O que é o Active Directory e como instalar e configurar o banco de dados. O que é o Active Directory Active Directory lisi e domínio
Serviço Active Directory- O serviço de diretório do Active Directory expandido e dimensionado (Active Directory) permite que você navegue com eficiência com recursos compartilhados.
Active Directory- Tse ієrarchіchno organizou a coleta de dados sobre os objetos da medida, o que garante o direito à piada e à seleção desses dados. O computador que executa o Active Directory é chamado de controlador de domínio. No Active Directory, todas as tarefas administrativas estão relacionadas ao Mayzha.
A tecnologia do Active Directory é baseada em protocolos padrão da Internet e ajuda a definir claramente a estrutura da empresa, leia mais sobre como abrir um domínio do Active Directory do zero, leia aqui.
Active Directory e DNS
O Active Directory tem um sistema de nomes de domínio.
Administração do Active Directory
Para a ajuda do serviço Active Directory, são criados registros de computadores na nuvem, são estabelecidas conexões com o domínio, os computadores são gerenciados, controladores de domínio e subprogramas organizacionais (OPs) são controlados.
Para keruvannya Active Directory reconhecido zasobi administruvannya podtrimki. Aponte abaixo das ferramentas de implementação e visualize os snap-ins do console MMC (Microsoft Management Console):
- Active Directory - koristuvachi e computadores (Usuários e Computadores do Active Directory) permite keruvati koristuvachami, grupos, computadores e unidades organizacionais (OP);
- Active Directory - domínios e trusts (Active Directory Domains and Trusts) para servir a robôs com domínios, árvores de domínio e florestas de domínio;
- Active Directory - Sites e Serviços (Sites e Serviços do Active Directory) permite navegar em sites e submerzhami;
- A política resultante (Conjunto de Política Resultante) é vitoriosa por revisar a política atual de coristuvacha ou o sistema de planejamento de mudanças na política.
- NO Microsoft Windows 2003 Server, você pode acessar esses snap-ins diretamente no menu Ferramentas Administrativas.
Outro zasіb administruvannya - equipando o Esquema do Active Directory (Esquema do Active Directory) - permite alterar e modificar o esquema do catálogo.
Serviços de utilidade pública linha de comando Active Directory
Para gerenciar objetos do Active Directory, use a linha de comando, que permite definir uma ampla variedade de tarefas administrativas:
- DSADD - adicione computadores, contatos, grupos, OPs e koristuvachiv ao Active Directory.
- DSGET - para melhorar o poder de computadores, contatos, grupos, VPs, correspondentes, sites, servidores, registros com Active Directory.
- DSMOD - altera a autoridade de computadores, contatos, grupos, OPs, hosts e servidores registrados no Active Directory.
- DSMOVE - move um único objeto de uma nova janela entre o domínio ou renomeia um objeto sem mover.
- DSQXJERY - cria pesquisas de computadores, contatos, grupos, VPs, homepages, sites e servidores no Active Directory de acordo com critérios especificados.
- DSRM - Remove um objeto do Active Directory.
- NTDSUTIL - permite visualizar informações sobre o site, domínio ou servidor, gerenciar mestres de operações e manter o banco de dados do Active Directory.
Lis Active Directory define um conjunto de um ou mais domínios que selecionam o mesmo esquema, configuração e diretório global. Além disso, todos os domínios fazem parte de domínios transitivos bilaterais. Temos grande respeito pelos termos que são vitoriosos na floresta designada.
- Domínio- O domínio recebe uma maneira de organizar e defender objetos, por exemplo, corystuvachiv e computadores, como parte de um espaço de domínios names..com є. Os computadores no domínio skin terão a mesma configuração para o domínio e podem estar sujeitos a uma configuração de política definida pelo administrador do domínio. Vykoristannya domen_v permite que você peça segurança em escala comercial.
- Esquema- O esquema do Active Directory é justificado por todos os domínios dentro das fronteiras da floresta. Esquema de informações de configuração que controla a estrutura e no diretório.
- Configuração- a configuração determina a estrutura lógica da floresta, por exemplo, o número e a configuração de sites nas bordas da floresta.
- Diretório global- Você pode pegar um catálogo de luz à procura de uma raposa. O catálogo global contém informações sobre todos os objetos na floresta, incluindo informações sobre a distribuição de objetos. Além disso, o diretório global contém informações sobre a participação em grupos universais.
- Dovira- Vamos dar a diferentes domínios a oportunidade de trabalharem juntos. Sem confiar em um domínio, é possível estabelecer uma relação de confiança entre domínios de tal forma que o domínio B confia no domínio A, então o domínio A pode ter acesso ao domínio B, recurso yakshcho fede mayut v_dpovidni permitido.
Existem três tipos principais de evidência de confiança.
- transitivo- pares transitivos de dovirs são criados automaticamente entre o domínio do mesmo lisu. O fedor permite que os koristuvachs de qualquer domínio potencialmente neguem o acesso aos recursos de qualquer outro domínio da mesma raposa, yakshcho koristuvachs podem ter direitos de acesso diferentes.
- Atalho- tse relação de confiança entre domínios do mesmo lisu, yakі pode transferir a confiança de forma transitiva. Tal configuração é para permitir uma autenticação e revalidação mais segura de acesso a recursos entre domínios não licenciados da floresta.
- Zovnishni- Zovnіshnі vіdnosinі dovіri permitem domínios de diferentes recursos lіsіv сpіlno vikoristovuvat. Assim, não acredite que o fedor seja transitivo, de modo que o fedor fique menos até os domínios silenciosos, nos quais o fedor foi criado.
Z'yasuvavshi significados de termos básicos, vamos olhar para a bunda da raposa. Representações de Dali de uma única árvore que vinga duas árvores de domínios.
A miniatura mostra aw.net, west.aw.net, east.aw.net e person.net. Os domínios aw.net, west.aw.net e east.aw.net estão na mesma árvore de domínio, os fragmentos stink compartilham o mesmo namespace (aw.net).
O domínio person.net está localizado em outra árvore, mas não em parte do espaço de nomes aw.net. Preste atenção ao fato de que os caracteres OU são mostrados nos limites do domínio east.aw.net (não assinaturas). OU - tse suporte organizacional(unidades organizacionais), como se vê no estatuto.
As setas no pequenino são um sinal transitivo de confiança, pois são criadas automaticamente quando o sabugo sobrepõe domínios nas bordas da floresta. Observe que os domínios filho (leste e oeste) do domínio aw.net não estão vinculados diretamente ao domínio person.net. Não importa o que aconteça, eles confiam no domínio person.net.
O motivo da confiança é a aprovação dos domínios filhos do aw.net. Os domínios aw.net confiam no domínio person.net, os domínios filhas aw.net também confiam no domínio person.net. Você sabe, você pode revelar domínios do Active Directory no que parece ser crianças pequenas. O fedor bezzarezhno acreditar em nós, o que os pais parecem ser. Assim que o pai lhe disser que você pode confiar em outro domínio, é a mesma coisa.
Ale, a diferença entre os domínios filhos e filhas está no fato de que os domínios filhos são sempre de bom tempo e não nutrem o pai.
Active Directory
Active Directory(“Diretórios ativos”, DE ANÚNCIOS) - LDAP- implementação total do serviço de catálogo na corporação Microsoft para sistemas operacionais da família Windows NT. Active Directory permite que os administradores definam políticas de grupo para a segurança de uma configuração de gerenciamento do ambiente de trabalho, o desenvolvimento de segurança de software em computadores anônimos via políticas de grupo mas para ajudar Gerenciador de configuração do System Center(antes Servidor de gerenciamento de sistemas da Microsoft), instalar uma atualização do sistema operacional, aplicativo e software do servidor em todos os computadores da empresa, serviço de atualização vicorist Servidor Windows . Active Directory sberigaє dannya nalashtuvannya seredovishcha no banco de dados tsentralіzovanіy danih. Merezhi Active Directory podem ser de tamanhos diferentes: de algumas dezenas a alguns milhões de objetos.
tributo Active Directory lançado em 1999 Servidor Windows 2000, e então vamos alterar e reparar ao emitir Servidor Windows 2003 . zgodom Active Directory carta de contração Windows Server 2003 R2, Servidor Windows 2008і Windows Server 2008 R2 e renomeia para Serviços de Domínio Active Directory. Anteriormente, o serviço de diretório tinha um nome pequeno Serviço de diretório NT (NTDS), posso nomear os arquivos em alguns arquivos .
No vіdmіnu vіd verіtsіy janelas antes Windows 2000, yakі vikoristovuvali no protocolo principal NetBIOS para mesclar vzaєmodії, serviço Active Directory Integrado com DNSі TCP/IP. Para autenticação padrão, um protocolo é desenhado Kerberos. Se o cliente ou o programa não suporta autenticação Kerberos, protocolo NTLM .
Sacerdote
Objetos
Active Directory pode ієrarchіchnu estrutura que é formada a partir de objetos. Os objetos são divididos em três categorias principais: recursos (por exemplo, impressoras), serviços (por exemplo, e-mail) e formas de registros e computadores. Active Directory Fornece informações sobre objetos, permite organizar objetos, gerenciar o acesso a eles e também definir regras de segurança.
Os objetos podem ser recipientes para outros objetos (grupos de segurança e rozpovsudzhennya). O objeto é atribuído exclusivamente ao seu próprio nome e pode ter um conjunto de atributos - características e dados, como os vinhos podem ser vingados; ostnі, seu chergoyu, para estar no tipo do objeto. Os atributos da base do armazém da estrutura do objeto são atribuídos ao esquema. Esquema vyznaє, objetos yaki vidi podem ser usados.
O esquema em si é composto de dois tipos de objetos: objetos de classe de esquema e objetos de atributo de esquema. Um objeto por classe de esquema atribui um tipo de objeto Active Directory(por exemplo, o objeto "Koristuvach"), e um objeto de atributo de esquema atribui um atributo, que pode ser o objeto mãe.
O objeto skin de atributo pode ser combinado com vários objetos de classe de esquema diferentes. Esses objetos são chamados de objetos de esquema (ou metadados) e permitem alterar e adicionar ao esquema quantos forem necessários. Proteja o objeto de pele do esquema є parte da designação de objetos Active Directory para que a inclusão ou alteração desses objetos possa causar sérias consequências, estilhaços como resultado dessas alterações a estrutura será alterada Active Directory. A alteração do objeto de esquema é expandida automaticamente para Active Directory. Sendo uma vez dissolvível, o objeto do esquema não pode ser discriminado, e vin pode ser menos do que simpático. Chame-nos para mudar os esquemas estão seriamente planejados.
Recipiente semelhante objeto ao fato de que wine também pode ter atributos e pertencer ao escopo de nomes, mas, na visão de um objeto, o container não significa nada específico: ele pode substituir um grupo de objetos ou outros containers.
Estrutura
O nível superior da estrutura є lіs - a coleção de todos os objetos, atributos e regras (sintaxe de atributos) Active Directory. Para se vingar de uma ou algumas árvores amarradas com transitivo vodnosinami doviri . A árvore serve para vingar um ou alguns domínios, que também estão ligados à hierarquia de ligações transitivas de doviri. Os domínios são identificados por suas estruturas de nome DNS - namespaces.
Os objetos em um domínio podem ser agrupados por um contêiner ou pai. As extensões permitem criar uma hierarquia no meio do domínio, simplificam a sua administração e permitem modelar a estrutura organizacional e/ou geográfica da empresa em Active Directory. Pіdrozdіli pode aparar outros pіdrizіli. Corporação Microsoft Eu recomendo vicoristar o menor domínio Active Directory, e para a estrutura dessa política, os vencedores foram adicionados. Muitas vezes, os políticos do grupo zastosovuyut se para pіdrozdіlіv. As políticas de grupo são objetos. Enviei para você com a menor véspera, na qual você pode delegar tarefas administrativas.
No outro caminho eu fui Active Directoryє sites em uma forma de agrupamento físico (em vez de lógico) com base em segmentos em uma medida. Os sites são conectados a conexões por meio de canais de baixa largura (por exemplo, por meio de links globais, para links privados virtuais adicionais) e por meio de canais de alta largura (por exemplo, por meio de um link local). Um site pode conter um ou mais domínios e um domínio pode conter um ou mais sites. Ao projetar Active Directoryé importante proteger o tráfego que ocorre a cada hora de sincronização de dados entre sites.
Decisões importantes no projeto Active Directoryє decisão sobre rozpodіl informatsiynoї infrastruktury em ієarkhіchіchі domaini і podrozdіl verkhniy ryvnya. Os modelos típicos que vencem para tal campo são os modelos para subdivisões funcionais da empresa, para distribuição geográfica e para funções na infra-estrutura de informações da empresa. Muitas vezes existem combinações desses modelos.
Estrutura física e replicação
As informações físicas são coletadas em um ou mais controladores de domínio iguais, que foram substituídos por Windows NT os controladores principal e de backup do domínio, se você deseja realizar essas operações, e assim o título do servidor é "operações com um servidor principal", que pode emular o controlador principal do domínio. O controlador de skin do domínio salva uma cópia dos dados, reconhecida pela leitura desse registro. As alterações feitas em um controlador são sincronizadas com todos os controladores de domínio durante a replicação. Servidores, nos quais o próprio serviço Active Directory não definido, mas yakі quando você entra no domínio Active Directory, são chamados de servidores membros.
Replicação Active Directory vykonuєtsya a pedido. Serviço Verificador de consistência de conhecimento Eu crio a topologia de replicação, como um site vitorioso, atribuído ao sistema, tráfego de tráfego. A replicação dentro do site geralmente é verificada automaticamente para obter ajuda adicional de re-verificação do utilitário (para informar os parceiros sobre as replicações sobre as alterações). A replicação entre sites pode ser aplicada ao canal de skin para o site (depósito na qualidade do canal) - uma pontuação diferente (ou variação) pode ser atribuída ao canal de skin (por exemplo DS3, , ISDN e assim por diante), e o tráfego de replicação será cercado, transmitido após a distribuição e roteado de acordo com a classificação de canal reconhecida. Os dados de replicação podem ser transmitidos de forma transitiva através de pontes de link site a site, portanto, a "pontuação" é baixa, enquanto o AD atribui automaticamente uma classificação de link site a site mais baixa, mais baixa para links transitivos. A replicação site a site é vinculada por servidores bridgehead no site da capa e, em seguida, replicaremos as alterações no controlador da capa do domínio do seu site. A replicação de domínio interno segue o protocolo RPC por trás do protocolo IP, interdomínio - você também pode ganhar o protocolo SMTP.
Qual é a estrutura Active Directory para vingar um nome de domínio, para a realização da tarefa, pedir objetos para ganhar diretório global: controlador do domínio, que deve verificar todos os objetos, mas com um conjunto limitado de atributos (réplica incompleta). O catálogo é armazenado nos servidores especificados do catálogo global e serviços para solicitações entre domínios.
A possibilidade de operações com um computador permite o processamento, se a replicação com vários computadores host for inaceitável. Existem cinco tipos de tais operações: emulação de cabeça de controlador de domínio (emulador de PDC), computador de cabeça de identificador de dados (mestre de identificador de front-end ou mestre de RID), computador de cabeça de infraestrutura (mestre de infraestrutura), computador de cabeça de esquema (mestre de esquema) e nome de domínio host (mestre de nome de domínio). As três primeiras funções são exclusivas nos limites do domínio, as duas restantes são exclusivas nos limites de toda a floresta.
base Active Directory pode ser dividido em três conexões lógicas, ou "dividido". Esquema é um modelo para Active Directory e selecione todos os tipos de objetos, suas classes de atributos, sintaxe de atributos (todas as árvores estão na mesma árvore, pois possuem um esquema). Configuração com estrutura de madeira e árvore Active Directory. O domínio recebe todas as informações sobre os objetos criados neste domínio. Os dois primeiros links são replicados em todos os controladores de domínios da floresta, o terceiro é dividido igualmente entre réplicas de controladores nos limites do domínio skin e muitas vezes - no servidor do catálogo global.
nome
Active Directory suporta o seguinte formato de nomenclatura de objeto: nomes de tipo universal UNC, URLі URL LDAP. Versão LDAP O formato de nomenclatura X.500 é pontuado no meio Active Directory.
Objeto de couro pode im'ya (Ingl. Nome Distinto, DN). Por exemplo, o objeto de impressora é nomeado HPLaser3 na subdivisão “Marketing” e no domínio foo.org, o próximo nome é: CN=HPLaser3,OU=Marketing,DC=foo,DC=org 'kta domain. Nomes, que são chamados, podem ser mais ricos que partes, menos que algumas partes deste rabo. Os objetos também têm nomes canônicos. Nomes diferentes, escritos em ordem inversa, sem identificadores e com características de barra alternada como distribuidores: foo.org/Marketing/HPLaser3. Para designar o objeto no meio do contêiner eu consigo ver : CN=HPLaser3. Um objeto skin também pode ter um identificador globalmente exclusivo ( GUID) - linha de 128 bits única e imutável, que vence em Active Directory para uma piada e uma réplica. Pevnі ob'єkti so mayut im'ya participante-koristuvach ( UPN, dependendo RFC 822) no formato objeto @ domínio.
Integração com UNIX
Diferentes iguais em vzaєmodії z Active Directory pode ser implementado em mais UNIX-sistemas operacionais semelhantes para conformidade adicional com o padrão LDAP clientes, mas os sistemas, via de regra, não aceitam a maioria dos atributos associados aos componentes janelas, por exemplo, política de grupo e apoio a poderes unilaterais.
Líderes de terceiros para promover a integração Active Directory em plataformas UNIX, Incluindo UNIX, linux, Mac OS X e uma série de suplementos com base Java, com pacote do produto:
Além do esquema, que são fornecidos com Windows Server 2003 R2 incluir atributos que estão intimamente relacionados ao RFC 2307 para justificar de maneira selvagem. Implementações básicas de RFC 2307, nss_ldap e pam_ldap PADL.com bezposeredny pіdtremuyut і atributos. O esquema padrão para associação de grupo é RFC 2307bis (propanado). Windows Server 2003 R2 inclui o Microsoft Kernel Console para criar e editar atributos.
Uma alternativa é usar outro serviço de diretório, por exemplo 389 Servidor de Diretório(antes Servidor de Diretório Fedora, FDS), eB2Bcom ViewDS v7.1 Diretório habilitado para XML ou Servidor de diretório do Sun Java System visualizar Sun Microsystems, que desativa a sincronização bidirecional Active Directory implementar tal classificação de integração “wedbit”, se os clientes UNIXі linux autenticar FDS, e clientes janelas autenticar Active Directory. A segunda opção é a vitória OpenLDAP com a possibilidade de nomear uma sobreposição transparente, que expande os elementos do servidor remoto LDAP atributos adicionais que são obtidos do banco de dados local.
Active Directory automatizar para obter ajuda Powershell .
Literatura
- Rand Morimoto, Kenton Gardinier, Michael Noel, Joe Koka Microsoft Exchange Server 2003. Curry para fora = Microsoft Exchange Server 2003 liberado. - M.: "Williams", 2006. - S. 1024. - ISBN 0-672-32581-0
Div. Além disso
Posilannya
Notas
| Componentes do Microsoft Windows | |
|---|---|
| Principal | |
| Serviços gerenciamento |
|
| Programas |
Entre em contato com o DVD Maker Fax e digitalização Internet Explorer Revista Lupa de tela Centro de mídia Programador Windows Media Programa quarto de dormir Centro de dependências Windows Mobile Centro de mobilidade Pintura do Narrador Editor de caracteres especiais Vіddelny pomіchnik Reconhecimento de filme prancheta Caderno Painel de praia Gravação de som Calendário Calculadora facas Publicar Tabela de símbolos histórico: Criador de filmes NetMeeting Outlook Express Gerenciador de programa Gerenciador de arquivos álbum de foto |
| Jogos | |
| Núcleo do SO | |
| Serviços | |
| Arquivo sistemas |
|
| Servidor |
Active Directory Serviços de laringe Serviço de replicação de arquivos Domínio DNS Redirecionamento de pasta Serviços de mídia Hyper-V IIS MSMQ Acesso de segurança à fronteira (NAP) Sirva um amigo para UNIX Varejo Serviços de instalação remota Serviço de gerenciamento de direitos Perfis de koristuvachivs para mover SharePoint Gerenciador de recursos do sistema Estilo de trabalho remoto WSUS Política de grupo Coordenador de transações de loteamento |
| arquitetura | |
| Bezpeka | |
| loucura | |
| Microsoft | ||
|---|---|---|
| ZP | ||
| Software de servidor | ||
| Tecnologias | ||
| Internet | ||
| Jogos | ||
| Aparelho segurança |
||
| Utvennya | ||
| Licenciamento | ||
| Pіdrozdіli | ||
Be-yakoy pochatkіvets, mantendo a abreviatura AD, perguntando, o que é o Active Directory? O Active Directory é um serviço de diretório, dividido pela Microsoft para domínio merezhe Windows. Faça login na maioria dos sistemas operacionais Windows Server, como um conjunto de processos e serviços. Em tempo real, o serviço ocupou menos domínios. No entanto, a partir do Windows Server 2008, AD tornou-se o nome de uma ampla gama de serviços relacionados à identificação baseada em diretórios. Tse rob Active Directory para chatkіvtsіv mais ideal para vyvchennya.
Compromisso básico
O servidor no qual os serviços de diretório de domínio do Active Directory são executados é chamado de controlador de domínio. O Win autentica e autoriza todos os computadores com root em um domínio mesclado do Windows, atribuindo uma política de segurança zastosovuyuchi para todos os PCs, bem como instalando ou atualizando segurança de software. Por exemplo, se um koristuvach fizer login em um computador incluído em um domínio do Windows, o Active Directory verificará a senha fornecida e a definirá como administrador do sistema ou o maior koristuvach. Também permite recuperar e armazenar informações, fornecer mecanismos de autenticação e autorização e estabelecer uma estrutura para o desenvolvimento de outros serviços relacionados: serviços de certificados, serviços de diretório federado e facilitado e gerenciamento de direitos.
O Active Directory possui protocolos LDAP versão 2 e 3, versão Kerberos como Microsoft e DNS.
Active Directory - o que é? Perdoe-me por dobrar
Em vista dessas medidas - o trabalhador da cabeça. Como regra, é difícil construir em pequenas malhas, como regra, é difícil pesquisar arquivos e impressoras de malha. Sem ser um catálogo de cadeias médias e grandes, é impossível escrutinar, e muitas vezes é necessário ficar com dificuldades na busca de recursos.
Frente Versões da Microsoft O Windows incluiu serviços para ajudar funcionários e administradores a conhecer os dados. Merezhev é nitidamente cortado em meios ricos, mas com uma deficiência clara, uma interface sem tratamento e inépcia de ioga. O Gerenciador do WINS e o Gerenciador do Servidor podem ser verificados para revisar a lista de sistemas, mas não estavam disponíveis para os finalistas. Os administradores ganharam o User Manager para adicionar esses dados a um tipo diferente de objeto mesclado. Os programas Qi se mostraram ineficazes para robôs em grandes redes que chamavam comida, o que é comum na empresa Active Directory?
Catálogo Lista completa objetos. lista telefônica- o mesmo tipo de catálogo, no qual são coletadas informações sobre pessoas, empresas e organizações, quetoque neles nomes, endereços e números de telefone. Pedindo comida Active Directory - então, em palavras simples, podemos dizer que essa tecnologia é semelhante a um dovidnik, mas é mais rica com um monte. O AD coleta informações sobre organizações, sites, sistemas, recursos koristuvachiv, splnі e se existe algum outro objeto de rede.
Introdução ao entendimento básico do Active Directory
Qual organização precisa do Active Directory? Conforme já mencionado na entrada do Active Directory, o serviço coleta informações sobre os componentes do array. O ajudante do Active Directory para chatkivtsiv tem informações sobre quem permite que os clientes conheçam objetos em seu próprio espaço de nomes. Tsey t terminus (também títulos da árvore do console) ficam até a região, onde o componente de renda pode ser expandido. Por exemplo, o editor de um livro cria uma grande variedade de nomes, para quem pode dividi-lo até os números dos lados.
DNS - esta é uma árvore de console que permite nomes de host e um endereço IP, ou seja,listas telefônicas dão espaço para nomes para permitir nomes para números de telefone. E como funciona com o Active Directory? O AD fornece uma árvore de console para resolver os nomes de objetos menores para os próprios objetos.Você pode permitir uma ampla gama de objetos, incluindo koristuvachiv, sistema e serviços na fronteira.
Objetos e atributos
Tudo o que vê o Active Directory é um objeto. Você pode dizer em palavras simples, o que está no Active Directory є be-yaky koristuvach, sistema, serviço de recursos chi. O objeto principal dos termos pode ser chamuscado, os fragmentos de AD podem exibir elementos impessoais e os objetos ricos podem ser chamuscados em atributos de slogan completos. O que isso significa?
Atributos descrevem objetos no diretório ativo do Active Directory, por exemplo, todos os objetos do host podem ser combinados com atributos para selecionar o nome do host. Tse stosuєtsya їh descrição. Os sistemas também são objetos, mas cheira mal, você pode configurar um conjunto de atributos, que inclui o nome do host, o endereço IP e o local.
O conjunto de atributos disponíveis para qualquer tipo específico de objeto é chamado de esquema. Vaughn para roubar a classe de objetos da mesma maneira. As informações do esquema são realmente coletadas do Active Directory. É importante notar que tal comportamento para o protocolo de segurança é importante, para dizer o fato de que o esquema permite aos administradores adicionar atributos às classes de objetos e distribuí-los o máximo possível nos domínios do domínio sem reiniciar nenhum controlador no domínio.
Contêiner chamado LDAP
Um contêiner é um tipo específico de objeto usado para um serviço robótico. Vin não é um objeto físico, como um coristuvach ou um sistema. A natureza dos vinhos é vitoriosa pelo agrupamento de outros elementos. Objetos de contêiner podem ser aninhados em outros contêineres.
No elemento da pele AD є im'ya. Tse não tі, até que tal vizvikli, por exemplo, Ivan chi Olga. Nomes LDAP. Diferentes nomes LDAP são recolhíveis, mas permitem identificar se um objeto está no meio do catálogo de forma inequívoca, independentemente de seu tipo.
Árvore de termos e site
A árvore de termos foi escrita para descrever o conjunto de objetos no Active Directory. O que é isso? Em palavras simples, posso explicar com a ajuda de uma associação semelhante a uma árvore. Se recipientes e objetos estão unidos ієrarchіchno, o fedor pode tender a moldar as agulhas - a estrela do nome. Usando o termo є pіdrevo ininterrupto, yake vіdnositsya até o stovbur principal não robusto da árvore.
Continuando a metáfora, o termo "lіs" significa o sukupnіst, como parte de um e mesmo espaço de nomes, mas também um esquema geral, configuração e catálogo de luz. Objetos nestas estruturas estão disponíveis para todos os núcleos, permitindo assim segurança. Organizações, subdivididas em espadilhas de domínios, de acordo com o agrupamento da árvore em uma floresta.
O site é uma distribuição geográfica, designada pelo Active Directory. Os sites são adequados para entendimentos lógicos de IP e, como tal, podem ser superados por programas para procurar o servidor mais próximo na área. O envio de informações para um site do Active Directory pode reduzir significativamente o tráfego em redes globais.
Gerenciamento do Active Directory
Componente de equipamento do Active Directory - Koristuvachi. A ferramenta definitiva para administração do Active Directory. Vіn diretamente acessível a partir do grupo de programas "Administrativo" no menu "Iniciar". O Win substitui e melhora o trabalho do gerenciador de servidor e o trabalho do gerenciador de servidor no Windows NT 4.0.
Bezpeka
O Active Directory se desenrola no futuro para o Windows. Os administradores são culpados da capacidade de sua mãe de proteger seu catálogo de malfeitores e koristuvachiv, delegando simultaneamente a tarefa a outros administradores. É possível usar um modelo de segurança adicional do Active Directory, como vincular uma lista de bloqueio de acesso (ACL) ao atributo de capa do contêiner desse objeto no diretório.
Um alto nível de controle permite que o administrador dê a okremim koristuvachs e grupos de diferentes permissões iguais para objetos dessas autoridades. Eles podem adicionar atributos a objetos e adicionar atributos de grupos de canto de coristuvachs. Por exemplo, você pode instalar uma ACL para que apenas os gerentes possam ver os telefones residenciais de outros funcionários.
Administração delegada
Um conceito novo no Windows 2000 Server é a administração delegada. Tse permite que você reconheça os administradores de outros coristuvachas sem conceder direitos de acesso adicionais. A administração delegada pode ser reconhecida através dos nomes dos objetos ou sem interrupção na subárvore do diretório. Mais dinheiro método eficaz nadannya novamente de acordo com as medidas.
NO O local de reconhecimento para qualquer um de todos os direitos globais do administrador de domínio, koristuvachevs, só pode receber direitos no âmbito da subárvore da música. O Active Directory incentiva a degradação, portanto, se novos objetos degradam a ACL de seu contêiner. 
O termo "dovirchі vіdnosiny"
O termo “dover blues”, como antes, vikoristovuєtsya, mas pode diferir em funcionalidade. Não há diferença entre trusts unilaterais e bilaterais. Aje todos dovirchі vіdnosini Active Directory bidirecional. Além disso, todos os fedores são transitivos. Além disso, se o domínio A confia no domínio B e B confia no C, então ele automaticamente e implicitamente confia no azul entre o domínio A e o domínio C.
Auditoria do Active Directory - o que é em palavras simples? Essa função de segurança permite determinar quem está tentando obter acesso aos objetos, bem como até que ponto o teste é bem-sucedido.
Wiki do Sistema de Nomes de Domínio (DNS)
O sistema DNS de uma maneira diferente é necessário para qualquer organização conectada à Internet. O DNS pode permitir nomes entre nomes comuns, como mspress.microsoft.com, e endereços IP não compartilhados, que são os componentes de ligação para chamadas.
O Active Directory é uma tecnologia DNS amplamente usada para pesquisar objetos. A mudança de Tse sutteva é igual às operações anteriores Sistemas Windows Observe que os nomes NetBIOS são permitidos por endereços IP e dependem do WINS ou de outras técnicas para permitir nomes NetBIOS.
O Active Directory funciona melhor com servidores DNS em backups do Windows 2000. A Microsoft tornou mais fácil para os administradores alternarem para servidores DNS e gerenciarem o Windows 2000 por meio de um caminho de migração para gerenciar o administrador por meio desse processo.
Outros servidores DNS podem ser vitoriosos. No entanto, por algum motivo, os administradores são responsáveis por gastar mais de uma hora verificando os bancos de dados DNS. Quais são as nuances? Se você optar por não substituir os servidores DNS do Windows 2000, será responsável por alternar seus servidores DNS para o novo protocolo de atualização de DNS dinâmico. Os servidores contam com atualizações dinâmicas de seus registros para conhecer os controladores de domínio. Não é óbvio. Aje, eSe as atualizações dinâmicas não forem executadas, as atualizações do banco de dados devem ser feitas manualmente. 
Domínios do Windows e domínios da Internet agora são mais suntuosos. Por exemplo, im'ya, como mspress.microsoft.com, é atribuído ao controlador do domínio do Active Directory, que é conhecido pelo domínio, para que qualquer cliente com acesso ao DNS possa conhecer o controlador de domínio.Os clientes podem permitir que o DNS seja verificado para ver se há algum número de serviços, servidores Active Directory publicando uma lista de endereços DNS para ajudar com a nova funcionalidade de atualização dinâmica. Os dados são atribuídos como um domínio e são publicados por meio dos registros de recursos do serviço. SRV RR segue o formato serviço.protocolo.domínio.
Os servidores do Active Directory fornecem um serviço LDAP para hospedar um objeto e o LDAP substitui o TCP como o protocolo da camada de transporte subjacente. Portanto, um cliente que procura um servidor Active Directory no domínio mspress.microsoft.com procurará um registro DNS para ldap.tcp.mspress.microsoft.com.
Diretório global
O Active Directory tem um catálogo global (GC) queNadaє um dzherelo para uma pesquisa se existe algum objeto na organização merezhі.
O Catálogo Global é um serviço do Windows 2000 Server que permite aos usuários saber se os objetos aos quais foram concedidos acesso. A funcionalidade Tsya anula a possibilidade Encontrar programas Computador, inclusões em versões frontais Janelas. Aje Koristuvachi pode pesquisar qualquer objeto no Active Directory: servidores, impressoras e programas coristuvachiv.
Conceitos básicos do Active Directory
Serviço Active Directory
Serviço de diretório expandido e dimensionado Ativo Diretório (diretório ativo) permite uma gestão eficiente dos recursos partilhados.
Ativo Diretório - uma coleção de dados propositadamente organizada sobre os objetos da empresa, que fornecerá uma piada e a seleção desses dados. Computador no qual o Active funciona Diretório, chamado controlador de domínio . C Active Directorypov'yazanі mayzhe todas as tarefas administrativas.
A tecnologia do Active Directory é baseada em Protocolos de Internet ajuda a definir claramente a estrutura do merezhі.
Active Directory e DNS
NO Ativo Diretorysistema de nomes de domínio vikoristovuєtsya.
DomínioNome Sistema, (DNS) - um serviço de Internet padrão que organiza grupos de computadores em um domínio.Os domínios DNS podem ter uma estrutura hierárquica que é a espinha dorsal da Internet. Diferentes níveis de hierarquia identificam computadores, domínios de organização e domínios de nível superior. O DNS também serve para a transformação dos nomes dos nós, por exemplo z eta.webwork.com com um endereço IP numérico, por exemplo 192.168.19.2. Usando o DNS, a hierarquia de domínio do Active Directory pode ser inserida no espaço da Internet ou pode ser privada de acesso externo independente e isolado.
Para acessar recursos no domínio zastosovuetsya fora do nome do nó, por exemplo zeta.webatwork.com. Aquizeta- nome do computador pessoal, webwork - domínio da organização e com - domínio de nível superior. Os domínios de nível superior formam a base da hierarquia DNS e são chamados domínios raiz (domínios raiz). Eles são organizados geograficamente, com nomes baseados nos códigos de país duplos (ptpara a Rússia), para a organização kshtalt (célula para organizações comerciais) e para reconhecimento ( mil para organizações de Viysk).
Domínios alternativos, por exemplo, microsoft.com, chamado Batkivsky (domínio pai), gambás de fedor satisfazem a base da estrutura organizacional. Os domínios Batkiv podem ser divididos em subdomínios de diferentes ramos e outros ramos. Por exemplo, fora do computador no escritório da Microsoft em Seattle, você pode usar jacob.seattle.microsoft.com , de jsabugo- nome do computador, seAlt - subdomínio e microsoft.com é o domínio Batkiv. Subdomínio nomeado Insha - domínio filho (domínio filho).
Componentes Ativo Diretório
O Active Directory tem uma única estrutura física e lógica para os componentes de uma medida. As estruturas lógicas do Active Directory ajudam a organizar os objetos no diretório e a manter os registros de nuvem relevantes e os recursos abrangentes. Os seguintes elementos estão antes da estrutura lógica:
unidade organizacional (unidade organizacional) - subgrupo de computadores, chamada, estrutura vidbivaє da empresa;
domínio ( domínio) - Um conjunto de computadores, que em conjunto conquistam todo o catálogo da base de dados;
árvore de domínio (domínio árvore) - um ou mais nomes de domínio, que sejam totalmente vicários, sem interrupção do espaço dos nomes;
lis domainiv (floresta de domínio) - uma ou uma espadilha de árvores, informações de catálogo yakі spіlno vikoristovuyut.
Elementos físicos ajudam a planejar a estrutura real da malha. Com base nas estruturas físicas, os links de malha e os limites físicos são formados recursos de malha. Os seguintes elementos estão antes da estrutura física:
subcidade ( sub-rede) - grupo merezhna іz determinada área endereço de IP que com uma máscara de malha;
local na rede Internet ( local) - Um ou um espadilha p_dmerezh. O site é vitorioso na criação de acesso ao catálogo e na replicação.
Suporte organizacional
Subgrupos organizacionais (VP) são subgrupos em domínios, que na maioria das vezes determinam a estrutura funcional de uma organização. OP é um tipo de contêiner lógico, que tem a aparência de registros, recursos globais e outros OP. Por exemplo, você pode criar no domínio Microsoftt. com pіdrozdіli Recursos, ISTO, Marketing. Potim tsyu esquema pode ser expandido, filha schob utrimuval pіdrozdіli.
No VP, é permitido colocar objetos apenas do domínio Batkiv. Por exemplo, o sistema operacional do domínio Seattle.microsoft.com deve ser excluído do domínio. Adicione coisas ao objetomy. microsoft.com não é possível. OP é mais flexível quando moldado funcional ou estruturas de negócios organizações. Alice não é a única razão para sua zastosuvannya.
O OP tem permissão para definir uma política de grupo para um pequeno conjunto de recursos em um domínio sem bloquear todo o domínio. Para a ajuda do OP, são criados compactos e keruvannye dos objetos no catálogo no domínio, que ajudam a cherubater eficientemente com recursos.
Os VIs permitem delegar e controlar o acesso administrativo a recursos em um domínio, o que ajuda a definir o limite de administradores de um domínio. É possível transferir para a atualização administrativa correspondente apenas para um OP e, ao mesmo tempo, transferir para a atualização administrativa correspondente para todos os OPs do domínio.
Domínio
Domínio O Active Directory é todo o grupo de computadores, capaz de criar um diretório de banco de dados completo. Os nomes de domínio no Active Directory podem ser exclusivos. Por exemplo, você não pode ter dois domínios microsoft.com ou o domínio pai microsoft.com com domínios filho seattle.microsoft.com e my.microsoft. com. Mesmo que o domínio esteja parcialmente fechado, o nome atribuído ao novo domínio não pode entrar em conflito com os outros nomes de domínio principais desse domínio. Como o domínio faz parte da Internet global, ele não é culpado de conflito com os outros nomes de domínio principais na Internet. Para garantir a exclusividade dos nomes na Internet, o nome do domínio Batkiv deve ser registrado por meio de uma nova organização de registro.
No domínio skin, há um poder de política de segurança e confiabilidade com outros domínios. Na maioria dos casos, os domínios são divididos por décadas por distribuições físicas, de modo que são formados a partir de décadas de sites e sites - para unir um kilka de pidmerezh. Os objetos são salvos do diretório do banco de dados para o domínio, pois designam a aparência dos registros para os coristuvachs, grupos e computadores, bem como recursos globais, por exemplo, impressoras e pastas.
As funções de um domínio são misturadas e reguladas pelo modo de seu funcionamento. Modos e domínios funcionais básicos:
modo misto Windows 2000 (modo misto) - controladores de domínio pіdtrimuє, yaki pіd pіd keruvannyam Windows NT 4.0, Wi ndows 2000 que janelas servidor 2003;
Modo nativo do Windows 2000 - controladores de domínio pіdtremuє, scho pіd pіd keruvannyam Windows 2000 ta janelas servidor 2003;
modo intermediário janelas servidor 2003 ( provisório modo) - suporte a controladores de domínio janelas NT 4,0 ta janelas servidor 2003;
modo Servidor Windows 2003 - suporte a controladores de domínio, como lidar com verificações do Windows Server 2003.
Raposas e árvores
Domínio de couro Ativo Diretório maio DNS-Digite o nome Microsoft.com. Os domínios, que compilam os dados para o catálogo, são aprovados por floresta (floresta). Os nomes de domínio na floresta são incluídos na hierarquia de nomes DNS não contíguo(descontíguo) ou total(Contíguo).
Os domínios, que podem resumir a estrutura dos nomes, são chamados de árvore de domínios. Mesmo que os domínios da floresta possam ter inúmeros nomes DNS, o mau cheiro é estabelecido em torno da árvore de domínios na floresta. Antes da floresta, você pode incluir uma ou uma espadilha de árvores. Um console é reconhecido para acesso a estruturas de domínio.Ativo Diretório- domínio e dovira (AtivoDiretório Domíniose fundos).
As funções das florestas são mescladas e reguladas pelo regime funcional da floresta. Existem três desses modos:
Windows 2000 - suporte a controladores de domínio que funcionam no Windows NT 4.0, Windows 2000 e Windows servidor 2003;
intermediário ( provisório) janelas servidor 2003 - pіdtrimuє kontroleri іv, yakі pratsyuyut pіd karuvannyam Windows NT 4.0 e Windows Server 2003;
Servidor Windows 2003 - suporte a controladores de domínio, como lidar com verificações do Windows Server 2003.
Os recursos mais atuais do Active Directory estão disponíveis em Modo Windows Server 2003. Como todos os domínios são usados nesse modo, você pode usar replicação reduzida (circulação) de catálogos globais e replicação mais eficiente de dados do Active Directory. Também é possível incluir os atributos de classe do esquema, alterar as classes adicionais dinâmicas, alterar o nome de domínio e criar na esquerda um dovirchi azul, bidirecional e transitivo.
Sites e pіdmerezhi
Local na rede Internet - Todo o grupo de computadores em uma ou outra subdivisão IP, que são vitoriosos no planejamento da estrutura física do ambiente. O planejamento do site é independente da estrutura lógica do domínio. O Active Directory permite que você crie sites anônimos em um domínio ou em um site que inclua vários domínios.
Na visualização de locais, edifícios e outras áreas do endereço IP, as subdivisões podem definir a área do endereço IP e a máscara. Os nomes Pdmerezh são especificados no formato máscara de malha/bit, por exemplo, 192.168.19.0/24, o endereço de demarcação 192.168.19.0 e a máscara de demarcação 255.255.255.0 combinados no nome 192.168.19.0/24.
Os computadores são atribuídos aos sites de pousio ou ao conjunto de pdmerezh. Como os computadores nos edifícios estão interagindo em alta velocidade, eles são chamados de bom pov'yazanimi (bem conectado).
Idealmente, os sites são construídos com boas conexões entre computadores e computadores. Garniy zv'yazok dá os sites deyaki perevagi.
Quando um cliente entra em um domínio, no processo de autenticação, é realizada uma busca do controlador local do domínio no site do cliente, para que, se possível, os controladores locais sejam os primeiros a serem utilizados, cujo intermediário tráfego e acelerar a autenticação.
As informações do catálogo geralmente são replicadas No meio locais, inferior mizh locais. Isso reduz o tráfego transfronteiriço, as chamadas para replicação e garante que os controladores de domínio locais removam automaticamente as informações atualizadas.
Você pode definir a ordem de replicação de dados para o catálogo, vicorist link do site (links de sites). Por exemplo, signifique servidor ponte (bridgehead) para replicação entre sites.
A parte principal do foco na replicação entre sites está em um servidor especial e não em nenhum servidor disponível para o site. Local na rede Internet e p_dmerezh_ nalashtovatsya no console Active Directory- sites e serviços(Sites e Serviços do Active Directory).
Robô com domínio Active Directory
Na medida janelas servidor serviço de 2003 AtivoDiretórionalashtovuetsya uma horaDNS. Domínios Prote Domínios Active Directory e DNS podem ser reconhecidos de forma diferente. Os domínios do Active Directory são complementados com registros, recursos e recursos na nuvem.
A hierarquia de domínio DNS é reconhecida como a classificação principal para a resolução de nomes.
Em todo o mundo, construindo computadores que funcionam com Windows XP Professional e Windows 2000. QI vіdnosiny dar zmogu autorizado koristuvacham otrimuvat acesso a recursos de qualquer domínio lіsu.
Sistema O Windows Server 2003 atua como um controlador de domínio ou como um servidor membro. Os servidores de linha tornam-se controladores após a instalação do Active Directory; os controladores são rebaixados para servidores comuns após a remoção do Active Directory.
Ofendido pelo processo de vikonu Mestre de instalação do Active Directory. O domínio pode ter um raminho de controladores. Eles se replicam para o catálogo de dados do modelo de replicação com mestres dekilkom, pois permite que o controlador de skin processe a alteração do catálogo e depois o transfira para outros controladores. As cabeças das estruturas do dekilkom dos governantes de todos os controladores para as fechaduras podem ser igualmente viáveis. Vtіm, você pode dar prioridade a alguns controladores do domínio sobre outros no mesmo zavdannya, por exemplo, criar um servidor bridgehead, que pode ser uma prioridade ao replicar dados para o diretório em outros sites.
Além disso, é melhor que os líderes do líder ganhem no servidor visto. O servidor que lida com um tipo específico de tarefa é chamado mestre de operações (Mestre de Operações).
Para todos os computadores que executam o Windows 2000, Windows XP Professional e Windows Server 2003, ingressando no domínio, são criados registros de nuvem que são salvos, como outros recursos, ao examinar objetos do Active Directory. Registros em nuvem de computadores servem para gerenciar o acesso a uma medida e її recursos, o primeiro computador nega o acesso a um domínio por conta própria registro oblіkovogo, Vіn obov'yazkovo passar o procedimento de autenticação.
Estrutura do catálogo
Dados para o catálogo são esperados por koristuvachs e computadores através encontro de danih (armazenamentos de dados) diretórios globais (globalcatálogos). Quer mais recursosAtivoDiretórioAs coletas de dados estão entrelaçadas, os catálogos globais (GCs) não são menos importantes, os fragmentos são coletados para entrar no sistema e buscar informações. Mesmo que o CC não esteja disponível, o coristuvach primário não pode alcançar o domínio. A única maneira de contornar a mente é descontando a associação local Grupos universais.
O acesso a todos os dados do Active Directory é protegido com segurança protocolo de acesso ao diretório (diretório Acessoprotocolos) que replicação (replicação).
A replicação é necessária para expandir as atualizações de dados para os controladores. O principal método de expansão da inovação é a replicação com governantes kіlkom, mas outros deyakі zmіni são feitos apenas por controladores especializados. mestres de operações (Mestres de Operações).
A maneira de superar a replicação do dekilcom pelas réguas no Windows Server 2003 também está mudando distribuição do catálogo suplementos (inscriçãodiretóriopartições). Esses administradores de sistema podem criar replicações no nome de domínio, estrutura lógica, gerenciamento de replicação não mais do que o nome de domínio. Por exemplo, você pode criar uma distribuição, que é conhecida por replicar informações de DNS nos limites de um domínio. Para outros sistemas, o domínio foi impedido de replicar informações de DNS.
Distribuído para o catálogo de programas pode ser um elemento filho de um domínio, um elemento filho de outra distribuição aplicada ou uma nova árvore para um determinado domínio. As réplicas de distribuição podem ser hospedadas em qualquer controlador de domínio do Active Directory, incluindo diretórios globais. Querendo distribuir o catálogo de documentos adicionais nos grandes domínios e florestas, o fedor aumentará o custo de planejamento, administração e suporte.
Tesouro de Danih
Uma coleção de informações sobre os objetos mais importantes do serviço de diretório do Active Directory - registros públicos, recursos globais, OPs e políticas de grupo. Em alguns lugares, a coleta de dados é simplesmente chamada de Catálogo (Diretório). No controlador de domínio, o diretório é salvo do arquivo NTDS.DIT, cuja alteração é determinada durante a instalação do Active Directory (pode haver um disco NTFS). Os dados reais do catálogo podem ser salvos, exceto para o diretório principal, por exemplo, políticas de grupo, cenários e outras informações, registrados no recurso global do sistema SYSVOL.
As informações fornecidas ao catálogo no quarto são chamadas publicação (Publicar). Por exemplo, lançar uma impressora para usar uma parede na borda, publicá-la; publica informações sobre a pasta toshcho. Os controladores de domínio replicam a maioria das mudanças no shovischi para o esquema com gospodars dekilkom. O administrador de uma organização de pequeno ou médio porte raramente cuida da replicação da coleção, os shards são criados automaticamente, mas você pode ajustá-lo de acordo com as especificidades da arquitetura mesh.
Nem todos os dados do catálogo são replicados, mas apenas:
Dados do domínio - informações sobre objetos no domínio, incluindo objetos de registros públicos, recursos globais, VP e políticas de grupo;
Configuração de dados - informações sobre a topologia do diretório: lista de domínios, árvores e arquivos utilizados, bem como a revisão dos controladores e servidores do GC;
Dados do esquema - informações sobre todos os objetos e tipos de dados que podem ser salvos no catálogo; O esquema padrão do Windows Server 2003 para descrever objetos de registro de nuvem, objetos de recursos compartilhados e outros pode ser estendido definindo novos objetos ou adicionando atributos para objetos existentes.
Diretório global
Como obter uma associação em um local Os grupos universais não são realizados, a entrada na fusão é baseada nas informações sobre a participação no grupo universal, fornecidas pelo Comitê Central.
Vіn também pesquisa segura de catálogos em todos os domínios da floresta. Controlador, papel vitorioso Servidor GK, pegando uma réplica completa de todos os objetos do diretório de seu próprio domínio e uma réplica privada de objetos de outros domínios da floresta.
Para entrar no sistema, essa solicitação exigirá mais do que autoridades deyaki de objetos, é possível usar réplicas privadas. Para a formação de uma réplica privada, ao replicar, é necessário transferir menos dados, o que reduzirá o tráfego da rede.
Atrás do servidor de promoção GK está o primeiro controlador do domínio. Como há apenas um controlador no domínio, o servidor GC e o controlador de domínio são o mesmo servidor. Você pode verificar o GK em outro controlador, para agilizar o check-out na entrada do sistema e agilizar a busca. Recomenda-se criar um HA no domínio do site da capa.
Algumas maneiras de resolver o problema. Compreensivelmente, você pode criar um servidor GC para um dos controladores do domínio no escritório remoto. O caminho mais curto é aumentar o número de avenidas para o servidor GC, que pode usar recursos adicionais para o tempo do servidor robótico.
Outra maneira de resolver o problema é armazenar em cache a associação em grupos universais localmente. Para qualquer controlador de domínio, você pode atender a uma solicitação para entrar no sistema localmente, sem ir ao servidor GC. Tse agiliza o procedimento de login no sistema e facilita a situação no momento em que o servidor DC sai em harmonia. Além disso, quando isso acontece, o tráfego de replicação diminui.
O deputado atualiza periodicamente todo o Código Civil em cada medida, basta atualizar as informações no cache sobre a adesão ao grupo universal. Para bloqueio, a capa é atualizada às 8h no domínio do controlador de capa, no qual o cache local de associação ao grupo universal é conquistado.
Filiação Grupo universal individualmente para o local da pele. Vamos supor que o site é uma estrutura física, que é composta por um ou outro decil, que pode ser discado individualmente o endereço IP e a máscara de malha. Controlador de domínio janelas Servidor 2003 e do Código Civil, até que tal fedor, cabe a você perebuvat em um só site. Como regra, existem alguns sites, para que você possa melhorar localmente na pele deles. Além disso, koristuvachі, scho entra no site, devido a uma parte do domínio do Windows Server 2003, que funciona no modo de floresta do Windows Server 2003.
Replicação no Active Directory
Três tipos de catalase são levados em consideração: dado ao domínio, dado ao esquema e dado à configuração. Os dados para o domínio são replicados para todos os controladores do domínio. Controladores usy do domínio igual, tobto. todas as alterações feitas em qualquer controlador de domínio serão replicadas para todos os outros controladores de domínio. Além disso, todos os objetos de um domínio individual e parte dos poderes dos objetos são replicados pelo Comitê Central. Isso significa que o controlador de domínio salva e replica o esquema da árvore chi, as informações de configuração de todos os domínios na árvore chi e todos os objetos de diretório e autoridades para o domínio de energia.
Controlador para o domínio no qual o GC é salvo, mitigar e replicar informações de esquema para a LAN, informações sobre a configuração de todos os domínios na LAN e a coleção de autoridade para todos os objetos no diretório no diretório LAN e autoridade para seu domínio .
Para entender a essência da replicação, vejamos esse cenário para configurar uma nova linha.
1. No domínio E o primeiro controlador está instalado. O servidor é o único controlador do domínio. Vіn є і pelo servidor GC. Não há replicação em tal medida, não há vestígios de outros controladores.
2. No domínio E outro controlador é instalado e a replicação é iniciada. Você pode considerar um controlador como o mestre da infraestrutura e o outro como o servidor do Comitê Central. O proprietário da infraestrutura para acompanhar as atualizações do Comitê Central e os pedidos de alteração de objetos. Os controladores ofensivos também replicam esses esquemas e configurações.
3. No domínio E o terceiro controlador está sendo instalado, para o qual não há GK. O proprietário da infraestrutura segue as atualizações da CC, solicita-as para alterar os objetos e, em seguida, replica a alteração para o terceiro controlador de domínio. Todos os três controladores também replicam esses esquemas e configurações.
4. Um novo domínio B é criado, os controladores são adicionados ao novo. Os servidores DC no domínio A e no domínio B replicam todos os dados de esquema e configuração, bem como vários dados para o domínio 3 do domínio skin. A replicação no domínio A continua conforme descrito acima, mais a replicação começa no meio do domínio B.
AtivoDiretórioі LDAP
Lightweight Directory Access Protocol (LDAP) é um protocolo de conexão de Internet padrão para redes TCP/IP. O LDAP foi projetado especificamente para acessar serviços de diretório a partir das menores janelas. O LDAP também definiu operações que são usadas para recuperar essas informações do diretório.
Clientes O Active Directory usa o LDAP para se comunicar com computadores nos quais o Active Directory funciona, com um login de capa em uma rede ou uma pesquisa de recursos compartilhados. O LDAP facilita a vinculação de diretórios e a transição para o Active Directory de outros serviços de diretório. Para melhorar a soma, você pode torcer a interface dos serviços do Active Directory (AtivoDiretório Serviço- Interfaces, ADSI).
Funções do mestre de operações
O mestre da operação está violando a tarefa, pois está violando descuidadamente os modelos de replicação do kilkom dos governantes. Existem cinco funções do mestre de operações, que podem ser atribuídas a um número de controladores de domínio. Algumas funções podem ser exclusivas apenas em pé de igualdade, caso contrário, iguais a um domínio. O folheto dérmico do Active Directory tem as seguintes funções:
Esquemas de Gospodar (mestre de esquema) - com atualizações e alterações no esquema do catálogo. Para atualizar o esquema, o catálogo requer acesso ao gerenciador de esquema. Schob para determinar qual servidor está em dada horaє senhor do esquema no domínio, o suficiente para abrir a linha de comando e digite: dsquery server -temfsmo esquema.
Gospodar imenuvannya domeniv (mestre de nomeação de domínio) - keruє para adicionar e adicionar domínios a raposas. Para incluir ou excluir o domínio, você precisa acessar o gerenciador de domínio. Para determinar qual servidor é o mestre do nome de domínio, basta digitar na linha de comando: dsquery server -temfsmo nome.
Números de papéis, quartos para toda a floresta, podem ser de uma maneira nova e única.
O domínio skin do Active Directory tem essas funções.
Mestre de identificadores externos (mestre de ID relativo) - Vendo a visibilidade de identificadores para controladores de domínio. Shhorazu pid hora da criação do objeto koristuvach, groupi Caso contrário, o computador do controlador atribui um objeto identificador de segurança exclusivo, que é composto por um identificador de segurança ao domínio desse identificador exclusivo, que é o mesmo que o supervisor dos identificadores de segurança vê. Para designar qual servidor para uma determinada hora é a régua dos melhores identificadores do domínio, suficiente para a linha de comando: dsqueryservidor-temfsmolivrar.
Emulador PDC (emulador PDC) - no modo alterado do modo intermediário, o domínio é o controlador principal do domínio do Windows NT. Vіn authentifikuє vhіd vhіd Windows NT, provavelmente zmenі senha e replicar a atualização no PDC. Para designar um servidor para uma determinada hora como um emulador de PDC em um domínio, disponível na parte superior da linha de comando. dsquery servidor - hasfsmo pdc.
Infraestrutura Gospodar (infraestrutura mestre ) - atualize a postagem no objeto, combinando os dados do seu catálogo com os dados do Código Civil. Mesmo que os dados estejam desatualizados, o GC precisa ser atualizado e replicado para outros controladores no domínio. Para designar qual servidor é o host da infraestrutura no domínio, disponível na linha de comando e digite dsqueryserver-hasfsmo infr.
Números de funções, spilnі para todo o domínio, podem estar em um novo exclusivo. Em outras palavras, é possível criar mais de um mestre de identificadores externos, um emulador de PDC e um mestre de infraestrutura para o domínio skin.
Chame as funções do proprietário das operações são atribuídas automaticamente ou você pode reatribuí-las. Quando um novo domínio é instalado, todas as funções do mestre de operações serão retiradas pelo primeiro controlador do primeiro domínio. Se um novo domínio filho for criado posteriormente, ou o domínio raiz de uma nova árvore, a função de mestre de operações também será atribuída automaticamente ao primeiro controlador de domínio. No novo controlador de domínio de nome de domínio, todas as funções do mestre de operações são atribuídas ao controlador de domínio. À medida que o novo domínio é criado no mesmo campo, o controlador recebe os papéis do proprietário dos identificadores externos, o emulador RDCom aquele mestre da infraestrutura. Os papéis do mestre do esquema e do mestre de nomes de domínios são substituídos pelo primeiro domínio lisu.
Como há apenas um controlador no domínio, ele desempenha todos os papéis de mestre de operações. Como há apenas um local na medida, a distribuição padrão das operações do governo é ótima. No mundo de adicionar controladores a um domínio e domínios, é necessário transferir as funções de mestres de operações para outros controladores de domínio.
Se houver dois ou mais controladores no domínio, é recomendável configurar dois controladores para o domínio para controlar as funções do mestre de operações. Por exemplo, designe um controlador para o domínio como o principal mestre de operações e o outro como reserva, que é necessário para um mestre diferente.
Administração Active Directory
CPara a ajuda do serviço Active Directory, são criados registros de computadores na nuvem, são feitas conexões com o domínio e são controlados computadores, controladores de domínio e subprogramas organizacionais (OP).
Para keruvannya Active Directory reconhecido zasobi administruvannya podtrimki. Aponte abaixo das ferramentas de implementação e observe os snap-ins do console do MMC (Microsoft gerenciamentoConsole):
Active Directory Comercial e computadores) permite keruvati koristuvachami, grupos, computadores e unidades organizacionais (OP);
Ativo Diretório- domínio e dovira ( Ativo Diretório Domíniose Fundos ) servem para trabalhar com domínios, árvores de domínio e florestas de domínio;
Active Directory- sites іServiços (Sites e serviços do Active Directory) permite sites keruvati e submerzhami;
Resultante política (Conjunto de Políticas Resultante) vikoristovuєtsya para revisar a política atual do koristuvach, ou o sistema e o planejamento de mudanças na política.
NO O Microsoft Windows 2003 Server pode acessar esses snap-ins diretamente no menu Ferramentas Administrativas.
Mais uma tarefa de administração - equipamento Esquema AtivoDiretório (Ativo Diretório esquema) - permite editar e modificar o esquema do catálogo.
Utilitários de linha de comando Ativo Diretório
Para objetos keruvannya Ativo Diretório Estabeleça linhas de comando, que permitem executar uma ampla gama de tarefas administrativas:
DSADD - Adicionar à Ativo Diretório computadores, contatos, grupos, OP e koristuvachiv.
DSGET - inspecionando o poder de computadores, contatos, grupos, OPs, koristuvachivs, sites, subdivisões e servidores, registros com Ativo Diretório.
DSMOD - alterar o poder de computadores, contatos, grupos, VP, corystuvachiv e servidores, registrados com Ativo Diretório.
DSMOVE - mover um único objeto em um novo local nos limites do domínio ou alterar o objeto sem mover.
DSQXJERY - crie uma pesquisa de computadores, contatos, grupos, VP, koristuvachiv, sites, pdmerezh e servidores em Ativo Diretório para determinados critérios.
DSRM - ver objeto de Ativo Diretório.
NTDSUTIL - permite revisar informações sobre o site, domínio ou servidor, keruvati mestres de operações (operações mestres) que atendem a base de dadosAtivo Diretório.
