Active directory для чайников кратко

Обновлено: 02.05.2024

Задача: Развернуть сервер с ролью контроллера домена на виртуальной машине.

Шаг 1 — Подготовка и требования к оборудованию

Основные минимальные требования к аппаратному и программному обеспечению:

  • Наличие хотя бы одного узла (аппаратного или виртуального) под управлением MS Windows Server
  • 64-битный процессор с тактовой частотой не менее 1.4 Ггц
  • ОЗУ не менее 512 МБ
  • Системный диск не менее 40 ГБ

Тестовый стенд представляет из себя виртуальную машину под управлением MS Windows Server 2016 Standard, развернутую на сервере с ролью Hyper-V.

Шаг 2 — Установка и настройка контроллера домена

  1. Необходимо зайти на сервер под учетной записью локального администратора. В связи с тем, что на сервер помимо роли Active Directory Domain Services будет установлена служба DNS, нам нужно изменить настройки сетевого интерфейса на ВМ, указав в поле первичного DNS сервера ip-адрес нашего шлюза по умолчанию.

Настройка сетевого интерфейса

Рисунок 1 - Настройка сетевого интерфейса

  1. Далее нам необходимо открыть консоль Диспетчера серверов и нажать на пункт Добавить роли и компоненты.

Главная страница консоли диспетчера серверов

Рисунок 2 - Главная страница консоли диспетчера серверов

  1. В следующем окне нам необходимо выбрать пункт Установка ролей или компонентов и нажать на Далее.

Мастер добавления ролей и компонентов. Выбор типа установки

Рисунок 3 - Мастер добавления ролей и компонентов. Выбор типа установки

  1. В данном окне выбираем наш сервер, на котором будет поднята роль Контроллера Домена и нажимаем Далее.

Мастер добавления ролей и компонентов. Выбор целевого сервера

Рисунок 4 - Мастер добавления ролей и компонентов. Выбор целевого сервера

  1. На данном этапе кликаем по чекбоксу с наименованием Доменные службы Active Directory.

Мастер добавления ролей и компонентов. Выбор ролей сервера

Рисунок 5 - Мастер добавления ролей и компонентов. Выбор ролей сервера

  1. В появившемся окне нажимаем на кнопку Добавить компоненты и пропускаем окна выбора компонентов и описания AD DS по нажатию кнопки Далее.

Мастер добавления ролей и компонентов. Выбор служб ролей или компонентов.

Рисунок 6 - Мастер добавления ролей и компонентов. Выбор служб ролей или компонентов

  1. Прожимаем чекбокс в котором написано Автоматический перезапуск сервера, если потребуется и нажимаем на кнопку установить.

Мастер добавления ролей и компонентов. Подтверждение установки компонентов

Рисунок 7 - Мастер добавления ролей и компонентов. Подтверждение установки компонентов

  1. На экране будет отображен ход установки выбранных нами ролей. По завершению установки нажимаем на ссылку Повысить роль этого сервера до контроллера домена.

Рисунок 8 - Мастер добавления ролей и компонентов. Ход установки

  1. В окне Мастер настройки доменных служб Active Directory Выбираем опцию Добавить новый лес и указываем имя корневого домена.

Мастер настройки доменных служб Active Directory. Конфигурация

Рисунок 9 - Мастер настройки доменных служб Active Directory. Конфигурация

  1. В пункте Параметры контроллера домена необходимо указать функциональный уровень домена и леса AD. Выбираем схему соответствующую редакции нашего сервера. Так как на данном сервере будет поднята роль DNS сервера нужно прожать следующие чекбоксы и указать пароль администратора для входа в DSRN режим.

Мастер настройки доменных служб Active Directory. Параметры контроллера домена

Рисунок 10 - Мастер настройки доменных служб Active Directory. Параметры контроллера домена

  1. Наш сервер будет первым DNS сервером в лесу, поэтому мы не настраиваем делегацию DNS. Нажимаем Далее.

Мастер настройки доменных служб Active Directory. Параметры DNS

Рисунок 11 - Мастер настройки доменных служб Active Directory. Параметры DNS

  1. В следующем окне оставляем NETBIOS имя домена без изменений и нажимаем Далее.
  2. Указываем расположение баз данных AD DS, файлов журналов и папки SYSVOL. После выбора нажимаем Далее.

Мастер настройки доменных служб Active Directory. Пути

Рисунок 12 - Мастер настройки доменных служб Active Directory. Пути

  1. На экране просмотра параметров будет отображен список всех выбранных нами настроек. Нажимаем Далее, проходим предварительную проверку и нажимаем Установить.

Мастер настройки доменных служб Active Directory. Проверка предварительных требований

Рисунок 13 - Мастер настройки доменных служб Active Directory. Проверка предварительных требований

  1. После завершения процесса установки сервер автоматически перезагрузится. Теперь мы можем войти на сервер под учетной записью домена.

Базовая установка и настройка контроллера домена завершена. Если вам нужна помощь по настройке Active Directory и любым ИТ-задачам, свяжитесь с нами любым удобным способом. Возможно, вашей компании требуется ИТ-обслуживание.

Этичный хакинг и тестирование на проникновение, информационная безопасность

Оглавление

8. Групповые политики

9. Управление пользователями и компьютерами Active Directory. Группы. Организационные единицы

10. Настройка траста и сайта доменов

11. Другие службы и роли Active Directory

12. Настройка Samba (Active Directory для Linux)

13. Инструменты для аудита безопасности Active Directory

Что такое Active Directory

Active Directory — это технология Microsoft, которая представляет собой распределенную базу данных, в которой хранятся объекты в иерархическом, структурированном и безопасном формате. Объекты AD обычно представляют пользователей, компьютеры, периферийные устройства и сетевые службы. Каждый объект уникально идентифицируется своим именем и атрибутами. Домен, лес и дерево представляют собой логические подразделения инфраструктуры AD.

Домены Windows обычно используются в больших сетях — корпоративных сетях, школьных сетях и государственных сетях. Они не то, с чем вы столкнётесь дома, если у вас нет ноутбука, предоставленного вашим работодателем или учебным заведением.

Типичный домашний компьютер — обособленный объект. Вы управляете настройками и учётными записями пользователей на компьютере. Компьютер, присоединённый к домену, отличается — этими настройками управляет контроллер домена.

Что такое домен?

Домены Windows предоставляют сетевым администраторам возможность управлять большим количеством компьютеров и контролировать их из одного места. Один или несколько серверов, известных как контроллеры домена, контролируют домен и компьютеры на нём.

Домены обычно состоят из компьютеров в одной локальной сети. Однако компьютеры, присоединённые к домену, могут продолжать обмениваться данными со своим контроллером домена через VPN или подключение к Интернету. Это позволяет предприятиям и учебным заведениям удалённо управлять ноутбуками, которые они предоставляют своим сотрудникам и учащимся.

Когда компьютер присоединён к домену, он не использует свои собственные локальные учётные записи пользователей. Учётные записи пользователей и пароли устанавливаются на контроллере домена. Когда вы входите в систему в этом домене, компьютер аутентифицирует имя вашей учётной записи и пароль с помощью контроллера домена. Это означает, что вы можете войти в систему с одним и тем же именем пользователя и паролем на любом компьютере, присоединённом к домену.

Другими словами, когда компьютер является частью домена, организация, предоставляющая этот компьютер, управляет и настраивает его удалённо. Они контролируют ПК, а не тот, кто им пользуется.

Поскольку домены не предназначены для домашних пользователей, к домену можно присоединить только компьютер с версией Windows Professional или Enterprise. Устройства под управлением Windows RT также не могут присоединяться к доменам.

Для чего нужна Active Directory

Когда вы используете Active Directory, все разрешения устанавливаются контроллером домена. Это означает, что сетевой администратор уже сообщил контроллеру домена, какие разрешения назначить каждому пользователю. Это делает всю цифровую коммуникацию более эффективной.

Что может администратор сети через Active Directory?

Не всем в вашей организации обязательно нужен доступ ко всем файлам/документам, имеющим отношение к вашей компании. С помощью Active Directory вы можете предоставить отдельным пользователям разрешение на доступ к любым файлам/дискам, подключённым к сети, чтобы все участвующие стороны могли использовать ресурсы по мере необходимости. Кроме того, вы можете указать ещё более точные разрешения. Чтобы проиллюстрировать это, давайте рассмотрим пример: предположим, у вашей компании есть каталог в сети для всех документов, относящихся к кадрам. Сюда могут входить любые формы, которые нужны сотрудникам для подачи в отдел кадров (официальные запросы, официальные жалобы и так далее). Предположим также, что в каталоге есть таблица, в которой указано, когда сотрудники будут в отпуске и отсутствовать в офисе. Ваш сетевой администратор может предоставить всем пользователям доступ к этому каталогу только для чтения, что означает, что они могут просматривать документы и даже распечатывать их, но они не могут вносить какие-либо изменения или удалять документы. Затем администратор может предоставить расширенные права вашему менеджеру/директору по персоналу или любому другому сотруднику отдела кадров, которому потребуется редактировать файлы, хранящиеся в каталоге.

Ещё одним огромным плюсом для сетевых администраторов, использующих Active Directory, является то, что они могут выполнять обновления в масштабе всей сети одновременно. Когда все ваши машины автономны и действуют независимо друг от друга, вашим сетевым администраторам придётся переходить от машины к машине каждый раз, когда необходимо выполнить обновления. Без Active Directory им пришлось бы надеяться, что все сотрудники обновят свои машины самостоятельно.

AD позволяет централизовать управление пользователями и компьютерами, а также централизовать доступ к ресурсам и их использование.

Что нужно для Active Directory

Active Directory можно включить на компьютерах с Windows Server. На не серверных компьютерах (например, с Windows 10), можно установить и включить Active Directory Lightweight Directory Services, то есть средства удалённого администрирования сервера: средства доменных служб Active Directory и служб облегчённого доступа к каталогам. Они предоставляют сервер LDAP (Lightweight Directory Access Protocol, облегчённый протокол доступа к каталогам). Он работает как служба Windows и предоставляет каталог для аутентификации пользователей в сети. Это лёгкая альтернатива полноценному серверу Active Directory, которая будет полезна только в определённых бизнес-сетях.

Active Directory Domain Services

Доменные службы Active Directory — это сервер каталогов Microsoft. Он предоставляет механизмы аутентификации и авторизации, а также структуру, в которой могут быть развёрнуты другие связанные службы (службы сертификации AD, федеративные службы AD и так далее). Это совместимая с LDAP база данных, содержащая объекты. Наиболее часто используемые объекты — это пользователи, компьютеры и группы. Эти объекты могут быть организованы в организационные единицы (OU) по любому количеству логических или бизнес-потребностей. Затем объекты групповой политики (GPO) можно связать с подразделениями, чтобы централизовать настройки для различных пользователей или компьютеров в организации.

Контроллер домена

Сервер, который хостит AD DS — это Контроллер домена (Domain Controller (DC)).

Диспетчер серверов и Windows Admin Center

Управлять всем этим можно через различные программы. Более старым вариантом является Диспетчер серверов (Server Manager). Он позволяет установить Active Directory Domain Services (AD DS) и назначить компьютеру роль Domain Controller (DC).

Новым ПО для управления компьютерами является Windows Admin Center. Данное программное обеспечение является облегчённым с технической точки зрения (работает в веб браузерах), но при этом более функциональное с точки зрения возможностей. Microsoft активно продвигает Windows Admin Center как приложение которое включает в себя функциональность Диспетчера серверов (Server Manager), а также превосходит её, предлагая множество дополнительных функций и удобные интерфейсы для управления и мониторинга компьютерами.


На самом деле, Windows Admin Center не является полноценной заменой ни для Server Manager, ни для другой оснастки. Это программное обеспечение сильно облегчает выполнение многих популярных действий по администрированию компьютеров и серверов, но для некоторых узкоспециализированных настроек требуется другое ПО.

Мы рассмотрим работу с Active Directory в каждом из этих приложений. Также мы рассмотрим развёртывание и управление Active Directory в PowerShell.

Чем рабочие группы отличаются от доменов

Рабочая группа — это термин Microsoft для компьютеров Windows, подключённых через одноранговую сеть. Рабочие группы — это ещё одна организационная единица для компьютеров Windows в сети. Рабочие группы позволяют этим машинам обмениваться файлами, доступом в Интернет, принтерами и другими ресурсами по сети. Одноранговая сеть устраняет необходимость в сервере для аутентификации.

Каждый компьютер Windows, не присоединённый к домену, является частью рабочей группы. Рабочая группа — это группа компьютеров в одной локальной сети. В отличие от домена, ни один компьютер в рабочей группе не контролирует другие компьютеры — все они объединены на равных. Для рабочей группы пароль также не требуется.

Рабочие группы использовались для общего доступа к домашним файлам и принтерам в предыдущих версиях Windows. Теперь вы можете использовать домашнюю группу чтобы легко обмениваться файлами и принтерами между домашними ПК. Рабочие группы теперь переведены в фоновый режим, поэтому вам не нужно о них беспокоиться — просто оставьте имя рабочей группы по умолчанию WORKGROUP и настройте общий доступ к файлам домашней группы.

Есть несколько различий между доменами и рабочими группами:

  • В доменах, в отличие от рабочих групп, могут размещаться компьютеры из разных локальных сетей.
  • Домены могут использоваться для размещения гораздо большего числа компьютеров, чем рабочие группы. Домены могут включать тысячи компьютеров, в отличие от рабочих групп, у которых обычно есть верхний предел, близкий к 20.
  • В доменах имеется по крайней мере один сервер — это компьютер, который используется для управления разрешениями и функциями безопасности для каждого компьютера в домене. В рабочих группах нет сервера, и все компьютеры равноправны.
  • Пользователям домена обычно требуются идентификаторы безопасности, такие как логины и пароли, в отличие от рабочих групп.

Является ли мой компьютер частью домена?

Если у вас есть домашний компьютер, он почти наверняка не является частью домена. Вы можете настроить контроллер домена дома, но нет причин для этого, если вам действительно это не нужно для чего-то. Если вы используете компьютер на работе или в школе, скорее всего, ваш компьютер является частью домена. Если у вас есть портативный компьютер, предоставленный вам на работе или в школе, он также может быть частью домена.





Используя командную строку (PowerShell) вы также можете узнать, прикреплён ли компьютер к домену или входит в рабочую группу.


Для этого выполните команду (можно за один раз всё скопировать-вставить в окно терминала):


Связанные статьи:

факультете информационной безопасности от GeekBrains? Комплексная годовая программа практического обучения с охватом всех основных тем, а также с дополнительными курсами в подарок. По итогам обучения выдаётся свидетельство установленного образца и сертификат. По этой ссылке специальная скидка на любые факультеты и курсы!

Active Directory (AD) — это служебные программы, разработанные для операционной системы Microsoft Server. Первоначально создавалась в качестве облегченного алгоритма доступа к каталогам пользователей. С версии Windows Server 2008 появилось интеграция с сервисами авторизации.

Дает возможность соблюдать групповую политику, применяющую однотипность параметров и ПО на всех подконтрольных ПК с помощью System Center Configuration Manager.

Если простыми словами для начинающих – это роль сервера, которая позволяет из одного места управлять всеми доступами и разрешениями в локальной сети

Функции и предназначения

Microsoft Active Directory – (так называемый каталог) пакет средств, позволяющий проводить манипуляции с пользователями и данными сети. Основная цель создания – облегчение работы системных администраторов в обширных сетях.

Каталоги содержат в себе разную информацию, относящуюся к юзерам, группам, устройствам сети, файловым ресурсам — одним словом, объектам. Например, атрибуты пользователя, которые хранятся в каталоге должны быть следующими: адрес, логин, пароль, номер мобильного телефона и т.д. Каталог используется в качестве точки аутентификации, с помощью которой можно узнать нужную информацию о пользователе.

Основные понятия, встречающиеся в ходе работы

Существует ряд специализированных понятий, которые применяются при работе с AD:

  1. Сервер – компьютер, содержащий все данные.
  2. Контроллер – сервер с ролью AD, который обрабатывает запросы от людей, использующих домен.
  3. Домен AD — совокупность устройств, объединенных под одним уникальным именем, одновременно использующих общую базу данных каталога.
  4. Хранилище данных — часть каталога, отвечающая за хранение и извлечение данных из любого контроллера домена.

Как работают активные директории

Основными принципами работы являются:

  • Авторизация, с помощью которой появляется возможность воспользоваться ПК в сети просто введя личный пароль. При этом, вся информация из учетной записи переносится.
  • Защищенность. Active Directory содержит функции распознавания пользователя. Для любого объекта сети можно удаленно, с одного устройства, выставить нужные права, которые будут зависеть от категорий и конкретных юзеров.
  • Администрирование сети из одной точки. Во время работы с Актив Директори сисадмину не требуется заново настраивать все ПК, если нужно изменить права на доступ, например, к принтеру. Изменения проводятся удаленно и глобально.
  • Полная интеграция с DNS. С его помощью в AD не возникает путаниц, все устройства обозначаются точно так же, как и во всемирной паутине.
  • Крупные масштабы. Совокупность серверов способна контролироваться одной Active Directory.
  • Поиск производится по различным параметрам, например, имя компьютера, логин.

Объекты и атрибуты

Объект — совокупность атрибутов, объединенных под собственным названием, представляющих собой ресурс сети.

Атрибут — характеристики объекта в каталоге. Например, к таким относятся ФИО пользователя, его логин. А вот атрибутами учетной записи ПК могут быть имя этого компьютера и его описание.

Объекты AD

Пример:

“Сотрудник” – объект, который обладает атрибутами “ФИО”, “Должность” и “ТабN”.

Контейнер и имя LDAP

Контейнер — тип объектов, которые могут состоять из других объектов. Домен, к примеру, может включать в себя объекты учетных записей.

Основное их назначение — упорядочивание объектов по видам признаков. Чаще всего контейнеры применяют для группировки объектов с одинаковыми атрибутами.

Почти все контейнеры отображают совокупность объектов, а ресурсы отображаются уникальным объектом Active Directory. Один из главных видов контейнеров AD — модуль организации, или OU (organizational unit). Объекты, которые помещаются в этот контейнер, принадлежат только домену, в котором они созданы.

Облегченный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — основной алгоритм подключений TCP/IP. Он создан с целью снизить количество нюанс во время доступа к службам каталога. Также, в LDAP установлены действия, используемые для запроса и редактирования данных каталога.

Дерево и сайт

Дерево доменов – это структура, совокупность доменов, имеющих общие схему и конфигурацию, которые образуют общее пространство имен и связаны доверительными отношениями.

Лес доменов – совокупность деревьев, связанных между собою.

Сайт — совокупность устройств в IP-подсетях, представляющая физическую модель сети, планирование которой совершается вне зависимости от логического представления его построения. Active Directory имеет возможность создания n-ного количества сайтов или объединения n-ного количества доменов под одним сайтом.

Установка и настройка Active Directory

Теперь перейдем непосредственно к настройке Active Directory на примере Windows Server 2008 (на других версиях процедура идентична):

  • Первым делом нужно присвоить статический IP компьютеру с установленным Windows Server Нужно перейти в меню “Пуск” — “Панель управления”, найти пункт “Сетевые подключения”, кликнуть правой кнопкой мыши (ПКМ) по имеющемуся подключению к сети и выбрать “Свойства”.
  • В открывшемся окне выбрать “Протокол Интернета версии 4” и снова кликнуть на “Свойства”.
  • Заполнить поля следующим образом: IP-адрес – 192.168.1.5. DNS – 127.0.0.1.

Установка адреса

Нажать на кнопку “ОК”. Стоит заметить, что подобные значения не обязательны. Можно использовать IP адрес и DNS из своей сети.

Для надежности пароль должен соответствовать таким требованиям:

После того как AD завершит процесс настройки компонентов, необходимо перезагрузить сервер.

Настройка завершена, оснастка и роль установлены в систему. Установить AD можно только на Windows семейства Server, обычные версии, например 7 или 10, могут позволить установить только консоль управления.

Администрирование в Active Directory

По умолчанию в Windows Server консоль Active Directory Users and Computers работает с доменом, к которому относится компьютер. Можно получить доступ к объектам компьютеров и пользователей в этом домене через дерево консоли или подключиться к другому контроллеру.

Средства этой же консоли позволяют просматривать дополнительные параметры объектов и осуществлять их поиск, можно создавать новых пользователей, группы и изменять из разрешения.

К слову, существует 2 типа групп в Актив Директори – безопасности и распространения. Группы безопасности отвечают за разграничение прав доступа к объектам, они могут использоваться, как группы распространения.

Что такое делегирование AD

Само делегирование — это передача части разрешений и контроля от родительского объекта другой ответственной стороне.

Известно, что каждая организация имеет в своем штабе несколько системных администраторов. Разные задачи должны возлагаться на разные плечи. Для того чтобы применять изменения, необходимо обладать правами и разрешениями, которые делятся на стандартные и особые. Особые — применимы к определенному объекту, а стандартные представляют собой набор, состоящий из существующих разрешений, которые делают доступными или недоступными отдельные функции.

Установка доверительных отношений

При установке следует провести такие процедуры:

  • Проверить сетевые связи между котроллерами.
  • Проверить настройки.
  • Настроить разрешения имен для внешних доменов.
  • Создать связь со стороны доверяющего домена.
  • Создать связь со стороны контроллера, к которому адресовано доверие.
  • Проверить созданные односторонние отношения.
  • Если возникает небходимость в установлении двусторонних отношений – произвести установку.

Глобальный каталог

Это контроллер домена, который хранит копии всех объектов леса. Он дает юзерам и программам способность искать объекты в любом домене текущего леса с помощью средств обнаружения атрибутов, включенных в глобальный каталог.

Глобальный каталог (ГК) включает в себя ограниченный набор атрибутов для каждого объекта леса в каждом домене. Данные он получает из всех разделов каталога доменов в лесу, они копируются с использованием стандартного процесса репликации службы Active Directory.

Схема определяет, будет ли атрибут скопирован. Существует возможность конфигурирования дополнительных характеристик, которые будут создаваться повторно в глобальном каталоге с помощью “Схемы Active Directory”. Для добавления атрибута в глобальный каталог, нужно выбрать атрибут репликации и воспользоваться опцией “Копировать”. После этого создастся репликация атрибута в глобальный каталог. Значение параметра атрибута isMemberOfPartialAttributeSet станет истиной.

Для того чтобы узнать местоположение глобального каталога, нужно в командной строке ввести:

Репликация данных в Active Directory

Репликация — это процедура копирования, которую проводят при необходимости хранения одинаково актуальных сведений, существующих на любом контроллере.

Она производится без участия оператора. Существуют такие виды содержимого реплик:

  • Реплики данных создаются из всех существующих доменов.
  • Реплики схем данных. Поскольку схема данных едина для всех объектов леса Активных Директорий, ее реплики сохраняются на всех доменах.
  • Данные конфигурации. Показывает построение копий среди контроллеров. Сведения распространяются на все домены леса.

Основными типами реплик являются внутриузловая и межузловая.

В первом случае, после изменений система находится в ожидании, затем уведомляет партнера о создании реплики для завершения изменений. Даже при отсутствии перемен, процесс репликации происходит через определенный промежуток времени автоматически. После применения критических изменений к каталогам репликация происходит сразу.

Процедура репликации между узлами происходит в промежутках минимальной нагрузки на сеть, это позволяет избежать потерь информации.


Обзор возможностей Active Directory: фундамент для инфраструктуры

Службы Active Directory (AD) - решение от компании Microsoft позволяющее объединить различные объекты сети (компьютеры, сервера, принтера, различные сервисы) в единую систему. В данном случае AD выступают в роли каталога (базы данных), в котором хранится информация о пользователях, ПК, серверах, сетевых и периферийных устройствах.

unnamed.jpg

Для реализации данного решения, необходим специальный сервер - контроллер домена. Именно он будет выполнять функции аутентификации пользователей и устройств в сети, а также выступать в качестве хранилища базы данных. При попытке использовать любой из объектов (ПК, сервер, принтер) сети, выполняется обращение к контроллеру домена, который либо разрешает это действие (есть необходимые права), либо блокирует его.

unnamed (1).jpg

Давайте разберемся в возможностях Active Directory, а также особенностях реализации, необходимых для надежной работы.

Единая точка аутентификации

Поскольку контроллер домена Active Directory хранит всю информацию об инфраструктуре и пользователях, вы легко можете использовать его для входа систему. Так, все данные пользователей (логины и пароли) хранятся в единой базе данных, что существенно упрощает работу с ними. При авторизации все компьютеры обращаются к этой базе данных, благодаря чему вносимые изменения будут применены ко всем компьютерам сети. Также с помощью AD реализуются политики безопасности, благодаря котором можно ограничить (либо разрешить) доступ к определенным серверам.

Удобное управление политиками

С помощью Active Directory можно поделить компьютеры на различные рабочие группы (организационные подразделения). Это существенно упрощает использование инфраструктуры в двух случаях:

  1. Изменение существующих настроек группы. Поскольку настройки хранятся в единой базе данных, при их модификации, они будут применены для всех компьютеров, относящихся к этой группе.
  2. Добавление нового пользователя. Он автоматически получает установленные для его группы настройки, что существенно ускоряет создание новой учетной записи.

В зависимости от пользователя (учетной записи, которая используется) и его группы можно ввести ограничение на использование функционала операционной системы. Например, вы можете ограничить установку приложений всем кроме администраторов.

Безопасность

Службы Active Directory существенно увеличивают защиту корпоративной сети. Так, все данные (учетные записи) хранятся на контроллерах доступа, которые защищены от внешнего доступа. Кроме того, для аутентификации в AD используется протокол Kerberos (протокол для взаимной аутентификации клиента и сервера перед установкой соединения, в нем учтена перехвата и модификации пакетов, что повышает его надежность), который значительно безопаснее аналога в рабочих группах.

Удобный обмен файлами

С помощью AD достаточно легко реализуется технология Distributed File System (DFS), которая используется для управления файлами. Фактически, это распределенная сеть для хранения файлов - физически они располагаются на нескольких серверах, но логически находятся в одном месте.

Это удобная функция, позволяющая масштабировать существующую инфраструктуру, добавляя новые сервера, а не заменяя ими старые.

Интеграция сервисов и оборудования

Службы Active Directory позволяют организовать все оборудование и сервисы в единую систему. Например, присутствует поддержка стандарта LDAP (протокол для доступа к службе каталогов X.500), который позволяет работать с почтовыми и прокси серверами (Exchange Server и ISA Server соответственно). Поддерживаются не только продукты Microsoft, но и сторонние решения:

  • IP-телефония;
  • 1С;
  • шлюз удаленных рабочих столов (Remote Desktop Gateway).

Стоит отметить, возможность интеграции с Windows Server используя протокол RADIUS. Благодаря которому можно использовать VPN подключение для работы вне офиса.

Особенности Active Directory

Active Directory является центральным узлом инфраструктуры предприятия, поэтому в случае его отказа все ПК и сервера будут недоступны. Поэтому можно выделить несколько основных пунктов, позволяющих обеспечить бесперебойное круглосуточное функционирование системы.

Наличие дублирующего контроллера доменов

Вся база данных хранится на контроллере доменов Active Directory, поэтому при его отказе, вся система будет недоступна. Для обеспечения отказоустойчивости следует развернуть 1 или более дублирующих контроллеров доменов и настроить автоматическую репликацию всех изменений. В данном случае, при выходе из строя одного из контроллеров работоспособность сети не нарушается, ведь оставшиеся продолжают работать.

Регулярные бэкапы

Надежная система резервного копирования позволяет быстро восстановить работоспособность сервера. При использовании одного контроллера доменов резервное копирование не позволяет избежать простоя, но значительно снижает временные затраты на восстановление сервера.

Отличным решением будет использование и резервного копирования, и дублирующего контроллера доменов. В It-lite используется оба решения, что позволяет гарантировать высокую надежность системы.

Внедрение Active Directory

Как видим, работоспособность служб AD влияет на возможность использовать всю IT-инфраструктуру компании. Поэтому рациональнее обратиться к квалифицированным специалистам, что позволит достичь максимальной надежности. Наши сотрудники обладают большим опытом работы с Active Directory (службы используются внутри компании) и оказывают услуги по внедрению (разработке с нуля), настройке и поддержке AD. Кроме того, специалисты IT-Lite могут выполнить миграцию со старых версий Active Directory на новые.

Что такое Active Directory? Пошаговое руководство

По мере роста сложности сетевых ресурсов службы каталогов становятся все более важными для управления ИТ-инфраструктурой. Нет службы каталогов с большим именем, чем Active Directory. Служба каталогов Microsoft была признана основным инструментом среди сетевых администраторов. В этом учебном руководстве по Active Directory мы рассмотрим, что такое Active Directory, как его использовать, а также такие инструменты Active Directory, как SolarWinds Access Rights Manager. Темы включают в себя:

  • Что такое Active Directory?
  • Что делает Active Directory?
  • Как настроить Active Directory
  • Как использовать Active Directory: настройка контроллера домена, создание пользователей каталога
  • События Active Directory для мониторинга
  • Доверительные отношения (и типы доверия)
  • Обзор лесов и деревьев Active Directory
  • Отчеты Active Directory (с помощью диспетчера прав доступа SolarWinds)

Что такое Active Directory?

Что такое Active Directory? Пошаговое руководство

Active Directory является служба каталогов или контейнер, в котором хранятся объекты данных в локальной сетевой среде. Служба записывает данные на пользователи, приборы, Приложения, группы, и приборы в иерархической структуре.

Структура данных позволяет находить детали ресурсов, подключенных к сети, из одного места. По сути, Active Directory действует как телефонная книга для вашей сети, поэтому вы можете легко искать устройства и управлять ими..

Что делает Active Directory?

Есть много причин, почему предприятия используют службы каталогов, такие как Active Directory. Основная причина - удобство. Active Directory позволяет пользователям входить в систему и управлять различными ресурсами из одного места. Учетные данные для входа в систему унифицированы, что позволяет управлять несколькими устройствами без необходимости ввода данных учетной записи для доступа к каждому отдельному компьютеру..

Как настроить Active Directory (с помощью RSAT)

Что такое Active Directory? Пошаговое руководство

Для начала вам нужно сначала убедиться, что у вас есть Windows Professional или Windows Enterprise установлен, иначе вы не сможете установить Инструменты удаленного администрирования сервера. Затем сделайте следующее:

Для Windows 10 версии 1809:

  1. Щелкните правой кнопкой мыши на Начало Кнопка и перейти к настройки > Программы > Управление дополнительными функциями > Добавить функцию.
  2. Теперь выберите RSAT: доменные службы Active Directory и облегченные инструменты каталогов.
  3. Наконец, выберите устанавливать затем перейдите к Начало > Средства администрирования Windows получить доступ к Active Directory после завершения установки.


Для Windows 8 (и Windows 10 версии 1803)

  1. Загрузите и установите правильную версию средств администрирования сервера для вашего устройства: Windows 8, Windows 10.
  2. Затем щелкните правой кнопкой мыши Начало кнопку и выберите Панель управления > программы > Программы и особенности > Включить или отключить функции Windows.
  3. Сдвиньте вниз и нажмите на Инструменты удаленного администрирования сервера вариант.
  4. Теперь нажмите на Инструменты администрирования ролей.
  5. Нажмите на Инструменты AD DS и AD LDS и проверить Инструменты AD DS был проверен.
  6. Нажмите Ok.
  7. Перейти к Начало > Инструменты управления на Начало меню для доступа к Active Directory.

Как использовать Active Directory: как настроить контроллер домена, создать пользователей каталога

Что такое Active Directory? Пошаговое руководство

Как настроить контроллер домена

Первое, что вам нужно сделать при использовании Active Directory, это настроить контроллер домена. Контроллер домена - это центральный компьютер, который будет отвечать на запросы аутентификации и аутентифицировать другие компьютеры в сети. Контроллер домена хранит учетные данные для входа на другие компьютеры и принтеры.

Все остальные компьютеры подключаются к контроллеру домена, чтобы пользователь мог аутентифицировать каждое устройство из одного места. Преимущество этого состоит в том, что администратору не нужно управлять десятками учетных данных для входа.

Процесс настройки контроллера домена относительно прост. Назначьте статический IP-адрес вашему контроллеру домена и установить доменные службы Active Directory или ADDS. Теперь следуйте этим инструкциям:

  1. открыто Диспетчер серверов и нажмите Резюме ролей > Добавить роли и функции.
  2. щелчок следующий.
  3. Выбрать Службы удаленных рабочих столовустановка если вы развертываете контроллер домена на виртуальной машине или выберите установка на основе ролей или функций.
  4. Выберите сервер из пул серверов.
  5. Выбрать Доменная служба Active Directorys из списка и нажмите следующий.
  6. Оставьте Функции отмеченными по умолчанию и нажмите следующий.
  7. щелчок Перезапустите целевой сервер автоматически, если требуется и нажмите устанавливать. Закройте окно после завершения установки.
  8. Как только роль ADDS будет установлена, рядом с управлять меню. Нажмите Продвинуть этот сервер в контроллер домена.
  9. Теперь нажмите Добавить новый лес и введите Корневое доменное имя. Нажмите следующий.
  10. Выберите Функциональный уровень домена Вы хотите и введите пароль в Введите режим восстановления служб каталогов (пароль DSRM) раздел. щелчок следующий.
  11. Когда откроется страница параметров DNS, нажмите следующий опять таки.
  12. Введите домен в NetBios доменное имя поле (желательно совпадает с именем корневого домена). Нажмите следующий.
  13. Выберите папку для хранения базы данных и файлов журнала. щелчок следующий.
  14. Нажмите устанавливать заканчивать. Ваша система теперь перезагрузится.


Создание пользователей Active Directory

пользователей и компьютеры это два самых основных объекта, которыми вы должны будете управлять при использовании Active Directory. В этом разделе мы рассмотрим, как создавать новые учетные записи пользователей. Процесс относительно прост, и самый простой способ управлять пользователями через Active Directory - пользователи и компьютер или инструмент ADUC, который поставляется с Инструменты удаленного администрирования сервера или RSAT пакет. Вы можете установить ADUC, следуя приведенным ниже инструкциям:


Установите ADUC в Windows 10 версии 1809 и выше:

  1. Щелкните правой кнопкой мыши на Начало кнопка и нажмите настройки > Программы, затем нажмите Управление дополнительными функциями > Добавить функцию.
  2. Выбрать RSAT: доменные службы Active Directory и облегченные инструменты каталогов.
  3. Выбрать устанавливать и дождитесь завершения установки.
  4. Перейти к Начало > Средства администрирования Windows чтобы получить доступ к функции.


Установите ADUC в Windows 8 и Windows 10 версии 1803 или ниже:

  1. Загрузите и установите средства удаленного администрирования сервера для вашей версии Windows. Вы можете сделать это по одной из этих ссылок здесь:
    Средства удаленного администрирования сервера для Windows 10, Средства удаленного администрирования сервера для Windows 8 или Средства удаленного администрирования сервера для Windows 8.1.
  1. Щелкните правой кнопкой мыши на Начало > Панель управления > программы > Программы и особенности > Включить или отключить функции Windows.
  2. Прокрутите вниз и выберите Инструменты удаленного администрирования сервера.
  3. расширять Инструменты администратора ролей > Инструменты AD DS и AD LDS.
  4. Проверьте Инструменты AD DS и нажмите Ok.
  5. Перейти к Начало > Инструменты управления и выберите Active Directory - пользователи и компьютеры.


Как создать новых пользователей с ADUC

  1. Открой Диспетчер серверов, перейти к инструменты меню и выберите Active Directory - пользователи и компьютеры.
  2. Разверните домен и нажмите пользователей.
  3. Щелкните правой кнопкой мыши на правой панели и нажмите новый > пользователь.
  4. Когда появится окно New Object-User, введите Имя, Фамилия, Имя пользователя и нажмите следующий.
  5. Введите пароль и нажмите следующий.
  6. щелчок Конец.
  7. Новая учетная запись пользователя может быть найдена в пользователей раздел ADUC.

События Active Directory для мониторинга

Как и все виды инфраструктуры, Active Directory необходимо отслеживать, чтобы оставаться защищенным. Мониторинг службы каталогов имеет важное значение для предотвращения кибератак и обеспечения наилучшего взаимодействия с конечным пользователем..

Ниже мы перечислим некоторые из наиболее важных сетевых событий, на которые вам следует обратить внимание. Если вы видите какое-либо из этих событий, вам следует провести дальнейшее расследование как можно скорее, чтобы убедиться, что ваша служба не была скомпрометирована.

Обзор лесов и деревьев Active Directory

Лес и деревья - это два термина, которые вы много услышите, изучая Active Directory. Эти термины относятся к логической структуре Active Directory. Вкратце, дерево - это объект с одним доменом или группой объектов за которыми следуют дочерние домены. Лес - это группа доменов собрать вместе. когда несколько деревьев сгруппированы вместе, они становятся лесом.

Деревья в лесу соединяются друг с другом через доверительные отношения, который позволяет различным доменам обмениваться информацией. Все домены будут доверять друг другу автоматически так что вы можете получить к ним доступ с той же информацией учетной записи, которую вы использовали в корневом домене.

Каждый лес использует одну унифицированную базу данных. Логически, лес находится на самом высоком уровне иерархии, а дерево расположено внизу. Одной из проблем, с которыми сталкиваются сетевые администраторы при работе с Active Directory, является управление лесами и обеспечение безопасности каталога.

Например, администратору сети будет поручено выбрать между проект одного леса или многолесный дизайн. Конструкция с одним лесом является простой, недорогой и простой в управлении, поскольку только один лес объединяет всю сеть. Напротив, проект с несколькими лесами разделяет сеть на разные леса, что хорошо для безопасности, но усложняет администрирование..

Доверительные отношения (и типы доверия)

Как упоминалось выше, доверительные отношения используются для облегчения связи между доменами. Трасты обеспечивают аутентификацию и доступ к ресурсам между двумя объектами. Трасты могут быть односторонними или двусторонними по своей природе. В рамках доверия два домена делятся на доверяющий домен и доверенный домен.

В одностороннем доверии, доверяющий домен получает доступ к деталям аутентификации доверенного домена, чтобы пользователь мог получить доступ к ресурсам из другого домена. При двустороннем доверии оба домена принимают данные аутентификации другого. Все домены в лесу доверяют друг другу автоматически, но вы также можете установить отношения доверия между доменами в разных лесах для передачи информации.

Вы можете создавать трасты через Мастер новых трестов. Мастер нового доверия это мастер настройки, который позволяет создавать новые доверительные отношения Здесь вы можете просмотреть Доменное имя, Тип доверия, и переходный статус существующих трастов и выберите тип доверия, которое вы хотите создать.

Типы доверия

Существует несколько типов доверия в Active Directory. Мы перечислили их в таблице ниже:

Trust TypeTransit TypeDirectionDefault? Описание
Родитель и ребенок переходный Двусторонний да Родительское и дочернее доверие устанавливается при добавлении дочернего домена в дерево доменов..
Дерево-корень переходный Двусторонний да Доверие к корню дерева устанавливается в момент создания дерева домена в лесу.
внешний Нетранзитивных Односторонний или двусторонний нет Предоставляет доступ к ресурсам в домене Windows NT 4.0 или домене, расположенном в другом лесу, который не поддерживается доверием леса.
область Транзитивный или нетранзитивный Односторонний или двусторонний нет Формирует доверительные отношения между областью Kerberos, отличной от Windows, и доменом Windows Server 2003.
лес переходный Односторонний или двусторонний нет Делит ресурсы между лесами.
кратчайший путь переходный Односторонний или двусторонний нет Сокращает время входа пользователей между двумя доменами в лесу Windows Server 2003.

Отчеты Active Directory с помощью диспетчера прав доступа SolarWinds (БЕСПЛАТНАЯ пробная версия)

Генерация отчетов в Active Directory необходима для оптимизации производительности и обеспечения соответствия нормативным требованиям. Одним из лучших инструментов отчетности Active Directory является SolarWinds Access Rights Manager (ARM). Инструмент был создан, чтобы повысить наглядность того, как используются и управляются учетные данные каталога. Например, вы можете просматривать учетные записи с небезопасными конфигурациями и злоупотреблениями учетными данными, которые могут указывать на кибератаку.

SolarWinds Access Rights Manager

Использование стороннего инструмента, такого как SolarWinds Access Rights Manager это выгодно, потому что предоставляет вам информацию и функции, к которым было бы гораздо сложнее или невозможно получить доступ напрямую через Active Directory.

Помимо создания отчетов вы можете автоматически удалять неактивные или просроченные аккаунты что цель киберпреступников. SolarWinds Access Rights Manager начинается с 3444 долларов (2829 фунтов). Также есть 30-дневная бесплатная пробная версия версия, которую вы можете скачать.

SolarWinds Access Rights ManagerЗагрузить 30-дневную бесплатную пробную версию

Учебник Active Directory: основы

Active Directory - один из лучших инструментов для управления ресурсами в вашей сети. В этой статье мы только что рассмотрели возможности этого инструмента. Если вы используете Active Directory, помните, что это потенциальная точка входа для кибератак. Запоминание ключевых событий каталога и использование монитора каталогов в значительной степени минимизирует риск злонамеренной атаки и защищает доступность вашего сервиса..

Читайте также: