Microsoft Active Directory

Материал из Национальной библиотеки им. Н. Э. Баумана
Последнее изменение этой страницы: 13:05, 7 июня 2018.
(перенаправлено с «Active Directory»)
Active Directory
Logo act der.jpg
Разработчики: Microsoft Corporation
Выпущена: January 1999; 20 years ago (1999-01)
Написана на: C++
Операционная система: Windows Server
Тип ПО: Каталог служб
Веб-сайт Официальный сайт

Active Directory — это иерархически организованное хранилище данных об объектах сети, обеспечивающее удобные средства для поиска и использования этих данных. Компьютер, на котором работает Active Directory, называется контроллером домена. С Active Directory связаны практически все административные задачи. Технология Active Directory основана на стандартных Интернет - протоколах и помогает четко определять структуру сети.

Общее

C помощью службы Active Directory создаются учетные записи компьютеров, проводится подключение их к домену, производится управление компьютерами, контроллерами домена и организационными подразделениями (ОП). Для управления Active Directory предназначены средства администрирования и поддержки. Перечисленные ниже инструменты реализованы и виде оснасток консоли ММС (Microsoft Management Console):

  • Active Directory — пользователи и компьютеры (Active Directory Users and Computers) позволяет управлять пользователями, группами, компьютерами и организационными подразделениями (ОП);
  • Active Directory — домены и доверие (Active Directory Domains and Trusts) служит для работы с доменами, деревьями доменов и лесами доменов;
  • Active Directory — сайты и службы (Active Directory Sites and Services) позволяет управлять сайтами и подсетями;
  • Результирующая политика (Resultant Set of Policy) используется для просмотра текущей политики пользователя или системы и для планирования изменений в политике.

В Microsoft Windows 2003 Server можно получить доступ к этим оснасткам напрямую из меню Администрирование (Administrative Tools). Еще одно средство администрирования — оснастка СхемаActive Directory (Active Directory Schema) — позволяет управлять и модифицировать схему каталога.

Active directory.jpg

Компоненты Active Directory

Active Directory объединяет физическую и логическую структуру для компонентов сети. Логические структуры Active Directory помогают организовывать объекты каталога и управлять сетевыми учетными записями и общими ресурсами. К логической структуре относятся следующие элементы:

  • организационное подразделение (organizational unit) — подгруппа компьютеров, как правило, отражающая структуру компании;
  • домен (domain) — группа компьютеров, совместно использующих общую БД каталога;
  • дерево доменов (domain tree) — один или несколько доменов, совместно использующих непрерывное пространство имен;
  • лес доменов (domain forest) — одно или несколько деревьев, совместно использующих информацию каталога.

Физические элементы помогают планировать реальную структуру сети. На основании физических структур формируются сетевые связи и физические границы сетевых ресурсов. К физической структуре относятся следующие элементы:

  • подсеть (subnet) — сетевая группа с заданной областью IP- адресов и сетевой маской;
  • сайт (site) — одна или несколько подсетей. Сайт используется для настройки доступа к каталогу и для репликации.

Организационные подразделения

ганизационные подразделения (ОП) — это подгруппы в доменах, которые часто отражают функциональную структуру организации. ОП представляют собой своего рода логические контейнеры, в которых размещаются учетные записи, общие ресурсы и другие ОП. Например, можно создать в домене microsoft.com подразделения Resourses, IT, Marketing. Потом эту схему можно расширить, чтобы она содержала дочерние подразделения.

Домены

Домен Active Directory — это группа компьютеров, совместно использующих общую БД каталога. Имена доменов Active Directory должны быть уникальными. Например, не может быть двух доменов microsoft.com, но может быть родительский домен microsoft.com с дочерними доменами seattle.microsoft.com и my.microsoft.com. Если домен является частью закрытой сети, имя, присвоенное новому домену, не должно конфликтовать ни с одним из существующих имен доменов в этой сети. Если домен — часть глобальной сети Интернет, то его имя не должно конфликтовать ни с одним из существующих имен доменов в Интернете. Чтобы гарантировать уникальность имен в Интернете, имя родительского домена необходимо зарегистрировать через любую полномочную регистрационную организацию.

Функции домена ограничиваются и регулируются режимом его функционирования. Существует четыре функциональных режима доменов:

  • смешанный режим Windows 2000 (mixed mode) — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Windows 2000 и Windows Server 2003;
  • основной режим Windows 2000 (native mode) — поддерживает контроллеры доменов, работающие под управлением Windows 2000 и Windows Server 2003;
  • промежуточный режим Windows Server 2003 (interim mode) — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003;
  • режим Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003.

Леса и деревья

Каждый домен Active Directory обладает DNS-именем типа microsoft.com. Домены, совместно использующие данные каталога, образуют лес (forest). Имена доменов леса в иерархии имен DNS бывают несмежными (discontiguous) или смежными (contiguous).

Домены, обладающие смежной структурой имен, называют деревом доменов. Если у доменов леса несмежные DNS-имена, они образуют отдельные деревья доменов в лесу. В лес можно включить одно или несколько деревьев. Для доступа к доменным структурам предназначена консоль Active Directory — домены и доверие (Active Directory Domains and Trusts). Функции лесов ограничиваются и регулируются функциональным режимом леса. Таких режимов три:

  • Windows 2000 — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0, Windows 2000 и Windows Server 2003;
  • промежуточный (interim) Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows NT 4.0 и Windows Server 2003;
  • Windows Server 2003 — поддерживает контроллеры доменов, работающие под управлением Windows Server 2003.

Самые современные функции Active Directory доступны в режиме Windows Server 2003. Если все домены леса работают в этом режиме, можно пользоваться улучшенной репликацией (тиражированием) глобальных каталогов и более эффективной репликацией данных Active Directory. Также есть возможность отключать классы и атрибуты схемы, использовать динамические вспомогательные классы, переименовывать домены и создавать в лесу односторонние, двухсторонние и транзитивные доверительные отношения.

Сайты и подсети

Сайт — это группа компьютеров в одной или нескольких IP-подсетях, используемая для планирования физической структуры сети. Планирование сайта происходит независимо от логической структуры домена. Active Directory позволяет создать множество сайтов в одном домене или один сайт, охватывающий множество доменов.

В отличие от сайтов, способных охватывать множество областей IP-адресов, подсети обладают заданной областью IP-адресов и сетевой маской. Имена подсетей указываются в формате сеть/битовая маска, например 192.168.19.0/24, где сетевой адрес 192.168.19.0 и сетевая маска 255.255.255.0 скомбинированы в имя подсети 192.168.19.0/24.

Структура каталога

Данные каталога предоставляются пользователям и компьютерам через хранилище данных (data stores) и глобальные каталоги (global catalogs). Хотя большинство функций Active Directory затрагивают хранилище данных, ГК[1] не менее важны, поскольку используются для входа в систему и поиска информации. Если ГК недоступен, обычные пользователи не смогут войти в домен.

Доступ и распространение данных Active Directory обеспечиваются средствами протоколов доступа к каталогу (directory access protocols) и репликации (replication). Репликация нужна для распространения обновленных данных на контроллеры. Главный метод распространения обновлений — репликация с несколькими хозяевами, но некоторые изменения обрабатываются только специализированными контроллерами — хозяевами операций (operations masters).

Хранилище данных

Хранилище содержит сведения о важнейших объектах службы каталогов Active Directory — учетных записях, общих ресурсах, ОП и групповых политиках. Иногда хранилище данных называют просто каталогом (directory). На контроллере домена каталог хранится в файле NTDS.DIT, расположение которого определяется при установке Active Directory (это обязательно должен быть диск NTFS). Некоторые данные каталога можно хранить и отдельно от основного хранилища, например, групповые политики, сценарии и другую информацию, записанную в общем системном ресурсе SYSVOL. Предоставление информации каталога в совместное пользование называют публикацией (publish).

Глобальный каталог

Если локальное кэширование членства в универсальных группах не производится, вход в сеть осуществляется на основе информации о членстве в универсальной группе, предоставленной ГК.

Он также обеспечивает поиск в каталоге по всем доменам леса. Контроллер, выполняющий роль сервера ГК, хранит полную реплику всех объектов каталога своего домена и частичную реплику объектов остальных доменов леса.[2]

Репликация в Active Directory

В каталоге хранятся сведения трех типов: данные домена, данные схемы и данные конфигурации. Данные домена реплицируются на все контроллеры домена. Все контроллеры домена равноправны, т.е. все вносимые изменения с любого контроллера домена будут реплицированы на все остальные контроллеры домена Схема и данные конфигурации реплицируются на все домены дерева или леса. Кроме того, все объекты индивидуального домена и часть свойств объектов леса реплицируются в ГК. Это означает, что контроллер домена хранит и реплицирует схему для дерева или леса, информацию о конфигурации для всех доменов дерева или леса и все объекты каталога и свойства для собственного домена.

Контроллер домена, на котором хранится ГК, содержит и реплицирует информацию схемы для леса, информацию о конфигурации для всех доменов леса и ограниченный набор свойств для всех объектов каталога в лесу (он реплицируется только между серверами ГК), а также все объекты каталога и свойства для своего домена.

Active Directory и LDAP

Упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — стандартный протокол Интернет соединений в сетях TCP/IP. LDAP спроектирован специально для доступа к службам каталогов с минимальными издержками. В LDAP также определены операции, используемые для запроса и изменения информации каталога.

Клиенты Active Directory применяют LDAP для связи с компьютерами, на которых работает Active Directory, при каждом входе в сеть или поиске общих ресурсов. LDAP упрощает взаимосвязь каталогов и переход на Active Directory с других служб каталогов. Для повышения совместимости можно использовать интерфейсы служб Active Directory (Active Directory Service- Interfaces, ADSI).

Пример настройки домена

Для того, чтобы произвести создание нового домена, нужно выполнить некоторые шаги. Для начала нужно придумать доменное имя. Указываем его в поле Root domain mane.

Снимок экрана 2018-01-18 в 0.56.17.png

После чего, необходимо придумать пароль. ВАЖНО: пароль должен соответствовать некоторым правилам, а именно, состоять из не менее 8 знаков, иметь в себе как минимум 1 цифру, 1 заглавную букву, 1 прописную букву.

Снимок экрана 2018-01-18 в 0.57.35.png

При необходимости, можно изменить доменное имя NetBIOS .

Снимок экрана 2018-01-18 в 0.58.05.png

Далее указываем место хранения БД, логов и системного тома.

Снимок экрана 2018-01-18 в 0.58.13.png

После установки и перезагрузки машины, домен будет настроен.

Снимок экрана 2018-01-18 в 0.58.56.png

Пример настройки для Windows Server 2016 R2

Минимальные системные требования:

Процессор • 1.4 ГГц 64-битный процессор • Совместимость с 64-разрядных команд • Поддерживает NX и деп • Поддерживает инструкции cmpxchg16b, LAHF/ГЖФ, и PrefetchW • Поддержка перевода адреса второго уровня (епт или NPT)

Оперативная память • 512 Мб (2 ГБ для сервера с рабочего стола установка) • Ошибок (ECC) Тип или похожие технологии

Требования к контроллеру хранилища и дисковому пространству

Компьютеры под управлением Windows Server 2016 должны иметь адаптер хранения, совместимый со спецификацией архитектуры PCI Express. Постоянные устройства хранения на серверах, классифицированных как жесткие диски, не должны быть типа PATA. Windows Server 2016 не поддерживает ATA / PATA / IDE / EIDE для загрузки, страницы или дисков с данными.

Минимум объём памяти: 32 ГБ

Требования к сетевому адаптеру

Минимальный:

• Ethernet-адаптер, способный как минимум гигабит пропускной способности • Совместимый с PCI-Экспресс Спецификация архитектуры. • Поддерживает предзагрузочного выполнения среды (pxe).

Сетевой адаптер, поддерживающий сетевую отладку (kdnet), полезен, но не является обязательным.

Таким образом, в данной демонстрации используется виртуальный сервер Windows Server 2016 datacenter. Для установки active directory нам нужно войти как локальный администратор. Первое, что нужно проверить - это настройки IP-адреса.

1) После установки директории на сервер, то он также будет выступать в качестве DNS-сервера. Там для изменения настроек DNS в сетевом интерфейсе и установки IP-адреса сервера (или локального хоста IP 127.0.0.1) в качестве основного DNS-сервера.

1 Win Serv.png

2) Затем откройте диспетчер серверов. Перейти к PowerShell (от имени администратора) и введите команду servermanager.exe-файл и нажмите клавишу ввод.

2 Win Serv.png

3) затем на диспетчер сервера "нажмите на" добавить роли и компоненты

3 Win Serv.png

4) откроется мастер добавления ролей и компонентов. Нажмите на кнопку Далее для продолжения.

4 Win Serv.png

5) затем в следующем окне оставьте значение по умолчанию и нажмите кнопку Далее

5 Win Serv.png

6) Так как будет локальный сервер, в следующем окне оставьте значение по умолчанию выбор.

6 Win Serv.png

7) В следующем окне из ролей установите флажок для активных сервисов домена каталога. Затем он предложит вам показать, каковы связанные функции для этой роли. Нажмите, чтобы добавить функции, чтобы добавить их. Затем нажмите кнопку «Далее», чтобы продолжить.

7 Win Serv.png
8 Win Serv.png
9 Win Serv.png

8) Страница функций, сохраните ее по умолчанию и щелкните дальше, чтобы продолжить.

10 Win Serv.png

9) В следующих окнах приводится краткое описание службы AD DS. Нажмите «Далее», чтобы продолжить.

11 Win Serv.png

10) Затем он даст подтверждение об установке, нажмите «Установить», чтобы начать процесс установки ролей.

12 Win Serv.png

11) После данного действия он начнет процесс установки

13 Win Serv.png

12) После завершения установки нажмите на опцию, чтобы продвинуть этот сервер на контроллер домена.

14 Win Serv.png

13) Затем он откроет мастер настройки активного каталога. В моей демонстрации я собираюсь настроить новый лес. Но если вы добавите это в существующий домен, вы можете выбрать соответствующий вариант. (Я собираюсь написать отдельную статью, чтобы рассказать, как вы можете обновить ее из старой версии Active Directory). Выберите параметр для добавления нового леса и введите полное доменное имя для домена. Затем нажмите Далее.

15 Win Serv.png

14) На следующей странице вы можете выбрать функциональные уровни домена и леса. Я собираюсь настроить его последним. Затем введите пароль для DSRM. Затем нажмите

16 Win Serv.png

15) Для параметров DNS это будет первый DNS-сервер в новом лесу. Поэтому никаких изменений не требуется. Нажмите «Далее», чтобы продолжить.

17 Win Serv.png

16) Для имени NETBIOS сохраните значение по умолчанию и нажмите «Далее».

18 Win Serv.png

17) Следующая страница предназначена для определения файлов NTDS, SYSVOL и LOG файлов. Вы можете сохранить по умолчанию или определить для них другой путь. В демо я буду держать дефолт. После того, как изменения будут выполнены, нажмите

19 Win Serv.png

18) Следующая страница даст возможность просмотреть изменения конфигурации. Если все в порядке, вы можете щелкнуть дальше, чтобы продолжить или в противном случае можете вернуться назад и изменить настройки.

20 Win Serv.png

19) В следующих окнах он выполнит предварительную проверку. Если все будет хорошо, это даст возможность установить. Нажмите «Установить», чтобы начать процесс установки.

21 Win Serv.png

20) Затем он начнет процесс установки.

22 Win Serv.png

21) После того, как система установки перезапустится автоматически. Как только он вернется, войдите на сервер в качестве администратора домена.

23 Win Serv.png

22) Как только войдите в систему, откройте powershell (как администратор) и введите dsac.exe и нажмите клавишу ввода. Он откроет активный административный центр каталога. Там вы можете начать управлять ресурсами.

24 Win Serv.png
25 Win Serv.png

23) Также вы можете использовать Get-ADDomain | fl Имя, DomainMode и Get-ADForest | fl Имя, ForestMode из powershell для подтверждения функциональных уровней домена.

26 Win Serv.png

Утилиты командной строки Active Directory

В заключение, дадим несколько средств командной строки, которые позволяют осуществлять широкий спектр административных задач:

  • DSADD — добавляет в Active Directory компьютеры, контакты, группы, ОП и пользователей.
  • DSGET — отображает свойства компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов, зарегистрированных в Active Directory.
  • DSMOD — изменяет свойства компьютеров, контактов, групп, ОП, пользователей и серверов, зарегистрированных в Active Directory.
  • DSMOVE — перемещает одиночный объект в новое расположение в пределах домена или переименовывает объект без перемещения.
  • DSQXJERY — осуществляет поиск компьютеров, контактов, групп, ОП, пользователей, сайтов, подсетей и серверов в Active Directory по заданным критериям.
  • DSRM — удаляет объект из Active Directory.

Примечания

  1. ГК - глобальный каталог
  2. По умолчанию сервером ГК становится первый контроллер домена. Поэтому, если в домене только один контроллер, то сервер ГК и контроллер домена — один и тот же сервер. - http://pyatilistnik.org/vvedenie-v-osnovnyie-ponyatiya-active-directory/

Ссылки