Active Directoryとは何ですか。また、データベースをインストールして構成する方法。 ActiveDirectoryとはActiveDirectoryのlisiとドメイン
サービス Active Directory-拡張および拡張されたActiveDirectoryディレクトリサービス(Active Directory)を使用すると、共有リソースを効果的に参照できます。
Active Directory--Tseієrarchіchnoは、メジャーのオブジェクトに関するデータの収集を組織化しました。これにより、ジョークとこれらのデータの選択の権利が確保されます。 Active Directoryを実行するコンピューターは、ドメインコントローラーと呼ばれます。 Active Directoryから、すべての管理タスクはMayzhaに関連しています。
Active Directoryテクノロジは、標準のインターネットプロトコルに基づいており、企業の構造を明確に定義するのに役立ちます。ActiveDirectoryドメインを最初から開く方法の詳細については、こちらを参照してください。
ActiveDirectoryとDNS
ActiveDirectoryにはドメインネームシステムがあります。
ActiveDirectoryの管理
Active Directoryサービスを利用して、コンピューターのクラウドレコードを作成し、ドメインへの接続を確立し、コンピューターを管理し、ドメインコントローラーと組織のサブプログラム(OP)を制御します。
keruvannya Active Directoryの場合、zasobiadministruvannyapodtrimkiが認識されます。 実装ツールの下をポイントして、MMCコンソール(Microsoft管理コンソール)のスナップインを表示します。
- Active Directory-koristuvachiとコンピューター(Active Directoryユーザーとコンピューター)は、keruvati koristuvachami、グループ、コンピューター、および組織単位(OP)を許可します。
- Active Directory-ドメイン、ドメインツリー、およびドメインフォレストを持つロボットにサービスを提供するドメインと信頼(Active Directoryドメインと信頼)。
- Active Directory-サイトとサービス(Active Directoryサイトとサービス)を使用すると、サイトとサブマージを参照できます。
- 結果として得られるポリシー(結果として生じるポリシーのセット)は、coristuvachaの現在のポリシー、またはポリシーの変更を計画するシステムを確認するために勝利します。
- で マイクロソフトウィンドウズ 2003 Serverでは、これらのスナップインに[管理ツール]メニューから直接アクセスできます。
もう1つのzasіbadministruvannya(Active Directoryスキーマ(Active Directoryスキーマ)を装備)を使用すると、カタログスキーマを変更および変更できます。
ユーティリティ コマンドライン Active Directory
Active Directoryオブジェクトを管理するには、コマンドラインを使用します。これにより、さまざまな管理タスクを設定できます。
- DSADD-コンピューター、連絡先、グループ、OP、およびkoristuvachivをActiveDirectoryに追加します。
- DSGET-コンピューター、連絡先、グループ、VP、通信相手、サイト、サーバー、ActiveDirectoryへの登録の能力を向上させます。
- DSMOD-Active Directoryに登録されているコンピューター、連絡先、グループ、OP、ホスト、およびサーバーの権限を変更します。
- DSMOVE-ドメイン間の新しいウィンドウから単一のオブジェクトを移動するか、移動せずにオブジェクトの名前を変更します。
- DSQXJERY-指定された基準に従って、Active Directory内のコンピューター、連絡先、グループ、VP、ホームページ、サイト、およびサーバーの検索を作成します。
- DSRM-ActiveDirectoryからオブジェクトを削除します。
- NTDSUTIL-サイト、ドメイン、またはサーバーに関する情報を表示し、操作マスターを管理し、ActiveDirectoryデータベースを維持できます。
Lis Active Directoryは、同じスキーマ、構成、およびグローバルディレクトリを選択する1つ以上のドメインのセットを定義します。 さらに、すべてのドメインは二国間推移的ドメインに参加します。 私たちは、指定された森で勝利する条件を非常に尊重しています。
- ドメイン-ドメインには、names..comєドメインの1つのスペースの一部として、corystuvachivやコンピューターなどのオブジェクトを整理および防御する方法が与えられています。 スキンドメイン内のコンピューターは、ドメインに対して同じ構成を持ち、ドメイン管理者によって設定されたポリシー設定の対象となる場合があります。 Vykoristannya domen_vを使用すると、ビジネス規模でセキュリティを要求できます。
- 図式-Active Directoryスキーマは、フォレストの境界内のすべてのドメインによって立証されます。 構造とディレクトリを制御する構成情報のスキーム。
- 構成-構成によって、フォレストの論理構造が決まります。たとえば、フォレストの境界にあるサイトの数と構成が決まります。
- グローバルディレクトリ-キツネの見張りから軽いカタログをとることができます。 グローバルカタログには、オブジェクトの分布に関する情報など、フォレスト内のすべてのオブジェクトに関する情報が含まれています。 さらに、グローバルディレクトリには、ユニバーサルグループのメンバーシップに関する情報が含まれています。
- ドビラ-さまざまなドメインに協力する機会を与えましょう。 ドメインを信頼せずに、ドメインBがドメインAを信頼するようにドメイン間の信頼を確立し、ルート化ドメインAがドメインBにアクセスできるようにすることができます。リソースyakshchoはmayutv_dpovidniを許可します。
信頼の証拠には主に3つのタイプがあります。
- 推移的-他動詞のペアは、同じリスのドメイン間で自動的に作成されます。 悪臭により、任意のドメインのkoristuvachが、同じfoxの他のドメインのリソースへのアクセスを拒否する可能性があります。yakshchokoristuvachは、異なるアクセス権を持っている可能性があります。
- ショートカット-同じリス族のドメイン間の信頼関係、yakіは一時的に信頼を移転する可能性があります。 このような設定は、フォレストのライセンスされていないドメイン間のリソースへのアクセスのより安全な認証と再検証を可能にするためのものです。
- Zovnishni--Zovnіshnіvіdnosinіdovіriは、さまざまなlіsіvсpіlnovikoristovuvatリソースからのドメインを許可します。 したがって、悪臭が推移的であるとは思わないでください。その結果、悪臭が作成された静かなドメインまで悪臭が少なくなります。
Z'yasuvavshiの基本的な用語の意味、キツネのお尻を見てみましょう。 ドメインの2つのツリーに復讐する単一のツリーのDali表現。
サムネイルには、aw.net、west.aw.net、east.aw.net、person.netが表示されます。 ドメインaw.net、west.aw.net、およびeast.aw.netは同じドメインツリーにあり、悪臭を放つシャードは同じ名前空間(aw.net)を共有します。
person.netドメインは別のツリーにありますが、aw.net名前空間の一部ではありません。 OU文字が(署名ではなく)east.aw.netドメインの境界に表示されることに注意してください。 OU-tse 組織的サポート(組織単位)、法令に見られるように。
小さなものの矢印は、穂軸が森の境界でドメインと重なるときに自動的に作成されるため、信頼の推移的な兆候です。 aw.netドメインの子ドメイン(東と西)はperson.netドメインに直接リンクされていないことに注意してください。 何があっても、person.netドメインを信頼します。
信頼の理由は、aw.netのドータードメインの承認です。 aw.netドメインはperson.netドメインを信頼し、aw.netドータードメインもperson.netドメインを信頼します。 ご存知のとおり、小さな子のように見えるActiveDirectoryドメインを表示できます。 私たちを信じる悪臭を放つベザレズノ、父親はどうだろう。 父親があなたが別のドメインを信頼できるとあなたに言うとすぐに、それは同じ方法です。
エール、子供と娘のドメインの違いは、子供ドメインは常に天気が良く、父親に栄養を与えないという事実にあります。
Active Directory
Active Directory(「ActiveDirectory」、 広告) - LDAP-企業におけるカタログサービスの合計実装 マイクロソフトファミリのオペレーティングシステム用 Windows NT. Active Directory管理者は、作業環境の1つの管理セットアップのセキュリティ、匿名コンピュータでのソフトウェアセキュリティの開発のためのグループポリシーをセットアップできます。 グループポリシーしかし助けのために System Center Configuration Manager(前 Microsoft Systems Management Server)、会社のすべてのコンピューターにオペレーティングシステム、アプリケーション、サーバーソフトウェアの更新をインストールし、vicorist更新サービス Windows Server . Active Directory tsentralіzovanіyデータベースdanihのsberigaєdannyanalashtuvannyaseredovishcha。 メレジ Active Directoryさまざまなサイズにすることができます:数十から数百万のオブジェクト。
トリビュート Active Directory 1999年にリリース Windows 2000 Server、発行時に変更して修復しましょう Windows Server 2003 。 zgodom Active Directory収縮の手紙 Windows Server 2003 R2, Windows Server 2008і Windows Server 2008 R2に名前を変更します ActiveDirectoryドメインサービス。 以前は、ディレクトリサービスには小さな名前がありました NTディレクトリサービス (NTDS)、いくつかのファイルのファイルに名前を付けることができます。
vіdmіnuでvіdverіtsіy ウィンドウズ前 Windows 2000、メインプロトコルのyakіvikoristovuvali NetBIOS vzaєmodії、サービスをマージするため Active Directoryと統合 DNSі TCP / IP。 標準認証の場合、プロトコルが描画されます Kerberos。 クライアントまたはプログラムが認証をサポートしていないかどうか Kerberos、プロトコル NTLM .
プリーストリー
オブジェクト
Active Directoryオブジェクトから形成されたrarchіchnu構造である可能性があります。 オブジェクトは、リソース(プリンターなど)、サービス(電子メールなど)、およびレコードとコンピューターの形式の3つの主要なカテゴリーに分類されます。 Active Directoryオブジェクトに関する情報を提供し、オブジェクトを整理し、それらへのアクセスを管理し、セキュリティルールを設定できるようにします。
オブジェクトは、他のオブジェクト(セキュリティー・グループおよびrozpovsudzhennya)のコンテナーにすることができます。 オブジェクトは独自の名前に一意に割り当てられ、一連の属性を持っている場合があります。ワインのように、特性とデータを復讐することができます。 ostnі、そのchergoyu、オブジェクトのタイプにあります。 オブジェクトの構造のウェアハウスベースの属性がスキーマに割り当てられます。 スキームvyznaє、yakividiオブジェクトを使用できます。
スキーマ自体は、スキーマクラスオブジェクトとスキーマ属性オブジェクトの2種類のオブジェクトで構成されています。 スキーマクラスごとに1つのオブジェクトが、1つのオブジェクトタイプを割り当てます Active Directory(たとえば、オブジェクト「Koristuvach」)、および1つのスキーマ属性オブジェクトが属性を割り当てます。これはマザーオブジェクトである可能性があります。
属性スキンオブジェクトは、さまざまなスキーマクラスオブジェクトと一致させることができます。 これらのオブジェクトはスキーマオブジェクト(またはメタデータ)と呼ばれ、必要な数だけスキーマを変更および追加できます。 スキームのプロテスキンオブジェクトєオブジェクトの指定の一部 Active Directoryこれらのオブジェクトの包含または変更は深刻な結果を引き起こす可能性があり、これらの変更の結果としてシャードは構造が変更されます Active Directory。 スキーマオブジェクトの変更は自動的にに展開されます Active Directory。 一度溶解可能であるため、スキーマのオブジェクトを区別することはできず、vinは同情的ではない可能性があります。 スキームを変更するために私達に電話してください真剣に計画されています。
容器似ている 物体ワインも属性を持ち、名前のスコープに属することができるという事実に、しかし、オブジェクトの観点から、コンテナは特定のものを意味するものではありません。オブジェクトのグループまたは他のコンテナを置き換えることができます。
構造
構造の上位レベルєlіs-すべてのオブジェクト、属性、およびルールのコレクション(属性の構文) Active Directory。 他動詞で結ばれた1本または数本の木に復讐する vodnosinami doviri 。 ツリーは、ドビリの他動詞リンクの階層にも接続されている1つまたはいくつかのドメインに復讐するためのものです。 ドメインは、DNS名構造(名前空間)によって識別されます。
ドメイン内のオブジェクトは、コンテナまたは親によってグループ化できます。 拡張機能を使用すると、ドメインの中央に階層を作成し、管理を簡素化し、会社の組織的および/または地理的構造をモデル化することができます。 Active Directory。 Pіdrozdіliは他のpіdrіzіliをトリミングすることができます。 株式会社 マイクロソフト最小のドメインをバイコリストすることをお勧めします Active Directory、そしてそのポリシーの構造のために、勝利者が追加されました。 多くの場合、グループの政治家は自分自身をpіdrozdіlіvにzastosovuyutします。 グループポリシーはオブジェクトです。 私はそれを最低の前夜にあなたに送りました、そこであなたは管理業務を委任することができます。
他の方法で私は行きました Active Directoryє サイト メジャー内のセグメントに基づいた物理的(論理的ではなく)グループ化の方法で。 サイトは、低幅チャネル(たとえば、グローバルリンク、追加の仮想プライベートリンク)および高幅チャネル(たとえば、ローカルリンク)を介して接続に接続されます。 サイトには1つ以上のドメインを含めることができ、ドメインには1つ以上のWebサイトを含めることができます。 設計時 Active Directoryサイト間のデータの同期が1時間ごとに発生するトラフィックを保護することが重要です。
設計における重要な決定 Active Directoryєarkhіchіchіdomainiіpodrozdіlverkhniyryvnyaのrozpodіlіnformatsiynoїіnfrastrukturyについての決定。 このような分野で勝つ典型的なモデルは、会社の機能の細分化、地理的分布、および会社の情報インフラストラクチャでの役割のモデルです。 多くの場合、これらのモデルの組み合わせがあります。
物理的構造と複製
物理情報は、1つ以上の同等のドメインコントローラーで収集されます。 Windows NTこれらの操作を実行する場合は、ドメインのメインコントローラーとバックアップコントローラー。したがって、サーバーのタイトルは「1つのヘッドサーバーでの操作」であり、ドメインのメインコントローラーをエミュレートできます。 ドメインのスキンコントローラーは、そのレコードを読み取るために認識されたデータのコピーを保存します。 1つのコントローラーに加えられた変更は、レプリケーション中にすべてのドメインコントローラーと同期されます。 サービス自体が存在するサーバー Active Directory設定されていませんが、ドメインに入るとyakі Active Directory、はメンバーサーバーと呼ばれます。
レプリケーション Active Directoryリクエストに応じてvykonuєtsya。 サービス 知識整合性チェッカーシステムに割り当てられた勝利サイトのようなレプリケーションのトポロジ、トラフィックトラフィックを作成します。 多くの場合、サイト内レプリケーションは、ユーティリティの再検証の追加のヘルプのために自動的にチェックされます(変更についてレプリケーションについてパートナーに通知するため)。 サイト間の複製は、サイトへのスキンチャネルに適用できます(チャネルの品質にデポジットします)-異なるスコア(または分散)をスキンチャネルに割り当てることができます(たとえば、 DS3, , ISDNなど)、レプリケーショントラフィックは囲まれ、配信後に送信され、認識されたチャネルレーティングに従ってルーティングされます。 レプリケーションデータはサイト間リンクブリッジを介して推移的に送信される可能性があるため、「スコア」は低くなりますが、ADは自動的に低いサイト間リンク評価を割り当て、推移的なリンクには低くなります。 サイト間レプリケーションはスキンサイトのブリッジヘッドサーバーによってリンクされており、サイトのドメインのスキンコントローラーに変更をレプリケートします。 内部ドメインレプリケーションはプロトコルに従います RPCプロトコルの背後にある IP、ドメイン間-プロトコルに勝つこともできます SMTP.
構造は何ですか Active Directoryドメイン名を復讐するために、タスクを達成するために、勝つためにオブジェクトを要求します グローバルディレクトリ:ドメインのコントローラー。すべてのオブジェクトをチェックする必要がありますが、属性のセットが制限されています(不完全なレプリカ)。 カタログは、クロスドメインリクエスト用のグローバルカタログおよびサービスの指定されたサーバーに保存されます。
複数のホストコンピューターでの複製が受け入れられない場合は、1台のコンピューターでの操作が可能です。 このような操作には、ドメインコントローラーヘッドエミュレーション(PDCエミュレーター)、データ識別子ヘッドコンピューター(フロントエンド識別子マスターまたはRIDマスター)、インフラストラクチャヘッドコンピューター(インフラストラクチャマスター)、スキーマヘッドコンピューター(スキーママスター)、ドメイン名の5種類があります。ホスト(ドメイン名マスター)。 最初の3つの役割はドメインの境界で一意であり、残りの2つはフォレスト全体の境界で一意です。
ベース Active Directory 3つの論理接続または「分割」に分割できます。 スキームはのテンプレートです Active Directoryそして、すべてのオブジェクトタイプ、それらの属性クラス、属性構文を選択します(1つのスキーマがあるため、すべてのツリーは同じツリーにあります)。 木と木の構造による構成 Active Directory。 ドメインは、このドメインで作成されたオブジェクトに関するすべての情報を取得します。 最初の2つのリンクは、フォレスト内のすべてのドメインコントローラーで複製され、3番目のリンクは、スキンドメインの境界にあるコントローラーのレプリカ間で均等に分割され、多くの場合、グローバルカタログのサーバー上で複製されます。
名前
Active Directory次のオブジェクト命名形式をサポートします:ユニバーサルタイプ名 UNC, URLі LDAP URL。 バージョン LDAP X.500の命名形式は中央で採点されます Active Directory.
革のオブジェクトはかもしれません im'ya (英語 識別名, DN)。 たとえば、プリンタオブジェクトの名前は HPLaser3「Marketing」サブディビジョンおよびfoo.orgドメインでは、次の名前はCN = HPLaser3、OU = Marketing、DC = foo、DC =org'ktaドメインです。 呼ばれる名前は、このお尻の一部のパーツよりも、パーツよりも豊富な場合があります。 オブジェクトにも正規名があります。 異なる名前。逆の順序で記述され、識別子はなく、ディストリビューターとしての代替スラッシュ特性があります:foo.org/Marketing/HPLaser3。 コンテナの中央にあるオブジェクトを指定するには 私は見えます :CN=HPLaser3。 スキンオブジェクトは、グローバルに一意の識別子を持つこともできます( GUID)-ユニークで不変の128ビット行。 Active Directory冗談と複製のために。 Pevnіob'єktisomayutim'ya参加者-koristuvach( UPN、 応じて RFC 822)フォーマットオブジェクト@ドメイン。
UNIXとの統合
vzaєmodіїzの異なる等しい Active Directoryより多くで実装することができます UNIX-標準への追加準拠のための同様のオペレーティングシステム LDAPクライアントですが、システムは、原則として、コンポーネントに関連付けられた属性のほとんどを受け入れません ウィンドウズたとえば、グループ政治と一方的な権力の支援。
統合を促進するサードパーティのリーダー Active Directoryプラットフォーム上 UNIX、 含む UNIX, Linux, MacOS Xとに基づいてサプリメントの数 Java、製品パッケージ付き:
で提供されるスキームへの追加 Windows Server 2003 R2 RFC 2307に密接に関連する属性を含めて、ワイルドな方法で立証します。 RFC 2307、nss_ldapおよびpam_ldapの基本実装 PADL.com bezposerednypіdtremuyutі属性。 グループメンバーシップの標準スキームはRFC2307bis(propanated)です。 Windows Server 2003 R2属性を作成および編集するためのMicrosoftカーネルコンソールが含まれています。
別の方法は、たとえば別のディレクトリサービスを使用することです 389ディレクトリサーバー(前 Fedoraディレクトリサーバー, FDS)、eB2Bcom ViewDS v7.1 XML対応ディレクトリまた Sun Java System Directory Server見る サンマイクロシステムズ、双方向同期を無効にします Active Directoryクライアントの場合、そのようなランクの「wedbit」統合を実装する UNIXі Linux認証する FDS、およびクライアント ウィンドウズ認証する Active Directory。 2番目のオプションはビクトリアです OpenLDAPリモートサーバーの要素を拡張する透過的なオーバーラップに名前を付ける可能性があります LDAPローカルデータベースから取得される追加の属性。
Active Directoryヘルプのために自動化 パワーシェル .
文学
- ランド・モリモト、ケントン・ガーディニエ、マイケル・ノエル、ジョー・コカ Microsoft Exchange Server 2003. 外向きカリー化 = Microsoft ExchangeServer2003が解き放たれる。 -M .: "Williams"、2006年。-S.1024。-ISBN0-672-32581-0
Div。 また
Posilannya
ノート
| MicrosoftWindowsコンポーネント | |
|---|---|
| 主要 | |
| サービス 管理 |
|
| プログラム |
DVDメーカーに連絡する ファックスとスキャン インターネットエクスプローラ雑誌 拡大鏡 メディアセンター Windowsメディアプログラマー プログラム 寝室 別棟の中心 Windows Mobile モビリティセンターナレーターペイント 特殊文字エディタ Vіddelenypomіchnik 映画認識ワードパッド ノート ビーチパネル 録音カレンダー 電卓 ナイフ 役職 シンボルテーブル 歴史的: ムービーメーカー NetMeeting アウトルックエクスプレス プログラムマネージャー ファイル管理 フォトアルバム |
| ゲーム | |
| OSカーネル | |
| サービス | |
| ファイル システム |
|
| サーバ |
Active Directory 喉頭のサービス ファイルレプリケーションサービス DNSドメイン フォルダリダイレクト Hyper-VIIISメディアサービスMSMQ 国境へのセキュリティアクセス(NAP) UNIXの友達にサービスを提供 小売スティック リモートインストールサービス 権利管理サービス 移動するkoristuvachivsのプロファイル 共有ポイント システムリソースマネージャー リモートワークスタイル WSUS グループポリシー サブディビジョントランザクションコーディネーター |
| 建築 | |
| ベズペカ | |
| 狂気 | |
| マイクロソフト | ||
|---|---|---|
| PZ | ||
| サーバーソフトウェア | ||
| テクノロジー | ||
| インターネット | ||
| ゲーム | ||
| 装置 安全 |
||
| Utvennya | ||
| ライセンス | ||
| Pіdrozdіli | ||
Be-yakoypochatkіvets、略語ADに固執し、Active Directoryとは何ですか? Active Directoryは、Microsoftがドメイン用に分割したディレクトリサービスです。 merezhe Windows。 プロセスとサービスのセットとして、ほとんどのWindowsServerオペレーティングシステムにログインします。 その場で、サービスが占めるドメインは少なくなりました。 ただし、Windows Server 2008以降、ADはディレクトリに基づく識別に関連するさまざまなサービスの名前になりました。 vyvchennyaにより最適なchatkіvtsіvのTserobActiveDirectory。
基本的な予定
Active Directoryドメインディレクトリサービスが実行されているサーバーは、ドメインコントローラーと呼ばれます。 Winは、Windowsのマージされたドメイン内のすべてのルート化されたコンピューターを認証および承認し、すべてのPCにzastosovuyuchiセキュリティポリシーを割り当て、インストールまたは更新します。 ソフトウェアのセキュリティ。 たとえば、koristuvachがWindowsドメインに含まれるコンピューターにログインすると、Active Directoryは指定されたパスワードを確認し、システム管理者または 最大のkoristuvach。 また、情報を取得して保存し、認証と承認のメカニズムを提供し、証明書サービス、フェデレーションおよび促進ディレクトリサービス、権利管理などの他の関連サービスの開発のための構造を確立することもできます。
Active Directoryには、LDAPプロトコルバージョン2および3、MicrosoftやDNSなどのKerberosバージョンがあります。
Active Directory-それは何ですか? 折りたたみについて許してください
これらの措置を考慮して-頭の労働者。 原則として、小さなメッシュ上に構築することは困難であり、原則として、メッシュファイルとプリンターを検索することは困難です。 ミドルチェーンとグレートチェーンのカタログでなければ、精査することは不可能であり、リソースを探すときに困難に固執する必要があることがよくあります。
前面 Microsoftバージョン Windowsには、店員と管理者がデータを知るのに役立つサービスが含まれていました。 Merezhevは豊かな真ん中で鋭くカットされていますが、明らかな欠点、未処理のインターフェース、ヨガの不備があります。 WINSManagerとServerManagerは、システムのリストを確認するためにチェックアウトできますが、ファイナリストは利用できませんでした。 管理者は、そのデータを別のタイプのマージされたオブジェクトに追加するためにユーザーマネージャーを獲得しました。 Qiプログラムは、Active Directory会社で一般的な食べ物を呼び出す大規模ネットワークのロボットには効果がないことが判明しましたか?
カタログ 完全なリストオブジェクト。 電話帳-同じ種類のカタログで、人、企業、組織に関する情報が収集されます。それらに名前、住所、電話番号を鳴らします。食べ物を求める Active Directory-つまり、簡単に言えば、このテクノロジはdovidnikに似ていると言えますが、豊富な機能を備えています。 ADは、組織、サイト、システム、koristuvachiv、splnіリソース、および他のネットワーキングオブジェクトがあるかどうかに関する情報を収集します.
ActiveDirectoryの基本的な理解の概要
どの組織がActiveDirectoryを必要としていますか? Active Directoryの入り口ですでに述べたように、このサービスはアレイコンポーネントに関する情報を収集します。 chatkivtsivのActiveDirectoryヘルパーには、 クライアントが自分の名前のスペースにあるオブジェクトを知ることができます。 Tsey t 終端(コンソールツリーのタイトルも)は、レースコンポーネントを拡張できる領域にあります。 たとえば、本の編集者はさまざまな名前を作成し、その名前を辺の数に分割することができます。
DNS-これは、ホスト名とIPアドレスを許可するコンソールツリーです。電話帳は、電話番号の名前を許可するために名前のスペースを提供します。また、Active Directoryとどのように連携しますか? ADは、小さなオブジェクトの名前をオブジェクト自体に解決するためのコンソールツリーを提供します。国境でのkoristuvachiv、システム、サービスなど、さまざまなオブジェクトを許可できます。
オブジェクトと属性
ActiveDirectoryを見るものはすべてオブジェクトです。 ActiveDirectoryの内容を簡単に言うことができます єbe-yakykoristuvach、システム、リソースカイサービス。 用語の主な目的は歌うことができ、ADの破片は非人格的な要素を表示することができ、豊富な目的は完全なスローガン属性で歌うことができます。 どういう意味ですか?
属性は、ActiveDirectoryのActiveDirectory内のオブジェクトを記述します。たとえば、ホストのすべてのオブジェクトを属性と組み合わせて、ホスト名を選択できます。 Tsestosuєtsyaїhの説明。 システムもオブジェクトですが、悪臭を放つため、ホスト名、IPアドレス、場所などの一連の属性を設定できます。
特定のタイプのオブジェクトで使用できる属性のセットは、スキーマと呼ばれます。 同じ方法でオブジェクトのクラスを奪うことを誓います。 スキーマ情報は、実際にはActiveDirectoryから収集されます。 セキュリティプロトコルのこのような動作は重要であると言うことが重要です。つまり、このスキームでは、管理者がオブジェクトクラスに属性を追加し、ドメイン内のコントローラーを再起動せずに、ドメインのドメイン内で可能な限りそれらを配布できるという事実があります。ドメイン。
LDAPという名前のコンテナ
コンテナは、ロボットサービスに使用される特定のタイプのオブジェクトです。 Vinは、coristuvachやシステムのような物理的なオブジェクトではありません。 ワインの性質は、他の要素のグループ化に勝利しています。 コンテナオブジェクトは、他のコンテナにネストできます。
皮膚要素でADєim'ya。 そのようなvizvikli、例えば、IvanchiOlgaまではそうしないでください。 LDAP名。 さまざまなLDAP名を折りたたみ可能ですが、タイプに関係なく、オブジェクトがカタログの中央にあるかどうかを明確に識別できます。
用語とウェブサイトのツリー
用語のツリーは、ActiveDirectory内のオブジェクトのセットを説明するために作成されています。 それは何ですか? 簡単に言えば、木のような連想の助けを借りて説明することができます。 コンテナとオブジェクトがrarchіchnoでグループ化されている場合、悪臭は針を成形する傾向があります-名前のスター。 途切れのないpіdrevoという用語を使用して、木の丈夫でないメインストーバーまでヤクvіdnositsya。
比喩を続けると、「lіs」という用語は、同じ名前のスペースの一部であるだけでなく、スキーム、構成、およびライトカタログの一部であるため、sukupnіstを意味します。 これらの構造内のオブジェクトはすべてのコアで使用できるため、セキュリティが確保されます。 ツリーを1つのフォレストにグループ化することにより、ドメインのスプラットに細分化された組織。
このサイトは、ActiveDirectoryによって指定された地理的な分布です。 サイトは論理的なIPの理解に適しており、そのため、その地域で最も近いサーバーを検索するプログラムに打ち負かされる可能性があります。 Active Directoryサイトに情報を送信すると、グローバルネットワークのトラフィックを大幅に減らすことができます。
ActiveDirectory管理
ActiveDirectory機器コンポーネント-Koristuvachi。 ActiveDirectory管理のための究極のツール。 「スタート」メニューの「管理」プログラムのグループから直接アクセスできます。 Winは、WindowsNT4.0でのサーバーマネージャーの作業とサーバーマネージャーの作業を置き換えて改善します。
ベズペカ
Active Directoryは、将来的にWindowsで機能します。 管理者は、悪行者やkoristuvachivからカタログを保護し、同時に他の管理者にタスクを委任する母親の能力について有罪です。 アクセスロックリスト(ACL)をディレクトリ内のそのオブジェクトのコンテナスキン属性にリンクするなど、追加のActiveDirectoryセキュリティモデルを使用することができます。
高度な制御により、管理者はokremimkoristuvachsおよび異なる同等のグループにそれらの権限のオブジェクトに対する権限を与えることができます。 オブジェクトに属性を追加したり、coristuvachの歌唱グループから属性を追加したりできます。 たとえば、ACLをインストールして、管理者だけが他の従業員の自宅の電話を見ることができるようにすることができます。
委任された管理
Windows 2000 Serverの新しい概念は、管理の委任です。 Tseを使用すると、追加のアクセス権を付与せずに、他のcoristuvachasの管理者を認識することができます。 委任された管理は、オブジェクトの名前を介して、またはディレクトリのサブツリーを中断することなく認識できます。 もっとお金 効果的な方法測定によると再びnadannya。
で ドメイン管理者のすべてのグローバルな権利の誰にでも認められる場所であるkoristuvachevsは、曲のサブツリーのフレームワーク内でのみ権利を付与できます。 Active Directoryは劣化を促進するため、新しいオブジェクトがコンテナのACLを劣化させるかどうか。 
「dovirchіvіdnosiny」という用語
「ドーバーブルース」という用語は、以前と同様に、vikoristovuєtsyaですが、機能が異なる場合があります。 一国間信託と二国間信託の間に違いはありません。 AjealldovirchіvіdnosiniActiveDirectory双方向。 さらに、すべての悪臭は推移的です。 また、ドメインAがドメインBを信頼し、BがCを信頼する場合、ドメインAとドメインCの間で自動的かつ暗黙的に青を信頼します。
Active Directoryの監査-簡単な言葉でそれは何ですか? このセキュリティ機能を使用すると、オブジェクトにアクセスしようとしているユーザーと、テストが成功した範囲を特定できます。
ドメインネームシステム(DNS)wiki
インターネットに接続している組織には、別の方法でDNSシステムが必要です。 DNSは、mspress.microsoft.comなどの一般名と、呼び出し用のリンクコンポーネントである非共有IPアドレスの間の名前を許可できます。
Active Directoryは、オブジェクトを検索するために広く使用されているDNSテクノロジです。 Tsesuttevaの変更は前の操作と同じです Windowsシステム NetBIOS名はIPアドレスによって許可され、NetBIOS名を許可するためにWINSまたは他の技術に依存していることに注意してください。
Active Directoryは、Windows2000バックアップのDNSサーバーで最適に動作します。 Microsoftは、管理者がDNSサーバーに切り替え、移行パスを介してWindows 2000を管理し、このプロセスを通じて管理者を管理することを容易にしました。
他のDNSサーバーが勝利する可能性があります。 ただし、何らかの理由で、管理者はDNSデータベースのチェックに1時間以上費やす責任があります。 ニュアンスは何ですか? Windows 2000 DNSサーバーを上書きしないことを選択した場合は、DNSサーバーを新しいダイナミックDNS更新プロトコルに切り替える必要があります。 サーバーは、ドメインコントローラーを知るために、レコードの動的更新に依存しています。 それは明らかではありません。 Aje、e動的更新を実行しない場合は、データベースの更新を手動で実行する必要があります。 
Windowsドメインとインターネットドメインがより豪華になりました。 たとえば、mspress.microsoft.comなどのim'yaは、ドメインで知られているActive Directoryドメインのコントローラーに割り当てられているため、DNSアクセスを持つすべてのクライアントがドメインコントローラーを知ることができます。クライアントは、DNSをチェックして、サービスがいくつあるかどうかを確認できます。ActiveDirectoryサーバーは、新しい動的更新機能を支援するためにDNSアドレスのリストを公開します。 データはドメインとして割り当てられ、サービスのリソースレコードを通じて公開されます。 SRVRRフォローフォーマット service.protocol.domain。
Active DirectoryサーバーはオブジェクトをホストするためのLDAPサービスを提供し、LDAPは基盤となるトランスポート層プロトコルとしてTCPをオーバーライドします。 したがって、mspress.microsoft.comドメインでActive Directoryサーバーを探すクライアントは、ldap.tcp.mspress.microsoft.comのDNSレコードを探します。
グローバルディレクトリ
Active Directoryには、グローバルカタログ(GC)があります。merezhі組織にオブジェクトがあるかどうかを検索するための1つのdzherelo。
グローバルカタログは、ユーザーがアクセスを許可されているオブジェクトかどうかを知ることができるWindows2000Server上のサービスです。 Tsyaの機能は可能性を覆します プログラムを探すコンピューター、インクルージョン フロントバージョンウィンドウズ。 Aje Koristuvachiは、Active Directory内の任意のオブジェクト(サーバー、プリンター、およびcoristuvachivプログラム)を検索できます。
ActiveDirectoryの基本概念
サービス Active Directory
拡張およびスケーリングされたディレクトリサービス アクティブ ディレクトリ(Active Directory)共有リソースの効率的な管理を可能にします。
アクティブ ディレクトリ-企業のオブジェクトに関する意図的に編成されたデータのコレクション。これは、冗談とこれらのデータの選択のために提供されます。。 Activeが動作するコンピューターディレクトリ、と呼ばれる ドメインコントローラー . W Active Directorypov'yazanіmayzheすべての管理タスク。
ActiveDirectoryテクノロジは標準に基づいています インターネットプロトコル merezhіの構造を明確に定義するのに役立ちます。
ActiveDirectoryとDNS
で アクティブ 監督yvikoristovuєtsyaドメインネームシステム。
ドメイン名前 システム(DNS)-ドメイン内のコンピューターのグループを編成する標準のインターネットサービス。DNSドメインは、インターネットのバックボーンである階層構造を持っている場合があります。 階層のさまざまなレベルで、コンピューター、組織ドメイン、およびトップレベルドメインが識別されます。 DNSは、ノードの名前の変換にも使用されます。たとえば、 z eta.webwork.com 数値のIPアドレス(例:192.168.19.2)を使用します。 DNSを使用すると、Active Directoryドメイン階層をインターネットスペースに入力したり、独立した分離された外部アクセスを奪ったりすることができます。
リソースにアクセスするには ノード名の外のドメインzastosovuetsya内(例:zeta.webatwork.com)。 ここzエタ-パーソナルコンピュータ名、ウェブワーク-組織ドメイン、およびcom-トップレベルドメイン。 トップレベルドメインはDNS階層の基盤を形成し、 ルートドメイン (ルートドメイン)。 それらは地理的に編成されており、名前は二重の国コードに基づいています(enロシアの場合)、kshtalt組織の場合 (細胞商業組織の場合)および認識のため (ミル Viysk組織の場合)。
代替ドメイン、たとえばmicrosoft.com、 と呼ばれる バトキフスキー (親ドメイン)、悪臭のスカンクは組織構造の基礎を満たします。 Batkivドメインは、さまざまなブランチと他のブランチのサブドメインに分割できます。 たとえば、シアトルのMicrosoft Officeのコンピューターの外では、jacob.seattle.microsoft.comを使用できます。 , de jacob- コンピュータネーム、 seアルトル - サブドメインであり、microsoft.comはBatkivドメインです。 インシャという名前のサブドメイン- 子ドメイン (子ドメイン)。
コンポーネント アクティブ ディレクトリ
Active Directoryには、メジャーのコンポーネント用の単一の物理的および論理的構造があります。 Active Directoryの論理構造は、ディレクトリ内のオブジェクトを整理し、関連するクラウドレコードと包括的なリソースを保持するのに役立ちます。 次の要素は、論理構造の前にあります。
組織単位(組織単位) - コンピューターのサブグループ、呼び出し、企業のvidbivaє構造。
ドメイン( ドメイン) -データベースカタログ全体を共同で勝ち取るコンピュータのグループ。
ドメインツリー (ドメイン 木) -名前のスペースを中断することなく、完全に活発な1つ以上のドメイン名。
lis domainiv(ドメインフォレスト) -1つまたは一片の木、yakіspіlnovikoristovuyutカタログ情報。
物理要素は、メッシュの実際の構造を計画するのに役立ちます。 物理的構造に基づいて、メッシュリンクと物理的境界が形成されます メッシュリソース。 次の要素は、物理的な構造の前にあります。
サブシティ( サブネット) -merezhnaグループは与えられた領域です IPアドレスメッシュマスクを使用したもの。
Webサイト ( サイト) -1つまたはスプラットp_dmerezh。 このサイトは、カタログへのアクセスの作成と複製で勝利を収めています。
組織的サポート
組織サブグループ(VP)はドメイン内のサブグループであり、ほとんどの場合、組織の機能構造を決定します。 OPは一種の論理コンテナであり、レコード、グローバルリソース、およびその他のOPの外観を持っています。 たとえば、ドメインで作成できます マイクロソフトt. com pіdrozdіli 資力, それ, マーケティング。 Potim tsyuスキームは拡張できます、schobutrimuval娘pіdrozdіli。
VPでは、Batkivドメインからのみオブジェクトを配置できます。 たとえば、Seattle.microsoft.comドメインのOSをドメインから削除する必要があります。 オブジェクトに物を追加するmy. microsoft.comは使用できません。 OPは、機能的に成形された場合、または 事業構造組織。彼のzastosuvannyaの理由はAleceだけではありません。
OPは、ドメイン全体をブロックすることなく、ドメイン内の少数のリソースのグループポリシーを設定できます。 OPの助けを借りて、ドメイン内のカタログ内のオブジェクトのコンパクトでkeruvannyeが作成されます。これは、リソースを効率的に使用するのに役立ちます。
VIを使用すると、ドメイン内のリソースへの管理アクセスを委任および制御できます。これは、ドメインの管理者の境界を設定するのに役立ちます。 1つのOPについてのみ対応する管理アップデートに転送すると同時に、ドメイン内のすべてのOPについて対応する管理アップデートに転送することができます。
ドメイン
ドメイン Active Directoryは、完全なデータベースディレクトリを作成できるコンピュータのグループ全体です。 ActiveDirectoryのドメイン名は一意にすることができます。 たとえば、2つのドメインを持つことはできません microsoft.com、または親ドメインmicrosoft.comと子ドメインseattle.microsoft.comおよび my.microsoft.com。 ドメインが部分的に閉じられていても、新しいドメインに割り当てられた名前は、このドメインの他のメインドメイン名と競合することはできません。 ドメインはグローバルインターネットの一部であるため、インターネット上の他のメインドメイン名との競合については無罪です。 インターネット上での名前の一意性を保証するには、Batkivドメインの名前を新しい登録組織を通じて登録する必要があります。
スキンドメインには、他のドメインとのセキュリティポリシーと信頼性の力があります。 ほとんどの場合、ドメインは物理的な分布によって数十年にわたって分割されているため、数十年のサイトとサイトから形成され、pidmerezhのキルカを統合します。 オブジェクトは、データベースディレクトリからドメインに保存されます。これは、coristuvach、グループ、コンピューター、およびプリンターやフォルダーなどのグローバルリソースのレコードの外観を指定するためです。
ドメインの機能は、その機能のモードによって混合され、規制されています。 基本的な機能モードとドメイン:
混合モードWindows2000(混合モード) - pіdtrimuєドメインコントローラー、yakіpіdpіdvіdkeruvannyamWindows NT 4.0, Wi ndows 2000年 ウィンドウズ サーバ 2003;
Windows2000ネイティブモード - pіdtremuєドメインコントローラー、schopіdpіdkeruvannyamWindows 2000 ta ウィンドウズ サーバ 2003;
中間モード ウィンドウズ サーバ 2003 ( 暫定 モード) - ドメインコントローラーをサポートする ウィンドウズ NT 4.0 ta ウィンドウズ サーバ 2003;
モード Windows Server 2003 -ドメインコントローラ、WindowsServer2003チェックの処理方法をサポートします。
キツネと木
レザードメイン アクティブ ディレクトリ五月 DNS-タイプ名 マイクロソフト.com。 データをカタログにコンパイルするドメインは、フォレスト(フォレスト)によって承認されます。 フォレスト内のドメイン名はDNS名階層に含まれています 非連続(不連続)または 合計(連続)。
名前の構造をまとめることができるドメインは、ドメインのツリーと呼ばれます。 フォレストのドメインには無数のDNS名が含まれている場合でも、悪臭はフォレスト内のドメインツリーの周囲に確立されます。 森の前に、1本または1本の木を含めることができます。 ドメイン構造へのアクセスに対してコンソールが認識されます。アクティブ ディレクトリ-ドメインとドビラ(アクティブディレクトリ ドメインと 信頼)。
森林の機能は、森林の機能体制によって混合され、規制されています。 そのようなモードは3つあります。
Windows 2000 -Windows NT 4.0、Windows 2000、およびWindowsで動作するドメインコントローラをサポートします サーバ 2003;
中級 ( 暫定) ウィンドウズ サーバ 2003 - pіdtrimuєkontroleriіv、yakіpratsyuyutpіdkaruvannyamWindowsNT4.0およびWindowsServer2003;
Windows Server 2003 -ドメインコントローラ、WindowsServer2003チェックの処理方法をサポートします。
最新のActiveDirectory機能は、次の場所で利用できます。 Windowsモード Server2003。すべてのドメインがこのモードで使用されるため、グローバルカタログのレプリケーション(循環)を減らし、ActiveDirectoryデータのレプリケーションをより効率的に行うことができます。 スキームのクラス属性を含めたり、動的な追加クラスを変更したり、ドメイン名を変更したり、左側に一方向、双方向、推移的なドビルチブルーを作成したりすることもできます。
サイトとpіdmerezhi
Webサイト -環境の物理的構造の計画に勝利した、1つまたは他のIPサブディビジョン内のコンピューターのグループ全体。 サイトの計画は、ドメインの論理構造とは無関係です。 Active Directoryを使用すると、1つのドメインまたは多くのドメインを含む1つのサイトに匿名サイトを作成できます。
IPアドレスのサイト、建物、その他の領域を表示する場合、細分化によってIPアドレスの領域とマスクが設定される場合があります。 Pdmerezhの名前は次の形式で指定されます メッシュ/ビットマスク, たとえば、192.168.19.0 / 24、境界アドレスは192.168.19.0、境界マスクは255.255.255.0であり、名前192.168.19.0/24に結合されます。
コンピューターは、休耕地またはpdmerezhのセットのいずれかのサイトに割り当てられます。 建物内のコンピューターが高速でどのようにインターフェースしているのか、それらは呼ばれます 良いpov'yazanimi (十分に接続されています)。
理想的には、サイトはコンピューターとコンピューター間の良好な接続で構築されます。その結果、コンピューターとコンピューター間の交換速度が遅いため、サイトを散在させる必要がある場合があります。 Garniy zv'yazokは、サイトにdeyakiperevagiを提供します。
クライアントがドメインに入ると、認証の過程で、クライアントのWebサイトでドメインのローカルコントローラーの検索が最初に実行されるため、可能であれば、ローカルコントローラーが最初にローカルコントローラーを使用します。中間トラフィックと認証を高速化します。
カタログ情報はしばしば複製されます 途中で サイト、下 mizh サイト。 これにより、国境を越えたトラフィックやレプリケーションの呼び出しが減り、ローカルドメインコントローラーが更新された情報を自動的に削除するようになります。
カタログ、vicoristへのデータの複製の順序を設定できます ウェブサイトへのリンク (サイトリンク)。 たとえば、 ブリッジヘッドサーバー (ブリッジヘッド)サイト間のレプリケーション用。
サイト間のレプリケーションに重点を置いている主な部分は、サイトで使用可能なサーバーではなく、特別なサーバーにあります。 Webサイトおよびコンソールのp_dmerezh_nalashtovatsya ActiveDirectory-サイトとサービス(Active Directoryサイトおよびサービス)。
ドメインを持つロボット Active Directory
対策で ウィンドウズ サーバ 2003サービス アクティブディレクトリnalashtovuetsya1時間DNS。 ProteドメインActiveDirectoryドメインとDNSドメインは異なる方法で認識される場合があります。 Active Directoryドメインは、クラウドレコード、リソース、およびリソースで補完されます。
DNSドメイン階層は、名前を解決するためのヘッドランクとして認識されます。
世界中で、WindowsXPProfessionalおよびWindows2000で動作するコンピューターを構築しています。 QIvіdnosinyは、zmoguに許可されたkoristuvachamotrimuvatに任意のドメインlіsuからのリソースへのアクセスを許可します。
システム Windows Server 2003は、ドメインコントローラーまたはメンバーサーバーとして機能します。 Active Directoryがインストールされると、行サーバーがコントローラーになります。 Active Directoryを削除した後、コントローラーは通常のサーバーにダウングレードされます。
vikonuのプロセスに腹を立てた ActiveDirectoryインストールマスター。 ドメインには、コントローラーの小枝が含まれている場合があります。 スキンコントローラーがカタログの変更を処理し、それを他のコントローラーに転送できるようにするため、これらはdekilkomマスターを使用した複製モデルのデータカタログに複製されます。 dekilkom gospodarsの構造の頭は、ロックのすべての検査官が等しく実行可能である可能性があります。 Vtіm、同じzavdannya内の他のコントローラーよりもドメインの一部のコントローラーを優先することができます。たとえば、ブリッジヘッドサーバーを作成します。これは、他のサイトのディレクトリにデータを複製するときに優先される場合があります。
さらに、リーダーのリーダーは、見られたサーバーで勝つ方が良いです。 特定の種類のタスクを処理するサーバーは、 オペレーションのマスター (オペレーションマスター)。
ドメインに参加しているWindows2000、Windows XP Professional、およびWindows Server 2003を実行しているすべてのコンピューターについて、Active Directoryオブジェクトを参照することから、他のリソースと同様に保存されるクラウドレコードが作成されます。 コンピューターのクラウドレコードは、メジャーおよびリソースへのアクセスを管理するのに役立ちます。最初のコンピューターは、独自のドメインへのアクセスを拒否します。 oblіkovogoレコード、Vіnobov'yazkovoは認証手順に合格します。
カタログ構造
カタログへのデータは、koristuvachsとコンピューターによって期待されています。 ダニの集まり (データストア) グローバルディレクトリ (グローバルカタログ)。 より多くの機能が欲しいアクティブディレクトリデータ収集は絡み合っており、グローバルカタログ(GC)もそれほど重要ではありません。シャードが収集されてシステムに入り、情報を検索します。 CCが利用できない場合でも、プライマリcoristuvachはドメインに到達できません。心を回避する唯一の方法は、地元の会員の現金化です ユニバーサルグループ。
すべてのActiveDirectoryデータへのアクセスはセキュリティで保護されています ディレクトリアクセスプロトコル (ディレクトリ アクセスプロトコル) それ レプリケーション (レプリケーション).
データの更新をコントローラーに拡張するには、レプリケーションが必要です。 イノベーションを拡大する主な方法は、kіlkom定規を使用した複製であり、deyakіzmіniは特殊なコントローラーによってのみ処理されます。 オペレーションのマスター (オペレーションマスター)。
Windows Server 2003のルーラーによるdekilcomからのレプリケーションを克服する方法も、 カタログ配布 サプリメント (応用ディレクトリパーティション)。 彼らのシステム管理者は、単一のドメインで複製を作成し、論理構造を分割し、単一のドメイン以下で複製を管理できます。 たとえば、ドメインの境界でDNS情報を複製することが知られているディストリビューションを作成できます。 他のシステムの場合、ドメインはDNS情報の複製をブロックされています。
プログラムのカタログに配布されるのは、ドメインの子要素、別の適用された配布の子要素、または特定のドメインの新しいツリーです。 配布レプリカは、グローバルディレクトリを含む任意のActiveDirectoryドメインコントローラーでホストできます。 優れたドメインとフォレストで追加のドキュメントのカタログを配布したい場合、悪臭は計画、管理、およびサポートのコストを増加させます。
ダニの宝物
Active Directoryディレクトリサービスの最も重要なオブジェクト(公共記録、グローバルリソース、OP、およびグループポリシー)に関する情報のコレクション。 いくつかの場所では、データ収集は単に呼ばれます カタログ (ディレクトリ)。 ドメインコントローラーでは、ディレクトリはNTDS.DITファイルから保存されます。このファイルの変更は、Active Directoryのインストール中に決定されます(NTFSディスクが存在する場合があります)。 カタログの実際のデータは、グローバルシステムリソースSYSVOLに記録されているグループポリシー、シナリオ、その他の情報などのメインディレクトリを除いて保存できます。
寝室のカタログに与えられた情報はと呼ばれます 出版物 (公開)。 たとえば、端の壁を使用するためのプリンタを起動して公開します。 toshchoフォルダに関する情報を公開します。 ドメインコントローラーは、dekilkomgospodarsを使用したスキームのshovischiの変更のほとんどを複製します。 中小規模の組織の管理者がコレクションのレプリケーションを処理することはめったにありません。シャードは自動的に作成されますが、メッシュアーキテクチャの詳細に応じて調整できます。
カタログ内のすべてのデータが複製されるわけではありませんが、複製されるのは次の場合のみです。
ドメインデータ-公共記録のオブジェクト、グローバルリソース、VP、グループポリシーなど、ドメイン内のオブジェクトに関する情報。
構成データ-ディレクトリのトポロジに関する情報:使用されているドメイン、ツリー、ファイルのリスト、およびGCのコントローラーとサーバーのリビジョン。
スキームデータ-カタログに保存できるすべてのオブジェクトとデータの種類に関する情報。 クラウドレコードオブジェクト、共有リソースオブジェクトなどを記述するための、標準のWindows Server 2003スキーマは、新しいオブジェクトと属性を割り当てるか、既存のオブジェクトに属性を追加することで拡張できます。
グローバルディレクトリ
ローカルのメンバーシップを取得する方法 ユニバーサルグループは開催されていません。合併への参加は、中央委員会から提供されたユニバーサルグループのメンバーシップに関する情報に基づいています。
また、フォレスト内のすべてのドメインでカタログを安全に検索できます。 コントローラ、 勝利の役割 GKサーバーは、すべてのオブジェクトの完全なレプリカを自身のドメインのディレクトリに保存し、フォレスト内の他のドメインからのオブジェクトのプライベートレプリカを保存します。
システムに入るには、その要求にはオブジェクトのdeyaki権限以上のものが必要であり、プライベートレプリカを使用することが可能です。 プライベートレプリカを作成する場合、複製するときに転送するデータが少なくてすむため、ネットワークトラフィックが減少します。
GKプロモーションサーバーの背後には、ドメインの最初のコントローラーがあります。 ドメインにはコントローラーが1つしかないため、GCサーバーとドメインコントローラーは同じサーバーになります。 別のコントローラーでGKをチェックできるので、システムの入り口でのチェックアウト時間を短縮し、検索をスピードアップできます。 スキンサイトドメインに1つのHAを作成することをお勧めします。
問題を解決するためのいくつかの方法。 当然のことながら、リモートオフィスのドメインのコントローラーの1つにGCサーバーを作成できます。 最短の方法は、民法のサーバーの道の数を増やすことです。これは、ロボットサーバーの時間のために追加のリソースを使用できます。
この問題を解決するもう1つの方法は、ユニバーサルグループのメンバーシップをローカルにキャッシュすることです。 どのドメインコントローラーでも、GCサーバーにアクセスせずに、ローカルでシステムに入るための要求を処理できます。 システムにログインする手順をスピードアップし、DCサーバーが調和して終了するときの状況を容易にします。 さらに、これが発生すると、レプリケーショントラフィックが減少します。
副官はあらゆる措置で民法全体を定期的に更新します。ユニバーサルグループのメンバーシップに関する情報をキャッシュ内で更新するだけで十分です。 ロック後、スキンの更新はスキンコントローラドメインで午前8時にスケジュールされ、ユニバーサルグループのメンバーシップのローカルキャッシュが獲得されます。
メンバーシップ 皮膚部位の個別のユニバーサルグループ。 このサイトは、IPアドレスとメッシュマスクを個別にダイヤルできる、どちらかの十分位数で構築された物理的な構造であると推測します。 ドメインコントローラー ウィンドウズ Server2003とCivilCodeは、そのような悪臭を放つまで、1つのサイトでperebuvatするのはあなた次第です。 原則として、いくつかのサイトがあるので、それらの肌を局所的に改善することができます。 さらに、WindowsServer2003フォレストモードで動作するWindowsServer2003ドメインの一部のため、koristuvachі、schoがサイトに入ります。
ActiveDirectoryでのレプリケーション
3種類のカタラーゼが考慮されます。ドメインに与えられ、スキーマに与えられ、構成に与えられます。 ドメインへのデータは、ドメインのすべてのコントローラーに複製されます。 等しいドメインのUsyコントローラー、tobto。 ドメインコントローラーから行われたすべての変更は、ドメインの他のすべてのコントローラーに複製されます。 さらに、個々のドメインのすべてのオブジェクトとオブジェクトの権限の一部は、中央委員会によって複製されます。 これは、ドメインコントローラが、chiツリーツリーのスキーマ、chiツリーツリー内のすべてのドメインの構成情報、およびディレクトリ内のすべてのオブジェクトと電源ドメインの権限を保存して複製することを意味します。
GCが保存されているドメインのコントローラー、LANのスキーマ情報、LAN内のすべてのドメインの構成に関する情報、LANディレクトリ内のディレクトリ内のすべてのオブジェクトの権限とドメインの権限の収集に関する情報を軽減および複製します。 。
複製の本質を理解するために、新しい行を設定するためのそのようなシナリオを見てみましょう。
1.ドメインで そして、最初のコントローラーがインストールされます。 サーバーは、ドメインの唯一のコントローラーです。 GCサーバーによるVіnєі。 そのような手段には複製はなく、他のコントローラーの痕跡はありません。
2.ドメインで そして、別のコントローラーがインストールされ、レプリケーションが開始されます。 1つのコントローラーをインフラストラクチャのマスターと見なし、もう1つのコントローラーを中央委員会のサーバーと見なすことができます。 中央委員会の更新とオブジェクトの変更の要求を追跡するインフラストラクチャの所有者。 問題のあるコントローラーも、これらのスキーマと構成を複製します。
3.ドメインで そして、GKがない3番目のコントローラーがインストールされています。 インフラストラクチャの所有者は、CCの更新に従い、オブジェクトの変更を要求してから、変更を3番目のドメインコントローラーに複製します。 3つのコントローラーはすべて、これらのスキーマと構成も複製します。
4.新しいドメインBが作成され、コントローラーが新しいドメインに追加されます。 ドメインAとドメインBのDCサーバーは、すべてのスキーマと構成データ、およびスキンドメインからのドメイン3の複数のデータを複製します。 ドメインAでのレプリケーションは上記のように続行され、さらにドメインBの途中でレプリケーションが開始されます。
アクティブディレクトリі LDAP
ライトウェイトディレクトリアクセスプロトコル(LDAP)は、TCP/IPネットワークの標準インターネット接続プロトコルです。 LDAPは、最小のウィンドウからディレクトリサービスにアクセスするために特別に設計されています。 LDAPには、ディレクトリからその情報を取得するために使用される操作も定義されています。
クライアント Active Directoryは、LDAPを使用して、Active Directoryが動作するコンピューターと通信し、ネットワークへのスキンログインまたは共有リソースの検索を行います。 LDAPは、ディレクトリのリンクと他のディレクトリサービスからActiveDirectoryへの移行を容易にします。 合計を改善するために、Active Directoryサービスのインターフェイスをひねることができます(アクティブディレクトリ サービス- インターフェース, ADSI).
オペレーションのマスターの役割
操作のマスターは、支配者のキルコムからの複製のモデルに手に負えず違反しているため、タスクに違反しています。 操作のマスターには5つの役割があり、1つの数のドメインコントローラーに割り当てることができます。 一部の役割は、同等の立場でのみ一意である場合があり、それ以外の場合はドメインと同等である場合があります。 Active Directoryの皮膚リーフレットには、次の役割があります。
Gospodarスキーム(スキーママスター) -カタログスキーマの更新と変更。 スキーマを更新するには、カタログにスキーママネージャーへのアクセスが必要です。 どのサーバーが存在するかを判断するSchob 与えられた時間єドメイン内のスキームの主、コマンドラインを開いて次のように入力するのに十分です:dsquery server-もっているfsmo スキーマ。
Gospodar imenuvannya domeniv(ドメインネーミングマスター) --keruєは、キツネにドメインを追加および追加します。 ドメインを追加または削除するには、ドメインマネージャーにアクセスする必要があります。 ドメイン名のマスターであるサーバーを判別するには、コマンドラインで次のように入力するだけで十分です。dsqueryserver-もっているfsmo 名前。
役割の数、森全体の寝室は、新しいユニークな方法である可能性があります。
ActiveDirectoryのスキンドメインにはそのような役割があります。
外部識別子のマスター(相対IDマスター) -ドメインコントローラーに対する識別子の可視性を確認します。 オブジェクトkoristuvach、groupiの作成のShhorazupid時間 それ以外の場合、コントローラーのコンピューターは、セキュリティIDで構成される一意のセキュリティIDオブジェクトを、その一意のIDのドメインに割り当てます。これは、スーパーバイザーがセキュリティIDを確認するためのものです。 特定の時間のどのサーバーがドメインで最高の識別子の支配者であるかを指定するには、コマンドラインで十分です。 dsqueryサーバ-もっているfsmo取り除く.
PDCエミュレーター(PDCエミュレーター) -中間モードの変更されたモードでは、ドメインはWindowsNTドメインのヘッドコントローラーです。 authentifikuєvhіdvhіdWindowsNT、problyaєzmenіパスワードを使用して、PDCに更新を複製します。 特定の時間のサーバーをドメイン内のPDCエミュレーターとして指定します。これは、コマンドラインの上部で使用できます。 dsquery サーバ - hasfsmo pdc.
Gospodarインフラストラクチャ(インフラストラクチャ 主人 ) -カタログのデータを民法のデータと一致させて、オブジェクトへの投稿を更新します。 データが古くなっていても、GCを更新して、ドメイン内の他のコントローラーに複製する必要があります。 ドメイン内のインフラストラクチャのホストであるサーバーを指定するには、コマンドラインから使用して次のように入力します。 dsqueryサーバー-hasfsmoinfr。
ドメイン全体で発生する役割の数は、新しい固有のものである可能性があります。 つまり、スキンドメインの外部識別子のマスター、PDCエミュレーター、インフラストラクチャのマスターを複数作成することができます。
操作の所有者の役割を呼び出すと、自動的に割り当てられます。または、それらを再割り当てすることもできます。 新しいドメインがインストールされると、操作のマスターのすべての役割が、最初のドメインの最初のコントローラーによって奪われます。 新しい子ドメインが後で作成される場合、または新しいツリーのルートドメインが作成される場合、操作のマスターの役割も最初のドメインコントローラーに自動的に割り当てられます。 新しいドメイン名ドメインコントローラーでは、操作のマスターのすべての役割がドメインコントローラーに割り当てられます。 同じフィールドに新しいドメインが作成されると、コントローラーには外部識別子の所有者であるRエミュレーターの役割が割り当てられます。Dそのインフラストラクチャのマスターと。 スキームのマスターとネーミングドメインのマスターの役割は、最初のドメインlisuによって上書きされます。
ドメインにはコントローラーが1つしかないため、彼は操作のマスターのすべての役割を果たします。 対策にはサイトが1つしかないため、政府の業務の標準的な配分が最適です。 1つまたは複数のドメインにコントローラーを追加する世界では、操作のマスターの役割を他のドメインコントローラーに移す必要があります。
ドメインに2つ以上のコントローラーがある場合は、操作のマスターの役割を制御するために、ドメインに2つのコントローラーを設定することをお勧めします。 たとえば、ドメインの1つのコントローラーを操作のメインマスターとして指定し、もう1つのコントローラーを別のマスターに必要な予備として指定します。
管理 Active Directory
CActive Directoryサービスを利用して、コンピューターのクラウドレコードが作成され、ドメインへの接続が確立され、コンピューター、ドメインコントローラー、および組織のサブプログラム(OP)が制御されます。
keruvannya Active Directoryの場合、zasobiadministruvannyapodtrimkiが認識されます。 実装ツールの下をポイントして、MMCコンソールのスナップインを確認します(マイクロソフト 管理コンソール):
Active Directory ユーザー と コンピューター) keruvati koristuvachami、グループ、コンピューター、および組織単位(OP)を許可します。
アクティブ ディレクトリ-ドメインとドビラ( アクティブ ディレクトリ ドメインと 信託 ) ドメイン、ドメインツリー、ドメインフォレストと連携するために機能します。
ActiveDirectory- サイト іサービス (Active Directoryサイトとサービス) keruvatiサイトとsubmerzhamiを許可します;
結果として 政治 (結果として得られる一連のポリシー) vikoristovuєtsyaは、koristuvachの現在のポリシー、またはシステムと政治の変化の計画を確認します。
で Microsoft Windows 2003 Serverは、[管理ツール]メニューからこれらのスナップインに直接アクセスできます。
管理のもう1つのタスク-機器 図式 アクティブディレクトリ (アクティブ ディレクトリ スキーマ) -カタログスキームを編集および変更できます。
コマンド行ユーティリティ アクティブ ディレクトリ
keruvannyaオブジェクトの場合 アクティブ ディレクトリコマンドラインを確立します。これにより、さまざまな管理タスクを実行できます。
DSADD - 追加 アクティブ ディレクトリコンピューター、連絡先、グループ、OPおよびkoristuvachiv。
DSGET - コンピューター、連絡先、グループ、OP、koristuvachivs、サイト、サブディビジョン、サーバーの能力を検査し、 アクティブ ディレクトリ.
DSMOD -に登録されているコンピューター、連絡先、グループ、VP、corystuvachiv、サーバーの能力を変更します アクティブ ディレクトリ.
DSMOVE -ドメインの境界内の新しい場所に単一のオブジェクトを移動するか、移動せずにオブジェクトを変更します。
DSQXJERY -コンピュータ、連絡先、グループ、VP、koristuvachiv、サイト、pdmerezh、およびサーバーの検索を作成します。 アクティブ ディレクトリ与えられた基準に対して。
DSRM -からのオブジェクトを参照してください アクティブ ディレクトリ.
NTDSUTIL -サイト、ドメインまたはサーバー、keruvatiに関する情報を確認できます オペレーションのマスター (オペレーション マスター)データベースにサービスを提供するアクティブ ディレクトリ.
