Концепти и администрација активног именика

18. децембар 2021 1266 Погледи Услуге домена Ацтиве Дирецтори

Прегледајте теме постова

Увод

Ацтиве Дирецтори (АД) је Мицрософт услуга именика која чува информације о објектима у мрежи. АД такође олакшава приступ сачуваним подацима овлашћеним корисницима.

Примери Ацтиве Дирецтори објеката су корисници, рачунари, штампачи и други ресурси у мрежи.

Корисник мора бити аутентификован пре него што му се дозволи да се пријави на АД мрежу. Аутентификација се обично постиже верификацијом корисничког имена и лозинке корисника.

Након што се корисник пријави на мрежу, Ацтиве Дирецтори складишти информације о корисничким дозволама (чланству у групама, итд.) и правима приступа. Када корисник затражи приступ ресурсу, АД одобрава или одбија приступ. Процес одобравања или одбијања приступа назива се ауторизација.

Овај водич ће покрити главне концепте АД, укључујући његову физичку и логичку структуру. Такође ће покривати контролере домена, АД шему, шуму и домен. Неки други концепти које ћете научити укључују репликацију, улоге контролора домена (главне улоге операција), сервере глобалног каталога, кеширање универзалне групе и контролере домена само за читање.

Док завршите овај водич, можете са сигурношћу разговарати о томе како Ацтиве Дирецтори функционише и разумети његове главне концепте. Коначно, научићете неке задатке које можете да обављате са корисницима и рачунарима Ацтиве Дирецтори-а, локацијама и услугама, доменима и повереницима и још много тога.

Неки важни концепти активног директоријума

Ацтиве Дирецтори има неке веома важне концепте које морате да разумете да бисте га ефикасно применили и управљали. Ево неких од основних концепата:

АД контролер домена

Контрола домена АД (АД ДЦ) је Виндовс сервер који покреће АД Домаин Сервицес. Да би Виндовс Сервер могао да покреће АД ДЦ услугу, он мора да буде унапређен у контролор домена помоћу менаџера сервера. Касније у овом водичу ћете научити како да унапредите Виндовс Серер у контролер домена.

Шема активног директоријума

Следећи важан концепт је АД шема. АД шема дефинише класе објеката и њихове атрибуте. Пример класе АД објеката је корисник. Корисник има неке атрибуте као што су име корисника, менаџер итд.

АД складишти класе објеката и њихове атрибуте користећи АД шему. Шема активног директоријума има стандардне објекте као што су корисници, рачунари, штампачи итд. Међутим, ако су вам потребни додатни објекти, можете проширити шему. Као пример, мораћете да проширите АД шему пре него што инсталирате Мицрософт Екцханге или СЦЦМ.

Да видите како можете проширити АД шему, погледајте Проширите шему у Додатни ресурси и референце на крају овог упутства.

Шума активног именика

У хијерархијској структури АД, шума је на врху логичке структуре АД. Следећи ниво хијерархије су домени, затим имате организационе јединице (ОУ). У оквиру ОУ имате кориснике и рачунаре.

Сходно томе, АД шума садржи одређени број АД домена који су међусобно повезани односом поверења. Испод је једноставна илустрација хијерархије АД шуме. Да бисте прочитали више о АД Форест-у, посетите Шта је шума активног директоријума?

Про врх
Када креирате поверења између два домена у шуми, корисници у једном домену могу бити проверени од стране поузданог домена. Такође, ресурсима се такође може приступити између домена са односом поверења. Ацтиве Дирецтори (АД)

Врсте АД трустова

Можете креирати 4 типа односа поверења у АД шуми – екстерна, шумска, пречица и поверења у домену. Да бисте прочитали више о АД Трустовима, отворите Напредна инфраструктура Ацтиве Дирецтори за Виндовс Сервер 2012 Р2 услуге .

АД домен

АД домен је следећи ниво од шума у ​​хијерархији. АД домен садржи колекцију објеката. На пример, Корисници и рачунари. Домени се идентификују по ДНС именима, на пример, Домаин1.цом, Домаин2.цом.

Про врх
ДНС имена АД домена не морају да се завршавају на .цом, могу такође да се завршавају на .лоцал на пример.

Сајтови активног именика

Конфигурација АД сајтова обично прати физичке мрежне подмреже. Конфигурација репликације унутар сајтова се обично разликује од конфигурације између локација.

На пример, ако имате 2 контролора домена унутар исте мрежне подмреже, можете да конфигуришете репликацију између њих да буде оптимизована за брзину.

АД Репликација

Ако примењујете Ацтиве Дирецтори у производном окружењу, препоручује се да имате најмање 2 контролора домена (ДЦ) у вашем АД домену. Разлог за то је очигледан - створити вишак.

Пре него што наставим, дозволите ми да поменем да АД управља оним што се зове мулти-мастер модел. То значи да сви контролери домена (ДЦ) унутар домена садрже копије објеката на које се може писати. Као што ћете касније видети, постоје неки изузеци од овог правила.

Чињеница да се објекти могу креирати у било ком ДЦ-у значи да постоји потреба за репликацијом између контролера домена. Процес креирања објеката у једном ДЦ-у који се синхронизује или ажурира на друге ДЦ-ове познат је као репликација.

Прочитајте више о АД репликацији кликом на Детаљна репликација активног директоријума линк на Одељак Додатни ресурси и референце .

Мастерс Оператионс Ацтиве Дирецтори

У претходном одељку споменуо сам да иако Ацтиве Дирецтори ради на моделу са више мастера, постоје изузеци од овог правила.

Постоје одређени задаци у оквиру АД домена који се морају завршити коришћењем модела једног мастера. То јест, један контролор домена има улогу да управља задатком.

Примарни разлог за модел једног господара је избегавање сукоба. Због природе улога једног господара, ако више од једног ДЦ-а обавља задатак у исто време, то ће створити конфликт. То ћете боље разумети када прочитате 5 улога Оперативног мајстора о којима ће се ускоро говорити.

Испод је 5 улога Ацтиве Дирецтори флексибилних појединачних главних операција (ФСМО).

Шема Мастер

Раније у овом туторијалу, расправљао сам АД Сцхеме . Рекао сам да шема Ацтиве Дирецтори дефинише класе објеката и њихове атрибуте. Такође сам рекао да ћете понекад можда желети да креирате додатне АД АД шеме класе тако што ћете проширити шему.

ДЦ одговоран за ажурирање шеме се зове Шема Мастер. Када Мастер шеме ажурира шему, он реплицира ажурирање на друге ДЦ-ове. Постоји један Шема Мастер у директоријуму – овај ДЦ је познат као Шема Мастер.

Мастер именовања домена

ДЦ коме је додељена улога главног ФСМО за именовање домена је одговоран за додавање или брисање домена у простору имена домена широм шуме.

Главни ДЦ за именовање домена је такође одговоран за додавање или уклањање унакрсних референци на домене у спољним директоријумима.

РИД Мастер

Кад год контролер домена креира принципал безбедности, на пример корисника или рачунар, ДЦ додељује објекту јединствени безбедносни ИД (СИД). СИД се састоји од СИД домена и релативног ИД-а (РИД). СИД домена је исти за све објекте креиране у домену, док је РИД јединствен за сваког креираног принципала безбедности.

Сваки ДЦ има скуп РИД-ова који су му додељени. ДЦ одговоран за додељивање РИД скупова другим ДЦ-овима је РИД Мастер.

Мастер ПДЦ емулатора

ДЦ који има улогу ПДЦ емулатора је одговоран за аутентификацију корисника, синхронизацију промена лозинке и такође је одговоран за временску синхронизацију.

Такође управља закључавањем налога и прослеђује грешке у аутентификацији због нетачних лозинки другим ДЦ-овима.

Мастер инфраструктуре (ИМ)

У АД шуми са више домена, ДЦ коме је додељена улога Инфраструцтуре Мастер ФСМО је одговоран за ажурирање референци објеката између више домена.

Као пример, рецимо да је објекат у домену 1 референциран од стране другог објекта у домену 2. Када се референцирани објекат модификује, ИМ је одговоран за ажурирање референци.

У закључку, пре него што сам расправљао о 5 ФСМО Ацтиве Дирецтори ДЦ улога, рекао сам да АД управља моделом са више мастера. То јест, сви ДЦ-ови садрже копије АД базе података на које се може писати.

Такође сам рекао да иако у АД домену, упркос моделу са више масера, неки задаци могу да се обављају само преко модела операција са једним главним. Дакле, 5 ФСМО улога.

Рекавши то, сада када знате 5 улога појединачних операција, надам се да је лако схватити зашто, на пример, РИД скуп може да додели само један ДЦ. Ако би 2 ДЦ-а доделила РИД скупове другом контролору домена, постоји ризик од преклапања и два различита објекта тада могу имати исти РИД.

Исто повећање важи и за остале 4 ФСМО улоге о којима је раније било речи.

Глобални каталошки сервери (ГЦ)

Да бисте разумели улогу сервера глобалног каталога, упутићу вас на оно што сам раније рекао о шумама активног директоријума. АД шума садржи одређени број АД домена који су међусобно повезани односима поверења.

Имајући то на уму, за сваки домен унутар шуме, сви ДЦ чувају податке о сваком објекту унутар сопствени домен . Као што сам раније истакао, унутар АД шуме може постојати потреба за референцирањем објеката на више домена. Да би ово ефикасно функционисало, ДЦ-у је додељена улога ГЦ-а да чува информације о СВИМ објектима унутар шуме.

Ако ово повежете са улогом ИМ ФСМО о којој смо раније говорили, постаје лако видети зашто ће Инфраструктурни Мастер морати да стално комуницира са ГЦ сервером. Ово је зато да прима ажурирања о референцама објеката на више домена.

Мастер инфраструктуре је одговоран за ажурирање референци унакрсних објеката унутар АД шуме. Глобални каталошки сервер садржи информације о СВИМ објектима унутар шуме. Логично је да Инфраструцтуре Мастер прима информације о унакрсном референцирању објеката са ГЦ сервера.

Због тога се НЕ препоручује да се једном ДЦ-у додели улога ГЦ сервера и улога мастера инфраструктуре осим:

  • У шуми постоји само један домен – у овој ситуацији исти ДЦ ће бити одговоран за све улоге.
  • Сваки ДЦ у домену је сервер глобалног каталога

Кеширање чланства у универзалним групама

Подразумевано, информације о чланству у универзалним групама се чувају само на серверима Глобалног каталога. Из тог разлога, у шуми АД са више домена (где су присутне универзалне групе) ако се корисник први пут пријављује на домен, ГЦ сервер мора бити доступан да би се пријављивање обрадило.

За мале АД локације без ГЦ сервера, другим ДЦ-овима може бити омогућено да чувају универзалне информације о чланству у групи. Ово се постиже омогућавањем кеширања чланства у универзалним групама (УГМЦ) на АД сајту.

Про врх
УГМЦ је омогућен за сваку локацију. Када је омогућено на АД локацији, сви ДЦ-ови на сајту ће учествовати.

Контролори домена само за читање (РоДЦ)

У овом туторијалу, већ сам рекао да су сви ДЦ-ови у АД домену уписиви. Међутим, постоје одређене ситуације у којима ћете можда желети да инсталирате (РоДЦ).

Типична ситуација може бити на удаљеној локацији са ограниченом физичком безбедношћу за ДЦ на тој локацији. Под овим околностима можда ћете желети да инсталирате ДЦ који може да чита само АД податке, али не може да пише или ажурира било који објекат.

Про врх
РоДЦ-ови су доступни само у Виндовс Сервер 2008 и новијим верзијама.

Физичка и логичка структура активног именика

До сада сам покрио низ важних концепата Ацтиве Дирецтори-а. У овом одељку ћу расправљати о два друга важна концепта у АД – физичке и логичке структуре Ацтиве Дирецтори.

Физичка структура АД

Физичка структура подразумева ствари које можете додирнути и осетити. Према томе, физичка структура АД-а су контролори домена и мрежне локације.

Алати који су вам потребни за управљање физичком структуром Ацтиве Дирецтори локација и услуга Ацтиве Дирецтори. Касније у овом водичу ћу разговарати о задацима које можете да обављате са АД сајтовима и услугама.

Логичка структура активног именика

У поређењу са физичком структуром АД, логичка структура је виртуелна. Компоненте које чине логичку структуру АД су: шуме, дрвеће, домени, ОУ и глобални каталози. Да бисте добили детаљне дефиниције шума, дрвећа, домена, ОУ-а и глобалног каталога, кликните на Питања о инфраструктури Ацтиве Дирецтори.

Администрација активног именика

До сада смо покрили неке важне концепте АД. Овај одељак је о администрирању Ацтиве Дирецтори-а. Разговараћу о следећим АД алатима:

  • Корисници и рачунари активног директоријума
  • АД сајтови и услуге
  • Активни директоријум домени и поверења
  • АД ПоверСхелл модул
  • Конзола за управљање групним смерницама (ГПМЦ)

Корисници и рачунари активног директоријума

Сајтови и услуге активног именика (АД).

Ово је један од најчешће коришћених АД алата. Помоћу АД корисника и рачунара можете:

  • Направите организационе јединице
  • Креирајте контејнере
  • Делегат Аутхоритиес
  • Креирајте кориснике
  • Пренесите РИД, ПДЦ и инфраструктурне ФСМО улоге
  • Покрени упите
  • Повећајте функционалне нивое домена

АД сајтови и услуге

Како вам буде лакше са администрацијом Ацтиве Дирецтори-а, почећете да радите са сајтовима и услугама.

Можете да извршите следеће задатке са алатком за АД сајтове и услуге:

  • Омогући кеширање универзалне групе (УГМЦ)
  • Конфигуришите транспорте између локација
  • Креирајте нове АД Сите везе
  • Пренесите контролу на постојеће сајтове
  • Креирајте подмреже

Активни директоријум домени и поверења

Овај алат се користи за обављање неких од најнапреднијих функција администратора у АД. Испод су неки од задатака које можете да извршите помоћу домена и поверења Ацтиве Дирецтори:

  • Подићи функционални ниво шума
  • Пренесите главну улогу ФСМО за именовање домена
  • Створите Форест Труст
Важно
Имајте на уму да можете подићи функционални ниво домена користећи АД кориснике и рачунаре док користите АД домене и поверења за подизање функционалног нивоа шума.

АД Модул за Виндовс ПоверСхелл

Ацтиве Дирецтори ПоверСхелл модул је неопходан за управљање АД помоћу ПоверСхелл-а. Можете извршити низ задатака. Доле сам навео неколико:

  • Креирајте нове кориснике – Нев-АДУсер
  • Измените постојеће кориснике – Сет-АДУсер
  • Добијте информације о постојећим корисницима – Гет-АДУсер
  • Избришите постојеће кориснике – Ремове-АДУсер

Да бисте добили све АД команде у ПС-у, са свог ДЦ-а, покрените команду Гет-Цомманд. За више о ПоверСхелл-у, прочитајте следеће туторијале

18 Поверсхелл команди Сваки Виндовс администратор треба да Кн
Гет-Цомманд у ПоверСхелл-у: апликације и коришћење

Конзола за управљање групним смерницама (ГПМЦ)

ГМПЦ се користи за управљање смерницама групе на свим локацијама, доменима и организационим јединицама унутар једне или више шума. Иако можете да управљате групним смерницама из АД корисника и рачунара, ГПМЦ пружа више функција.

Помоћу ГМПЦ-а можете обављати следеће задатке:

  • Креирајте нове смернице групе
  • Измените постојеће смернице групе
  • Управљајте свим смерницама групе у једном контејнеру – објектима групних смерница
  • Креирајте и примените ВМИ филтере на смернице групе.
  • Креирајте ГП моделирање и ГП резултате

Надам се да вам је ова С зона била од помоћи.

Други корисни водичи

  1. Услуге домена Ацтиве Дирецтори: инсталација и конфигурација
  2. 35 питања и одговора на интервјуу за Ацтиве Дирецтори (груписани по категоријама)
  3. Оутлоок 365: Претплата, инсталација и подешавање
  4. Како инсталирати Виндовс 10: корак по корак са сликом

Додатни ресурси и референце

  1. Корак по корак: Подешавање Ацтиве Дирецтори у Виндовс Сервер 2016
  2. Како проширити шему
  3. Шта је шума активног директоријума?
  4. Напредна инфраструктура Ацтиве Дирецтори за Виндовс Сервер 2012 Р2 услуге
  5. Детаљна репликација активног директоријума
  6. Ацтиве Дирецтори ФСМО улоге у Виндовс-у
  7. Виндовс Сервер: Да ли улогу главног ФСМО инфраструктуре треба поставити на сервер глобалног каталога?
  8. Виндовс Сервер: Функције глобалног каталога у активном директоријуму