Ushbu maqolada biz Windows 2008 R2 ostida Active Directory kontrollerini o'rnatishni tayyorgarlik bilan ko'rib chiqamiz va biz domen nomi xizmati bizdan oldin o'rnatilmagan deb taxmin qilamiz. Va bizning domen kontrollerimiz birinchi bo'ladi. Biz quyida sanab o'tilgan barcha amallarni Administrator ostidan bajaramiz.
Avval siz tarmoq adapterining IP manzilini o'rnatishingiz kerak. Bizning holatimizda biz 192.168.1.5 manzilini, pastki tarmoq maskasini 255.255.255.0 va IP yoki 127.0.0.1 ni afzal DNS sifatida o'rnatdik. Biz ushbu sozlamalarni statik IP manzilli tarmoq uchun belgilaymiz.
Keling, qanday hayvon ekanligi aniq bo'lishi uchun kompyuterni o'zgartiraylik. Buning uchun: o'ng tugmasini bosing Mening kompyuterim –> Xususiyatlari-> Pastki o'ng burchakni bosing Sozlamalarni o'zgartirish–> yorliqda Kompyuter nomi ustiga bosing O'zgartirish.
Biz serverni ortiqcha yuklaymiz.
bosing START –> Ma'muriyat –> Server menejeri. yaqin nuqta Rollar tugmani qidirmoqda Rollarni qo'shish, bosing. Ko'rsatilgan oynada bosing Keyinchalik, Active Directory Domain Services uchun katakchani belgilang. O'rnatish tugashini kutmoqdamiz.
O'rnatishni kutmoqdamiz
Biz boramiz START –> Yugurish. Ko'rsatilgan oynada yozing dcpromo.exe.
Active Directory o'rnatuvchisi ochiladi.
Keyinchalik
Biz ADni noldan o'rnatayotganimiz uchun siz yangi o'rmon yaratishingiz kerak.
Keyin domenimiz nomini kiriting.
Keyingi qadam moslik rejimini tanlashdir. Agar domeningizda Windows 2008 R2 dan tashqari boshqa serverlar bo'lmasa, tegishli rejimni tanlashingiz mumkin.
Keyingi bosqichda hamma narsani sukut bo'yicha qoldiring.
DNS avval serverimizda ishlatilmagani uchun delegatsiya ham yaratilmagan.
Keyingi qadam tizim fayllarini saqlash uchun papkani tanlashdir.
Ma'muriyat parolini o'rnating.
DIQQAT! Parol xavfsizlik siyosati talablariga javob berishi kerak. Odatiy bo'lib, u quyidagilarni o'z ichiga olishi kerak:
- raqamlar;
- maxsus belgilar;
— Lotin alifbosining harflari (katta va kichik harflar);
Keyingi qadam Keyingi.
Active Directory komponentlarni o'rnatadi va sozlaydi. Ba'zan bu biroz vaqt talab qilishi mumkin.
Keyin, ZARUR serverni ortiqcha yuklash.
Keyingi qadam o'rnatish va sozlashdir DHCP serveri.
ga boramiz Server menejeri, yana bosing Rol qo'shing.DHCP serverini tekshiring. Quyida faqat asosiy qadamlar ko'rsatiladi.
ishlab chiqarildi avtomatik qidiruv faol tarmoq adapterlari. IP avtomatik ravishda qo'shiladi. Agar sizda dinamik IP manzillar bo'lsa, vaziyat butunlay boshqacha bo'ladi, muammolar paydo bo'la boshlaydi).
Statik IP manzilni kiritish.
Tarmog'imizda IPv6 ishlatilmaydi, shuning uchun bu parametr o'chirilgan.
Ushbu bosqichda Active Directory o'rnatilishi amalga oshirilgan hisobni tanlang. Kelajakda bu tushunarsiz vaziyatlardan va chalkashliklardan qochadi.
Ushbu eslatmada biz korxonada birinchi domen nazoratchisini joriy etish jarayonini batafsil ko'rib chiqamiz. Va ulardan uchtasi bo'ladi:
1) Asosiy domen boshqaruvchisi, OS - Windows Server GUI bilan 2012 R2, tarmoq nomi: dc1.
Standart variantni tanlang, Keyingiga bosing. Keyin standart IPv4 protokolini tanlang va yana Keyingiga bosing.
Keyingi ekranda tarmoq identifikatorini (Tarmoq ID) o'rnating. Bizning holatda, 192.168.0. Teskari qidiruv zonasining nomi maydonida biz teskari qidirish zonasining manzili avtomatik ravishda qanday almashtirilishini ko'rib chiqamiz. Keyingiga bosing.
Dinamik yangilash ekranida biz uchta mumkin bo'lgan dinamik yangilanish variantidan birini tanlaymiz.
Faqat xavfsiz dinamik yangilanishlarga ruxsat bering. Ushbu parametr faqat zona Active Directory bilan birlashtirilgan bo'lsa mavjud.
Ham xavfsiz, ham xavfsiz dinamik yangilanishlarga ruxsat bering. Ushbu kalit har qanday mijozga o'zgarishlar bo'lganda DNS resurs yozuvlarini yangilash imkonini beradi.
Dinamik yangilanishlarni rad etish (Dinamik yangilanishlarga ruxsat bermang). Ushbu parametr dinamik DNS yangilanishlarini o'chiradi. U faqat zona Active Directory bilan birlashtirilmagan bo'lsa ishlatilishi kerak.
Birinchi variantni tanlang, Keyingiga bosing va Finish tugmasini bosib konfiguratsiyani yakunlang.
Odatda DNS-da sozlangan yana bir foydali variant ekspeditorlar yoki ekspeditorlar bo'lib, ularning asosiy maqsadi mahalliy DNS-serverdan DNS so'rovlarini keshlash va Internetdagi tashqi DNS-serverga, masalan, ISP-da joylashganiga yo'naltirishdir. Masalan, biz xohlaymiz mahalliy kompyuterlar Tarmoq sozlamalarida DNS-server (192.168.0.3) ro'yxatdan o'tgan domen tarmog'imizda ular Internetga kirish imkoniga ega bo'lishlari uchun bizning mahalliy DNS serverimiz yuqori oqim serveridan DNS so'rovlariga ruxsat berish uchun sozlangan bo'lishi kerak. Ekspeditorlarni (ekspeditorlarni) sozlash uchun DNS menejeri konsoliga o'ting. Keyin, server xususiyatlarida Ekspeditorlar yorlig'iga o'ting va u erda Tahrirlash-ni bosing.
Kamida bitta IP manzilini belgilang. Bir nechtasi ma'qul. OK tugmasini bosamiz.
Endi DHCP xizmatini sozlaymiz. Keling, vositani boshlaylik.
Birinchidan, mijozlarga berish uchun manzillar olinadigan manzillarning to'liq ishchi diapazonini belgilaymiz. Action\Yangi doirani tanlang. Hudud qo'shish ustasi ishga tushadi. Hudud nomini belgilang.
Keyinchalik, tarmoq diapazonining boshlanish va tugatish manzilini belgilang.
Keyinchalik, mijozlarni chiqarishdan chiqarib tashlamoqchi bo'lgan manzillarni qo'shing. Keyingiga bosing.
Agar kerak bo'lsa, ijara muddati ekranida birlamchi ijara vaqtini belgilang. Keyingiga bosing.
Keyin biz DHCP parametrlarini sozlamoqchi ekanligimizga rozilik bildiramiz: Ha, men ushbu parametrni hozir sozlamoqchiman.
Shlyuzni ketma-ket belgilang, Domen nomi, biz DNS, WINS manzillarini o'tkazib yuboramiz va oxirida tugmani bosish orqali qamrovni faollashtirishga rozi bo'lamiz: Ha, men ushbu qamrovni hozir faollashtirmoqchiman. Tugatish.
DHCP xizmati xavfsiz ishlashi uchun DNS yozuvlarini dinamik yangilash uchun maxsus hisob sozlanishi kerak. Bu, bir tomondan, ma'muriy boshqaruv yordamida DNS-da mijozlarni dinamik ro'yxatga olishni oldini olish uchun amalga oshirilishi kerak. hisob domen va undan mumkin bo'lgan suiiste'mol qilish, boshqa tomondan, DHCP xizmati zahirasi va asosiy server ishlamay qolsa, uni uzatish mumkin bo'ladi. zaxira zonalarni ikkinchi serverga o'tkazadi va bu birinchi serverning hisobini talab qiladi. Ushbu shartlarni bajarish uchun Active Directory Users and Computers ilovasida biz dhcp nomli hisob qaydnomasini yaratamiz va opsiyani tanlash orqali noaniq parol tayinlaymiz: Parol hech qachon muddati tugamaydi.
Foydalanuvchiga tayinlash kuchli parol va uni DnsUpdateProxy guruhiga qo'shing. Keyin asosiy foydalanuvchiga DnsUpdateProxy guruhini tayinlagandan so'ng, foydalanuvchini Domen foydalanuvchilari guruhidan olib tashlaymiz. Ushbu hisob qaydnomalarni dinamik ravishda yangilash uchun faqat javobgar bo'ladi va asosiy domen huquqlari etarli bo'lgan boshqa manbalardan foydalana olmaydi.
Ilova tugmasini bosing va keyin OK. DHCP konsolini yana oching. Kengaytirilgan yorlig'ida IPv4 protokolining xususiyatlariga o'ting.
Hisob ma'lumotlarini bosing va u erda DHCP foydalanuvchimizni belgilang.
OK tugmasini bosing va xizmatni qayta ishga tushiring.
Biz DHCP xizmatini band qilish sozlamalarini sozlaganimizda keyinroq DHCP konfiguratsiyasiga qaytamiz, lekin buning uchun hech bo'lmaganda domen kontrollerlarini ham oshirishimiz kerak.
Ushbu qo'llanma Windows Server 2012 R2 da Active Directory Domain Services rolini o'rnatmoqchi bo'lganlar uchun mo'ljallangan. Ushbu qo'llanmada sizda Windows Server 2012 R2 o'rnatilgan server mavjud bo'lgan holatni ko'rib chiqamiz.
Windows Server 2012 R2-ni qanday o'rnatish haqida ko'proq ma'lumotni mening qo'llanmamda o'qishingiz mumkin "". Active Directory Domain Services-ni Windows Server 2008 R2-ga qanday o'rnatishni mening "" qo'llanmamni o'qib chiqish orqali bilib olishingiz mumkin.
Men har doim Windows Serverning inglizcha nashrlaridan foydalanishingizni tavsiya qilaman. Amaliyot shuni ko'rsatadiki, asl (ingliz) Windows versiyalari yanada barqaror ishlang, bundan tashqari, muammolar yuzaga kelganda yoki tajriba almashishni istasangiz, professionallar bilan bir tilda muloqot qilish osonroq bo'ladi.
Active Directory Domain Services rolini o'rnatishni boshlashdan oldin, serverga tashkilotingiz standartlariga muvofiq to'g'ri nom berishingiz va keyin tarmoq ulanishi sozlamalarida statik IP manzilini ko'rsatishingiz kerak.
Klaviaturada "Win" va "X" tugmalar birikmasini bosing, keyin ochilgan menyuda "Tizim" ni tanlang.
"Tizim xususiyatlari" oynasida "Kompyuter nomi" yorlig'ida "O'zgartirish" tugmasini bosing.
Tizim sizni yangi sozlamalarni qo'llash uchun serverni qayta ishga tushirishingiz kerakligi haqida ogohlantiradi.
“OK” tugmasini bosing.
"Tizim xususiyatlari" oynasida "Yopish" tugmasini bosing.
Endi tizim yangi sozlamalar kuchga kirishi uchun serverni qayta ishga tushirishni taklif qiladi.
"Endi qayta ishga tushirish" tugmasini bosing.
Endi siz tarmoqqa ulanish sozlamalarida statik IP-manzilni ro'yxatdan o'tkazishingiz kerak.
Biz tizimga administrator huquqlariga ega hisob qaydnomasi ostida kiramiz.
Klaviaturada "Win" va "X" tugmalar birikmasini bosing, keyin ochilgan menyuda "Tarmoq ulanishlari" ni tanlang.
Endi o'ng tugmasini bosing tarmoq ulanishi"Ethernet" va "Xususiyatlar" ni tanlang.
"Internet Protocol Version 4" -ni tanlang va "Xususiyatlar" tugmasini bosing.
Keyin, "Quyidagi IP-manzildan foydalanish" bandini tanlang va bepul IP-manzil, pastki tarmoq niqobi va shlyuzni belgilang. Tarmog'ingiz qanday ishlashini oldindan tushunishingiz va qaysi IP-manzillar bepul ekanligini bilishingiz kerakligini unutmang.
"Afzal DNS server" maydonida ushbu serverning IP manzilini belgilang, chunki sizning serveringiz "Active Directory Domain Services" roli bilan birga o'rnatilgan DNS Server roliga ega bo'ladi.
“OK” tugmasini bosing.
"Ethernet xususiyatlari" oynasida "Yopish" tugmasini bosing.
Endi siz Active Directory domen xizmatlari rolini o'rnatishga tayyorsiz.
"Server menejeri" ni oching, ekranning yuqori o'ng burchagidagi "Boshqarish" tugmasini bosing va "Rollar va xususiyatlarni qo'shish" ni tanlang.
“Keyingi” tugmasini bosing.
"Rolga asoslangan yoki xususiyatga asoslangan o'rnatish" turini tanlang va "Keyingi" tugmasini bosing.
“Keyingi” tugmasini bosing.
"Active Directory Domain Services" rolini tanlang.
Keyingi bosqichda "Rollarni o'rnatish ustasi" sizni "Active Directory Domain Services" rolini o'rnatish uchun bir nechta komponentlarni o'rnatishingiz kerakligi haqida ogohlantiradi.
"Xususiyatlar qo'shish" tugmasini bosing.
Ushbu nuqtada DNS server rolini tanlashingiz shart emas. U keyinroq o'rnatiladi.
“Keyingi” tugmasini bosing.
Komponentlarni qo'shish bosqichida biz barcha standart qiymatlarni qoldiramiz.
“Keyingi” tugmasini bosing.
“Keyingi” tugmasini bosing.
Tanlangan rolni o'rnatishni boshlash uchun "O'rnatish" tugmasini bosing.
Tanlangan rolni va uning uchun zarur bo'lgan komponentlarni o'rnatish boshlandi.
"Active Directory Domain Services" rolini o'rnatish tugallandi.
Endi serveringizni domen boshqaruvchisiga ko'tarish uchun "Ushbu serverni domen boshqaruvchisiga targ'ib qilish" tugmasini bosing.
Ushbu qo'llanma yangi o'rmon qo'shishga qaratilgan, shuning uchun "Active Directory Domain Services Configuration Wizard" oynasida "Yangi o'rmon qo'shish" bandini tanlang va "Ildiz domen nomi" maydonida ildiz domen uchun kerakli nomni belgilang.
“Keyingi” tugmasini bosing.
Keyingi qadam yangi o'rmon va ildiz domenining funktsional darajasini tanlashdir. Agar siz yangi o'rmon qo'shsangiz va serverlardan foydalanishni rejalashtirsangiz operatsion tizim Windows Server 2012 R2, siz o'rmon funktsional darajasini va ildiz domenini o'zgartirishingiz shart emas.
DSRM (Directory Service Restore Mode - Directory Service Restore Mode) uchun parolni belgilang va "Keyingi" tugmasini bosing.
Ushbu nuqtada AD DS konfiguratsiya ustasi sizni ushbu DNS serveri uchun delegatsiya yaratib bo'lmasligi haqida ogohlantiradi.
“Keyingi” tugmasini bosing.
“Keyingi” tugmasini bosing.
Endi siz AD DS maʼlumotlar bazasi kataloglari, jurnal fayllari va SYSVOL jildiga yoʻllarni oʻzgartirishingiz mumkin. Men ushbu standart sozlamalarni qoldirishni tavsiya qilaman.
“Keyingi” tugmasini bosing.
Keyingi qadam server sozlamalari haqida qisqacha ma'lumotni ko'rsatadi.
“Keyingi” tugmasini bosing.
"Barcha zaruriy tekshiruvlar muvaffaqiyatli o'tdi" xabari barcha talablar bajarilganligini bildiradi.
"O'rnatish" tugmasini bosing.
Server rolini domen boshqaruvchisi darajasiga ko'tarish jarayoni boshlandi.
Serveringiz domen boshqaruvchisiga ko'tarilgandan so'ng, server avtomatik ravishda qayta ishga tushadi.
Serverni qayta ishga tushirishdan oldin siz ogohlantirishni ko'rasiz.
Serverni domen boshqaruvchisiga koʻtarish tugallandi.
Foydalanuvchilar, guruhlar va boshqa Active Directory obyektlarini boshqarish uchun Active Directory ma'muriy markazidan foydalanishingiz mumkin.
Biz tizimga domen administratori huquqlariga ega hisob qaydnomasi ostida kiramiz.
Server menejerini oching, ekranning yuqori o'ng burchagidagi "Asboblar" tugmasini bosing va "Active Directory ma'muriy markazi" ni tanlang.
Active Directory ma'muriy markazi ochiladi.
Active Directory katalogidagi foydalanuvchilar, guruhlar va boshqa ob'ektlarni boshqarish uchun siz tanish Active Directory foydalanuvchilari va kompyuterlari qo'shimchasidan ham foydalanishingiz mumkin.
Server menejerida ekranning yuqori o'ng burchagidagi "Asboblar" tugmasini bosing va "Active Directory foydalanuvchilari va kompyuterlari" ni tanlang.
Active Directory foydalanuvchilari va kompyuterlari qo'shimcha elementi ochiladi.
hayrli kun, bugun men sizni Microsoft-dan yangi server operatsion tizimi - Windows Server 2012 R2 da AD (Active Directory) va DC (domen kontrolleri) rollarini o'rnatish bilan tanishtiraman. Boshlash uchun, biz serverimiz nomini tashkilotdagi shaxsiy kompyuterlar va serverlar uchun nomlash qoidalari asosida o'zgartiramiz yoki o'z xohishimiz asosida tayinlaymiz. Men o'z serverimni sinov serveriga nomladim. Aynan shu nom bilan bizning serverimiz tarmoqda ko'rsatiladi. Keyin biz quyidagi amallarni bajaramiz: Biz server menejeriga o'tamiz:
Tabga o'ting rollar va xususiyatlarni qo'shing
bosing Keyinchalik
Rol va xususiyatlarni o'rnatish-ni tanlang va ustiga bosing Keyinchalik
Rolimizni o'rnatmoqchi bo'lgan serverni tanlang va ustiga bosing Keyinchalik
Quyidagi rolni tanlang: Domen xizmatlariFaolKatalog va keyingi tugmasini bosing
Active Directory Domain Services rolini o'rnatish uchun zarur bo'lgan komponentlar qo'shilganligini tasdiqlash
Xuddi shunday qoldiring yoki o'rnatish uchun kerakli komponentlarni qo'shing, keyingi tugmasini bosing
O'rnatish tugmasini bosing
O'rnatishdan so'ng, server menejeriga o'ting va o'rnatilgan rollarni ko'ring
Boshqarish bo'limiga o'ting
AD DS ga o'tish tugmasini bosing
Tafsilotlar yorlig'iga o'ting
Keling, serverimizda domen boshqaruvchisini o'rnatishni boshlaylik. Yorliq tanlang yangi o'rmon qo'shing va domenimiz uchun nom belgilang, so'ng bosing Keyinchalik
Biz o'rmon va domenning funktsional rejimini tanlaymiz, katalog xizmatlarini tiklash rejimi uchun parolni o'rnatamiz va bosing Keyinchalik
Domenimiz uchun NetBIOS nomini tanlang va ustiga bosing Keyinchalik
Old shartlarni tekshirish jarayoni boshlanadi, uning oxirida biz o'rnatishni bosing
O'rnatishdan keyin tekshiring:
Agar siz hamma narsani to'g'ri bajargan bo'lsangiz, ishchi guruhining domenga o'zgarishi o'tganligini ko'rasiz.
Active Directory (AD) operatsion tizim uchun mo'ljallangan yordamchi dasturlardir Microsoft Server. U dastlab foydalanuvchi kataloglariga kirish uchun engil algoritm sifatida yaratilgan. Windows Server 2008 versiyasidan boshlab avtorizatsiya xizmatlari bilan integratsiya paydo bo'ldi.
Tizim markazi konfiguratsiya menejeridan foydalangan holda barcha boshqariladigan shaxsiy kompyuterlarda bir xil turdagi sozlamalar va dasturiy ta'minotni qo'llaydigan guruh siyosatiga rioya qilish imkoniyatini beradi.
Agar yangi boshlanuvchilar uchun oddiy so'z bilan aytganda, bu mahalliy tarmoqdagi barcha kirishlar va ruxsatlarni bir joydan boshqarishga imkon beruvchi server roli.
Funktsiyalar va maqsadlar
Microsoft Active Directory - (katalog deb ataladigan) foydalanuvchilar va tarmoq ma'lumotlarini boshqarish imkonini beruvchi vositalar to'plami. asosiy maqsad Yaratish - keng tarmoqlarda tizim ma'murlarining ishini osonlashtirish.
Kataloglar foydalanuvchilar, guruhlar, tarmoq qurilmalari, fayl resurslari - bir so'z bilan aytganda, ob'ektlar bilan bog'liq turli xil ma'lumotlarni o'z ichiga oladi. Masalan, katalogda saqlanadigan foydalanuvchi atributlari quyidagilar bo'lishi kerak: manzil, login, parol, raqam. Uyali telefon va hokazo. Katalog sifatida ishlatiladi autentifikatsiya nuqtalari, uning yordamida siz foydalanuvchi haqida kerakli ma'lumotlarni topishingiz mumkin.
Ish jarayonida uchraydigan asosiy tushunchalar
AD bilan ishlashda qo'llaniladigan bir qator maxsus tushunchalar mavjud:
- Server - bu barcha ma'lumotlarni o'z ichiga olgan kompyuter.
- Tekshiruvchi - bu domendan foydalanadigan odamlarning so'rovlarini bajaradigan AD roliga ega server.
- AD domeni bir vaqtning o'zida umumiy katalog ma'lumotlar bazasidan foydalanadigan yagona nom ostida birlashtirilgan qurilmalar to'plamidir.
- Ma'lumotlar do'koni har qanday domen boshqaruvchisidan ma'lumotlarni saqlash va olish uchun mas'ul bo'lgan katalogning bir qismidir.
Faol kataloglar qanday ishlaydi
Ishning asosiy tamoyillari quyidagilardan iborat:
- Ruxsat, buning yordamida shaxsiy parolni kiritish orqali tarmoqdagi shaxsiy kompyuterdan foydalanish mumkin bo'ladi. Bunday holda, hisobdan barcha ma'lumotlar uzatiladi.
- xavfsizlik. Active Directory foydalanuvchini tanib olish funksiyalarini o'z ichiga oladi. Har qanday tarmoq ob'ekti uchun siz masofadan turib, bitta qurilmadan kerakli huquqlarni o'rnatishingiz mumkin, bu toifalar va muayyan foydalanuvchilarga bog'liq bo'ladi.
- Tarmoq boshqaruvi bir nuqtadan. Active Directory bilan ishlashda tizim administratoriga kirish huquqlarini, masalan, printerga o'zgartirish kerak bo'lsa, barcha shaxsiy kompyuterlarni qayta sozlash shart emas. O'zgarishlar masofaviy va global miqyosda amalga oshiriladi.
- Bajarildi DNS integratsiyasi. Uning yordami bilan ADda hech qanday chalkashlik yo'q, barcha qurilmalar World Wide Webdagi kabi belgilanadi.
- katta miqyosda. Serverlar to'plamini bitta Active Directory orqali boshqarish mumkin.
- Qidirmoq turli parametrlarga ko'ra amalga oshiriladi, masalan, kompyuter nomi, login.
Ob'ektlar va atributlar
Ob'ekt - o'z nomi bilan birlashtirilgan, tarmoq resursini ifodalovchi atributlar to'plami.
Atribut - katalogdagi ob'ektning xarakteristikalari. Masalan, bularga foydalanuvchining to'liq ismi, uning logini kiradi. Ammo shaxsiy kompyuter hisobining atributlari ushbu kompyuterning nomi va uning tavsifi bo'lishi mumkin.
"Xodim" - "Ism", "Lavozim" va "TabN" atributlariga ega bo'lgan ob'ekt.
LDAP konteyneri va nomi
Konteyner - bu mumkin bo'lgan ob'ekt turi boshqa ob'ektlardan iborat. Masalan, domen hisob ob'ektlarini o'z ichiga olishi mumkin.
Ularning asosiy maqsadi ob'ektni buyurtma qilish belgilar turi bo'yicha. Ko'pincha konteynerlar bir xil atributlarga ega ob'ektlarni guruhlash uchun ishlatiladi.
Deyarli barcha konteynerlar ob'ektlar to'plamiga, resurslar esa Active Directoryning yagona ob'ektiga mos keladi. AD konteynerlarining asosiy turlaridan biri tashkilot birligi yoki OU (tashkiliy birlik). Ushbu konteynerga joylashtirilgan ob'ektlar faqat ular yaratilgan domenga tegishli.
Lightweight Directory Access Protocol (LDAP) TCP/IP ulanishlari uchun asosiy algoritmdir. U katalog xizmatlariga kirish vaqtida nuanslar miqdorini kamaytirish uchun yaratilgan. Shuningdek, LDAP katalog ma'lumotlarini so'rash va tahrirlash uchun ishlatiladigan amallarni belgilaydi.
Daraxt va sayt
Domen daraxti - bu umumiy sxema va konfiguratsiyaga ega bo'lgan, umumiy nomlar maydonini tashkil etuvchi va ishonchli munosabatlar bilan bog'langan tuzilma, domenlar to'plami.
Domenlar o'rmoni - bu bir-biriga bog'langan daraxtlar to'plami.
Sayt - tarmoqning fizik modelini ifodalovchi, uni qurishning mantiqiy ko'rinishidan qat'i nazar, rejalashtirish amalga oshiriladigan IP quyi tarmoqlaridagi qurilmalar to'plami. Active Directory n ta sayt yaratish yoki bitta sayt ostida n ta domenni birlashtirish imkoniyatiga ega.
Active Directory-ni o'rnatish va sozlash
Endi to'g'ridan-to'g'ri Active Directory-ni sozlashga o'tamiz Windows misol Server 2008 (boshqa versiyalarda protsedura bir xil):
“OK” tugmasini bosing. E'tibor bering, bu qiymatlar shart emas. Tarmog'ingizdagi IP-manzil va DNS-dan foydalanishingiz mumkin. 
- Keyinchalik, "Ishga tushirish" menyusiga o'tishingiz kerak, "Ma'muriy asboblar" va "" ni tanlang.
- "Rollar" bandiga o'ting, "Rollar" bandini tanlang. Rollarni qo'shish”.
- "Active Directory Domain Services" ni tanlang, "Keyingi" tugmasini ikki marta bosing va keyin "O'rnatish".
- O'rnatish tugashini kuting.
- Boshlash menyusini oching -" Yugurish". Maydonga dcpromo.exe kiriting.
- "Keyingi" tugmasini bosing.
- Elementni tanlang " Yangi o'rmonda yangi domen yarating” va yana “Keyingi” tugmasini bosing.
- Keyingi oynada ismni kiriting, "Keyingi" tugmasini bosing.
- Tanlang Moslik rejimi(Windows Server 2008).
- Keyingi oynada hamma narsani sukut bo'yicha qoldiring.
- boshlanadi konfiguratsiya oynasiDNS. Ilgari u serverda ishlatilmagani uchun delegatsiya yaratilmagan.
- O'rnatish uchun katalogni tanlang.
- Ushbu bosqichdan so'ng siz sozlashingiz kerak boshqaruv paroli.
Xavfsiz bo'lish uchun parol quyidagi talablarga javob berishi kerak:
AD komponentni sozlash jarayonini tugatgandan so'ng, serverni qayta ishga tushirishingiz kerak.
Konfiguratsiya tugallandi, qo'shimcha element va rol tizimga o'rnatildi. Siz ADni faqat Serverlar oilasining Windows-ga o'rnatishingiz mumkin, oddiy versiyalar, masalan, 7 yoki 10, faqat boshqaruv konsolini o'rnatishga ruxsat berishi mumkin.
Active Directory-da boshqaruv
Odatiy bo'lib, Windows Serverda Active Directory foydalanuvchilari va kompyuterlari konsoli kompyuter tegishli bo'lgan domen bilan ishlaydi. Ushbu domendagi kompyuter va foydalanuvchi obyektlariga konsol daraxti orqali kirishingiz yoki boshqa kontrollerga ulanishingiz mumkin.
Xuddi shu konsol vositalari ko'rish imkonini beradi Qo'shimcha variantlar ob'ektlar va ularni qidirish, siz yangi foydalanuvchilar, guruhlar yaratishingiz va ruxsatlardan o'zgartirishingiz mumkin.
Aytgancha, bor 2 turdagi guruhlar Active Directory-da - xavfsizlik va tarqatish. Xavfsizlik guruhlari ob'ektlarga kirish huquqlarini chegaralash uchun javobgardir, ular tarqatish guruhlari sifatida ishlatilishi mumkin.
Tarqatish guruhlari huquqlarni farqlay olmaydi, lekin birinchi navbatda tarmoqdagi xabarlarni tarqatish uchun ishlatiladi.
AD delegatsiyasi nima
Delegatsiyaning o'zi ruxsatlar va nazoratning bir qismini o'tkazish ota-onadan boshqa mas'ul shaxsga e'tiroz bildiradi.
Ma'lumki, har bir tashkilotning shtab-kvartirasida bir nechta tizim ma'murlari mavjud. Turli xil elkalarga turli xil vazifalar berilishi kerak. O'zgarishlarni qo'llash uchun siz standart va maxsus bo'lingan huquq va ruxsatlarga ega bo'lishingiz kerak. Maxsus - ma'lum bir ob'ektga tegishli va standart - ma'lum funktsiyalarni mavjud yoki mavjud bo'lmagan mavjud ruxsatnomalar to'plami.
Ishonch munosabatlarini o'rnatish
ADda ishonch munosabatlarining ikki turi mavjud: "bir tomonlama" va "ikki tomonlama". Birinchi holda, bir domen boshqasiga ishonadi, lekin aksincha emas, mos ravishda birinchisi ikkinchisining resurslariga kirish huquqiga ega, ikkinchisi esa kirish huquqiga ega emas. Ikkinchi shaklda ishonch "o'zaro". Bundan tashqari, "chiqish" va "kiruvchi" munosabatlar mavjud. Chiqishda birinchi domen ikkinchisiga ishonadi va shu bilan ikkinchisining foydalanuvchilariga birinchisining resurslaridan foydalanishga imkon beradi.
O'rnatish jarayonida quyidagi tartiblarni bajarish kerak:
- Tasdiqlash kontrollerlar orasidagi tarmoq ulanishlari.
- Sozlamalarni tekshiring.
- Sozlang tashqi domenlar uchun nom ruxsati.
- Ulanish yarating ishonchli domendan.
- Ishonch yuborilgan boshqaruvchi tomonidan ulanishni yarating.
- Yaratilgan bir tomonlama munosabatlarni tekshiring.
- Agar ehtiyoj bor ikki tomonlama munosabatlarni o'rnatishda - o'rnatishni amalga oshirish.
Global katalog
Bu o'rmondagi barcha ob'ektlarning nusxalarini saqlaydigan domen boshqaruvchisi. Bu foydalanuvchilarga va dasturlarga joriy o'rmonda istalgan domendagi ob'ektlarni qidirish imkoniyatini beradi atribut kashfiyotchilari global katalogga kiritilgan.
Global Katalog (GC) har bir domendagi har bir o'rmon ob'ekti uchun cheklangan atributlar to'plamini o'z ichiga oladi. U o'rmondagi barcha domen kataloglari bo'limlaridan ma'lumotlarni oladi va standart Active Directory replikatsiya jarayonidan foydalanib ularni takrorlaydi.
Sxema atributning nusxalanishi yoki ko'chirilmasligini aniqlaydi. Imkoniyat bor qo'shimcha funktsiyalarni sozlash, "Active Directory sxemasi" yordamida global katalogda qayta yaratiladi. Global katalogga atribut qo'shish uchun siz replikatsiya atributini tanlashingiz va "Nusxa olish" opsiyasidan foydalanishingiz kerak. Bu atributning global katalogga nusxasini yaratadi. Atribut parametr qiymati isMemberOfPartialAttributeSet haqiqatga aylanadi.
Uchun joylashuvini bilib oling global katalog, sizga kerak buyruq qatori kiriting:
Dsquery serveri - isgc
Active Directory-da ma'lumotlarni takrorlash
Replikatsiya - bu har qanday kontrollerda mavjud bo'lgan yangilangan ma'lumotlarni bir xil darajada saqlash kerak bo'lganda amalga oshiriladigan nusxa ko'chirish jarayoni.
U ishlab chiqariladi operator aralashuvisiz. Replikatsiya tarkibining quyidagi turlari mavjud:
- Ma'lumotlar nusxalari barcha mavjud domenlardan yaratiladi.
- Ma'lumotlar sxemasi nusxalari. Ma'lumotlar sxemasi Active Directory o'rmonidagi barcha ob'ektlar uchun bir xil bo'lgani uchun uning nusxalari barcha domenlarda saqlanadi.
- konfiguratsiya ma'lumotlari. Nazoratchilar orasida qurilish nusxalarini ko'rsatadi. Ma'lumotlar o'rmondagi barcha domenlarga tegishli.
Replikatsiyalarning asosiy turlari tugun ichidagi va tugunlararodir.
Birinchi holda, o'zgarishlardan so'ng, tizim kutadi, so'ngra o'zgarishlarni yakunlash uchun replika yaratish uchun sherikni xabardor qiladi. O'zgarishlar bo'lmasa ham, takrorlash jarayoni ma'lum vaqtdan keyin avtomatik ravishda sodir bo'ladi. Kataloglarga o'zgartirishlar kiritilgandan so'ng, replikatsiya darhol sodir bo'ladi.
Tugunlar orasidagi replikatsiya protsedurasi orasida sodir bo'ladi tarmoqdagi minimal yuk, bu ma'lumot yo'qolishining oldini oladi.
