active Directory

В йерархичната структура на AD гората е на върха на логическата структура на AD. Следващото ниво на йерархията са домейни, след което имате организационни единици (OU). В рамките на OU имате потребители и компютри.

Следователно AD Forest съдържа редица AD домейни, свързани помежду си чрез доверителна връзка. По-долу е дадена проста илюстрация на йерархия на AD Forest. За да прочетете повече за AD Forest, посетете Какво е гора на Active Directory?

Професионален съвет
Когато създавате доверие между два домейна в гора, потребителите в един домейн могат да бъдат удостоверени от доверения домейн. Освен това ресурсите могат да бъдат достъпни и между домейни с доверителна връзка. Active Directory (AD)

Видове AD тръстове

Можете да създадете 4 типа отношения на доверие в AD Forest – външни, горски, пряк път и доверие в сферата. За да прочетете повече за AD Trusts, отворете Разширена инфраструктура на Active Directory за услуги на Windows Server 2012 R2 .

AD домейн

AD домейн е следващото ниво след горите в йерархията. AD домейн съдържа колекция от обекти. Например, потребители и компютри. Домейните се идентифицират по техните DNS имена, например Domain1.com, Domain2.com.

Професионален съвет
DNS имената на AD домейни не трябва да завършват на .com, те също могат да завършват на .local например.

Сайтове на Active Directory

Конфигурацията на AD сайтове обикновено следва физически мрежови подмрежи. Конфигурацията на репликация в рамките на сайтовете обикновено е различна от конфигурацията между сайтовете.

Като пример, ако имате 2 контролера на домейн в рамките на една и съща мрежова подмрежа, можете да конфигурирате репликацията между тях да бъде оптимизирана за скорост.

AD репликация

Ако разгръщате Active Directory в производствена среда, препоръчително е да имате поне 2 домейн контролера (DC) във вашия AD домейн. Причината за това е очевидна – създайте излишък.

Преди да продължа, нека спомена, че AD управлява това, което се нарича мулти-главен модел. Това означава, че всички домейн контролери (DC) в домейна съдържат записващи копия на обекти. Както ще видите по-късно, има някои изключения от това правило.

икона на двойна стрелка на windows 10

Фактът, че обектите могат да се създават във всеки DC означава, че има нужда от репликация между контролерите на домейн. Процесът на създадени обекти в един DC синхронизиране или актуализиране към други DC е известен като репликация.

Прочетете повече за репликацията на AD, като щракнете върху Репликация на Active Directory в дълбочина връзка на Раздел Допълнителни ресурси и препратки .

Masters Operations Active Directory

В предишния раздел споменах, че въпреки че Active Directory оперира с мулти-главен модел, има изключения от това правило.

Има определени задачи в рамките на AD домейн, които трябва да бъдат завършени с помощта на модела с един главен. Това означава, че един контролер на домейн е определен като ролята да обработва задачата.

Основната причина за модела с един главен е избягването на конфликти. Поради естеството на ролите с един главен, ако повече от един DC се справят със задачата едновременно, това ще създаде конфликт. Ще разберете това по-добре, когато прочетете 5-те роли на Master Operations, които ще бъдат обсъдени скоро.

премахване на сим карта от galaxy s6

По-долу са 5-те роли на гъвкави единични главни операции (FSMO) на Active Directory.

Майстор на схемата

По-рано в този урок обсъждах AD схема . Казах, че схемата на Active Directory дефинира класове на обекти и техните атрибути. Казах също, че понякога може да искате да създадете допълнителни класове AD AD Schema, като разширите схемата.

DC, отговорен за актуализирането на схемата, се нарича главен на схемата. Когато главната на схемата актуализира схемата, тя репликира актуализацията на други DC. Има един главен на схемата в директория – този DC е известен като главен на схемата.

Майстор за именуване на домейни

DC, на който е назначена ролята FSMO Master за именуване на домейни, е отговорен за добавянето или изтриването на домейни в пространството за имена на домейни в цялата гора.

Главният DC за именуване на домейни също е отговорен за добавянето или премахването на кръстосани препратки към домейни във външни директории.

RID Master

Всеки път, когато домейн контролер създаде принципал за защита, например потребител или компютър, DC присвоява на обекта уникален идентификатор на защита (SID). SID се състои от домейн SID и относителен идентификатор (RID). SID на домейна е еднакъв за всички обекти, създадени в домейна, докато RID е уникален за всеки създаден принципал за защита.

Всеки DC има пул от RID, присвоени му. DC, отговорен за разпределянето на RID пулове към други DC, е RID Master.

PDC емулаторът Master

DC, който притежава ролята на PDC емулатор, е отговорен за удостоверяването на потребители, синхронизирането на промените в паролата и също така отговаря за синхронизирането на времето.

Той също така управлява блокирането на акаунти и препраща грешки при удостоверяване поради неправилни пароли към други DC.

Главен Инфраструктура (IM)

В AD гора с множество домейни, DC, на когото е назначена ролята на FSMO Master на инфраструктурата, е отговорен за поддържането на актуални препратки към обекти между домейни.

Като пример, да речем, че обект в домейн 1 е препратен от друг обект в домейн 2. Когато препратираният обект е модифициран, IM отговаря за актуализирането на препратките.

В заключение, преди да обсъдя 5-те роли на FSMO Active Directory DC, казах, че AD управлява модел с няколко главни. Това означава, че всички DC съдържат записващи копия на базата данни на AD.

Казах също, че въпреки че в AD домейн, въпреки модела с множество мазери, някои задачи могат да се изпълняват само чрез модел на операции с един главен. Така 5-те роли на FSMO.

След като казах това, сега, когато знаете 5-те роли на операции с един главен, се надявам, че е лесно да разберете защо RID пул например може да бъде назначен само от един DC. Ако 2 DC присвоят RID пулове на друг домейн контролер, съществува риск от припокриване и тогава два различни обекта може да имат един и същ RID.

Същото допълнение важи и за другите 4 роли на FSMO, обсъдени по-рано.

Глобални каталожни сървъри (GC)

За да разберете ролята на сървъра на Global Catalog, ще ви препратя към това, което казах по-рано за горите на Active Directory. AD Forest съдържа редица AD домейни, свързани помежду си чрез доверителни отношения.

Имайки това предвид, за всеки домейн в гората, всички DC съхраняват данни за всеки обект вътре свой собствен домейн . Както посочих по-рано, в рамките на AD гора може да има нужда от препращане на обекти между домейни. За да работи ефективно, на DC е назначена ролята на GC да съхранява информация за ВСИЧКИ обекти в гората.

Ако свържете това с ролята на IM FSMO, обсъдена по-рано, става лесно да разберете защо главният на инфраструктурата ще трябва постоянно да комуникира със сървър на GC. Това е така, че получава актуализации за препратки към обекти между домейни.

Капитанът на инфраструктурата е отговорен за актуализирането на кръстосани обекти в рамките на AD Forest. Глобалният каталожен сървър съдържа информация за ВСИЧКИ обекти в гората. Логично има смисъл главният на инфраструктурата да получава информация за кръстосани препратки на обекти от GC сървър.

софтуер за картографиране на мрежи с отворен код

Следователно, НЕ се препоръчва на един DC да бъде присвоена ролята на GC сървър и роля на главен на инфраструктурата, освен:

  • Има само един домейн в гората – в тази ситуация един и същ DC ще отговаря за всички роли.
  • Всеки DC в домейна е глобален каталожен сървър

Кеширане на членство в универсални групи

По подразбиране информацията за членството в универсална група се съхранява само в сървърите на Глобалния каталог. Поради тази причина, в AD Forest с множество домейни (където присъстват универсални групи), ако потребител влезе в домейна за първи път, GC сървър трябва да е наличен, за да бъде обработено влизането.

За малки AD сайтове без GC сървър, други DC могат да бъдат активирани да съхраняват информация за универсално групово членство. Това се постига чрез активиране на кеширане на членство в Universal Groups (UGMC) в сайта на AD.

Професионален съвет
UGMC е активиран за всеки сайт. Когато е активирано в AD сайт, всички DC в сайта ще участват.

Контролери на домейни само за четене (RoDCs)

В този урок вече казах, че всички DC в AD домейн могат да се записват. Въпреки това има определени ситуации, в които може да искате да инсталирате (RoDC).

Типична ситуация може да бъде в отдалечен сайт с ограничена физическа сигурност за DC в това местоположение. При това обстоятелство може да искате да инсталирате DC, който може да чете само AD данни, но не може да записва или актуализира никакъв обект.

Професионален съвет
RoDCs са налични само в Windows Server 2008 и по-нови версии.

Физическа и логическа структура на Active Directory

Досега разгледах редица важни концепции за Active Directory. В този раздел ще обсъдя две други важни концепции в AD – физическата и логическата структура на Active Directory.

Физическа структура на АД

Физическата структура включва неща, които можете да докоснете и почувствате. Следователно, физическата структура на AD са домейн контролери и мрежови сайтове.

Инструментите, от които се нуждаете за управление на физическата структура на сайтове и услуги на Active Directory Active Directory. По-късно в този урок ще обсъдя задачите, които можете да изпълнявате с AD сайтове и услуги.

Логическа структура на Active Directory

В сравнение с физическата структура на AD, логическата структура е виртуална. Компонентите, които изграждат логическата структура на AD са: гори, дървета, домейни, OU и глобални каталози. За да получите подробни дефиниции на гори, дървета, домейни, OU и глобален каталог, щракнете върху Въпроси относно инфраструктурата на Active Directory.

Администриране на Active Directory

Досега разгледахме някои важни концепции за AD. Този раздел е за администрирането на Active Directory. Ще обсъдя следните инструменти за реклама:

  • Потребители и компютри на Active Directory
  • AD сайтове и услуги
  • Домейни и тръстове на Active Directory
  • AD PowerShell модул
  • Конзола за управление на групови правила (GPMC)

Потребители и компютри на Active Directory

Сайтове и услуги на Active Directory (AD).

Това е един от най-използваните AD инструменти. С AD потребители и компютри можете:

  • Създайте организационни единици
  • Създаване на контейнери
  • Делегирани власти
  • Създаване на потребители
  • Прехвърляне на роли на RID, PDC и FSMO на инфраструктурата
  • Изпълнявайте заявки
  • Повишаване на функционалните нива на домейна

AD сайтове и услуги

Когато се почувствате по-удобно с администрирането на Active Directory, ще започнете да работите със сайтове и услуги.

Можете да изпълнявате следните задачи с инструмента за рекламни сайтове и услуги:

Windows 10 спартански изтегляне -
  • Активиране на кеширане на универсално групово членство (UGMC)
  • Конфигуриране на транспорти между сайтове
  • Създайте нови връзки към сайта на рекламите
  • Делегирайте контрола на съществуващи сайтове
  • Създаване на подмрежи

Домейни и тръстове на Active Directory

Този инструмент се използва за изпълнение на някои от най-модерните администраторски функции в AD. По-долу са някои от задачите, които можете да изпълнявате с Active Directory домейни и доверие:

  • Повишете функционалното ниво на гората
  • Прехвърляне на главна роля на FSMO за именуване на домейни
  • Създайте Forest Trust
Важно
Имайте предвид, че можете да повишите функционалното ниво на домейна, като използвате AD потребители и компютри, докато използвате AD домейни и тръстове, за да повишите функционалното ниво на гората.

AD модул за Windows PowerShell

Модулът PowerShell на Active Directory е необходим за управление на AD с PowerShell. Можете да изпълнявате редица задачи. Изброих няколко по-долу:

  • Създаване на нови потребители – New-ADUser
  • Промяна на съществуващи потребители – Set-ADUser
  • Получете информация за съществуващи потребители – Get-ADUser
  • Изтриване на съществуващи потребители – Remove-ADUser

За да получите всички AD команди в PS, от вашия DC, изпълнете командата Get-Command. За повече информация относно PowerShell прочетете следните уроци

18 Powershell команди Всеки администратор на Windows трябва да Kn
Get-Command в PowerShell: Приложения и употреба

Конзола за управление на групови правила (GPMC)

GMPC се използва за управление на групови правила в сайтове, домейни и организационни единици в рамките на една или повече гори. Въпреки че можете да управлявате групови политики от AD потребители и компютри, GPMC предоставя повече функции.

С GMPC можете да изпълнявате следните задачи:

  • Създайте нови групови политики
  • Променете съществуващите групови правила
  • Управлявайте всички групови политики в един контейнер – обекти на групови правила
  • Създаване и прилагане на WMI филтри към групови политики.
  • Създаване на GP моделиране и GP резултати

Надявам се, че сте намерили тази S зона за полезна.

Други полезни уроци

  1. Домейн услуги на Active Directory: Инсталиране и конфигуриране
  2. 35 Въпроса и отговори за интервю за Active Directory (групирани по категории)
  3. Outlook 365: Абонамент, инсталиране и настройка
  4. Как да инсталирате Windows 10: стъпка по стъпка с изображение

Допълнителни ресурси и препратки

  1. Стъпка по стъпка: Настройка на Active Directory в Windows Server 2016
  2. Как да разширите схемата
  3. Какво е гора на Active Directory?
  4. Разширена инфраструктура на Active Directory за услуги на Windows Server 2012 R2
  5. Репликация на Active Directory в дълбочина
  6. FSMO роли на Active Directory в Windows
  7. Windows Server: Трябва ли ролята на FSMO на главен инфраструктура да бъде поставена на глобален каталожен сървър?
  8. Windows Server: Функциите на глобалния каталог в Active Directory

Избор На Редактора

Panasonic P100 Спецификации

Panasonic P100 Спецификации
Как да промените настройките за захранване на Windows 10 (3 метода)

Как да промените настройките за захранване на Windows 10 (3 метода)
Категории
Популярни Публикации
Мини спецификации Spice Blueberry
Мини спецификации Spice Blueberry
Спецификации на Blu R1 Plus
Спецификации на Blu R1 Plus
Спецификации на Lenovo K5
Спецификации на Lenovo K5
Спецификации на TCL Pride T500L
Спецификации на TCL Pride T500L
Как да блокирате хора във Facebook
Как да блокирате хора във Facebook