Active Directory -konseptit ja -hallinta

18. joulukuuta 2021 1266 Näkymät Active Directory -verkkotunnuspalvelut

Selaa viestien aiheita

Johdanto

Active Directory (AD) on Microsoftin hakemistopalvelu, joka tallentaa tietoa verkon objekteista. AD mahdollistaa myös valtuutettujen käyttäjien pääsyn tallennettuihin tietoihin.

Esimerkkejä Active Directory -objekteista ovat käyttäjät, tietokoneet, tulostimet ja muut verkon resurssit.

Käyttäjä on todennettu ennen kuin käyttäjä voi kirjautua sisään AD-verkkoon. Todennus tapahtuu yleensä tarkistamalla käyttäjän käyttäjätunnus ja salasana.

Kun käyttäjä kirjautuu verkkoon, Active Directory tallentaa tiedot käyttäjien käyttöoikeuksista (ryhmäjäsenyydet jne.) ja käyttöoikeuksista. Kun käyttäjä pyytää pääsyä resurssiin, AD myöntää tai kieltää pääsyn. Käyttöoikeuden myöntämis- tai epäämisprosessia kutsutaan valtuutukseksi.

Tämä opetusohjelma kattaa AD:n pääkäsitteet, mukaan lukien sen fyysisen ja loogisen rakenteen. Se kattaa myös Domain Controllers, AD Schema, Forest and Domain. Muita käsitteitä, joita opit, ovat replikointi, toimialueen ohjaimen roolit (operaatioiden pääroolit), maailmanlaajuiset luettelopalvelimet, yleisen ryhmän jäsenyyden välimuisti ja vain luku -toimialueen ohjaimet.

Kun suoritat tämän opetusohjelman, voit luottavaisesti keskustella Active Directoryn toiminnasta ja ymmärtää sen tärkeimmät käsitteet. Lopuksi opit tehtäviä, joita voit suorittaa Active Directory -käyttäjien ja -tietokoneiden, -sivustojen ja -palveluiden, -verkkotunnusten ja -rahastojen ja muiden kanssa.

Joitakin tärkeitä Active Directory -käsitteitä

Active Directoryssa on joitakin erittäin tärkeitä käsitteitä, jotka sinun on ymmärrettävä, jotta voit ottaa sen tehokkaasti käyttöön ja hallita sitä. Tässä on joitain olennaisia ​​käsitteitä:

AD-verkkotunnuksen ohjain

AD-toimialueen ohjaus (AD DC) on Windows Server, joka käyttää AD-toimialuepalveluita. Jotta Windows Server voi suorittaa AD DC -palvelua, se on ylennetty toimialueen ohjaimeksi Palvelinhallinnan avulla. Myöhemmin tässä opetusohjelmassa opit lisäämään Windows Sererin toimialueen ohjaimeksi.

Active Directory Schema

Seuraava tärkeä konsepti on AD Schema. AD Schema määrittelee objektiluokat ja niiden attribuutit. Esimerkki AD-objektiluokasta on käyttäjä. Käyttäjällä on joitain määritteitä, kuten käyttäjän nimi, johtaja jne.

AD tallentaa objektiluokat ja niiden attribuutit AD-skeeman avulla. Active Directory Schema sisältää vakioobjekteja, kuten käyttäjät, tietokoneet, tulostimet jne. Jos kuitenkin tarvitset lisäobjekteja, voit laajentaa skeemaa. Esimerkkinä sinun on laajennettava AD-skeemaa ennen Microsoft Exchangen tai SCCM:n asentamista.

Katso, kuinka voit laajentaa AD-skeemaa, katso Laajenna kaaviota in Lisäresurssit ja -viitteet tämän opetusohjelman lopussa.

Active Directory Forest

AD-hierarkkisessa rakenteessa metsä on AD:n loogisen rakenteen huipulla. Hierarkian seuraava taso ovat Domains, sitten sinulla on organisaatioyksiköt (OU:t). Organisaatioyksiköissäsi on käyttäjiä ja tietokoneita.

Näin ollen AD-metsä sisältää useita AD-verkkotunnuksia, jotka on yhdistetty toisiinsa luottamussuhteella. Alla on yksinkertainen esimerkki AD Forest -hierarkiasta. Lue lisää AD Forestista osoitteessa Mikä on Active Directory -metsä?

Provinkki
Kun luot luottamussuhteita kahden toimialueen välille Forestissa, luotettu toimialue voi todentaa yhden toimialueen käyttäjät. Resursseja voidaan käyttää myös luottamussuhteessa olevien toimialueiden välillä. Active Directory (AD)

AD Trust-tyypit

Voit luoda AD-metsään neljän tyyppisiä luottamussuhteita – ulkoisia, metsä-, pikakuvake- ja valtakunnan luottamussuhteita. Lue lisää AD Trustista avaamalla Kehittynyt Active Directory -infrastruktuuri Windows Server 2012 R2 -palveluille .

AD-verkkotunnus

AD-verkkotunnus on Forestsin seuraava taso hierarkiassa. AD-verkkotunnus sisältää kokoelman objekteja. Esimerkiksi käyttäjät ja tietokoneet. Verkkotunnukset tunnistetaan niiden DNS-nimien perusteella, esimerkiksi Domain1.com, Domain2.com.

Provinkki
AD-verkkotunnusten DNS-nimien ei tarvitse päättyä .com-muotoon, vaan ne voivat päättyä myös esimerkiksi .local-muotoon.

Active Directory -sivustot

AD-sivustojen määritykset noudattavat yleensä fyysisiä verkon aliverkkoja. Replikointimääritykset sivustojen sisällä eroavat yleensä sivustojen välisistä määrityksistä.

Esimerkiksi, jos sinulla on 2 toimialueohjainta samassa verkon aliverkossa, voit määrittää niiden välisen replikoinnin optimoidun nopeuden mukaan.

AD-kopiointi

Jos otat Active Directoryn käyttöön tuotantoympäristössä, on suositeltavaa, että AD-verkkotunnuksessasi on vähintään kaksi toimialueohjainta (DC). Syy tähän on ilmeinen – luo redundanssia.

Ennen kuin jatkan, haluan mainita, että AD toimii niin kutsuttuna multi-master-mallina. Tämä tarkoittaa, että kaikki toimialueen DC:t sisältävät objektien kirjoitettavat kopiot. Kuten näet myöhemmin, tähän sääntöön on joitain poikkeuksia.

Se, että objekteja voidaan luoda missä tahansa DC:ssä, tarkoittaa, että toimialueen ohjaimien välillä on replikointia. Prosessi, jossa yhdessä DC:ssä luotuja objekteja synkronoidaan tai päivitetään muihin DC:ihin, tunnetaan nimellä replikointi.

Lue lisää AD-replikaatiosta napsauttamalla Active Directory -replikointi perusteellisesti linkki osoitteessa Lisäresurssit ja -viitteet -osio .

Active Directory Operations Masters

Edellisessä osiossa mainitsin, että vaikka Active Directory käyttää usean pääkoneen mallia, tähän sääntöön on poikkeuksia.

AD-verkkotunnuksessa on tiettyjä tehtäviä, jotka on suoritettava yhden pääkäyttäjän mallilla. Toisin sanoen yksi Domain Controller on nimetty hoitamaan tehtävää.

Ensisijainen syy yhden päämiehen malliin on konfliktien välttäminen. Yhden pääroolin luonteesta johtuen, jos useampi kuin yksi DC käsittelee tehtävää samanaikaisesti, se aiheuttaa ristiriitoja. Ymmärrät tämän paremmin, kun luet 5 Operations Master -roolia, joista keskustellaan pian.

Alla on 5 Active Directory Flexible Single Master Operations (FSMO) -roolia.

Schema Master

Aiemmin tässä opetusohjelmassa keskustelin AD-järjestelmä . Sanoin, että Active Directory Schema määrittelee objektiluokat ja niiden attribuutit. Sanoin myös, että joskus saatat haluta luoda lisää AD AD Schema -luokkia laajentamalla Schemaa.

Scheman päivityksestä vastaavaa DC:tä kutsutaan Schema Masteriksi. Kun Schema Master päivittää skeeman, se replikoi päivityksen muihin DC:ihin. Hakemistossa on yksi Schema Master - tämä DC tunnetaan Schema Master -nimellä.

Verkkotunnuksen nimeämisen mestari

DC, jolle on määritetty Domain Naming Master FSMO -rooli, on vastuussa toimialueiden lisäämisestä tai poistamisesta metsänlaajuisessa toimialueen nimiavaruudessa.

Domain Naming Master DC on myös vastuussa ulkoisten hakemistojen verkkotunnusten ristiviittausten lisäämisestä tai poistamisesta.

RID-mestari

Aina kun Domain Controller luo suojausperiaatteen, esimerkiksi käyttäjän tai tietokoneen, DC määrittää objektille yksilöllisen suojaustunnuksen (SID). SID koostuu Domain SID:stä ja suhteellisesta tunnuksesta (RID). Domain SID on sama kaikille toimialueelle luoduille objekteille, kun taas RID on yksilöllinen jokaiselle luodulle suojauspäätteelle.

Jokaiselle DC:lle on määritetty RID-varasto. DC, joka vastaa RID-poolien allokoinnista muille DC:ille, on RID-isäntä.

PDC Emulator Master

DC, jolla on PDC-emulaattorirooli, on vastuussa käyttäjien todentamisesta, salasanan muutosten synkronoinnista ja myös ajan synkronoinnista.

Se myös hallitsee tilien lukituksia ja välittää vääristä salasanoista johtuvat todennusvirheet muille DC:ille.

Infrastruktuuripäällikkö (IM)

Usean toimialueen AD-metsässä DC, jolle on määritetty Infrastructure Master FSMO -rooli, on vastuussa toimialueiden välisten objektiviitteiden pitämisestä ajan tasalla.

Esimerkkinä voidaan mainita, että toimialueen 1 objektiin viitataan toisella toimialueen 2 objektilla. Kun viitattua objektia muutetaan, IM on vastuussa viitteiden päivittämisestä.

Lopuksi, ennen kuin keskustelin viidestä FSMO Active Directory DC -roolista, sanoin, että AD toimii usean pääkoneen mallina. Eli kaikki DC:t sisältävät AD-tietokannan kirjoitettavat kopiot.

Sanoin myös, että vaikka AD-alueella, monimaser-mallista huolimatta, jotkin tehtävät voidaan suorittaa vain yhden pään toimintamallin kautta. Näin ollen 5 FSMO-roolia.

Tämän sanottuani, nyt kun tiedät 5 yhden isäntäoperaation roolia, toivon, että on helppo ymmärtää, miksi esimerkiksi RID-pooli voidaan osoittaa vain yhdellä DC:llä. Jos 2 DC:tä määrittäisivät RID-varannot toiselle toimialueen ohjaimelle, päällekkäisyyden vaara on olemassa ja kahdella eri objektilla voi olla sama RID.

Sama lisäys koskee muita neljää aiemmin käsiteltyä FSMO-roolia.

Global Catalog Servers (GC)

Ymmärtääkseni Global Catalog Serverin roolin viittaan siihen, mitä sanoin aiemmin Active Directory Forestsista. AD-metsä sisältää useita AD-verkkotunnuksia, jotka on yhdistetty toisiinsa luottamussuhteilla.

Tätä silmällä pitäen kaikki DC:t tallentavat tietoja jokaisesta metsän toimialueesta oma domain . Kuten aiemmin huomautin, AD-metsässä saattaa olla tarvetta verkkotunnusten väliselle objektiviittaukselle. Jotta tämä toimisi tehokkaasti, DC:lle on annettu GC:n rooli, joka tallentaa tietoja KAIKISTA metsän kohteista.

Jos liität tämän aiemmin käsiteltyyn IM FSMO -rooliin, on helppo ymmärtää, miksi infrastruktuuripäällikön on jatkuvasti kommunikoitava GC-palvelimen kanssa. Näin se saa päivityksiä verkkotunnusten välisistä objektiviittauksista.

Infrastruktuurimestari vastaa objektien välisten viitteiden päivittämisestä AD-metsässä. Global Catalog Server sisältää tietoja KAIKISTA metsän kohteista. On loogista, että Infrastructure Master vastaanottaa objektien ristiviittaustiedot GC-palvelimelta.

Siksi EI suositella, että yhdelle DC:lle määritetään GC-palvelimen ja infrastruktuurin päällikön rooli, paitsi:

  • Metsässä on vain yksi toimialue – tässä tilanteessa sama DC vastaa kaikista rooleista.
  • Jokainen toimialueen DC on globaali luettelopalvelin

Universal Groups -jäsenyyden välimuisti

Oletusarvoisesti yleisten ryhmien jäsenyystiedot tallennetaan vain Global Catalog -palvelimiin. Tästä syystä usean toimialueen AD-metsässä (jossa on yleisiä ryhmiä), jos käyttäjä kirjautuu toimialueelle ensimmäistä kertaa, GC-palvelimen on oltava käytettävissä, jotta kirjautuminen voidaan käsitellä.

Pienillä AD-sivustoilla, joissa ei ole GC-palvelinta, muut DC:t voidaan sallia tallentaa yleisiä ryhmän jäsentietoja. Tämä saavutetaan ottamalla käyttöön Universal Groups Membership Caching (UGMC) AD-sivustossa.

Provinkki
UGMC on käytössä sivustokohtaisesti. Kun se on käytössä AD-sivustossa, kaikki sivuston DC:t osallistuvat.

Vain luku -verkkotunnuksen ohjaimet (RoDC)

Tässä opetusohjelmassa sanoin jo, että kaikki AD-verkkotunnuksen DC:t ovat kirjoitettavia. On kuitenkin olemassa tiettyjä tilanteita, joissa saatat haluta asentaa (RoDC:t).

Tyypillinen tilanne voi olla etäpaikassa, jossa on rajoitettu fyysinen suojaus DC:ille kyseisessä paikassa. Tässä tilanteessa saatat haluta asentaa DC:n, joka voi vain lukea AD-tietoja, mutta ei voi kirjoittaa tai päivittää mihinkään objektiin.

Provinkki
RoDC:t ovat saatavilla vain Windows Server 2008:ssa ja uudemmissa.

Active Directoryn fyysinen ja looginen rakenne

Tähän mennessä olen käsitellyt useita tärkeitä Active Directory -käsitteitä. Tässä osiossa käsittelen kahta muuta tärkeää AD:n käsitettä – Active Directoryn fyysisiä ja loogisia rakenteita.

AD:n fyysinen rakenne

Fyysinen rakenne sisältää asioita, joita voit koskettaa ja tuntea. Siksi AD:n fyysinen rakenne ovat Domain Controllers ja verkkosivustot.

Työkalut, joita tarvitset Active Directory Active Directory -sivustojen ja -palveluiden fyysisen rakenteen hallintaan. Myöhemmin tässä opetusohjelmassa käsittelen tehtäviä, joita voit suorittaa AD-sivustoilla ja palveluilla.

Active Directoryn looginen rakenne

AD:n fyysiseen rakenteeseen verrattuna looginen rakenne on virtuaalinen. AD:n loogisen rakenteen muodostavat komponentit ovat: metsät, puut, toimialueet, organisaatioyksiköt ja globaalit luettelot. Saat yksityiskohtaisia ​​määritelmiä metsistä, puista, toimialueista, organisaatioyksiköistä ja maailmanlaajuisesta luettelosta napsauttamalla Kysymyksiä Active Directory -infrastruktuurista .

Active Directoryn hallinta

Tähän mennessä olemme käsitelleet joitain tärkeitä AD:n käsitteitä. Tämä osio käsittelee Active Directoryn hallintaa. Aion keskustella seuraavista AD-työkaluista:

  • Active Directory -käyttäjät ja -tietokoneet
  • AD-sivustot ja -palvelut
  • Active Directory Domains and Trusts
  • AD PowerShell -moduuli
  • Ryhmäkäytännön hallintakonsoli (GPMC)

Active Directory -käyttäjät ja -tietokoneet

Active Directory (AD) -sivustot ja -palvelut

Tämä on yksi eniten käytetyistä AD-työkaluista. AD-käyttäjien ja tietokoneiden avulla voit:

  • Luo organisaatioyksiköitä
  • Luo säilöjä
  • Valtuutetut viranomaiset
  • Luo käyttäjiä
  • Siirrä RID-, PDC- ja infrastruktuurin FSMO-roolit
  • Suorita kyselyitä
  • Nosta verkkotunnuksen toiminnallisia tasoja

AD-sivustot ja -palvelut

Kun opit paremmin Active Directoryn hallintaan, alat työskennellä Sites and Services -palvelun kanssa.

Voit suorittaa seuraavat tehtävät AD-sivustot ja -palvelut -työkalulla:

  • Ota Universal Group Membership Caching (UGMC) käyttöön
  • Määritä sivustojen väliset kuljetukset
  • Luo uusia AD-sivustoyhteyksiä
  • Siirrä hallinta olemassa oleville sivustoille
  • Luo aliverkkoja

Active Directory Domains and Trusts

Tätä työkalua käytetään suorittamaan joitain AD:n edistyneimmistä järjestelmänvalvojan toiminnoista. Alla on joitain tehtäviä, joita voit suorittaa Active Directory Domains and Trusts -palveluissa:

  • Nosta metsän toiminnallista tasoa
  • Siirrä Domain Naming Master FSMO -rooli
  • Luo Forest Trust
Tärkeä
Huomaa, että voit nostaa toimialueen toiminnallista tasoa AD-käyttäjien ja tietokoneiden avulla, kun taas käytät AD-verkkotunnuksia ja -luottamuksia metsän toiminnallisen tason nostamiseen.

AD-moduuli Windows PowerShellille

Active Directory PowerShell -moduuli tarvitaan AD:n hallintaan PowerShellin kanssa. Voit suorittaa useita tehtäviä. Olen listannut alle muutaman:

  • Luo uusia käyttäjiä – New-ADUser
  • Muokkaa olemassa olevia käyttäjiä – Set-ADUser
  • Hanki tietoja olemassa olevista käyttäjistä – Get-ADUser
  • Poista olemassa olevat käyttäjät – Remove-ADUser

Saadaksesi kaikki AD-komennot PS:ssä DC:stä suorittamalla Get-Command-komento. Lisätietoja PowerShellistä on seuraavissa opetusohjelmissa

18 Powershell-komentoa Jokaisen Windows-järjestelmänvalvojan tulee Kn
Get-Command PowerShellissä: Sovellukset ja käyttö

Ryhmäkäytännön hallintakonsoli (GPMC)

GMPC:tä käytetään ryhmäkäytännön hallintaan sivustojen, toimialueiden ja organisaatioyksiköiden välillä yhden tai useamman metsän sisällä. Vaikka voit hallita AD-käyttäjien ja tietokoneiden ryhmäkäytäntöjä, GPMC tarjoaa enemmän ominaisuuksia.

GMPC:n avulla voit suorittaa seuraavat tehtävät:

  • Luo uudet ryhmäkäytännöt
  • Muokkaa olemassa olevia ryhmäkäytäntöjä
  • Hallitse kaikkia ryhmäkäytäntöjä yhden säilön alla – ryhmäkäytäntöobjektit
  • Luo ja käytä WMI-suodattimia ryhmäkäytäntöihin.
  • Luo GP-mallinnus ja GP-tuloksia

Toivottavasti tästä S-alueesta oli apua.

Muita hyödyllisiä opetusohjelmia

  1. Active Directory Domain Services: Asennus ja konfigurointi
  2. 35 Active Directory -haastattelun kysymystä ja vastausta (ryhmitelty kategorioiden mukaan)
  3. Outlook 365: Tilaus, asennus ja käyttöönotto
  4. Windows 10:n asentaminen: vaiheittaiset ohjeet Image s:n kanssa

Lisäresurssit ja -viitteet

  1. Vaihe vaiheelta: Active Directoryn määrittäminen Windows Server 2016:ssa
  2. Kuinka laajentaa kaaviota
  3. Mikä on Active Directory -metsä?
  4. Kehittynyt Active Directory -infrastruktuuri Windows Server 2012 R2 -palveluille
  5. Active Directory -replikointi perusteellisesti
  6. Active Directory FSMO -roolit Windowsissa
  7. Windows Server: Pitäisikö Infrastructure Master FSMO -rooli sijoittaa maailmanlaajuiseen luettelopalvelimeen?
  8. Windows Server: Global Catalogin toiminnot Active Directoryssa