|
Active Directory-ning eng yaxshi tajribalari
|
bet | 7/9 | Sana | 11.12.2023 | Hajmi | 43,7 Kb. | | #115742 |
Bog'liq Active Directory-ning eng yaxshi tajribalariuniversal guruhlar o'rmon ichidagi foydalanuvchilarni, shuningdek boshqa universal guruhlarni yoki o'rmonda biron bir domenning global guruhlarini o'z ichiga olishi mumkin;
global domen guruhlari domen foydalanuvchilari va bitta domenning boshqa global guruhlari bo'lishi mumkin;
mahalliy domen guruhlari kirish huquqlarini farqlash uchun foydalaniladigan domen foydalanuvchilari, shuningdek universal guruhlar va o'rmonda har qanday domenning global guruhlari bo'lishi mumkin;
mahalliy kompyuter guruhlari - mahalliy mashinaning SAM (xavfsizlik hisobi menejeri) tarkibiga kiruvchi guruhlar. Ularning tarqatish maydoni faqat ushbu mashina tomonidan cheklangan, ammo ular o'z ichiga kompyuter joylashgan domenning mahalliy guruhlarini, shuningdek, o'zlarining domenlarining universal va global guruhlarini yoki ular ishonadigan boshqa guruhlarni o'z ichiga olishi mumkin. Masalan, siz mahalliy foydalanuvchi domenidagi foydalanuvchilarni mahalliy mashinaning Ma'murlar guruhiga kiritishingiz mumkin va shu bilan unga administrator huquqlarini berishingiz mumkin, ammo faqat ushbu kompyuter uchun.
Saytlar
Bu katalog xizmatini jismoniy jihatdan ajratishning bir usuli. Ta'rifga ko'ra, sayt tezkor ma'lumotlar uzatish kanallari orqali ulangan kompyuterlar guruhidir.
Masalan, mamlakatning turli burchaklarida past tezlikli aloqa liniyalari bilan bog'langan bir nechta filiallaringiz bo'lsa, unda har bir filial uchun o'z veb-saytingizni yaratishingiz mumkin. Bu katalogni ko'paytirishning ishonchliligini oshirish uchun amalga oshiriladi.
ADning bunday bo'linishi mantiqiy qurilish tamoyillariga ta'sir qilmaydi, shuning uchun sayt bir nechta domenlarni o'z ichiga olishi mumkin va aksincha, domen bir nechta saytlarni o'z ichiga olishi mumkin. Ammo bunday katalog xizmati topologiyasi juda muhimdir. Qoidaga ko'ra, Internet filiallar bilan aloqa qilish uchun ishlatiladi - bu juda xavfli muhit. Ko'pgina kompaniyalar xavfsizlik devorlari kabi xavfsizlik xususiyatlaridan foydalanadilar. O'z ishida katalog xizmati bir yarim o'nga yaqin port va xizmatlardan foydalanadi, ularning ochilishi xavfsizlik devori orqali o'tishi mumkin. Muammoning echimi tunnel texnologiyasidan foydalanish, shuningdek AD mijozlarining so'rovlarini tezlashtirish uchun har bir saytda domen boshqaruvchisining mavjudligi.
Shaklda 3-rasmda katalog xizmati tarkibiy qismlarining joylashish mantig'i ko'rsatilgan. O'rmonda ikkita domen daraxti borligini ko'rish mumkin, bunda daraxtning ildiz atrofi o'z navbatida OU va ob'ektlar guruhini, shuningdek bolalar domenlariga ega bo'lishi mumkin (bu holda bittadan). Bola domenlari ob'ektlar va OU guruhlarini o'z ichiga olishi va bolalar domenlariga ega bo'lishi mumkin (ular rasmda ko'rsatilmagan). Va hokazo. Sizga shuni eslatib o'tamanki, OU tarkibida OU, ob'ektlar va ob'ektlar guruhlari, guruhlarda boshqa guruhlar bo'lishi mumkin. Keyingi maqolada uy quradigan guruhlar va ularning tarkibiy qismlari haqida ko'proq o'qing.
Katalog xizmatining mohiyati
Ma'lum bir xavfsizlik darajasini ta'minlash uchun har qanday operatsion tizimda foydalanuvchi ma'lumotlar bazasini o'z ichiga olgan fayllar bo'lishi kerak. Windows NT ning oldingi versiyalarida SAM fayli (Security Accounts Manager) ishlatilgan. Unda foydalanuvchi hisob ma'lumotlari bo'lgan va shifrlangan. Bugungi kunda SAM NT 5 oilasining operatsion tizimlarida ham qo'llaniladi (Windows 2000 va undan yuqori versiyalar).
A'zo server rolini DCPROMO buyrug'i yordamida domen boshqaruvchisiga yangilaganingizda (aslida u katalog xizmatini o'rnatish ustasini ishga tushiradi), Windows Server 2000/2003 xavfsizlik quyi tizimi markazlashtirilgan AD ma'lumotlar bazasidan foydalanishni boshlaydi. Buni osongina tekshirish mumkin - domenni yaratgandan so'ng, boshqaruvchida Computer Management-ning kirishini ochib ko'ring va u erda "Mahalliy foydalanuvchilar va guruhlar" ni toping. Bundan tashqari, ushbu serverga mahalliy hisob ostida kirishga harakat qiling. Muvaffaqiyatga erishishingiz dargumon.
Ko'pgina foydalanuvchi ma'lumotlari NTDS.DIT \u200b\u200b(Katalog ma'lumotlari daraxti) faylida saqlanadi. NTDS.DIT \u200b\u200b- bu o'zgartirilgan ma'lumotlar bazasi. U Microsoft Access ma'lumotlar bazasi bilan bir xil texnologiyalar yordamida yaratilgan. Domen nazoratchilarining ishlash algoritmlarida ESE (Extensible Storage Engine - Extensible Storage Engine) deb nomlangan Access ma'lumotlar bazasi JET dvigatelining bir varianti mavjud. NTDS.DIT \u200b\u200bva ushbu fayl bilan o'zaro aloqani ta'minlaydigan xizmatlar, aslida katalog xizmati.
Maqolada AD mijozlarining o'zaro aloqasi va asosiy ma'lumotlar ombori, katalog xizmatining nomlari maydoniga o'xshaydi. To'liqlik uchun global identifikatorlardan foydalanish kerakligini eslatib o'tish kerak. Global noyob identifikator (GUID) bu 128 bitli raqam bo'lib, har bir ob'ekt o'ziga xoslikni ta'minlash uchun yaratilganida taqqoslanadi. AD ob'ektining nomini o'zgartirish mumkin, lekin GUID o'zgarmas qoladi.
Global katalog
Shubhasiz, siz AD tuzilishi juda murakkab va juda ko'p ob'ektlarni o'z ichiga olishi mumkinligini payqadingiz. Shunisi e'tiborga loyiq narsa, AD domeni 1,5 milliontagacha ob'ektlarni o'z ichiga olishi mumkin. Ammo, shu sababli, operatsiyalar paytida ishlash bilan bog'liq muammolar paydo bo'lishi mumkin. Ushbu muammo Global Katalog (GC) yordamida hal qilinadi. Unda barcha AD o'rmonining qisqartirilgan versiyasi mavjud bo'lib, u ob'ektlarni qidirishni tezlashtirishga yordam beradi. Global katalog bu uchun maxsus mo'ljallangan domen nazoratchilariga tegishli bo'lishi mumkin.
FSMO rollari
ADda bajarilishi faqat bitta boshqaruvchiga tayinlanishi mumkin bo'lgan operatsiyalarning ma'lum bir ro'yxati mavjud. Bular FSMO (Flexible Single-Master Operations) rollari deb nomlanadi. Umumiy holda, AD 5 ta FSMO roliga ega. Keling, ularni batafsil ko'rib chiqaylik.
O'rmon ichida, domen o'rmoniga yangi domen qo'shilganda domen nomlarining noyobligi kafolati bo'lishi kerak. Bunday kafolat domen nomini berish operatsiyasining egasi rolini bajaruvchisi tomonidan ta'minlanadi (Domain Naming Master) Sxemaning egasi rolini ijrochisi (Schema Master) katalog sxemasiga barcha o'zgarishlarni kiritadi. Domen nomi egasi va sxemasi egasining rol ijrochilari domen o'rmonida noyob bo'lishi kerak.
Aytganimdek, ob'ektni yaratishda, uning o'ziga xosligini kafolatlaydigan global identifikator bilan taqqoslanadi. Shuning uchun GUID-ni yaratishga mas'ul bo'lgan va nisbiy ID Master-ning egasi sifatida ishlaydigan kontroller domen ichida yagona bo'lishi kerak.
NT domenlaridan farqli o'laroq, AD PDC va BDC (asosiy va zaxira domen kontrollerlari) tushunchalariga ega emas. FSMO rollaridan biri PDC emulyatori (asosiy domen boshqaruvchisining emulyatori). Windows NT Server-da ishlaydigan server AD-da zaxira domeni boshqaruvchisi sifatida harakat qilishi mumkin. Ammo ma'lumki, NT domenlarida faqat bitta asosiy kontrollerdan foydalanish mumkin. Shuning uchun Microsoft bitta AD domeni doirasida bitta serverni - PDC Emulator rolini tashuvchisini belgilashimiz uchun shunday qildi. Shunday qilib, terminologiyadan chiqib, FSMO rolining egasini yodda tutgan holda asosiy va zaxira domen kontrollerlari mavjudligi haqida gapirish mumkin.
Ob'ektlarni o'chirish va ko'chirishda, boshqaruvchilardan biri replikatsiya tugaguniga qadar ushbu ob'ektga ulanishni saqlab turishi kerak. Ushbu rolni katalog infratuzilmasi egasi (Infrastructure Master) ijro etadi.
So'nggi uchta rol rassomning domen ichida o'ziga xosligini talab qiladi. Barcha rollar o'rmonda yaratilgan birinchi boshqaruvchiga beriladi. Tarqalgan AD infratuzilmasini yaratishda siz ushbu rollarni boshqa boshqaruvchilarga topshirishingiz mumkin. Rollardan birining egasi bo'lmaganda (server ishlamay qoldi) vaziyatlar ham yuzaga kelishi mumkin. Bunday holda, NTDSUTIL yordam dasturidan foydalanib, FSMO rolini ushlash operatsiyasini bajarish kerak (biz keyingi maqolalarda bu haqda gaplashamiz). Ammo ehtiyot bo'lishingiz kerak, chunki siz rolni qabul qilayotganda, katalog xizmati avvalgi egasi yo'qligiga ishonadi va u bilan umuman aloqa qilmaydi. Rolning oldingi aktyori tarmog'iga qaytish uning ishlashini buzilishiga olib kelishi mumkin. Bu ayniqsa sxema egasi, domen nomlari egalari va identifikatorlarning egalari uchun juda muhimdir.
Ishlash to'g'risida: asosiy domen boshqaruvchisi emulyatori roli kompyuter resurslarida eng talabchan, shuning uchun uni boshqa boshqaruvchiga berish mumkin. Qolgan rollar unchalik talabchan emas, shuning uchun ularni tarqatayotganda, sizning AD sxemangizning mantiqiy tuzilishining nuanslariga amal qilishingiz mumkin.
Teoristning so'nggi bosqichi
Maqolani o'qish sizni umuman nazariyotshunoslardan amaliyotga o'tkazmasligi kerak. Chunki, tarmoq tugunlarining joylashuvidan boshlab, barcha katalogning mantiqiy tuzilishigacha bo'lgan barcha omillarni hisobga olmaguncha, biznesni boshlashdan bosh tortmaslik va AD o'rnatish ustasi savollariga oddiy javoblar bilan domen yaratish kerak emas. Domeningiz qanday nomlanishini o'ylab ko'ring va agar siz uning filiallarini yaratmoqchi bo'lsangiz, ular qanday belgilar bilan nomlanadi. Agar sizning tarmog'ingiz ishonchsiz aloqa kanallari bilan ulangan bir nechta segmentga ega bo'lsa, saytlardan foydalanishni o'ylab ko'ring.
ADni o'rnatishda qo'llanma sifatida maqolalar va Microsoft ma'lumot bazasidan foydalanishni tavsiya etaman.
Va nihoyat, bir nechta maslahatlar:
Iloji bo'lsa, PDC emulyatori va proksi serverning rollarini bir xil mashinada birlashtirmaslikka harakat qiling. Birinchidan, tarmoqda va Internetda ishlaydigan ko'plab mashinalar bilan serverga yuk ortadi, ikkinchidan, sizning proksi-serveringizga muvaffaqiyatli hujum qilinganida, nafaqat Internet, balki asosiy domen boshqaruvchisi ham "tushadi" va bu butun tarmoqning noto'g'ri ishlashiga olib keladi.
Agar siz doimiy ravishda mahalliy tarmoqni boshqarib tursangiz va mijozlar uchun Active Directory-ni amalga oshirishni boshlamasangiz, asta-sekin, kuniga to'rtdan beshgacha domenga mashinalarni qo'shing. Agar siz tarmoqda juda ko'p sonli (50 yoki undan ortiq) dastgohingiz bo'lsa va uni yakka o'zi boshqarsangiz, hatto hafta oxiri ham boshqarishingiz dargumon va agar boshqarsangiz, hamma narsa qay darajada to'g'ri bo'lishi noma'lum. Bundan tashqari, tarmoq ichidagi hujjatlar bilan almashish uchun siz fayl yoki ichki pochta serveridan foydalanishingiz mumkin (bu men 2006 yil 11-sonda tasvirlangan). Bu holatda yagona narsa fayl serveriga kirish uchun foydalanuvchi huquqlarini qanday sozlashni to'g'ri aniqlashdir. Chunki, masalan, agar u domenga kiritilmagan bo'lsa, foydalanuvchi autentifikatsiyasi mahalliy SAM ma'lumotlar bazasidagi yozuvlarga asoslanadi. Domen foydalanuvchilari to'g'risida ma'lumotlar yo'q. Ammo, agar sizning fayl serveringiz AD ichiga kiradigan birinchi mashinalar orasida bo'lsa va domen boshqaruvchisi bo'lmasa, unda mahalliy SAM ma'lumotlar bazasi va AD hisob bazasi orqali autentifikatsiya qilish imkoniyati paydo bo'ladi. Ammo oxirgi variant uchun mahalliy xavfsizlik sozlamalarida domen a'zolari va mahalliy hisoblarga tarmoq orqali fayl serveriga kirishga ruxsat berishingiz kerak bo'ladi.
Katalog xizmatining keyingi konfiguratsiyasi haqida (hisoblarni yaratish va boshqarish, guruh siyosatini tayinlash va boshqalar) keyingi maqolaga qarang.
Ilova
Windows Server 2003 da Active Directory yangiliklari
Windows Server 2003-ning chiqarilishi bilan Active Directory-da quyidagi o'zgarishlar yuzaga keldi:
Domen yaratilgandan keyin uning nomini o'zgartirish mumkin bo'ldi.
Foydalanuvchi interfeysi boshqaruvi yaxshilandi. Masalan, bir vaqtning o'zida bir nechta ob'ektlarning xususiyatlarini o'zgartirishingiz mumkin.
Yaxshi Group Policy Management Console vositasi paydo bo'ldi - Group Policy Management Console (gpmc.msc, uni Microsoft veb-saytidan yuklab olish kerak).
Domen va o'rmonning funktsional darajalari o'zgardi.
So'nggi o'zgarish haqida ko'proq gapirish kerak. Windows Server 2003 dagi AD domeni funktsional imkoniyatlarni oshirish maqsadida sanab o'tilgan quyidagi darajalardan biriga ega bo'lishi mumkin:
|
| |