Koncepty a správa služby Active Directory

Vyskúšajte Náš Nástroj Na Odstránenie Problémov
18. decembra 2021 1266 Názory Active Directory Domain Services

Prehľadávať témy príspevkov





Úvod

Active Directory (AD) je adresárová služba spoločnosti Microsoft, ktorá ukladá informácie o objektoch v sieti. AD tiež uľahčuje prístup k uloženým údajom oprávneným používateľom.



Príkladmi objektov Active Directory sú používatelia, počítače, tlačiarne a iné prostriedky v sieti.

Používateľ musí byť overený predtým, ako sa používateľovi umožní prihlásiť sa do siete AD. Autentifikácia sa zvyčajne dosiahne overením používateľského mena a hesla používateľa.



ako filtrovať subreddit

Po prihlásení používateľa do siete Active Directory ukladá informácie o používateľských povoleniach (členstvo v skupinách atď.) a prístupových právach. Keď používateľ požaduje prístup k zdroju, AD udelí alebo zamietne prístup. Proces udelenia alebo odmietnutia prístupu sa nazýva autorizácia.



Tento tutoriál pokryje hlavné koncepty AD, vrátane jeho fyzickej a logickej štruktúry. Bude zahŕňať aj radiče domén, schému AD, les a doménu. Niektoré ďalšie koncepty, ktoré sa naučíte, zahŕňajú replikáciu, roly radiča domény (role hlavného operátora), servery globálneho katalógu, ukladanie členstva v univerzálnej skupine a radiče domény len na čítanie.

Keď dokončíte tento tutoriál, môžete s istotou diskutovať o tom, ako funguje služba Active Directory, a porozumieť jej hlavným konceptom. Nakoniec sa naučíte niektoré úlohy, ktoré môžete vykonávať s používateľmi a počítačmi služby Active Directory, lokalitami a službami, doménami a dôveryhodnými používateľmi a ďalšími.



Niektoré dôležité koncepty služby Active Directory

Služba Active Directory má niekoľko veľmi dôležitých pojmov, ktorým musíte porozumieť, aby ste ich mohli efektívne nasadiť a spravovať. Tu sú niektoré zo základných pojmov:



AD Domain Controller

AD Domain Control (AD DC) je Windows Server so službou AD Domain Services. Aby mohol server Windows spustiť službu AD DC, musí byť povýšený na radič domény pomocou správcu servera. Neskôr v tomto návode sa naučíte, ako povýšiť Windows Serer na radič domény.

Schéma Active Directory

Ďalším dôležitým konceptom je AD Schema. AD Schema definuje triedy objektov a ich atribúty. Príkladom triedy objektov AD je používateľ. Používateľ má niektoré atribúty, ako je meno používateľa, manažér atď.

AD ukladá triedy objektov a ich atribúty pomocou schémy AD. Schéma Active Directory má štandardné objekty, ako sú používatelia, počítače, tlačiarne atď. Ak však požadujete ďalšie objekty, môžete schému rozšíriť. Napríklad budete musieť rozšíriť schému AD pred inštaláciou Microsoft Exchange alebo SCCM.

Ak chcete vidieť, ako môžete rozšíriť schému AD, pozrite si časť Rozšírte schému v Ďalšie zdroje a referencie na konci tohto návodu.

Active Directory Forest

V hierarchickej štruktúre AD je Les na vrchole logickej štruktúry AD. Ďalšou úrovňou hierarchie sú domény, potom máte organizačné jednotky (OU). V rámci organizačných jednotiek máte používateľov a počítače.

V dôsledku toho AD Forest obsahuje množstvo AD domén prepojených Trust Relationship. Nižšie je jednoduchá ilustrácia hierarchie AD Forest. Ak si chcete prečítať viac o AD Forest, navštívte Čo je doménová štruktúra Active Directory?

Profesionálny tip
Keď vytvoríte dôveryhodnosti medzi dvoma doménami v doméne, používatelia v jednej doméne môžu byť overení dôveryhodnou doménou. K zdrojom je možné pristupovať aj medzi doménami so vzťahom Trust. Active Directory (AD)

Typy AD trustov

V doméne AD môžete vytvoriť 4 typy vzťahov dôvery – externé, doménové, skratkové a dôveryhodné oblasti. Ak si chcete prečítať viac o AD Trusts, otvorte Pokročilá infraštruktúra Active Directory pre služby Windows Server 2012 R2 .

AD doména

AD doména je ďalšou úrovňou v hierarchii k lesom. AD doména obsahuje kolekciu objektov. Napríklad Používatelia a počítače. Domény sú identifikované svojimi DNS názvami, napríklad Domain1.com, Domain2.com.

Profesionálny tip
Názvy DNS domén AD nemusia končiť príponou .com, môžu končiť napríklad aj príponou .local.

Stránky Active Directory

Konfigurácia stránok AD zvyčajne sleduje fyzické podsiete siete. Konfigurácia replikácie v rámci lokalít sa zvyčajne líši od konfigurácie medzi lokalitami.

Napríklad, ak máte 2 radiče domény v rámci rovnakej sieťovej podsiete, môžete medzi nimi nakonfigurovať replikáciu tak, aby bola optimalizovaná na rýchlosť.

AD replikácia

Ak nasadíte Active Directory v produkčnom prostredí, odporúča sa mať vo vašej AD doméne aspoň 2 radiče domény (DC). Dôvod je zrejmý – vytvorte redundanciu.

Predtým, ako budem pokračovať, dovoľte mi spomenúť, že AD prevádzkuje to, čo sa nazýva multi-master model. To znamená, že všetky radiče domény (DC) v rámci domény obsahujú zapisovateľné kópie objektov. Ako uvidíte neskôr, existuje niekoľko výnimiek z tohto pravidla.

Skutočnosť, že objekty môžu byť vytvorené v akomkoľvek DC, znamená, že je potrebná replikácia medzi radičmi domény. Proces vytvárania objektov v jednom DC synchronizácie alebo aktualizácie na iné DC je známy ako replikácia.

Chyba gmod lua nemá dostatok pamäte

Prečítajte si viac o replikácii AD kliknutím na Replikácia Active Directory do hĺbky odkaz na Časť Ďalšie zdroje a referencie .

Active Directory Operations Masters

V predchádzajúcej časti som spomenul, že aj keď služba Active Directory prevádzkuje model viacerých hlavných zariadení, existujú výnimky z tohto pravidla.

V rámci domény AD existujú určité úlohy, ktoré je potrebné dokončiť pomocou modelu s jedným hlavným serverom. To znamená, že jeden radič domény je určený ako úloha na spracovanie úlohy.

Hlavným dôvodom single-master modelu je vyhnúť sa konfliktom. Kvôli povahe rol s jedným majstrom, ak by úlohu malo zvládnuť viacero DC súčasne, dôjde ku konfliktu. Lepšie to pochopíte, keď si prečítate 5 úloh vedúcich operácií, o ktorých sa bude čoskoro diskutovať.

pozri si fb profil ako niekto iny

Nižšie je uvedených 5 rolí flexibilných jednoduchých hlavných operácií služby Active Directory (FSMO).

Majster schém

Predtým v tomto návode som diskutoval Schéma AD . Povedal som, že schéma Active Directory definuje triedy objektov a ich atribúty. Tiež som povedal, že niekedy možno budete chcieť vytvoriť ďalšie triedy AD AD Schema rozšírením schémy.

DC zodpovedný za aktualizáciu schémy sa nazýva Schema Master. Keď Schema Master aktualizuje schému, replikuje aktualizáciu do iných DC. V adresári je jeden Schema Master – tento DC je známy ako Schema Master.

Majster názvov domén

DC, ktorému bola pridelená rola FSMO Master Naming Master, je zodpovedný za pridávanie alebo odstraňovanie domén v priestore názvov domén v celej doméne.

Domain Naming Master DC je tiež zodpovedný za pridávanie alebo odstraňovanie krížových odkazov na domény v externých adresároch.

Majster RID

Vždy, keď radič domény vytvorí objekt zabezpečenia, napríklad používateľa alebo počítač, DC pridelí objektu jedinečné ID zabezpečenia (SID). SID sa skladá z SID domény a relatívneho ID (RID). SID domény je rovnaké pre všetky objekty vytvorené v doméne, zatiaľ čo RID je jedinečné pre každý vytvorený objekt zabezpečenia.

Každé DC má pridelenú skupinu RID. DC zodpovedný za prideľovanie oblastí RID iným DC je hlavný RID.

Hlavný emulátor PDC

DC, ktoré má rolu emulátora PDC, je zodpovedné za autentifikáciu používateľov, synchronizáciu zmien hesiel a tiež zodpovedá za synchronizáciu času.

Tiež spravuje zablokovanie účtov a preposiela zlyhania autentifikácie v dôsledku nesprávnych hesiel iným DC.

Infrastructure Master (IM)

V doménovej štruktúre AD s viacerými doménami je DC, ktorému bola priradená rola FSMO Master infraštruktúry, zodpovedné za udržiavanie aktuálnych odkazov na objekty medzi doménami.

Ako príklad povedzme, že na objekt v doméne 1 odkazuje iný objekt v doméne 2. Keď sa upraví odkazovaný objekt, IM je zodpovedný za aktualizáciu odkazov.

Na záver, skôr ako som diskutoval o 5 rolách FSMO Active Directory DC, povedal som, že AD prevádzkuje multi-master model. To znamená, že všetky DC obsahujú zapisovateľné kópie AD databázy.

Star Wars Battlefront 2 dvojité xp dáta

Povedal som tiež, že aj keď v doméne AD, napriek multi-maserovému modelu, niektoré úlohy môžu byť vykonávané len cez single-master operačný model. Teda 5 rolí FSMO.

Po tom, čo teraz poznáte 5 úloh s jedným hlavným operačným systémom, dúfam, že je ľahké pochopiť, prečo napríklad fond RID môže priradiť iba jeden DC. Ak by 2 DC priradili oblasti RID inému radiču domény, existuje riziko prekrývania a dva rôzne objekty môžu mať rovnaké RID.

Rovnaké rozšírenie sa vzťahuje na ďalšie 4 roly FSMO, o ktorých sme hovorili vyššie.

Globálne katalógové servery (GC)

Aby ste pochopili úlohu servera globálneho katalógu, odkážem vás na to, čo som už povedal o lesoch Active Directory. AD Forest obsahuje množstvo AD domén prepojených trustovými vzťahmi.

S ohľadom na to, pre každú doménu v rámci lesa všetky DC ukladajú údaje o každom objekte v rámci svoju vlastnú doménu . Ako som už uviedol, v rámci lesa AD môže byť potrebné odkazovanie na objekt medzi doménami. Aby to fungovalo efektívne, DC má priradenú úlohu GC na ukladanie informácií o VŠETKÝCH objektoch v lese.

Ak si to spojíte s rolou IM FSMO, o ktorej sme hovorili vyššie, bude ľahké pochopiť, prečo bude musieť hlavný manažér infraštruktúry neustále komunikovať so serverom GC. Je to preto, aby dostával aktualizácie o odkazoch na objekty medzi doménami.

Infrastructure Master je zodpovedný za aktualizáciu medziobjektových referencií v rámci AD Forest. Server globálneho katalógu uchováva informácie o VŠETKÝCH objektoch v rámci lesa. Pre Infrastructure Master má logický zmysel prijímať informácie o krížových odkazoch na objekty zo servera GC.

Preto sa NEODPORUČUJE, aby bol jednému DC priradená rola servera GC a rola hlavného servera infraštruktúry okrem:

  • V lese je len jedna doména – v tejto situácii bude rovnaký DC zodpovedný za všetky roly.
  • Každý DC v doméne je server globálneho katalógu

Ukladanie členstva do vyrovnávacej pamäte Universal Groups

V predvolenom nastavení sú informácie o členstve v univerzálnej skupine uložené iba na serveroch globálneho katalógu. Z tohto dôvodu vo viacdoménom AD Forest (kde sú prítomné univerzálne skupiny), ak sa používateľ prvýkrát prihlási do domény, na spracovanie prihlásenia musí byť k dispozícii server GC.

Pre malé lokality AD bez servera GC môžu byť ostatné DC povolené na ukladanie informácií o členstve v univerzálnej skupine. Dosahuje sa to povolením ukladania členstva do vyrovnávacej pamäte Universal Groups (UGMC) na lokalite AD.

Profesionálny tip
UGMC je povolený na základe jednotlivých stránok. Keď je povolená na lokalite AD, zúčastnia sa všetky DC na lokalite.

Radiče domény len na čítanie (RoDC)

V tomto návode som už povedal, že všetky DC v AD doméne sú zapisovateľné. To znamená, že existujú určité situácie, keď budete chcieť nainštalovať (RoDC).

Typická situácia môže byť na vzdialenom mieste s obmedzeným fyzickým zabezpečením pre DC v tomto umiestnení. Za týchto okolností možno budete chcieť nainštalovať DC, ktoré dokáže iba čítať údaje AD, ale nemôže zapisovať ani aktualizovať žiadny objekt.

Profesionálny tip
RoDC sú dostupné iba v systéme Windows Server 2008 a novšom.

Fyzická a logická štruktúra Active Directory

Doteraz som pokryl množstvo dôležitých konceptov Active Directory. V tejto časti budem diskutovať o dvoch ďalších dôležitých pojmoch v AD – fyzických a logických štruktúrach Active Directory.

Fyzická štruktúra AD

Fyzická štruktúra zahŕňa veci, ktorých sa môžete dotknúť a cítiť. Fyzickou štruktúrou AD sú preto radiče domén a sieťové lokality.

Nástroje, ktoré potrebujete na správu fyzickej štruktúry lokalít a služieb Active Directory Active Directory. Neskôr v tomto návode budem diskutovať o úlohách, ktoré môžete vykonávať s AD Sites and Services.

Logická štruktúra Active Directory

V porovnaní s fyzickou štruktúrou AD je logická štruktúra virtuálna. Komponenty, ktoré tvoria logickú štruktúru AD sú: lesy, stromy, domény, OU a globálne katalógy. Ak chcete získať podrobné definície lesov, stromov, domén, organizačných jednotiek a globálneho katalógu, kliknite na položku Otázky o infraštruktúre Active Directory .

Administrácia Active Directory

Doteraz sme pokryli niektoré dôležité koncepty AD. Táto časť je o správe Active Directory. Budem diskutovať o nasledujúcich nástrojoch AD:

  • Používatelia a počítače služby Active Directory
  • Stránky a služby AD
  • Domény a dôveryhodnosti služby Active Directory
  • Modul AD PowerShell
  • Konzola na správu zásad skupiny (GPMC)

Používatelia a počítače služby Active Directory

Lokality a služby Active Directory (AD).

Toto je jeden z najpoužívanejších nástrojov AD. Pomocou používateľov a počítačov AD môžete:

ako urobiť afk kanál v nesúlade
  • Vytvorte organizačné jednotky
  • Vytvorte kontajnery
  • delegované orgány
  • Vytvoriť používateľov
  • Preneste úlohy RID, PDC a infraštruktúry FSMO
  • Spustite dopyty
  • Zvýšte funkčné úrovne domény

Stránky a služby AD

Keď sa budete lepšie orientovať v administrácii Active Directory, začnete pracovať so stránkami a službami.

Pomocou nástroja AD Sites and Services môžete vykonávať nasledujúce úlohy:

  • Povoliť ukladanie členstva v univerzálnej skupine (UGMC)
  • Nakonfigurujte prenosy medzi lokalitami
  • Vytvorte nové pripojenia lokality AD
  • Delegujte kontrolu na existujúce lokality
  • Vytvorte podsiete

Domény a dôveryhodnosti služby Active Directory

Tento nástroj sa používa na vykonávanie niektorých z najpokročilejších správcovských funkcií v AD. Nižšie sú uvedené niektoré z úloh, ktoré môžete vykonať s doménami a dôveryhodnosťami Active Directory:

  • Zvýšiť funkčnú úroveň lesa
  • Preneste rolu FSMO hlavného pomenovávania domén
  • Vytvorte Forest Trust
Dôležité
Všimnite si, že úroveň funkčnosti domény môžete zvýšiť pomocou používateľov a počítačov služby AD, zatiaľ čo na zvýšenie úrovne funkčnosti doménovej štruktúry používate domény a dôveryhodnosti služby AD.

AD modul pre Windows PowerShell

Na správu AD pomocou PowerShell je potrebný modul Active Directory PowerShell. Môžete vykonávať množstvo úloh. Nižšie som ich uviedol niekoľko:

  • Vytvoriť nových používateľov – New-ADUser
  • Upravte existujúcich používateľov – Set-ADUser
  • Získajte informácie o existujúcich používateľoch – Get-ADUser
  • Odstrániť existujúcich používateľov – Remove-ADUser

Ak chcete získať všetky príkazy AD v PS zo svojho DC, spustite príkaz Get-Command. Ďalšie informácie o prostredí PowerShell nájdete v nasledujúcich návodoch

18 príkazov Powershell Každý správca systému Windows by mal poznať
Get-Command v PowerShell: Aplikácie a použitie

Konzola na správu zásad skupiny (GPMC)

GMPC sa používa na správu skupinovej politiky naprieč lokalitami, doménami a organizačnými jednotkami v rámci jedného alebo viacerých lesov. Hoci skupinové politiky môžete spravovať z používateľov a počítačov AD, GPMC poskytuje viac funkcií.

Pomocou GMPC môžete vykonávať nasledujúce úlohy:

  • Vytvorte nové skupinové zásady
  • Upravte existujúce skupinové zásady
  • Spravujte všetky skupinové politiky v rámci jedného kontajnera – Objekty skupinovej politiky
  • Vytvorte a použite filtre WMI na skupinové politiky.
  • Vytvorte modelovanie GP a výsledky GP

Dúfam, že vám táto zóna S pomohla.

Ďalšie užitočné návody

  1. Active Directory Domain Services: Inštalácia a konfigurácia
  2. 35 otázok a odpovedí na rozhovor so službou Active Directory (zoskupené podľa kategórie)
  3. Outlook 365: Predplatné, inštalácia a nastavenie
  4. Ako nainštalovať Windows 10: Krok za krokom s obrázkom s

Ďalšie zdroje a referencie

  1. Krok za krokom: Nastavenie služby Active Directory v systéme Windows Server 2016
  2. Ako rozšíriť schému
  3. Čo je doménová štruktúra Active Directory?
  4. Pokročilá infraštruktúra Active Directory pre služby Windows Server 2012 R2
  5. Replikácia Active Directory do hĺbky
  6. Roly Active Directory FSMO v systéme Windows
  7. Windows Server: Mala by byť rola hlavného FSMO infraštruktúry umiestnená na serveri globálneho katalógu?
  8. Windows Server: Funkcie globálneho katalógu v Active Directory

Redakcia Choice

Špecifikácie Huawei Y7p

Špecifikácie Huawei Y7p
Špecifikácie Lenovo Vibe X2

Špecifikácie Lenovo Vibe X2
Kategórie
Populárne Príspevky
Špecifikácie Karbonn Titanium S20
Špecifikácie Karbonn Titanium S20
Špecifikácie Gionee GN715
Špecifikácie Gionee GN715
Špecifikácie Asus PadFone S
Špecifikácie Asus PadFone S
Špecifikácie Micromax Canvas Fire 4G +
Špecifikácie Micromax Canvas Fire 4G +
Ako odstrániť záložné súbory v systéme Windows 10
Ako odstrániť záložné súbory v systéme Windows 10