Active Directory nima va ma'lumotlar bazasini qanday o'rnatish va yangilash. Active Directory Active Directory lisi va domen nima

Xizmat Active Directory-Kengaytirilgan va kengaytirilgan Active Directory katalog xizmati (Active Directory) umumiy resurslar bilan samarali ko'rib chiqish imkonini beradi.
Active Directory- Tse íêrarchíchno o'lchov ob'ektlari haqida ma'lumotlarni yig'ishni tashkil qiladi, bu hazil qilish va ushbu ma'lumotlarni tanlash huquqini ta'minlaydi. Active Directory bilan ishlaydigan kompyuter domen boshqaruvchisi deb ataladi. Active Directory-dan barcha ma'muriy vazifalar Mayzha bilan bog'liq.
Active Directory texnologiyasi standart Internet protokollariga asoslanadi va korxona tuzilmasini aniq belgilashga yordam beradi, Active Directory domenini noldan qanday yaratish haqida batafsil ma'lumotni bu yerda o'qing.

Active Directory va DNS

Active Directory domen nomlari tizimiga ega.

Active Directory ma'muriyati

Active Directory xizmati yordamida kompyuterlarning bulutli yozuvlari yaratiladi, domenga ulanishlar o'rnatiladi, kompyuterlar boshqariladi, domen kontrollerlari va tashkiliy kichik dasturlar (OP) nazorat qilinadi.

Keruvannya Active Directory uchun zasobi administruvannya podtrimki tan olingan. Amalga oshirish vositalarining ostiga ishora qiling va MMC konsolining (Microsoft Management Console) qo'shimcha qurilmalarini ko'ring:

• Active Directory - koristuvachi va kompyuterlar (Active Directory Foydalanuvchilar va Kompyuterlar) keruvati koristuvachami, guruhlar, kompyuterlar va tashkiliy birliklari (OP) imkonini beradi;
• Active Directory - domenlar, domen daraxtlari va domen o'rmonlari bo'lgan robotlar uchun xizmat qilish uchun domenlar va ishonchlar (Active Directory Domains and Trusts);
• Active Directory - Saytlar va xizmatlar (Active Directory saytlari va xizmatlari) saytlarni ko'rib chiqish va submerzhami imkonini beradi;
• Olingan siyosat (Natijalar to'plami) joriy siyosatni koristuvacha yoki siyosatdagi o'zgarishlarni rejalashtirish tizimini ko'rib chiqish uchun g'alaba qozonadi.
• Da Microsoft Windows 2003 Server, siz ushbu qo'shimcha qurilmalarga to'g'ridan-to'g'ri Ma'muriy asboblar menyusidan kirishingiz mumkin.

Boshqa zasíb administruvannya - Active Directory sxemasini (Active Directory sxemasini) jihozlash - katalog sxemasini o'zgartirish va o'zgartirish imkonini beradi.

Utilitalar buyruq qatori Active Directory

Active Directory ob'ektlarini boshqarish uchun keng ma'muriy vazifalarni o'rnatish imkonini beruvchi buyruq qatori vositalaridan foydalaning:

• DSADD - Active Directory-ga kompyuterlar, kontaktlar, guruhlar, OP va koristuvachiv qo'shing.
• DSGET - kompyuterlar, kontaktlar, guruhlar, OPlar, muxbirlar, saytlar, serverlar, Active Directory bilan ro'yxatdan o'tish kuchlarini tekshiradi.
• DSMOD - Active Directory-da ro'yxatdan o'tgan kompyuterlar, kontaktlar, guruhlar, OPlar, xostlar va serverlarning vakolatlarini o'zgartiradi.
• DSMOVE - yangi oynadan bitta ob'ektni domen o'rtasida ko'chiradi yoki ob'ekt nomini ko'chirmasdan o'zgartiradi.
• DSQXJERY - belgilangan mezonlar bo'yicha Active Directory'da kompyuterlar, kontaktlar, guruhlar, OPlar, bosh sahifalar, saytlar va hokazo serverlar uchun qidiruvlarni yaratadi.
• DSRM - Active Directory dan ob'ektni olib tashlaydi.
• NTDSUTIL - sayt, domen yoki server haqidagi ma'lumotlarni ko'rib chiqish, operatsiyalar ustalarini boshqarish va Active Directory ma'lumotlar bazasini saqlash imkonini beradi.

Lis Active Directory bir xil sxema, konfiguratsiya va global katalogni tanlaydigan bir yoki bir nechta domenlar to'plamini belgilaydi. Bundan tashqari, barcha domenlar ikki tomonlama tranzitiv domenlarda ishtirok etadi. Belgilangan tulkida g'olib bo'lgan shartlarga yirtqich hurmat.

• Domen- domenga ob'ektlarni, masalan, korystuvachiv va kompyuterlarni, nomlar..com, ê domenlarining bitta maydonining bir qismi sifatida tashkil qilish va himoya qilish uchun yo'l beriladi. Teri domenidagi kompyuterlar domen uchun bir xil konfiguratsiyaga ega bo'ladi va domen administratorini o'rnatadigan siyosat sozlamalariga bo'ysunishi mumkin. Vykoristannya domenív sizga biznes miqyosida xavfsizlikni prostitsiya qilish imkonini beradi.
• Sxema- Active Directory sxemasi o'rmon chegaralaridagi barcha domenlar tomonidan tasdiqlangan. Konfiguratsiya ma'lumotlarining sxemasi, chunki u strukturani va katalogni o'z ichiga oladi.
• Konfiguratsiya- konfiguratsiya o'rmonning mantiqiy tuzilishini aniqlaydi, masalan, o'rmon chegaralaridagi saytlarning soni va konfiguratsiyasi.
• Global katalog- Tulkini qidirish joyidan yorug'lik katalogini olishingiz mumkin. Global katalog o'rmondagi barcha ob'ektlar to'g'risidagi ma'lumotlarni, shu jumladan ob'ektlarning taqsimlanishi haqidagi ma'lumotlarni o'z ichiga oladi. Okrim ts'ogo, universal guruhlarga a'zolik haqida ma'lumot to'plash uchun global katalog.
• Dovira- Keling, turli domenlarga birgalikda ishlash imkoniyatini beraylik. Domenga ishonmasdan, o'zini haqiqat sifatida ko'rsatish mumkin, shuning uchun A domeniga ega bo'lgan ekspertlar B domenidagi resurslarga kira olmaydi. Agar B domeni A domeniga ishonadigan darajadagi domenlar o'rtasida ishonch o'rnatilgan bo'lsa, koronerlar A domeni bilan B domenidagi resurslarni qabul qilishi va ularga kirishi mumkin, yakshcho hidi mayut v_dpovidni ruxsat etiladi.

Ishonch isbotining uchta asosiy turi mavjud.

• tranzitiv- Domenlar orasidagi tranzitiv havolalar bir xil matnning domenlari o'rtasida avtomatik ravishda yaratiladi. Noxush hid har qanday domenning koristuvachlariga xuddi shu tulkining boshqa istalgan domenining resurslariga kirishdan voz kechishga imkon beradi, chunki koristuvach kirish huquqiga ega bo'lishi mumkin.
• Yorliq- bir xil lisu domenlari o'rtasida ishonchni o'rnatish maqsadi, yaki ishonchni tranzitiv ravishda o'tkazishi mumkin. Shunday qilib, sozlash shved autentifikatsiyasiga va o'rmonning norezident domenlari o'rtasidagi resurslarga kirishni qayta tekshirishga ishonishdir.
• Zovnishni- Zovníshní vídnosinií dovíri turli lísív spílno vikoristovuvat resurslaridan domenlarga ruxsat beradi. Bunday vodnosini doviri tranzitiv emas, shuning uchun hidlar tinch domenlardan ko'proqdir, ular uchun hidlar yaratilgan.

Tayanch atamalarning z’yasuvavshi ma’nolari, keling, tulkining dumbasiga qaraylik. Dali bitta o'rmonni tasvirlaydi, bu ikkita domen daraxti uchun qasos olishdir.

Eskizda aw.net, west.aw.net, east.aw.net va person.net ko‘rsatilgan. aw.net, west.aw.net va east.aw.net domenlari bir xil domen daraxtida joylashgan, badbo'y parchalar bir xil nom maydonini (aw.net) bo'lishadi.

person.net domeni boshqa daraxtda joylashgan, lekin aw.net nom maydonining bir qismida emas. E'tibor bering (imzosiz) east.aw.net domeni chegaralarda OU belgisini ko'rsatadi. OU - tse tashkiliy yordam(tashkiliy birliklar), nizomda ko'rsatilganidek.

Kichkintoydagi o'qlar ishonchning o'tish belgisidir, chunki ular o'rmon chegaralaridagi domenlarni bir-biriga yopishganda avtomatik ravishda yaratiladi. Shuni esda tutingki, aw.net domenining asosiy domenlari (sharq va g'arbiy) person.net domeniga bevosita bog'lanmagan. Nima bo'lishidan qat'iy nazar, ular person.net domeniga ishonishadi.

Ishonch sababi aw.net ning qiz domenlarini tasdiqlashdir. aw.net domenlari person.net domeniga ishonadi, aw.net qiz domenlari ham person.net domeniga ishonadi. Bilasizmi, siz Active Directory domenlarini kichik bolalarga o'xshab ko'rsatishingiz mumkin. badbo'y hid bezzarezhno bizga ishonish, otalar ko'rinadi. Ota sizga boshqa domenga ishonishingiz mumkinligini aytishi bilan, xuddi shunday.

Ale, bolalar va qiz domenlari o'rtasidagi farq shundaki, bolalar domenlari har doim yaxshi ob-havo va otani oziqlantirmaydi.

Active Directory

Active Directory(“Faol kataloglar”, AD) - LDAP- korporatsiyada katalog xizmatini amalga oshirish summasi Microsoft oilaning operatsion tizimlari uchun Windows NT. Active Directory ma'murlarga ish muhiti xavfsizligini ta'minlash uchun guruh siyosatini o'rnatish, shaxsiy bo'lmagan kompyuterlarda dasturiy ta'minot xavfsizligini o'rnatish imkonini beradi. guruh siyosati lekin yordam uchun Tizim markazi konfiguratsiya menejeri(oldin Microsoft tizimlarini boshqarish serveri), kompaniyaning barcha kompyuterlarida operatsion tizim, dastur va server dasturlari yangilanishini o'rnatish, vicorist yangilash xizmati Windows Server . Active Directory sberigaê dannya nalashtuvannya seredovishcha tsentralízovaníy ma'lumotlar bazasi danih. Mereji Active Directory turli o'lchamlarda bo'lishi mumkin: bir necha o'nlab ob'ektlardan bir necha milliongacha.

hurmat Active Directory 1999 yilda chiqarilgan Windows 2000 Server, va keyin chiqarishda o'zgartiramiz va ta'mirlaymiz Windows Server 2003. Zgodom Active Directory qisqarish xati Windows Server 2003 R2, Windows Server 2008і Windows Server 2008 R2 va nomini o'zgartiradi Active Directory domen xizmatlari. Ilgari ma'lumotnoma xizmati chaqirilgan NT katalog xizmati (NTDS), ba'zi fayllardagi fayllarni nomlashim mumkin.

Vídmínu víd verítsyy haqida Windows oldin Windows 2000, asosiy protokolda yakí vikoristovuvali NetBIOS vzaêmodíí̈ birlashtirish uchun, xizmat Active Directory bilan integratsiyalashgan DNSі TCP/IP. Standart autentifikatsiya qilish uchun protokol tuziladi Kerberos. Mijoz yoki dastur autentifikatsiyani qo'llab-quvvatlamaydi Kerberos, protokol NTLM .

Ruhoniylik

Ob'ektlar

Active Directory ob'ektlardan hosil bo'lgan tuzilmani íêrarchíchnu mumkin. Ob'ektlar uchta asosiy toifaga bo'linadi: resurslar (masalan, printerlar), xizmatlar (masalan, elektron pochta) va yozuvlar shakllari va kompyuterlar. Active Directory Ob'ektlar haqida ma'lumot bering, ob'ektlarni tartibga solish, ularga kirishni boshqarish, shuningdek, xavfsizlik qoidalarini o'rnatish imkonini beradi.

Ob'ektlar boshqa ob'ektlar (xavfsizlik guruhlari va rozpovsudzhennya) uchun konteynerlar bo'lishi mumkin. Ob'ekt o'ziga xos tarzda o'z nomiga tayinlangan va bir qator atributlarga ega bo'lishi mumkin - xarakteristikalar va ma'lumotlar, masalan, vinolardan qasos olish mumkin; ostny, uning chergoyu, ob'ektning turida yotish. Ob'ekt strukturasining ombor bazasining atributlari sxemaga beriladi. Sxema ob'ektlar turlaridan qanday foydalanish mumkinligini belgilaydi.

Sxemaning o'zi ikki turdagi ob'ektlardan iborat: sxema sinfi ob'ektlari va sxema atributi ob'ektlari. Har bir sxema sinfiga bitta ob'ekt bitta ob'ekt turini tayinlaydi Active Directory(masalan, "Koristuvach" ob'ekti) va bitta ob'ekt sxema atributiga ob'ektning onasi bo'lishi mumkin bo'lgan atributni belgilaydi.

Atribut terisi ob'ekti turli sxema sinfi ob'ektlari uchun mos kelishi mumkin. Ushbu ob'ektlar sxema ob'ektlari (yoki metama'lumotlar) deb ataladi va sizga kerak bo'lganda sxemani o'zgartirish va qo'shish imkonini beradi. Biroq, sxemaning teri ob'ekti qisman ob'ektlarning belgilanishi hisoblanadi Active Directory ushbu ob'ektlarni kiritish yoki o'zgartirish jiddiy oqibatlarga olib kelishi mumkin, bu o'zgarishlar natijasida tuzilma o'zgaradi. Active Directory. Sxema ob'ektini o'zgartirish avtomatik ravishda kengaytiriladi Active Directory. Bir marta eriydigan bo'lib, sxemaning ob'ektini kamsitib bo'lmaydi va vin simpatikdan kamroq bo'lishi mumkin. Jiddiy rejalashtirilgan sxemalarni o'zgartirish uchun bizga qo'ng'iroq qiling.

Idish o'xshash ob'ekt shu ma'noda, bu sharob ham atributlarga ega va nomlar doirasiga kiradi, lekin ob'ekt nuqtai nazaridan, idish o'ziga xos narsani anglatmaydi: siz boshqa idishlarga ob'ektlar guruhini ham joylashtirishingiz mumkin.

Tuzilishi

Strukturaning yuqori darajasi ê lís - barcha ob'ektlar, atributlar va qoidalar to'plami (atributlar sintaksisi) Active Directory. O'tish bilan bog'langan bir yoki bir nechta daraxtlardan qasos olish uchun vodnosinami doviri . Daraxt bir yoki bir nechta domenlardan o'ch olishdir, ular ham dovirining o'tish aloqalari ierarxiyasi bilan bog'liq. Domenlar DNS nom tuzilmalari - nomlar bo'shliqlari bilan aniqlanadi.

Domendagi ob'ektlarni konteyner yoki ota-ona bo'yicha guruhlash mumkin. Kengaytmalar sizga domen o'rtasida ierarxiya yaratish, ma'muriyatingizni soddalashtirish va kompaniyaning tashkiliy va/yoki geografik tuzilishini modellashtirish imkonini beradi. Active Directory. Pídrozdíli boshqa pídrízililarni kesishi mumkin. Korporatsiya Microsoft Men eng kam domenni vikorist qilishni tavsiya qilaman Active Directory, va bu siyosatning tuzilishi uchun g'oliblar qo'shildi. Ko'pincha, guruh siyosatchilar pídrozdylyv uchun o'zini zastosovuyut. Guruh siyosatlari ob'ektlardir. Men uni eng past arafa bilan yubordim, kimga ma'muriy yordam berilishi mumkin.

Boshqa yo'l bilan men ketdim Active Directoryє saytlar o'lchovdagi segmentlar asosida jismoniy (mantiqiy emas) guruhlash usulida. Saytlar ulanishlarga past kenglikdagi kanallar (masalan, global havolalar orqali, qo'shimcha virtual shaxsiy havolalar uchun) va yuqori kenglikdagi kanallar (masalan, mahalliy havola orqali) orqali ulanadi. Saytda bir yoki bir nechta domenlar bo'lishi mumkin va domenda bir yoki bir nechta veb-saytlar bo'lishi mumkin. Loyihalashda Active Directory saytlar o'rtasida ma'lumotlarni sinxronlashtirishning har bir soatida sodir bo'ladigan trafikni himoya qilish muhimdir.

Dizayndagi asosiy qarorlar Active Directoryí íêarkhíchíchí domeni í podrozdíl verkhniy ryvnya bo'yicha rozpodíl ínformatsiynoíí infrastruktury haqida ê qarori. Bunday sohada g'alaba qozonadigan odatiy modellar kompaniyaning funktsional bo'linmalari, geografik taqsimoti va kompaniyaning axborot infratuzilmasidagi rollari uchun modellardir. Ko'pincha bu modellarning kombinatsiyalarini vikoristovuyut.

Jismoniy tuzilishi va replikatsiyasi

Jismoniy ma'lumotlar bir yoki bir nechta teng domen kontrollerlarida to'planadi, ular almashtirilgan Windows NT domenning asosiy va zaxira kontrollerlari, agar siz ushbu operatsiyalarni bajarmoqchi bo'lsangiz va shuning uchun server nomi "bitta bosh server bilan operatsiyalar" bo'lib, u domenning asosiy boshqaruvchisiga taqlid qilishi mumkin. Domenning teri boshqaruvchisi ushbu yozuvni o'qish uchun tan olingan ma'lumotlarning nusxasini saqlaydi. Bitta kontrollerdagi o'zgarishlar, yangilanishlar replikatsiya paytida barcha domen kontrollerlari bilan sinxronlashtiriladi. Xizmatning o'zi bo'lgan serverlar Active Directory o'rnatilmagan, lekin domenga kirganingizda yaki Active Directory, a'zo serverlar deb ataladi.

Replikatsiya Active Directory so'rov bo'yicha vykonuêtsya. Xizmat Bilimlar izchilligini tekshirgich Tizimga, traffikka tayinlangan g'olib sayt kabi replikatsiya topologiyasini yarataman. Sayt ichidagi replikatsiya ko'pincha yordamchi dasturni qayta tekshirishning qo'shimcha yordami uchun avtomatik ravishda tekshiriladi (hamkorlarni o'zgarishlar haqida replikatsiyalar haqida xabardor qilish uchun). Saytlar orasidagi replikatsiya saytga teri kanaliga qo'llanilishi mumkin (kanal sifatiga depozit) - teri kanaliga boshqa ball (yoki dispersiya) tayinlanishi mumkin (masalan, DS3, , ISDN va hokazo) va replikatsiya trafigini o'rab oladi, tarqatilgandan keyin uzatiladi va tan olingan kanal reytingiga muvofiq yo'naltiriladi. Replikatsiya ma'lumotlari saytdan saytga havola ko'priklari bo'ylab o'tishli tarzda uzatilishi mumkin, shuning uchun "baho" past bo'ladi, AD esa avtomatik ravishda saytdan saytga havolaning pastroq reytingini belgilaydi, o'tish havolalari uchun pastroq. Saytdan saytga replikatsiya teri saytidagi ko'prikli serverlar bilan bog'langan va keyin biz saytingiz domenining teri kontrolleridagi o'zgarishlarni takrorlaymiz. Ichki domen replikatsiyasi protokolga amal qiladi RPC protokol ortida IP, interdomain - siz ham protokolni yutib olishingiz mumkin SMTP.

Tuzilishi qanday Active Directory domen nomidan qasos olish uchun, vazifani bajarish uchun, g'alaba qozonish uchun ob'ektlarni so'rang global katalog: barcha ob'ektlarni tekshirishi kerak bo'lgan, ammo cheklangan atributlar to'plami bilan (to'liq bo'lmagan replika) domen boshqaruvchisi. Katalog global katalogning belgilangan serverlarida va domenlararo so'rovlar uchun xizmatlarda saqlanadi.

Bitta kompyuter bilan ishlash imkoniyati, agar bir nechta kompyuterlar bilan replikatsiya qilish mumkin bo'lmasa, ma'lumotlarni qayta ishlash imkonini beradi. Bunday operatsiyalarning besh turi mavjud: domen boshqaruvchisi bosh emulyatsiyasi (PDC emulyatori), ma'lumotlar identifikatori bosh kompyuteri (old identifikator ustasi yoki RID master), infratuzilma bosh kompyuteri (infratuzilma ustasi), sxema bosh kompyuteri ( sxema ustasi) va domen nomi xost (domen nomi ustasi). Birinchi uchta rol domen chegaralarida noyobdir, qolgan ikkitasi butun o'rmon chegaralarida noyobdir.

asos Active Directory uchta mantiqiy kombinatsiyaga bo'linishi yoki "bo'linishi" mumkin. Sxema shablondir Active Directory va barcha turdagi ob'ektlarni, ularning atributlar sinflarini, atributlar sintaksisini tanlang (barcha daraxtlar bitta daraxtda, shuning uchun ular bitta sxemaga ega bo'lishi mumkin). Yog'och va daraxt tuzilishi bilan konfiguratsiya Active Directory. Domen ushbu domenda yaratilgan ob'ektlar haqidagi barcha ma'lumotlarni oladi. Birinchi ikkita havola o'rmondagi barcha domen kontrollerlarida takrorlanadi, uchinchisi teri domenining chegaralaridagi va ko'pincha global katalog serveridagi kontrollerlarning nusxalari o'rtasida teng taqsimlanadi.

nomi

Active Directory quyidagi obyekt nomlash formatini qo‘llab-quvvatlaydi: universal tip nomlari UNC, URLі LDAP URL manzili. Versiya LDAP X.500 nomlash formati o'rtada baholanadi Active Directory.

Teri ob'ekti bo'lishi mumkin im'ya, scho farq qiladi (inglizcha) taniqli ism, DN). Masalan, printer ob'ekti nomlanadi HPLaser 3"Marketing" bo'limida va foo.org domenida keyingi nom ajratilishi kerak: CN=HPLaser3,OU=Marketing,DC=foo,DC=org - domenga ob'ekt sinfi. Turli nomlar qismlarga qaraganda boyroq bo'lishi mumkin, har bir dumbadagi pastki qismlar. Ob'ektlarning kanonik nomlari ham bor. Teskari tartibda yozilgan, identifikatorlarsiz va distribyutor sifatida muqobil xususiyatlarga ega bo'lgan turli nomlar: foo.org/Marketing/HPLaser3. Idishning o'rtasida joylashgan ob'ektni belgilash uchun Vídnosne vízne im'ya : CN=HPLaser3. Teri ob'ekti global noyob identifikatorga ham ega bo'lishi mumkin ( GUID) - noyob va o'zgarmas 128-bitli qator, unda g'alaba qozonadi Active Directory hazil va replikatsiya uchun. Pevní ob'êkti shunday mayut im'ya ishtirokchi-koristuvach ( UPN, bog'liq holda RFC 822) ob'ekt @ domen formatida.

UNIX bilan integratsiya

vzaêmodííí z da turli xil tenglar Active Directory ko'proq amalga oshirilishi mumkin UNIX-qo'shimcha ilg'or standartlar uchun o'xshash operatsion tizimlar LDAP mijozlar, lekin tizimlar, qoida tariqasida, komponentlar bilan bog'liq bo'lgan atributlarning ko'pini qabul qilmaydi Windows, masalan, guruh siyosati va bir tomonlama vakolatlarni qo'llab-quvvatlash.

Integratsiyani rivojlantirish uchun uchinchi tomon rahbarlari Active Directory platformalarda UNIX, shu jumladan UNIX, linux, MacOS X va bir qator qo'shimchalar asosida Java, mahsulot to'plami bilan:

Sxemaga qo'shimcha, nimadan amalga oshiriladi Windows Server 2003 R2 Yovvoyi tarzda oqlash uchun RFC 2307 bilan chambarchas bog'liq bo'lgan atributlarni o'z ichiga oladi. RFC 2307, nss_ldap va pam_ldap ning tayanch ilovalari PADL.com bezposeredny pídtremuyut í atributlari. Guruhga a'zo bo'lishning standart sxemasi RFC 2307bis (propanatsiya qilingan). Windows Server 2003 R2 atributlarni yaratish va tahrirlash uchun Microsoft yadro konsolini o'z ichiga oladi.

Muqobil variant, masalan, boshqa katalog xizmatidan foydalanishdir 389 katalog serveri(oldin Fedora katalog serveri, FDS), eB2Bcom ViewDS v7.1 XML yoqilgan katalog yoki Sun Java tizimi katalog serveri ko'rinish Quyosh mikrotizimlari, bu ikki tomonlama sinxronlashni o'chiradi Active Directory mijozlar bo'lsa "wedbit" integratsiya bunday martabasini amalga oshirish UNIXі linux autentifikatsiya qilish FDS, va mijozlar Windows autentifikatsiya qilish Active Directory. Ikkinchi variant - Viktoriya OpenLDAP masofaviy server elementlarini kengaytiradigan shaffof qoplamani nomlash imkoniyati bilan LDAP mahalliy ma'lumotlar bazasida saqlanadigan qo'shimcha atributlar.

Active Directory yordam uchun avtomatlashtirish Powershell .

Adabiyot

• Rend Morimoto, Kenton Gardinier, Maykl Noel, Jo Koka Microsoft Exchange Server 2003. Tashqi ko'rinish = Microsoft Exchange Server 2003 ishga tushirildi. - M.: "Uilyams", 2006. - S. 1024. - ISBN 0-672-32581-0

Div. shuningdek

Posilannya

Eslatmalar

Be-yaky pochatkívets, AD qisqartmasi bilan yopishib, ovqatlanishni qo'yish, Active Directory nima? Active Directory - bu domen uchun rozroblen Microsoft katalog xizmati. merezhe Windows. Ko'pgina Windows Server operatsion tizimlariga jarayonlar va xizmatlar to'plami sifatida kiring. Tez orada xizmat kamroq domenlarni egalladi. Biroq, Windows Server 2008 dan boshlab, AD kataloglarga asoslangan autentifikatsiya bilan bog'liq xizmatlarning keng doirasi nomiga aylandi. Chatkívtsyv uchun Active Directory qurish vyvchennya uchun ko'proq maqbuldir.

Asosiy uchrashuv

Active Directory domen katalogi xizmatlari ishlaydigan server domen boshqaruvchisi deb ataladi. Win Windows birlashtirilgan domenidagi barcha ildiz otgan kompyuterlarni autentifikatsiya qiladi va avtorizatsiya qiladi, barcha shaxsiy kompyuterlar uchun zastosovuyuchi xavfsizlik siyosatini tayinlaydi, shuningdek o'rnatish yoki yangilash. dasturiy ta'minot xavfsizligi. Misol uchun, agar koristuvach Windows domeniga kiritilgan kompyuterga kirsa, Active Directory berilgan parolni tekshiradi va uni tizim administratori sifatida o'rnatadi yoki eng katta koristuvach. Shuningdek, u sizga ma'lumotni olish va saqlash, autentifikatsiya va avtorizatsiya mexanizmlarini taqdim etish va boshqa tegishli xizmatlarni tarqatish tuzilmasini yaratish imkonini beradi: sertifikat xizmatlari, federatsiyalangan va osonlashtirilgan katalog xizmatlari va hech qanday huquqlarni boshqarish.

Active Directory LDAP protokollarining 2 va 3-versiyalariga, Microsoft va DNS kabi Kerberos versiyalariga ega.

Active Directory - bu nima? Buklanish uchun meni kechir

Ushbu chora-tadbirlarni hisobga olgan holda - boshning ishchisi. Qoidaga ko'ra, kichik tarmoqlarda qurish qiyin, qoida tariqasida, tarmoqli fayllar va printerlarni qidirish qiyin. O'rta va katta iplar katalogi bo'lmasdan, uni burish mumkin emas va ko'pincha resurslarni qidirishda qiyinchiliklarga duch kelish mumkin.

Old Microsoft versiyalari Windows kotiblar va ma'murlarga ma'lumotlarni bilishga yordam beradigan xizmatlarni o'z ichiga oladi. Merezhev keskin boy o'rtalarida kesilgan, lekin aniq bir kamchilik bilan, ishlov berilmagan interfeysi va yoga inepbility. WINS menejeri va server menejeri tizimlar ro'yxatini ko'rib chiqish uchun tekshirilishi mumkin, ammo ular yakuniy tekshiruvlar uchun mavjud emas edi. Ma'murlar ushbu ma'lumotlarni boshqa turdagi birlashtirilgan ob'ektga qo'shish uchun Foydalanuvchi menejerini yutib oldilar. Qi dasturlari Active Directory kompaniyasida keng tarqalgan oziq-ovqatni chaqiradigan yirik tarmoqlardagi robotlar uchun samarasiz bo'lib chiqdi?

Katalog, eng muhim ma'noda, ê to'liq ro'yxat ob'ektlar. telefon kitobi- bir xil turdagi kataloglar, unda odamlar, korxona va tashkilotlar to'g'risida ma'lumotlar to'planadiularda ismlar, manzillar va telefon raqamlarini qo'ng'iroq qiling. Oziq-ovqat so'rash Active Directory - yaxshi, oddiy so'zlar bilan aytganda, biz bu texnologiya dovidnik o'xshaydi, deb aytish mumkin, lekin u bir dasta bilan boyroq. AD tashkilotlar, saytlar, tizimlar, koristuvachiv, global resurslar va boshqa tarmoq ob'ekti mavjudligi haqida ma'lumot to'playdi..

Active Directory ning asosiy tushunchalari bilan tanishtirish

Nima uchun tashkilotga Active Directory kerak? Active Directory-ga kirishda aytib o'tilganidek, xizmat massiv komponentlari haqida ma'lumot to'playdi."Pochatkivtsiv uchun Active Directory" yordamchisi kimlar haqida ma'lumotga ega mijozlarga o'z nomlari maydonidagi ob'ektlarni bilish imkonini beradi. Tsey t Ermin (shuningdek, konsol daraxti deb ataladi) dantel komponenti kengaytirilishi mumkin bo'lgan mintaqaga keltiriladi. Masalan, kitob muharriri keng doiradagi nomlarni yaratadi, ular uchun ular uni tomonlarning raqamlarigacha bo'lishlari mumkin.

DNS - bu xost nomlari va IP-manzilga ruxsat beruvchi konsol daraxti, ya'nitelefon daftarlari telefon raqamlari uchun ismlarga ruxsat berish uchun nomlar uchun joy beradi. Va u Active Directory bilan qanday ishlaydi? AD birlashtirilgan ob'ektlarning nomlarini ob'ektlarning o'ziga hal qilish uchun konsol daraxtini beradi.Siz chegaradagi koristuvachiv, tizim va xizmatlarni o'z ichiga olgan keng doiradagi ob'ektlarga ruxsat berishingiz mumkin.

Ob'ektlar va atributlar

Active Directory-ni ko'rgan hamma narsa ob'ektdir. Active Directory-da nima borligini oddiy so'zlar bilan aytishingiz mumkin ê be-yaky koristuvach, tizim, resurs chi xizmati. Terminlarning asosiy ob'ektini kuylash mumkin, AD parchalari shaxssiz elementlarni ko'rsatishi mumkin va boy ob'ektlar to'liq shior atributlarida kuylash mumkin. Bu nima degani?

Atributlar Active Directory faol katalogidagi ob'ektlarni tavsiflaydi, masalan, xost nomini tanlash uchun xostning barcha ob'ektlari atributlar bilan birlashtirilishi mumkin. Tse stosuêtsya í̈h inventarizatsiya. Tizimlar ham ob'ektlardir, lekin ular xost nomi, IP manzili va masshtabni o'z ichiga olgan atributlar to'plamiga ega.

Har qanday turdagi ob'ektlar uchun mavjud bo'lgan atributlar to'plami sxema deb ataladi. Von klassi ob'ektlarni o'g'irlash uchun bir vydmínnimi. Sxema ma'lumotlari aslida Active Directory'dan yig'iladi. Shuni ta'kidlash kerakki, xavfsizlik protokolining bunday xatti-harakati muhim, ya'ni sxema ma'murlarga ob'ektlar sinflariga atributlar qo'shish va ularni domendagi biron bir kontrollerni qayta ishga tushirmasdan iloji boricha domen domenlarida tarqatish imkonini beradi. .

LDAP nomli konteyner

Konteyner - bu robot xizmati uchun ishlatiladigan ob'ektning ma'lum bir turi. Vin koristuvach yoki tizim kabi jismoniy ob'ekt emas. Sharoblarning tabiati boshqa elementlarni guruhlash uchun g'alaba qozonadi. Konteyner ob'ektlari boshqa konteynerlarga joylashtirilishi mumkin.

Teri elementida AD ê im'ya. Tse not tí, bunday vizvikli qadar, masalan, Ivan chi Olga. Bu LDAP nomlari. Turli xil LDAP nomlari yig'ilib bo'ladi, lekin ular turidan qat'i nazar, ob'ekt katalogning o'rtasida joylashgan yoki yo'qligini aniq aniqlash imkonini beradi.

Shartlar daraxti va veb-sayt

Terminlar daraxti Active Directory ob'ektlari to'plamini tavsiflash uchun yozilgan. Bu nima? Oddiy so'zlar bilan aytganda, men daraxtga o'xshash birlashmaning yordami uchun tushuntira olaman. Konteynerlar va ob'ektlar íêrarchíchno guruhlangan bo'lsa, hidi igna mog'or moyil bo'lishi mumkin - nomi yulduz. ê uzluksiz pídrevo atamasidan foydalanib, yak daraxtning mustahkam bo'lmagan asosiy stovburiga qadar vídnositsya.

Metaforani davom ettiradigan bo'lsak, "lís" atamasi sukupnistni anglatadi, chunki u bir xil nomlar makonining bir qismi, shuningdek, sxema, konfiguratsiya va yorug'lik katalogi. Ushbu tuzilmalardagi ob'ektlar barcha yadrolar uchun mavjud bo'lib, xavfsizlikni ta'minlaydi. Daraxtning bir o'rmonga guruhlanishiga ko'ra, domenlarning spratlariga bo'lingan tashkilotlar.

Sayt geografik taqsimot bo'lib, Active Directory tomonidan belgilanadi. Saytlar mantiqiy IP-ga to'g'ri keladi va shuning uchun merezhídagi eng yaqin serverni qidirish uchun vikoristovuvatsya plaginlari bo'lishi mumkin. Active Directory-dan ma'lumot olish global tarmoqlardagi trafikni sezilarli darajada kamaytirishi mumkin.

Active Directory boshqaruvi

Active Directory uskuna komponenti - bu koristuvachi. Active Directory boshqaruvi uchun yakuniy vosita. "Ishga tushirish" menyusidagi "Ma'muriy" dasturlari guruhidan to'g'ridan-to'g'ri kirish mumkin. Win Windows NT 4.0 da server menejeri ishini va server menejeri ishini almashtiradi va yaxshilaydi.

Bezpeka

Active Directory Windows uchun kelajakda o'ynaydi. Administratorlar o'z onalarining katalogini yovuz va koristuvachivlardan himoya qilish qobiliyatiga aybdor bo'lib, bir vaqtning o'zida boshqa ma'murlarga vazifani topshiradilar. Qo'shimcha Active Directory xavfsizlik modelidan foydalanish mumkin, masalan, kirishni bloklash ro'yxatini (ACL) katalogdagi ushbu ob'ektning konteyner terisi atributiga bog'lash.

Yuqori darajadagi nazorat ma'murga okremim koristuvachlar va turli tenglik guruhlari uchun ushbu hokimiyat ob'ektlariga ruxsat berish imkonini beradi. Ular ob'ektlarga atributlar qo'shishlari va koristuvachlarning qo'shiq guruhlari atributlarini qo'shishlari mumkin. Misol uchun, siz faqat menejerlar boshqa xodimlarning uy telefonlariga qarashlari uchun ACLni o'rnatishingiz mumkin.

Vakolatli boshqaruv

Windows 2000 Server uchun yangi kontseptsiya vakolatli boshqaruvdir. Tse qo'shimcha kirish huquqlarini bermasdan boshqa koristuvachalar ma'murlarini tanib olish imkonini beradi. Vakolatli ma'muriyat ob'ektlarning nomlari orqali yoki katalogning pastki daraxtiga to'xtovsiz tan olinishi mumkin. Ko'proq pul samarali usul o'lchovlarga ko'ra yana nadannya.

Da Domen ma'murining barcha global huquqlarini tan olish joyi koristuvachevsga faqat qo'shiq subtree doirasida huquqlar berilishi mumkin. Active Directory degradatsiyani rag'batlantiradi, shuning uchun yangi ob'ektlar o'z konteynerining ACL darajasini pasaytiradimi.

"Dovirchi vidnosiny" atamasi

"Dover blues" atamasi, avvalgi kabi, vikoristovuêtsya, lekin funktsional jihatdan farq qilishi mumkin. Bir tomonlama va ikki tomonlama ishonch o'rtasida farq yo'q. Aje barcha dovirchí vídnosini Active Directory ikki tomonlama. Bundan tashqari, barcha hidlar o'tish xususiyatiga ega. Bundan tashqari, agar A domeni B domeniga ishonsa, B domen Cga ishonsa, u avtomatik ravishda A va C domenlari o'rtasidagi ko'k rangga ham ishonadi.

Active Directory auditi - bu oddiy so'z bilan nima? Ushbu xavfsizlik funksiyasi ob'ektlarga kim kirishga harakat qilayotganini, shuningdek, test qanchalik muvaffaqiyatli ekanligini aniqlash imkonini beradi.

Domen nomlari tizimi (DNS) wiki

DNS tizimi boshqa usulda Internetga ulangan har qanday tashkilot uchun zarurdir. DNS mspress.microsoft.com kabi umumiy nomlar va qo'ng'iroq qilish uchun bog'lovchi komponentlar bo'lgan ulashilmagan IP manzillar orasidagi nomlarga ruxsat berishi mumkin.

Active Directory - ob'ektlarni qidirish uchun keng qo'llaniladigan DNS texnologiyasi. Tse sutteva o'zgarishi oldingi operatsiyalarga teng Windows tizimlari Esda tutingki, NetBIOS nomlariga IP manzillar orqali ruxsat beriladi va WINS yoki boshqa NetBIOS nomlarini almashish texnikasiga tayanadi.

Active Directory DNS serverlari bilan solishtirganda yaxshi ishlaydi Keruvannyam Windows 2000. Microsoft ushbu jarayon orqali administratorni boshqarish uchun ma'murlarga DNS serverlariga o'tishni va Windows 2000 ni migratsiya yo'li orqali boshqarishni osonlashtirdi.

Siz boshqa DNS serverlarini buzishingiz mumkin. Biroq, ma'murlar DNS ma'lumotlar bazalarini tekshirish uchun bir soatdan ko'proq vaqt sarflashlari uchun javobgardir. Qanday nuanslar bor? Agar siz Windows 2000 DNS serverlarini bekor qilmaslikni tanlasangiz, DNS serverlaringizni yangi Dinamik DNS yangilash protokoliga o'tkazish uchun javobgarsiz. Serverlar domen kontrollerlarini bilish uchun o'z yozuvlarining dinamik yangilanishiga tayanadi. Bu aniq emas. Aje, eAgar dinamik yangilanishlar bajarilmasa, ma'lumotlar bazasini yangilash qo'lda amalga oshirilishi kerak.

Windows domenlari va Internet domenlari endi yanada dabdabali. Masalan, mspress.microsoft.com kabi im'ya domenga qarab Active Directory domenining boshqaruvchisiga tayinlanadi, shuning uchun DNS ruxsatiga ega har qanday mijoz domen boshqaruvchisini bilishi mumkin.Mijozlar DNS-ni tekshirishga ruxsat berishlari mumkin, Active Directory serverlari yangi dinamik yangilash funksiyasiga yordam berish uchun DNS manzillari ro'yxatini nashr etadilar. Ma'lumotlar domen sifatida tayinlanadi va xizmatning resurs yozuvlari orqali nashr etiladi. SRV RR amal formati xizmat.protokol.domen.

Active Directory serverlari ob'ektni joylashtirish uchun LDAP xizmatini taqdim etadi va LDAP asosiy transport qatlami protokoli sifatida TCP ni bekor qiladi. Shuning uchun mspress.microsoft.com domenidagi Active Directory serveriga ping yuborayotgan mijoz shukatime DNS kirish ldap.tcp.mspress.microsoft.com uchun.

Global katalog

Active Directory global katalogiga (GC) egaNadaê merezhí tashkilotda har qanday ob'ekt bor yoki yo'qligini qidirish uchun bir dzherelo.

Global katalog - bu Windows 2000 Serverdagi xizmat bo'lib, tekshiruvchilarga ob'ektlarga kirish huquqi berilganmi yoki yo'qligini bilish imkonini beradi. Tsya funksionalligi imkoniyatni bekor qiladi Dasturlarni toping Kompyuter, qo'shimchalar oldingi versiyalar Windows. Aje Koristuvachi Active Directory-da istalgan ob'ektni qidirishi mumkin: serverlar, printerlar va koristuvachiv dasturlar.

Active Directory haqida asosiy tushunchalar

Xizmat Active Directory

Kengaytirilgan va kengaytirilgan katalog xizmati Faol Katalog (faol katalog) resurslardan kamroq resurslar bilan samarali foydalanish imkonini beradi.

Faol Ma'lumotnoma - korxona ob'ektlari to'g'risidagi maqsadli tashkil etilgan ma'lumotlar to'plami, bu hazil uchun va ushbu ma'lumotlarni tanlashni ta'minlaydi.. Active ishlaydigan kompyuter Qo'ng'iroq qilingan katalog domen boshqaruvchisi . V Active Directorypov'yazaní barcha ma'muriy vazifalarni mayzhe.

Active Directory texnologiyasi standartga asoslangan Internet protokollari merezhí tuzilishini aniq belgilashga yordam beradi.

Active Directory va DNS

Da Faol Direktoryvikoristovuetsya domen nomlari tizimi.

DomenIsm Tizim, (DNS) - domen atrofidagi kompyuterlar guruhlarini tashkil etadigan standart Internet xizmati.DNS domenlari Internetning asosi bo'lgan ierarxik tuzilishga ega bo'lishi mumkin. Ierarxiyaning turli darajalari kompyuterlarni, tashkilot domenlarini va yuqori darajadagi domenlarni aniqlaydi. DNS shuningdek, masalan, tugunlarning nomlarini o'zgartirish uchun xizmat qiladi z eta.webwork.com raqamli IP-manzil uchun, masalan, 192.168.19.2. DNS-dan foydalanib, Active Directory domen ierarxiyasini Internet maydoniga kiritish mumkin yoki uni mustaqil va izolyatsiya qilingan tashqi kirishdan mahrum qilish mumkin.

Resurslarga kirish uchun domenda zastosovuetsya tugun nomidan tashqarida, masalan zeta.webatwork.com. Bu yergazva boshqalar- shaxsiy kompyuter nomi, veb-ish - tashkilot domeni va com - yuqori darajadagi domen. Yuqori darajadagi domenlar DNS ierarxiyasining asosini tashkil qiladi va deyiladi ildiz domenlari (ildiz domenlari). Ular jug'rofiy jihatdan tashkil etilgan bo'lib, nomlari ikki davlat kodlariga asoslangan (uzRossiya uchun), tashkilot turi bo'yicha (hujayra tijorat tashkilotlari uchun) va tan olish uchun ( mil Viysk tashkilotlari uchun).

Muqobil domenlar, masalan, microsoft.com, chaqirdi Batkivskiy (ota-ona domeni), badbo'y hidlar tashkiliy tuzilmaning asosini qondiradi. Batkiv domenlarini turli filiallar yoki boshqa filiallarning subdomenlariga bo'lish mumkin. Masalan, Sietldagi Microsoft ofisidagi kompyuterdan tashqarida jacob.seattle.microsoft.com dan foydalanishingiz mumkin. , de jakob- kompyuter nomi, seBoshqa - subdomen, microsoft.com esa Batkiv domenidir. Boshqa subdomen nomi - bolalar domeni (bola domen).

Komponentlar Faol Katalog

Active Directory o'lchov komponentlari uchun yagona jismoniy va mantiqiy tuzilishga ega. Active Directory-ning mantiqiy tuzilmalari katalog ob'ektlarini tartibga solishga yordam beradi va ularni bulutli yozuvlar va umumiy resurslar bilan tartibga soladi. Mantiqiy tuzilish oldida quyidagi elementlar yotadi:

tashkiliy birlik (tashkiliy birlik) - kompyuterlarning kichik guruhi, qoida tariqasida, kompaniyaning tuzilishini aks ettiradi;

domen ( domen) - butun ma'lumotlar bazasi katalogini birgalikda yutib yuboradigan kompyuterlar guruhi;

domen daraxti (domen daraxt) - bir yoki bir nechta domen nomlari, nomlar uzilishisiz bitta vikorist kabi;

lis domainiv (domen o'rmoni) - bir yoki daraxtlarning sprat, yaky spylno vikoristovuyut katalog ma'lumotlari.

Jismoniy elementlar to'rning haqiqiy tuzilishini rejalashtirishga yordam beradi. Merezhevy rishtalari va jismoniy kordonlar jismoniy tuzilmalarni qo'llab-quvvatlashda hosil bo'ladi mesh resurslari. Jismoniy tuzilish oldida quyidagi elementlar yotadi:

kichik shahar ( pastki tarmoq) - merezhna guruh íz berilgan maydon IP manzili to'rli niqob bilan;

veb-sayt ( sayt) - Bir yoki bir sprat p_dmerezh. Sayt katalogga kirish va nusxa ko'chirish uchun g'alaba qozondi.

Tashkiliy yordam

Tashkiliy kichik guruhlar (OP) - ko'pincha tashkilotning funktsional tuzilishini aniqlaydigan domenlardagi kichik guruhlar. VP mantiqiy konteynerlarning bir turi bo'lib, unda yozuvlar shakllari, global resurslar va boshqa VPlar joylashgan. Masalan, siz domenda yaratishingiz mumkin microsoftt. com pidrozdili resurslar, IT, Marketing. Potim tsyu sxemasi kengaytirilgan bo'lishi mumkin, schob utrimuval qizi pídrozdyli.

VPda faqat Batkiv domenidan ob'ektlarni joylashtirishga ruxsat beriladi. Masalan, Seattle.microsoft.com domenidagi operatsion tizim domendan o'chirilishi kerak. Ob'ektga narsalarni qo'shingmy. microsoft.com mumkin emas. OP ko'proq moslashuvchan kalıplanmış funktsional yoki biznes tuzilmalari tashkilotlar. Alece uning zastosuvannya uchun yagona sababi emas.

OP butun domenni bloklamasdan domendagi kichik resurslar to'plami uchun guruh siyosatini o'rnatishga ruxsat berilgan. OP yordami uchun domendagi katalogdagi ob'ektlarning ixcham va yanada shifobaxsh deklaratsiyasi mavjud bo'lib, ular resurslardan samaraliroq foydalanishga yordam beradi.

OPlar domendagi resurslarga ma'muriy kirishni boshqarish va boshqarish imkonini beradi, bu esa domen uchun ma'murlar chegarasini belgilashga yordam beradi. Muxbirga faqat bitta OP uchun ma'muriy bekor qilishni o'tkazish va shu bilan birga domendagi barcha OP uchun ma'muriy bekor qilishni muxbirga o'tkazish mumkin.

Domen

Domen Active Directory - bu to'liq ma'lumotlar bazasi katalogini yaratishga qodir bo'lgan kompyuterlarning butun guruhi. Active Directory domen nomlari noyob bo'lishi mumkin. Masalan, sizda ikkita domen bo'lishi mumkin emas microsoft.com yoki microsoft.com bosh domeni, bola domenlari seattle.microsoft.com va my.microsoft.com. Agar domen qisman yopilgan bo'lsa, yangi domenga tayinlangan nom ushbu domendagi asosiy domenlardan biri bilan ziddiyatga ega emas. Yakscho domeni - qism global tarmoq Internet, Internetdagi boshqa asosiy domen nomlari bilan ziddiyatli bo'lishi mening ismimning aybi emas. Internetdagi nomlarning o'ziga xosligini kafolatlash uchun Batkiv domenining nomi yangi ro'yxatdan o'tkazuvchi tashkilot orqali ro'yxatdan o'tkazilishi kerak.

Teri domenida xavfsizlik siyosati va boshqa domenlar bilan ishonchlilik kuchi mavjud. Ko'pgina domenlar jismoniy taqsimotlar soniga ko'ra qismlarga bo'linadi, shuning uchun ular bir qancha saytlardan tashkil topgan va saytlar bir qancha domenlarga birlashtirilgan. Ob'ektlar ma'lumotlar bazasi katalogidan domenga saqlanadi, chunki ular koristuvachlar, guruhlar va kompyuterlar, shuningdek, global resurslar, masalan, printerlar va papkalar uchun yozuvlarning ko'rinishini belgilaydi.

Domenning funktsiyalari o'zaro aralashadi va uning ishlash tartibi bilan tartibga solinadi. Asosiy funktsional rejimlar va domenlar:

aralash rejim Windows 2000 (aralash rejim) - pídtrimuê domen kontrollerlari, yakí píd píd víd keruvannyam Windows NT 4.0, Wi ndows 2000 bu Windows server 2003;

Windows 2000 mahalliy rejimi - pídtremuê domen kontrollerlari, scho píd píd keruvannyam Windows 2000 ta Windows server 2003;

oraliq rejim Windows server 2003 ( vaqtinchalik rejimi) - domen kontrollerlarini qo'llab-quvvatlash Windows NT 4,0 tonna Windows server 2003;

rejimi Windows Server 2003 - domen kontrollerlarini qo'llab-quvvatlash, Windows Server 2003 tekshiruvlarini qanday boshqarish.

Tulkilar va daraxtlar

Teri domeni Faol Katalog mumkin DNS-imom turi microsoft.com. Katalogga ma'lumotlarni to'playdigan domenlar o'rmon (o'rmon) tomonidan tasdiqlangan. O'rmondagi domen nomlari DNS nomlari ierarxiyasiga kiritilgan mos kelmaydigan(uzoq) yoki jami(Qoʻshni).

Nomlar tuzilishini umumlashtira oladigan domenlar domenlar daraxti deyiladi. O'rmonning domenlari son-sanoqsiz DNS-nomlarga ega bo'lishi mumkin bo'lsa ham, o'rmondagi domenlar daraxti atrofida yomon hid paydo bo'ladi. O'rmon oldidan siz bitta daraxt shoxini qo'shishingiz mumkin. Domen tuzilmalariga kirish uchun konsol tan olingan.Faol Katalog- domen va dovira (FaolKatalog Domenlarva ishonch).

O'rmonlarning funktsiyalari o'zaro aralashib ketadi va o'rmonning funktsional rejimi bilan tartibga solinadi. Bunday uchta rejim mavjud:

Windows 2000 - Windows NT 4.0, Windows 2000 va Windows tizimlarida parol bilan himoyalanishni boshqarish bo'yicha domen kontrollerlarini qo'llab-quvvatlash server 2003;

oraliq ( vaqtinchalik) Windows server 2003 - pídtrimuê kontroleri ív, yaí pratsyuyut píd karuvannyam Windows NT 4.0 va Windows Server 2003;

Windows Server 2003 - domen kontrollerlarini qo'llab-quvvatlash, Windows Server 2003 tekshiruvlarini qanday boshqarish.

Eng so'nggi Active Directory xususiyatlari mavjud Windows rejimi Server 2003. Ushbu rejimda barcha domenlar qo'llanilganligi sababli siz global kataloglarning qisqargan replikatsiyasini (aylanishini) tezlashtirishingiz va Active Directory ma'lumotlarini yanada samaraliroq takrorlashingiz mumkin. Shuningdek, sxemaning sinf atributlarini kiritish, dinamik qo'shimcha sinflarni o'zgartirish, domen nomini o'zgartirish va chapda bir tomonlama, ikki tomonlama va o'tishli dovirchi ko'k rangda yaratish mumkin.

Saytlar va pídmerezhi

Veb-sayt - Atrof-muhitning jismoniy tuzilishini rejalashtirish uchun g'olib bo'lgan bir yoki boshqa IP bo'linmalaridagi kompyuterlarning butun guruhi. Saytni rejalashtirish domenning mantiqiy tuzilishidan mustaqil. Active Directory sizga bir domenda yoki ko'plab domenlarni o'z ichiga olgan bitta saytda anonim saytlar yaratish imkonini beradi.

Saytlar, binolar va IP-manzilning boshqa joylari ko'rinishida siz IP-manzil maydonini va chegara niqobini o'rnatishingiz mumkin. P_dmerezh nomlari format bilan ko'rsatilgan mash/bit niqobi, masalan, 192.168.19.0/24, demarkatsiya manzili 192.168.19.0 va demarkatsiya maskasi 255.255.255.0 192.168.19.0/24 nomi bilan birlashtirilgan.

Kompyuterlar saytlarga yoki pdmerezhídagi roztashuvannyadagi kuzda yoki pdmerezh to'plamiga tegishli. Binolardagi kompyuterlar qanday qilib yuqori tezlikda o'zaro bog'lanadi, ular deyiladi yaxshi pov'yazanimi (yaxshi ulangan).

Ideal holda, saytlar kompyuterlar va kompyuterlar o'rtasida yaxshi aloqalar bilan qurilgan. Garniy zv'yazok saytlarga deyaki perevagi beradi.

Mijoz domenga kirganda, autentifikatsiya jarayoni domenning mahalliy boshqaruvchisidan mijozning veb-saytiga so'raladi, ya'ni mahalliy kontrollerlar birinchi bo'lib chegara trafigini kesib o'tuvchi va autentifikatsiyani tezlashtiradigan mahalliy kontrollerlardan foydalanishi mumkin.

Katalog ma'lumotlari ko'pincha takrorlanadi o'rtasida saytlar, pastroq mizh saytlar. Bu transchegaraviy trafikni kamaytiradi, replikatsiyaga qo'ng'iroq qiladi va mahalliy domen kontrollerlari yangilangan ma'lumotlarni avtomatik ravishda o'chirib tashlashini ta'minlaydi.

Yordam uchun katalogga ma'lumotlarni takrorlash tartibini sozlashingiz mumkin veb-sayt havolasi (sayt havolalari). Masalan, belgilang ko'prikli server (ko'prik boshi) saytlar o'rtasida replikatsiya qilish uchun.

Sa'y-harakatlarning asosiy qismi bir xil serverdagi saytlar o'rtasida replikatsiya qilish va sayt uchun mavjud server bo'lmaslikdir. Veb-sayt bu p_dmerezh_ konsolda nalashtovatsya Active Directory - saytlar va xizmatlar(Active Directory saytlari va xizmatlari).

Domenlar bilan robot Active Directory

O'lchovda Windows server 2003 yil xizmat FaolKatalognalashtovuetsya bir soatDNS. Prote domenlari Active Directory va DNS domenlari boshqacha tan olinishi mumkin. Active Directory domenlari bulutli yozuvlar, resurslar va resurslar bilan to'ldiriladi.

DNS domeni ierarxiyasi nomlarni hal qilish uchun bosh daraja sifatida tan olingan.

Butun dunyo bo'ylab Windows XP Professional va Windows 2000. domenlar ro'yxati ostida ishlaydigan Active Directory yaratish kompyuterlarining yutuqlari bilan tezlashing. Qi vodnosiny vakolatli koristuvachamga har qanday lisu domenidagi resurslarga kirishni rad etishga imkon beradi.

Tizim Windows Server 2003 domen boshqaruvchisi yoki a'zo server sifatida ishlaydi. Active Directory o'rnatilgandan so'ng qator serverlari kontrollerlarga aylanadi; Controllers Active Directory o'chirilgandan so'ng oddiy serverlarga tushiriladi.

Vikonu jarayonidan xafa Active Directory o'rnatish ustasi. Domenda bir nechta kontrollerlar bo'lishi mumkin. Ular kilkom ustalari bilan replikatsiya modeli katalogining ma'lumotlarini o'zaro takrorlaydilar, chunki bu teri boshqaruvchisiga katalogning o'zgarishini qayta ishlashga imkon beradi, bu buv ularni boshqa kontrollerlarga o'tkazadi. kilkom gospodars tuzilishi rahbarlari umovchannyam uchun barcha inspektorlari teng hayotiy bo'lishi mumkin. Vtym, siz domenning ba'zi kontrollerlariga bir xil zavdannyada boshqalarga ustunlik berishingiz mumkin, masalan, boshqa saytlardagi katalogga ma'lumotlarni ko'paytirishda ustuvor bo'lishi mumkin bo'lgan ko'prikli serverni yaratishingiz mumkin.

Bundan tashqari, etakchining rahbarlari ko'rilgan serverda g'alaba qozonishlari yaxshiroqdir. Muayyan turdagi vazifani bajaradigan server chaqiriladi operatsiyalar ustasi (operatsiya ustasi).

Domenga kelgan Windows 2000, Windows XP Professional va Windows Server 2003 operatsion tizimlarida ishlaydigan barcha kompyuterlar uchun Active Directory ob'ektlarini ko'rib chiqishdan boshlab boshqa resurslarga o'xshab saqlanadigan yozuv shakllari yaratiladi. Kompyuterlarning bulutli yozuvlari ma'lum resurslarga kirish uchun xizmat qiladi, birinchi kompyuter o'z-o'zidan domenga kirishni rad etadi. oblikovogo rekord, Vín obov'yazkovo autentifikatsiya protsedurasidan o'tadi.

Katalog tuzilishi

Katalogga ma'lumotlar koristuvachlar va kompyuterlar orqali umid qiladi danihning yig'ilishi (ma'lumotlar do'konlari) global kataloglar (globalkataloglar). Ko'proq xususiyatlarni xohlaysizFaolKatalogMa'lumotlar to'plami bir-biriga bog'langan, global kataloglar (GC) kamroq ahamiyatga ega emas, tizimga kirish va ma'lumot qidirish uchun parchalar yig'iladi. CC mavjud bo'lmasa ham, asosiy koristuvach domenga kira olmaydi. Aqlni aylanib o'tishning yagona yo'li bu a'zolikning mahalliy keshidir universal guruhlar.

Barcha Active Directory ma'lumotlariga kirish xavfsizlik bilan himoyalangan katalogga kirish protokoli (Katalog kirishprotokollar) bu replikatsiya (replikatsiya).

Replikatsiya ma'lumotlar yangilanishlarini kontrollerlarga kengaytirish uchun zarur. Innovatsiyani kengaytirishning asosiy usuli - kilkom hukmdorlari bilan takrorlash, so'ngra deyakí zmíni kamroq ixtisoslashgan kontrollerlar tomonidan qayta ishlanadi. operatsiyalar ustalari (operatsiya ustalari).

Windows Server 2003 da vikonannya replikatsiya z kílkom gospodarami usuli ham o'zgaruvchan xatolar paydo bo'ladi. katalog taqsimoti qo'shimchalar (ilovakatalogbo'limlar). Tizim ma'murlari yordami uchun ular o'rmon domenlarida replikatsiyalar yaratishlari mumkin, masalan, mantiqiy tuzilmalar, domenlardan ko'p bo'lmagan vikorativ replikatsiya. Misol uchun, siz DNS ma'lumotlarini domen chegaralarida takrorlash uchun ma'lum bo'lgan tarqatishni yaratishingiz mumkin. Boshqa tizimlar uchun domen DNS ma'lumotlarini takrorlashdan bloklangan.

Biz qo'shimchalar katalogini tarqatdik, lekin mumkin bola elementi domen, boshqa qo'llaniladigan filialning pastki elementi yoki domenlar ro'yxatidagi yangi daraxt. Tarqatish replikalarini har qanday Active Directory domen boshqaruvchisida, shu jumladan global kataloglarda joylashtirishga ruxsat beriladi. Katta domenlar va o'rmonlarda qo'shimcha hujjatlar katalogini tarqatmoqchi bo'lgan badbo'y hid rejalashtirish, boshqarish va qo'llab-quvvatlash xarajatlarini oshiradi.

Danihning xazinasi

Active Directory katalog xizmatining eng muhim ob'ektlari - ommaviy yozuvlar, global resurslar, OP va guruh siyosatlari haqidagi ma'lumotlar to'plami. Ba'zi joylarda ma'lumotlar yig'ish oddiygina chaqiriladi katalog (Katalog). Domen boshqaruvchisida katalog NTDS.DIT ​​faylidan saqlanadi, u Active Directory o'rnatish vaqtiga qarab o'zgaradi (NTFS disk bo'lishi mumkin). Katalog uchun haqiqiy ma'lumotlar asosiy katalogdan tashqari saqlanishi mumkin, masalan, SYSVOL global tizim resursida qayd etilgan guruh siyosatlari, stsenariylar va boshqa ma'lumotlar.

Yotoqxonadagi katalogga berilgan ma'lumotlar deyiladi nashr (nashr qilish). Masalan, chekka devorni ishlatish uchun printerni ishga tushirish, uni nashr etish; toshcho papkasi haqidagi ma'lumotlarni e'lon qiladi. Domen kontrollerlari kilkom gospodarlari bilan sxema uchun shovischidagi o'zgarishlarning ko'pini takrorlaydi. Kichik yoki o'rta tashkilotning ma'muri kamdan-kam hollarda to'plamning takrorlanishini boshqaradi, parchalar avtomatik ravishda yaratiladi, ammo siz uni shahar arxitekturasining o'ziga xos xususiyatlariga mos ravishda sozlashingiz mumkin.

Katalogdagi barcha ma'lumotlar takrorlanmaydi, faqat:

Domen ma'lumotlari - domendagi ob'ektlar, shu jumladan ommaviy yozuvlar ob'ektlari, global resurslar, OP va guruh siyosatlari haqidagi ma'lumotlar;

Ma'lumotlar konfiguratsiyasi - katalog topologiyasi haqida ma'lumot: foydalanilgan domenlar, daraxtlar va fayllar ro'yxati, shuningdek, GC kontrollerlari va serverlarini qayta ko'rib chiqish;

Sxema ma'lumotlari - katalogda saqlanishi mumkin bo'lgan barcha ob'ektlar va ma'lumotlar turlari haqida ma'lumot; Bulutli yozuv ob'ektlarini, umumiy manba ob'ektlarini va boshqalarni tavsiflash uchun standart Windows Server 2003 sxemasi yangi ob'ektlarni aniqlash yoki asosiy ob'ektlar uchun atributlar qo'shish orqali kengaytirilishi mumkin.

Global katalog

Mahalliy a'zolikni qanday olish mumkin Universal guruhlar o'tkazilmaydi, birlashishga kirish Markaziy Qo'mita tomonidan berilgan universal guruhga a'zolik to'g'risidagi ma'lumotlarga asoslanadi.

Vín shuningdek, o'rmondagi barcha domenlarda kataloglarni xavfsiz qidirish. Nazoratchi, g'olib rol GK server, o'z domenining katalogidagi barcha ob'ektlarning to'liq nusxasini va o'rmondagi boshqa domenlardagi ob'ektlarning shaxsiy nusxasini oladi.

Tizimga kirish uchun ushbu so'rov ob'ektlarning deyaki organlaridan ko'proq narsani talab qiladi, shaxsiy nusxalardan foydalanish mumkin. Shaxsiy nusxani yaratish uchun replikatsiya qilishda kamroq ma'lumotlarni uzatish kerak, bu esa tarmoq trafigini kamaytiradi.

GK reklama serverining orqasida domenning birinchi boshqaruvchisi joylashgan. Domenda faqat bitta kontroller mavjud bo'lganligi sababli, GC server va domen boshqaruvchisi bir xil serverdir. Tizimga kirish uchun ro'yxatdan o'tish vaqtini tezlashtirish va qidiruvni tezlashtirish uchun siz GKni boshqa kontrollerga ko'chirishingiz mumkin. Teri sayt domenida bitta HA yaratish tavsiya etiladi.

Muammoni hal qilishning bir necha yo'li. Tushunarli, siz masofaviy ofisda domen boshqaruvchilaridan biri uchun GC serverini yaratishingiz mumkin. Eng qisqa yo'l - Fuqarolik Kodeksining serveri uchun xiyobonlar sonini ko'paytirish, robot server vaqti uchun qo'shimcha resurslardan foydalanish mumkin.

Muammoni hal qilishning yana bir yo'li mahalliy universal guruhlarga a'zolikni keshlashdir. Har qanday domen boshqaruvchisi uchun siz GC serveriga bormasdan tizimga mahalliy kirish so'rovini yuborishingiz mumkin. Tse tizimga kirish jarayonini tezlashtiradi va shahar serveri uyg'un holda chiqqan vaqt uchun vaziyatni osonlashtiradi. Bundan tashqari, bu sodir bo'lganda, replikatsiya trafigi kamayadi.

Buning o'rniga, butun Fuqarolik Kodeksini vaqti-vaqti bilan har bir chora-tadbirlarda yangilash uchun universal guruhga a'zolik haqidagi keshdagi ma'lumotlarni yangilash kifoya. Aktsiyalar uchun teri yangilanishlari ertalab soat 8:00 da universal guruhga a'zolikning mahalliy keshi yutib olingan teri nazoratchisi domenida joylashtiriladi.

A'zolik Teri joyi uchun individual ravishda universal guruh. Tasavvur qilaylik, sayt jismoniy tuzilma bo'lib, u yoki bu misoldan iborat bo'lib, IP-manzil va niqobni terish uchun ishlatilishi mumkin. Domen boshqaruvchisi Windows Server 2003 va Fuqarolik kodeksi, bunday badbo'ylik qadar, bir saytida perebuvat sizga bog'liq. Qoida tariqasida, bir nechta saytlar mavjud, shuning uchun siz ularning terisini mahalliy darajada yaxshilashingiz mumkin. Bundan tashqari, agar siz Windows Server 2003 o'rmon rejimida ishlaydigan Windows Server 2003 domenining bir qismi bo'lgan saytga kirsangiz.

Active Directory-da replikatsiya

Katalog uchun uchta tur hisobga olinadi: domenga berilgan, sxemaga berilgan va konfiguratsiyaga berilgan. Domenga oid ma'lumotlar domenning barcha kontrollerlariga takrorlanadi. Teng domenning foydali kontrollerlari, tobto. har qanday domen boshqaruvchisidan kiritilgan barcha o'zgarishlar barcha boshqa domen kontrollerlariga takrorlanadi. Bundan tashqari, alohida sohaning barcha ob'ektlari va ob'ektlar vakolatlarining bir qismi Markaziy Qo'mita tomonidan takrorlanadi. Bu shuni anglatadiki, domen boshqaruvchisi chi daraxti daraxti sxemasini, chi daraxtidagi barcha domenlar uchun konfiguratsiya ma'lumotlarini va quvvat domeni uchun barcha katalog ob'ektlari va vakolatlarini saqlaydi va takrorlaydi.

LAN uchun sxema ma'lumotlarini, LANdagi barcha domenlar uchun konfiguratsiya ma'lumotlarini va LANdagi katalogdagi barcha ob'ektlar uchun vakolatlar to'plamini yumshatish va takrorlash uchun GC saqlangan domen uchun boshqaruvchi (faqat replikatsiya qilishda). GK serverlari o'rtasida), shuningdek domeningiz uchun barcha ob'ektlar katalogi va vakolatlari.

Replikatsiyaning mohiyatini tushunish uchun yangi qatorni o'rnatish uchun bunday stsenariyni ko'rib chiqaylik.

1. Domenda Va birinchi kontroller o'rnatildi. Server domen uchun yagona boshqaruvchi hisoblanadi. Vín ê í GC server tomonidan. Bunday o'lchovda replikatsiya yo'q, boshqa kontrollerlarning izlari yo'q.

2. Domenda Va yana bir kontroller o'rnatiladi va replikatsiya boshlanadi. Siz bitta kontrollerni infratuzilma menejeri, ikkinchisini esa CC serveri sifatida belgilashingiz mumkin. Infratuzilma egasi Markaziy Qo'mitaning yangilanishlarini va ob'ektlarni o'zgartirish bo'yicha so'rovlarini kuzatib borishi. Huquqbuzar kontrollerlar ham ushbu sxema va konfiguratsiyalarni takrorlaydi.

3. Domenda Va uchinchi kontroller o'rnatilmoqda, buning uchun GK yo'q. Infratuzilma egasi CC yangilanishlarini kuzatib boradi, ob'ektlarni o'zgartirishni so'raydi va keyin uchinchi domen boshqaruvchisiga o'zgartirishni takrorlaydi. Uchala kontroller ham ushbu sxemalar va konfiguratsiyalarni takrorlaydi.

4. Yangi B domeni yaratildi, yangisiga kontrollerlar qo'shildi. A va B domenidagi DC serverlari barcha sxema va konfiguratsiya ma'lumotlarini, shuningdek teri domenidan 3-domen uchun bir nechta ma'lumotlarni takrorlaydi. A domenida replikatsiya yuqorida tavsiflanganidek davom etadi, bundan tashqari replikatsiya B domenining o'rtasidan boshlanadi.

FaolKatalogі LDAP

Lightweight Directory Access Protocol (LDAP) TCP/IP tarmoqlari uchun standart Internetga ulanish protokoli hisoblanadi. LDAP eng kichik oynalardan katalog xizmatlariga kirish uchun maxsus ishlab chiqilgan. LDAP shuningdek, ushbu ma'lumotni katalogdan olish uchun ishlatiladigan aniqlangan operatsiyalarga ega.

Mijozlar Active Directory, Active Directory ishlaydigan vyazka z kompyuterlari uchun LDAP zastosovuyut, o'lchov yoki umumiy resurslarni qidirishda teriga kirishda. LDAP kataloglarni ulash va boshqa katalog xizmatlaridan Active Directoryga o'tishni osonlashtiradi. Yakunlashni yaxshilash uchun siz Active Directory xizmatlarining interfeysini burishingiz mumkin (FaolKatalog Xizmat- Interfeyslar, ADSI).

Operatsiya ustasining rollari

Operatsiya ustasi topshiriqni buzmoqda, chunki u hukmdorlarning kilkomidan takrorlash modellarini qo'lsiz buzadi. Operatsiyalar ustasining beshta roli mavjud bo'lib, ular bitta domen boshqaruvchilariga tayinlanishi mumkin. Ba'zi rollar faqat teng asosda noyob bo'lishi mumkin, aks holda domenga teng. Active Directory dermal varaqasi quyidagi rollarga ega:

Gospodar sxemalari (sxema ustasi) - katalog sxemasiga yangilanishlar va o'zgartirishlar bilan. Sxemani yangilash uchun katalog sxema boshqaruvchisiga kirishni talab qiladi. Qaysi serveringiz borligini aniqlash uchun Schob soat berilganê domendagi sxemaning xo'jayini, buyruq qatorini ochish va kiritish uchun etarli: dsquery server -egafsmo sxema.

Gospodar imenuvannya domeniv (domen nomlash ustasi) - keruê tulkiga domen qo'shish va qo'shish. Domenni qo'shish yoki o'chirish uchun sizga domen menejeriga kirishingiz kerak. Qaysi server domen nomining ustasi ekanligini aniqlash uchun buyruq qatoriga kirish kifoya: dsquery server -egafsmo nomi.

Rollarning soni, butun o'rmon uchun yotoq xonalari yangi o'ziga xos tarzda bo'lishi mumkin.

Active Directory teri domenida shunday rollar mavjud.

Tashqi identifikatorlar ustasi (nisbiy ID master) - Domen kontrollerlariga identifikatorlarning ko'rinishini ko'rish. Shhorazu pid soati obektni yaratish koristuvach, groupi Aks holda, boshqaruvchi kompyuteri xavfsizlik identifikatori nazoratchisi tomonidan ko'rilganidek, ushbu noyob identifikatorning domeniga xavfsizlik identifikatoridan tashkil topgan noyob xavfsizlik identifikatori ob'ektini tayinlaydi. Ma'lum bir soat uchun qaysi server domendagi eng yaxshi identifikatorlar hukmdori ekanligini belgilash uchun buyruq qatori uchun etarli: dsqueryserver-egafsmoqutulish.

PDC emulyatori (PDC emulyatori) - oraliq rejimning o'zgartirilgan rejimida domen Windows NT domenining bosh boshqaruvchisi hisoblanadi. Vín authentifikuê vhíd vhíd Windows NT, problyaê zmení parol va PDC-da yangilanishni takrorlang. Ma'lum bir soat uchun serverni buyruq satrining yuqori qismida mavjud bo'lgan domendagi PDC emulyatori sifatida belgilash uchun. dsquery server - hasfsmo pdc.

Gospodar infratuzilmasi (infratuzilma usta ) - ob'ektga joylashtirishni yangilash, katalogingiz ma'lumotlarini Fuqarolik kodeksi ma'lumotlariga moslashtirish. Ma'lumotlar eskirgan bo'lsa ham, GC yangilanishi va domendagi boshqa kontrollerlarga takrorlanishi kerak. Qaysi server domendagi infratuzilmaning xosti ekanligini belgilash uchun buyruq satridan foydalanish mumkin va kiriting dsqueryserver-hasfsmo infr.

Rollar soni, butun domen uchun spilny, yangi noyob bo'lishi mumkin. Boshqacha qilib aytganda, teri domeni uchun faqat bitta tashqi identifikator ustasini, bitta PDC emulyatorini va bitta infratuzilma ustasini qurish mumkin.

Operatsiyalar egasining rollarini chaqirish avtomatik ravishda tayinlanadi yoki siz ularni qayta tayinlashingiz mumkin. Yangi tizimni o'rnatish soati ostida operatsiyalar ustasining barcha rollari birinchi domenning birinchi boshqaruvchisini oladi. Agar yangi domen keyinroq yaratilsa yoki yangi daraxtning ildiz domeni yaratilsa, operatsiyalar ustasining roli ham avtomatik ravishda birinchi domen boshqaruvchisiga tayinlanadi. Yangi domen nomi domen nazoratchisida operatsiyalar ustasining barcha rollari domen boshqaruvchisiga tayinlangan. Ushbu lisi uchun yangi domen yaratilganligi sababli, uning boshqaruvchisiga vodnosnyh identifikatorlari egasi P emulyatori rollari beriladi.DBu infratuzilma ustasi bilan. Sxemaning xo'jayini va domenlar nomining xo'jayini rollari birinchi domen lisu tomonidan yoziladi.

Domenda faqat bitta kontroller bo'lgani uchun u operatsiyalar ustasining barcha rollarini bajaradi. O'lchovda faqat bitta sayt mavjud bo'lganligi sababli, hukumat operatsiyalarining standart taqsimoti maqbuldir. Domen va domenlarga kontrollerlarni qo'shish dunyosida operatsiyalar ustalarining rollarini boshqa domen kontrollerlariga o'tkazish kerak.

Agar domenda ikki yoki undan ortiq kontrollerlar mavjud bo'lsa, operatsiyalar ustasining rollarini boshqarish uchun domen uchun ikkita kontrollerni o'rnatish tavsiya etiladi. Masalan, domen uchun bitta kontrollerni asosiy operatsiyalar ustasi, ikkinchisini esa asosiysi ishlayotgan paytda zarur bo'lgan zaxira sifatida belgilang.

Ma'muriyat Active Directory

CActive Directory xizmati yordamida kompyuterlarning bulutli yozuvlari yaratiladi, domenga ulanishlar amalga oshiriladi, kompyuterlar boshqariladi, domen kontrollerlari va tashkiliy sub-profillar (OP).

Keruvannya Active Directory uchun zasobi administruvannya podtrimki tan olingan. Amalga oshirish vositalarining ostiga ishora qiling va MMC konsolining qo'shimcha qurilmalariga qarang (Microsoft boshqaruvKonsol):

Active Directory Foydalanuvchilar va Kompyuterlar) keruvati koristuvachami, guruhlar, kompyuterlar va tashkiliy birliklar (OP) imkonini beradi;

Faol Katalog- domen va dovira ( Faol Katalog Domenlarva Ishonchlar ) domenlar, domen daraxtlari va domen o'rmonlari bilan ishlashga xizmat qiladi;

Active Directory - saytlar іxizmatlar (Active Directory saytlari va xizmatlari) keruvati saytlari va submerzhami imkonini beradi;

Natijada siyosat (Siyosat to'plami) vikoristovuêtsya koristuvachaning joriy siyosatini yoki siyosatdagi o'zgarishlarni rejalashtirish tizimini ko'rib chiqish.

Da Microsoft Windows 2003 Server ushbu qo'shimcha dasturlarga to'g'ridan-to'g'ri Ma'muriy asboblar menyusidan kirishi mumkin.

Boshqaruvning yana bir vazifasi - jihozlar Sxema FaolKatalog (Faol Katalog sxema) - katalog sxemasini tahrirlash va o'zgartirish imkonini beradi.

Buyruqlar qatori yordamchi dasturlari Faol Katalog

Keruvannya ob'ektlari uchun Faol Katalog Keng ma'muriy vazifalarni bajarishga imkon beruvchi buyruq qatorlarini o'rnating:

DSADD - qo'shish Faol Katalog kompyuterlar, kontaktlar, guruhlar, VP va koristuvachiv.

DSGET - kompyuterlar, kontaktlar, guruhlar, OPlar, koristuvachivlar, saytlar, bo'linmalar va serverlarning quvvatini tekshirish, ro'yxatdan o'tish Faol Katalog.

DSMOD - ro'yxatdan o'tgan kompyuterlar, kontaktlar, guruhlar, OPlar, muxbirlar va serverlarning quvvatini o'zgartirish Faol Katalog.

DSMOVE - bitta ob'ektni domen chegaralarida yangi joyga ko'chirish yoki ob'ektni ko'chirmasdan o'zgartirish.

DSQXJERY - kompyuterlar, kontaktlar, guruhlar, VP, koristuvachiv, saytlar, pdmerezh va serverlar uchun qidiruv yaratish. Faol Katalog berilgan mezonlar uchun.

DSRM - dan ob'ektni ko'ring Faol Katalog.

NTDSUTIL - sayt, domen yoki server, keruvati haqidagi ma'lumotlarni ko'rib chiqish imkonini beradi operatsiyalar ustalari (operatsiyalar ustalar) ma'lumotlar bazasiga xizmat ko'rsatadiganFaol Katalog.