Active Directory – що це простими словами для чайників і початківців, настройка і установка на Windows Server 2008, делегування AD

Active Directory (AD) — це службові програми, розроблені для операційної системи Microsoft Server. Спочатку створювалася як полегшеного алгоритму доступу до каталогів користувачів. З версії Windows Server 2008 з’явилася інтеграція з сервісами авторизації.

Дає можливість дотримуватися групову політику, яка застосовує однотипність параметрів і на всіх підконтрольних ПК за допомогою System Center Configuration Manager.

Якщо простими словами для початківців – це роль сервера, яка дозволяє з одного місця управляти всіма доступами та дозволами в локальній мережі

Функції і призначення

Microsoft Active Directory (так званий каталог) пакет коштів, що дозволяє проводити маніпуляції з користувачами і даними мережі. Основна мета створення – полегшення роботи системних адміністраторів у великих мережах.

Каталоги містять у собі різну інформацію, що відноситься до юзерам, групами, пристроям, файловим ресурсів — одним словом, об’єктів. Наприклад, атрибути користувача, які зберігаються в каталозі повинні бути наступними: адреса, логін, пароль, номер мобільного телефону і т. д. Каталог використовується в якості точки аутентифікації, з допомогою якої можна дізнатися потрібну інформацію про користувача.

Основні поняття, що зустрічаються в ході роботи

Існує ряд спеціалізованих понять, які застосовуються при роботі з AD:

  1. Сервер – комп’ютер, що містить всі дані.
  2. Контролер – сервер з роллю AD, який обробляє запити від людей, що використовують домен.
  3. Домен AD — сукупність пристроїв, об’єднаних під одним унікальним ім’ям, одночасно використовують загальну базу даних каталогу.
  4. Сховище даних — частина каталогу, що відповідає за зберігання та вилучення даних з будь-якого контролера домену.

Як працюють активні директорії

Основними принципами роботи є:

  • Авторизація, за допомогою якої з’являється можливість скористатися ПК в мережі, просто ввівши особистий пароль. При цьому, вся інформація з облікового запису переноситься.
  • Захищеність. Active Directory містить функції розпізнавання користувача. Для будь-якого об’єкта мережі можна віддалено, з одного пристрою, виставити потрібні права, які будуть залежати від категорій і конкретних користувачів.
  • Адміністрування мережі з однієї точки. Під час роботи з Актив Директор сисадміну не потрібно заново налаштовувати всі ПК, якщо потрібно змінити права на доступ, наприклад, до принтера. Зміни проводяться дистанційно і глобально.
  • Повна інтеграція з DNS. З його допомогою ОГОЛОШЕННЯ не виникає путаниц, всі пристрої позначаються точно так само, як і у всесвітній павутині.
  • Великі масштаби. Сукупність серверів здатна контролюватися однією Active Directory.
  • Пошук здійснюється за різними параметрами, наприклад, ім’я комп’ютера, логін.

Об’єкти і атрибути

Об’єкт — сукупність атрибутів, об’єднаних під власною назвою, що представляють собою ресурс мережі.

Атрибут — характеристики об’єкта в каталозі. Наприклад, до таких відносяться ПІБ користувача, його логін. А ось атрибутами облікового запису ПК можуть бути ім’я цього комп’ютера і його опис.

Як переглянути і завантажити фотографії з iCloud на комп’ютер

Приклад:

«Співробітник» – об’єкт, який володіє атрибутами «ПІБ», «Посада» і «ТабN».

Контейнер і ім’я LDAP

Контейнер — тип об’єктів, які можуть складатися з інших об’єктів. Домен, наприклад, може включати в себе об’єкти облікових записів.

Основне їх призначення — упорядкування об’єктів за видами ознак. Найчастіше застосовують контейнери для групування об’єктів з однаковими атрибутами.

Майже всі контейнери відображають сукупність об’єктів, а ресурси відображаються унікальним об’єктом Active Directory. Один з головних видів контейнерів AD — модуль організації, або OU (organizational unit). Об’єкти, що поміщаються в цей контейнер, належать тільки домену, в якому вони створені.

Полегшений протокол доступу до каталогів (Lightweight Directory Access Protocol, LDAP) — основний алгоритм підключень TCP/IP. Він створений з метою знизити кількість нюанс під час доступу до служб каталогів. Також, у LDAP встановлено дії, що використовуються для запиту і редагування даних каталогу.

Дерево та сайт

Дерево доменів – це структура, сукупність доменів, які мають загальні схему і конфігурацію, які утворюють загальний простір імен і пов’язані довірчими відносинами.

Ліс доменів – сукупність дерев, пов’язаних між собою.

Сайт — сукупність пристроїв в IP-підмереж, що представляє фізичну модель мережі, планування якої відбувається незалежно від логічного представлення його побудови. Active Directory має можливість створення n-ного кількості сайтів або об’єднання n-ного кількості доменів під одним сайтом.

Встановлення та налаштування Active Directory

Тепер перейдемо безпосередньо до налаштування Active Directory на прикладі Windows Server 2008 (на інших версіях процедура ідентична):

  • Першим ділом потрібно присвоїти статичний IP комп’ютера з встановленим Windows Server Потрібно перейти в меню «Пуск» — «Панель управління», знайти пункт «Мережеві підключення«, натиснути правою кнопкою миші (ПКМ) з наявного підключення до мережі і вибрати «Властивості».

  • У вікні, вибрати «Протокол Інтернету версії 4» і знову клікнути на «Свойства».

  • Заповнити поля наступним чином: IP-адреса – 192.168.1.5. DNS – 127.0.0.1.

Натиснути на кнопку «ОК». Варто зауважити, що подібні значення не обов’язкові. Можна використовувати IP-адреса і DNS зі своєї мережі.

  • Далі потрібно зайти в меню «Пуск», вибрати «Адміністратор» і «Диспетчер сервера«.

  • Перейти до пункту «Ролі», вибрати поле «Додати ролі«.

  • Вибрати пункт «служби Доменів служба Active Directory» двічі натиснути «Далі», а після «Встановити».

  • Дочекатися закінчення установки.

  • Відкрити меню «Пуск»-«Виконати«. В полі ввести dcpromo.exe.

  • Натиснути «Далі».

  • Вибрати пункт «Створити новий домен в новому лісі» і знову натиснути «Далі».

  • У наступному вікні ввести назву, натиснути «Далі».

  • Вибрати режим сумісності (Windows Server 2008).

  • У наступному вікні залишити все за замовчуванням.

  • Запуститься вікно конфігурації DNS. Оскільки на сервері він не використовувався до цього, делегування створено не було.

  • Вибрати директорію для установки.

  • Після цього кроку потрібно задати пароль адміністрування.

Що таке кодування і декодування інформації

Для надійності пароль повинен відповідати таким вимогам:

  • Містити цифри.
  • При бажанні, містити спецсимволи.
  • Включати в себе прописні і заголовні букви латинського алфавіту.

Після того як AD завершить процес налаштування компонентів, необхідно перезавантажити сервер.

  • Наступний крок – налаштування DHCP. Для цього потрібно знову зайти в «Диспетчер сервера», натиснути «Додати роль». Вибрати пункт «DHCP-сервер». Система почне пошук активних мережних адаптерів і відбудеться автоматичне додавання IP-адрес.

  • Прописати статичний адресу.

  • Вказати адресу DNS.

  • Далі, вибрати пункт «WINS не потрібно«.

  • Налаштувати DHCP.

  • Якщо IPv6 не використовується, вимкніть її.

  • Далі, обрати обліковий запис, з якого буде відбуватися управління. Натиснути на кнопку «Встановити», дочекатися завершення конфігурації.

Налаштування завершено, оснащення та роль встановлені в систему. Встановити ОГОЛОШЕННЯ можна тільки на сімейства Windows Server, звичайні версії, наприклад 7 або 10, можуть дозволити встановити тільки консоль управління.

Адміністрування Active Directory

За замовчуванням у Windows Server консолі Active Directory Users and Computers працює з доменом, до якої належить комп’ютер. Можна отримати доступ до об’єктів комп’ютерів і користувачів в домені через дерево консолі або підключитися до іншого контролера.

Кошти цієї консолі дозволяють переглядати додаткові параметри об’єктів і здійснювати їх пошук, можна створювати нових користувачів, групи і змінювати їх розв’язання.

До речі, існує 2 типи груп в Актив Директорію – безпеки і поширення. Групи безпеки відповідають за розмежування прав доступу до об’єктів, вони можуть використовуватися, як групи поширення.

Групи поширення не можуть розмежовувати права, а використовуються в основному для розсилки повідомлень у мережі.

Що таке делегування AD

Саме делегування — це передача частини дозволів і контролю від батьківського об’єкта іншої відповідальної стороні.

Відомо, що кожна організація має в своєму штабі декілька системних адміністраторів. Різні завдання повинні покладатися на різні плечі. Для того щоб застосовувати зміни, необхідно володіти правами і дозволами, які поділяються на стандартні та особливі. Особливі — застосовні до певного об’єкту, а стандартні являють собою набір, що складається з існуючих дозволів, які роблять доступними або недоступними окремі функції.

Що таке русифікатор і як його встановити

Встановлення довірчих відносин

У AD є два види довірчих відносин: «однонаправлені» і «двонаправлені». У першому випадку один домен довіряє іншому, але не навпаки, відповідно перший має доступ до ресурсів другого, а другий не має доступу. У другому виді довіра «взаємний». Також існують «вихідні» і «вхідні» відносини. У вихідних – перший домен довіряє другого, таким чином дозволяючи користувачам другого використовувати ресурси першого.

При установці слід провести такі процедури:

  • Перевірити мережеві зв’язки між котроллерами.
  • Перевірити налаштування.
  • Налаштувати дозволу імен для зовнішніх доменів.
  • Створити зв’язок з боку довіряє домену.
  • Створити зв’язок з боку контролера, до якого адресовано довіру.
  • Перевірити створені односторонні відносини.
  • Якщо виникає необхідність у встановленні двосторонніх відносин – провести установку.

Глобальний каталог

Це контролер домену, який зберігає копії всіх об’єктів лісу. Він дає юзерам і програмами здатність шукати об’єкти в будь-якому домені поточного лісу з допомогою засобів виявлення атрибутів, включених в глобальний каталог.

Глобальний каталог (ЦК) включає в себе обмежений набір атрибутів для кожного об’єкта лісу в кожному домені. Дані він отримує з усіх розділів каталогу доменів в лісі, вони копіюються з використанням стандартного процесу реплікації Active Directory.

Схема визначає, чи атрибут скопійований. Існує можливість конфігурування додаткових характеристик, які створюватимуться повторно в глобальному каталозі за допомогою «Схеми Active Directory. Для додавання атрибута в глобальний каталог, потрібно вибрати атрибут реплікації і скористатися опцією «Копіювати». Після цього створиться реплікація атрибута в глобальний каталог. Значення атрибута isMemberOfPartialAttributeSet стане істиною.

Для того щоб дізнатися місце розташування глобального каталогу, потрібно в командному рядку ввести:

dsquery server –isgc

Реплікація даних Active Directory

Реплікація — це процедура копіювання, яку проводять при необхідності зберігання однаково актуальних відомостей, що існують на будь-якому контроллері.

Вона проводиться без участі оператора. Існують такі види вмісту реплік:

  • Репліки даних створюються з усіх існуючих доменів.
  • Репліки схем даних. Оскільки схема даних єдина для всіх об’єктів лісу Активних Директорій, її репліки зберігаються на всіх доменах.
  • Дані конфігурації. Показує побудова копій серед контролерів. Відомості поширюються на всі домени лісу.

Основними типами реплік є внутриузловая і межузловая.

У першому випадку, після змін система перебуває в очікуванні, повідомляє партнера про створення репліки для завершення змін. Навіть при відсутності змін, процес реплікації відбувається через певний проміжок часу автоматично. Після застосування критичних змін до каталогів реплікація відбувається відразу.

Процедура реплікації між вузлами відбувається в проміжках мінімального навантаження на мережу, це дозволяє уникнути втрат інформації.