Active Directory простыми словами

Администрирование

Active Directory простыми словами

Active Directory простыми словами. Преимущества и возможности. Установка и настройка Archive Directory.

Поделиться
Запинить
Отправить

Archive Directory простыми словами

Microsoft Active Directory (AD) — это важный компонент защиты сетей на базе Windows Server. Что такое Active Directory, где применить и как настроить — рассказывают специалисты Boodet.Online.

Определение

Active Directory, представленная в Windows Server 2000, входит в состав большинства версий ОС Windows Server. Основная функция — облегчить аутентификацию и авторизацию пользователей и ресурсов в домене AD (логическая совокупность пользователей, компьютеров, групп и других объектов).

Устройство

Одно из главных преимуществ Active Directory — это возможность централизованного создания политик для отдельных пользователей и групп. Также технология отвечает за то, чтобы этики политики соблюдались. А еще регистрирует несанкционированные попытки входа в систему.

Базовые службы Active Directory:

  • доменные (AD DS) — хранят и проверяют учетные данные пользователей;

  • облегченные службы каталогов (AD LDS);

  • службы сертификации (AD CS) — сертификаты с открытым ключом, поддерживающие шифрование;

  • службы федерации (AD FS) — для организации единого входа;

  • службы управления правами (AD RMS) — управление правами доступа.

Возможности

Основные преимущества Active Directory основаны на возможностях служб:

  • централизация ресурсов;

  • управление безопасностью;

  • единый вход для доступа к глобальным ресурсам;

  • упрощенное расположение ресурса.

Объекты и атрибуты

Объектом называют все, за чем следит Active Directory. Ими бывают:

  • система;

  • пользователь;

  • служба;

  • ресурс.

Атрибут — это то, что объекты используют совместно. Например, службы и система совместно пользуются данными о разрешениях для учетных записей. Атрибуты бывают уникальными или в виде наборов (схем). Схемы нужны, чтобы классы объектов отличались. Вся информация о наборах хранится в Active Directory.

Структура

Структура Active Directory — это дерево консоли, которое управляет разрешениями для всех разрешений. Проще говоря, под структурой подразумевают набор правил и описаний для множества ситуаций взаимодействия.

Репликация

Репликация Active Directory представляет собой автоматическое клонирование всех данных, описаний и состояний. Существует три типа репликации:

  • доменные — клонируются данные из всех существующих доменов;

  • схем — когда синхронизируют наборы данных;

  • конфигурации — клонирование происходит среди контроллеров.

Все три типа можно проводить как внутри, так и между узлами. В первом случае клонирование происходит по расписанию, во втором — автоматически, когда нагрузка на сеть минимальная.

Контейнер и LDAP

Контейнер — тот же объект, только отвечающий за работу службы. Бывает простым или вложенным. Проще говоря, это аналог пространства, куда помещают другие элементы Active Directory. LDAP — это имена контейнеров.

Дерево терминов и сайт

Дерево терминов нужно, когда набор объектов в AD нуждается в описании. Это происходит в том случае, если объекты и контейнеры являются частью одной иерархии. Помимо термина «дерево», в описании службы можно встретить термин «лес» — совокупность с общей конфигурацией, схемой и каталогом, но с разными пространствами имен.

Термин «сайт» означает географическое местоположение IP-подсетей. Сайты применяют, когда нужно снизить трафик (с помощью обращения к ближайшему серверу).

Установка и настройка Active Directory

Первый этап установки и настройки Active Directory — добавление роли доменных служб. Это будет установка на основании ролей и функций. Настраивать AD можно внутри панели управления Windows Server — с помощью удобной графической консоли.

Детальную настройку AD лучше поручить профессионалам — для того, чтобы менять роли и описания или оставлять значения по умолчанию, потребуется опыт и понимание механизмов служб Active Directory.

Что делает IT-специалист во время настройки:

  • превращает Windows-сервер в контроллер домена;

  • добавляет пользователей и группы (и назначает им роли);

  • настраивает параметры доступа;

  • создает сертификат SSL.

Безопасность

Как сделать Active Directory еще безопаснее? Специалисты Boodet.Online рекомендуют:

  1. Отключить гостевые учетные записи и переименовать учетную запись администратора по умолчанию. Такие записи чаще всего «ломают» хакеры.

  2. Обеспечить создание надежных паролей. Пользователи должны создавать сложные пароли и часто их менять. Можно настроить требования к паролям в групповой политике.

  3. Завести сервисные аккаунты в Active Directory. Смысл в том, чтобы дать учетным записям имена, которые идентифицируют их как учетные записи служб, а потом поместить в общую группу. Оттуда уже можно применить политику ко всем серверам, чтобы запретить «Локальный вход», но разрешить «Вход в качестве службы».

  4. Проводить аудит событий. Что можно контролировать: учетные записи, доступ к службе каталогов, вход в систему, доступ к объекту, использование привилегий, системные события;

  5. Не забывать про резервное копирование. Рекомендуем регулярно копировать состояние системы, БД Active Directory, данные SYSVOL, реестр, системные файлы и БД COM +.

Администрирование

Лучше всего назначить одного или нескольких человек с правами администратора в Active Directory. Администратор должен иметь отдельную учетную запись от своей обычной повседневной.

Что контролирует администратор:

  • конфигурацию леса и домена;

  • организационные единицы (OU);

  • объекты групповой политики (GPO);

  • пароли и политики аудита;

  • имена, роли и IP-адреса серверов документов.

DNS

Служба DNS нужна во всех случаях, когда требуется подключение к интернету. Active Directory использует систему доменных имен в тех случаях, когда нужно найти объект (например, контроллер домена). За настройку и работу DNS отвечает тот же администратор, который контролирует процессы AD.

Интеграция сервисов и оборудования

Службы Active Directory соответствуют стандарту LDAP, поэтому их можно интегрировать с популярными сервисами:

  • Exchange Server;

  • ISA Server;

  • TMG.

Благодаря протоколу ADIUS, службы можно интегрировать практически с любым сетевым оборудованием.

Заключение

Службы Active Directory — это важная часть инфраструктуры IT. AD обеспечивает работоспособность серверов и сети в целом. Именно поэтому развертыванием и настройкой служб должны заниматься специалисты.

Поделиться
Запинить
Отправить

Возможно вам так же будет интересно:

Отличий в них больше, чем сходства

Молодые и голодные в поисках инвестиций

Через год после поднятия $38 миллионов в раунде B с оценкой в $140 миллионов компания Blade выруливает в элитный регион Сан-Франциско

Кто такие строители, тюнеры и новаторы