Содержание
- 1 Безопасность устройствDevice security
- 2 Объекты и атрибуты
- 3 Аctive directory простыми словами
- 4 Создаем группу с помощью оснастки ADUC
- 5 Структура OU в Active Directory
- 6 Domain Naming Master
- 7 Приложение к статье. Служба доменных имен (DNS) в Active Directory
- 8 Преимущества Active Directory
- 9 Открытие консоль управления групповыми политиками и изменение объектаOpen the Group Policy Management Console and edit an object
- 10 Как работают активные директории
- 11 Сходство клиентаClient affinity
- 12 Утилиты командной строки Active Directory
- 13 Подключение консоли ADUC к домену из рабочей группы
- 14 Active Directory и LDAP
- 15 Active Directory — что это простыми словами
- 16 Улучшения в области выдачи идентификаторов RID и управления имиRID Management and Issuance Improvements
- 17 Объект ConnectionConnection object
Безопасность устройствDevice security
-
На зарегистрированных в Azure AD устройствах используется учетная запись, управляемая пользователем. Эта учетная запись является либо учетной записью Майкрософт, либо другой учетной записью, управляемой локально, защищенной с помощью одного или нескольких из следующих вариантов.Azure AD registered devices utilize an account managed by the end user, this account is either a Microsoft account or another locally managed credential secured with one or more of the following.
- ПарольPassword
- Пин-кодPIN
- МодельPattern
- Windows HelloWindows Hello
-
Присоединенные к Azure AD или присоединенные к Azure AD с помощью гибридного присоединения устройства используют учетную запись организации в Azure AD, защищенную одним или несколькими из следующих вариантов.Azure AD joined or hybrid Azure AD joined devices utilize an organizational account in Azure AD secured with one or more of the following.
- ПарольPassword
- Windows Hello для бизнесаWindows Hello for Business
Объекты и атрибуты
Все, что отслеживает Active Directory, считается объектом. Можно сказать простыми словами, что этим в Active Directory является любой пользователь, система, ресурс или служба. Общий объект терминов используется, поскольку AD способен отслеживать множество элементов, а многие объекты могут совместно использовать общие атрибуты. Что это значит?
Атрибуты описывают объекты в активный каталог Active Directory, например, все пользовательские объекты совместно используют атрибуты для хранения имени пользователя. Это касается и их описания. Системы также являются объектами, но у них есть отдельный набор атрибутов, который включает имя хоста, IP-адрес и местоположение.
Набор атрибутов, доступных для любого конкретного типа объекта, называется схемой. Она делает классы объектов отличными друг от друга. Информация о схеме фактически хранится в Active Directory
Что такое поведение протокола безопасности очень важно, говорит тот факт, что схема позволяет администраторам добавлять атрибуты к классам объектов и распределять их по сети во всех уголках домена без перезапуска любых контроллеров домена
Аctive directory простыми словами
Если говорить проще AD это база (табличка) находящаяся на одном или нескольких компьютерах-серверах, которая вмещает всю информацию о пользователях подключенных к сети: учетная запись, пароль и права доступа. Благодаря индексации ресурсов домена (сети) поиск устройств или информации происходит очень быстро и не отражается на работе пользователей. Каждый пользователь работает со своими уникальными настройками и правами, поэтому при работе за другим компьютером, но со своим именем и паролем, он увидит свои настройки и рабочий стол, к которому привык.
В общем говоря эта кибертехнология подобна телефонному справочнику, где хранится информация обо всех пользователях и ресурсах сетевого объекта (предприятия или организации)
Служебные программы Интернета соединяют все компьютеры в сеть (Домен). DNS-домены созданы по принципу иерархии, являются основой Интернета. На разных иерархических уровнях идентификация происходит по-разному, а DNS преобразовывает названия сайтов в IP-адрес. Например, diadema.network.com в 192.168.1.8. Где diadema –компьютерное имя, а network – домен этой ячейки.
Домены верхних уровней называются главными (корневыми) доменами.
Нижними уровнями являются «Деревья». Они представляют собой структуру с множеством доменов. Главным звеном структуры есть коренной(главный) домен. Для него создаются низшие (дочерние) Active Directory. Названия (имена) доменов для Active Directory могут использоваться один раз и не повторяться.
Работа с доменами Active Directory
Пользоваться всеми привилегиями служебной программы Active Directory могут только те компьютеры, у которых установлена система (ОС) Windows XP Professional и Windows 2000. Они представляют собой абонентов ADс доступом к различным ресурсам этой сети.
Операционная система (ОС) Windows Server 2003 играет роль главного домена и производит контроль правовых доступов к ресурсам. Иногда предоставляя некоторым контроллерам домена больше прав для выполнения определенных задач, и при переходе на определенные сайты.
Преимущества active directory
Если предприятие заинтересовано в создании доступа к информации не одного пользователя, тогда Active Directory будет отличной альтернативой. Рассмотрим основные достоинства использование приложения Active Directory:
Централизованная база. Active Directory представляет себя, как сконцентрированную службу каталога и реализуется в рамках предприятия. Это значительно облегчает работу модератора, так как руководство учетными записями не требует соединения с двумя или более каталогами. Кроме того, применяется всего одна служба по всем приложениям.
Удобная регистрация. После проведения регистрации, пользователь имеет возможность использовать все ресурсы сети без дополнительных настроек и в любое время.
Делегированное управление. Active Directory дает администраторам возможность передавать свои права. Для этого используется дополнительный мастер «Delegation Of Control Wizard» или настройка разрешения доступа к другим объектам Active Directory.
Встроенная безопасность. Приложение Active Directory работает с системой безопасности, встроенной в Windows Server 2003, что защищает всю сеть от вредоносных программ. Попытка проникновения вирусов будет сразу заблокирована.
Используем базу данных на windows server 2012
БД Windows Server 2012 работает с новыми и усовершенствованными функциями, которые позволяют преобразовывать облачные хранения, сокращая расходы на дополнительные технологии. Также много инноваций для удобной работы c необходимой информацией и работой с доменными службами active directory.
Windows Server 2012 располагает современной платформой с архитектурой, что разделена, тем самым обеспечивает свободу действий при настройке серверной части. Она являет собой универсальную и эластичную платформу для веб-приложений. Современный стиль в работе обеспечивает гибкость и легкость доступа к привычной обстановке и не зависит от устройства, которое используется.
Создаем группу с помощью оснастки ADUC
Самый простой способ создать группу – воспользоваться графической консолью Active Directory — Пользователи и компьютеры (dsa.msc). Перейдите в OU, в котором вы хотите создать группу, щелкните по нему ПКМ и выберите Создать -> Группа.
Укажите имя группы и выберите необходимый тип и область действия. И нажмите Ок.
Чтобы добавить пользователя в группу, найдите ее в консоли ADUC и дважды щелкните. В окне свойств групп перейдите на вкладку «Члены групп» и с помощью кнопки «Добавить» добавьте в группу пользователей, компьютеры или другие группы.
Также можно добавить пользователя в группу правым кликом по нему и выбрать пункт добавить в группу. Это довольно удобно при массовом добавлении.
Структура OU в Active Directory
В небольших инфраструктурах AD (20-50 пользователей) необязательно создавать новые OU, можно все складывать в дефолтные контейнеры в корне (Users и Computer). В большой инфраструктуре желательно разделить все объекты на разные контейнеры. В основном используется иерархический дизайн Organizational Unit в AD, по географическому или функциональному принципу.
К примеру, у вашей организация имеются подразделения в разный странах и городах. Было бы логично на верхнем уровне домена создать отдельные контейнеры для каждой страны, а внутри страны отдельные контейнеры для города / региона / области. Внутри последних можно создать отдельные контейнеры для администраторов, групп, компьютеров, серверов и пользователей (см скриншот). При необходимости вы можете добавить дополнительные уровни иерархии (здания, отделы и т.д.). С такой иерархией вы сможете гибко делегировать полномочия в AD и назначать групповые политики.
Domain Naming Master
(отдельная статья тут – Domain Naming Master)
Следующая роль лесного уровня – хозяин именования доменов. Как понятно из определения “лесной”, этого товарища в лесу также не более одного.
Domain Naming Master отвечает за операции, связанные с именами доменов Active Directory. Но не только. Зон ответственности у него четыре:
- Добавление и удаление доменов в пределах леса
- Создание и удаление разделов (application directory partitions)
- Создание и удаление перекрестных ссылок (crossRef)
- Одобрение переименования домена
Пройдемся по каждой чуть подробнее.
Добавление и удаление доменов
Добавлять и удалять домены позволяется только контроллеру с ролью Domain Naming Master. Этот контроллер бдительно следит, чтобы добавляемый домен имел уникальное в пределах леса NETBIOS-имя. Если Naming Master недоступен, на попытках изменить число доменов в лесу можно ставить крест.
Нужно отметить, что проверять уникальность FQDN-имени нового домена на специально отведенном контроллере смысла нет, проще запросить информацию из DNS.
Создание и удаление разделов
В Windows 2003 появилась возможность создавать обособленные разделы, или, как их еще называют, партиции. Партиции используются для хранения в AD произвольных данных. Самый яркий пример использования партиций – хранение данных для DNS-серверов в партициях ForestDnsZones и DomainDnsZones.
Стоит ли говорить, что управление партициями при недоступном DNM невозможно? Хотя… Да, возможен вариант, когда доступный Domain Naming Master хостится на сервере с ОС Windows 2000, тогда о партициях речи тоже не будет.
Создание и удаление перекрестных ссылок
Перекрестные ссылки используются для поиска по каталогу в том случае, если сервер, к которому подключен клиент, не содержит нужной копии каталога; причем ссылаться можно даже на домены вне леса, при условии их доступности. Хранятся перекрестные ссылки (объекты класса crossRef) в контейнере Partitions раздела Configuration, и только Domain Naming Master имеет право в этом контейнере хозяйничать. Понятно, что читать содержимое контейнера может любой контроллер, благо раздел Configuration один для всего леса, но вот изменять его содержимое может лишь один.
Очевидно, что недоступность контроллера с ролью Domain Naming Master опечалит администратора, желающего создать новую перекрестную ссылку, или удалить ненужную.
Одобрение переименования домена
В процессе переименования домена основная утилита этого действа (rendom.exe) составляет скрипт с инструкциями, которые должны будут выполниться в процессе переименования. Все инструкции проверяются, после чего скрипт помещается в атрибут msDS-UpdateScript контейнера Partitions раздела Configuration. Помимо этого, значения атрибута msDS-DnsRootAlias для каждого объекта класса crossRef устанавливаются в соответствии с новой моделью именования доменов. Поскольку право менять содержимое crossRefContainer есть только у контроллера с ролью Domain Naming Master, то очевидно, что проверку инструкций и запись атрибутов выполняет именно он.
Если при проверке скрипта обнаружатся ошибки, или новый лес окажется некошерным, или выявятся пересечения имен между доменами старого и нового лесов, весь процесс переименования будет остановлен.
Пожалуй, Domain Naming Master – единственная роль, без которой можно безболезненно жить годами. Но, разумеется, лучше, когда всё работает.
Приложение к статье. Служба доменных имен (DNS) в Active Directory
Напомню в двух словах, что служба
доменных имен организовывает разрешение доменных
имен в соответствующие IP-адреса и представляет собой
распределенную базу данных. Данные о доменах и принадлежащих
им хостах, образующие пространство имен ДНС, не концентрируются
в одном месте, а хранятся в виде фрагментов на отдельных
серверах, что позволяет говорить о распределенности
базы данных ДНС.
В операционной системе Windows 2000 служба
DNS осуществляет (может этого и не делать:-) динамическую
регистрацию клиентам своих доменных имен, что существенно
упрощает администрирование таких баз, которые еще принято
называть зонами. В Windows 2000 мы можем
реализовать размещение зоны в рамках службы каталогов
Active Directory (AD), что дает повышение отказоустойчивости,
доступности и управляемости службы. Многие механизмы,
использующие AD, также не могут обойтись без DNS. Суть
в том, что «локализация» ближайшего сервера
скажем глобального каталога (GC) происходит на основе
специального типа ресурсных записей, называемых локаторами
ресурсов, или как и обозначают — SRV-записи.
Эти записи используются для определения
местоположения серверов, предоставляющие услуги определенных
служб. SRV-запись является «синонимом»,
или еще говорят, DNS-псевдонимом службы. Записывается
это так:
_Service._Protocol.DnsDomainName
где: Service — название службы (это может быть kerberos,gc,
ldap и др.) Protocol — протокол, при помощи которого
клиенты могут подключиться к данной службе ( обычно это tcp,
udp); DnsDomainName — DNS-имя домена, к
которому принадлежит сервер (в нашем случае songi.local).
Для каждого DNS-домена формируется
набор SRV-записей, которые группируются в специальные
поддомены:
_msdcs — вспомогательный домен,
который используется для группировки ресурсных записей
о серверах, выполняющих специфические роли (такие как
например сервер глобального каталога или основной котроллер
домена).
Благодаря этому клиенты могут осуществлять
поиск серверов, основываясь не на имени службы, а на
роли, исполняемой искомым сервером. Псевдонимы, используемые
для создания ресурсных записей данного поддомена будут
выглядеть так:
_Service._Protocol.Dctype._msdcs.DnsDomainName
Параметр Dctype определяет роль сервера (pdc, dc, gc, domains). Например
сервера, выполняющие функции котроллера домена и принадлежащего к домену
songi.local, будет создан DNS-псевдоним:
_ldap._tcp.dc._msdcs.songi.local _sites — вспомогательный домен, используемый
для группировки ресурсных записей, отражающих физическую структуру
сети (с точки зрения узловой инфраструктуры).
Этот домен выполняет функцию контейнера
для других поддоменов, имена которых соответствуют
именам узлов. Псевдонимы записываются в следующем формате:
_Service._Protocol.SiteName._sites.DnsDomainName
Когда осуществляется обращение к серверу DNS, запрос включает в себя
всю необходимую для поиска информацию (такую как наименование службы,
протокол, имя домена). Служба DNS в первую очередь пытается найти в
базе данных контроллер домена, принадлежащий к тому же узлу, что и «запрашивающий» нужную
службу. Для этого служба DNS просматривает все SRV-записи, ассоциированные
с данным узлом. Если в этом узле поиск оказывается неудачен, служба
DNS начинает просматривать записи других узлов.
Собственно говоря, перечисленные записи
сервисов нам вручную делать не придется, при установке
первого контроллера домена создадутся автоматически.
Однако понимание этих записей важно! Теперь представим
очень маловероятную ситуацию, но все же: некоторые записи
неправильно изменены вручную, или же случайно стерты
вообще. Это не повод паниковать
За формирование записей
отвечает служба NetLogon. В командной строке даем всего
лишь две команды:
net stop netLogon
net start NetLogon
Выполнив перезапуск службы, наши записи
будут автоматически созданы! Разумеется, что если в домене
были записи клиентских машин (А-записи) к примеру, то
их придется восстанавливать отдельно. Но достаточно воспользоваться
службой автоматической раздачи адресов DHCP, как эта
проблема тоже будет легко решена.
Преимущества Active Directory
Плюсы Active Directory следующие:
- Использование одного ресурса для аутентификации. При таком раскладе вам нужно на каждом ПК добавить все учётные записи, требующие доступ к общей информации. Чем больше юзеров и техники, тем сложнее синхронизировать между ними эти данные.
Далее, чтобы изменить пароль на одной учётной записи, для этого необходимо менять его на остальных ПК и серверах. Логично, что при большем количестве пользователей требуется более продуманное решение.
И вот, при использовании служб с базой данных учётные записи хранятся в одной точке, а изменения вступают в силу сразу же на всех компьютерах.
Как это работает? Каждый сотрудник, приходя в офис, запускает систему и выполняет вход в свою учётную запись. Запрос на вход будет автоматически подаваться к серверу, и аутентификация будет происходить через него.
Что касается определённого порядка в ведении записей, вы всегда можете поделить юзеров на группы — «Отдел кадров» или «Бухгалтерия».
Ещё проще в таком случае предоставлять доступ к информации — если нужно открыть папку для работников из одного отдела, вы делаете это через базу данных. Они вместе получают доступ к требуемой папке с данными, при этом для остальных документы так и остаются закрытыми.
- Контроль над каждым участником базы данных.
Если в локальной группе каждый участник независим, его трудно контролировать с другого компьютера, то в доменах можно установить определённые правила, соответствующие политике компании.
Вы как системный администратор можете задать настройки доступа и параметры безопасности, а после применить их для каждой группы пользователей. Естественно, в зависимости от иерархии, одним группам можно определить более жёсткие настройки, другим предоставить доступ к иным файлам и действиям в системе.
Кроме того, когда в компанию попадает новый человек, его компьютер сразу же получит нужный набор настроек, где включены компоненты для работы.
- Универсальность в установке программного обеспечения.
Кстати, о компонентах — при помощи Active Directory вы можете назначать принтеры, устанавливать необходимые программы сразу же всем сотрудникам, задавать параметры конфиденциальности. В общем, создание базы данных позволит существенно оптимизировать работу, следить за безопасностью и объединить юзеров для максимальной эффективности работы.
А если на фирме эксплуатируется отдельная утилита или специальные службы, их можно синхронизировать с доменами и упростить к ним доступ. Каким образом? Если объединить все продукты, использующиеся в компании, сотруднику не нужно будет вводить разные логины и пароли для входа в каждую программу — эти сведения будут общими.
Теперь, когда становятся понятными преимущества и смысл использования Active Directory, давайте рассмотрим процесс установки указанных служб.
Открытие консоль управления групповыми политиками и изменение объектаOpen the Group Policy Management Console and edit an object
Объекты групповой политики по умолчанию (GPO) существуют для пользователей и компьютеров в управляемом домене.Default group policy objects (GPOs) exist for users and computers in a managed domain. Функция управления групповая политика, установленная из предыдущего раздела, позволяет просматривать и редактировать существующий объект GPO.With the Group Policy Management feature installed from the previous section, let’s view and edit an existing GPO. В следующем разделе вы создадите пользовательский объект групповой политики.In the next section, you create a custom GPO.
Примечание
Для администрирования групповой политики в управляемом домене необходимо войти в учетную запись пользователя, которая является членом группы администраторов контроллера домена AAD .To administer group policy in a managed domain, you must be signed in to a user account that’s a member of the AAD DC Administrators group.
-
На начальном экране выберите Администрирование.From the Start screen, select Administrative Tools. Отобразится список доступных средств управления, включая управление групповая политика , установленное в предыдущем разделе.A list of available management tools is shown, including Group Policy Management installed in the previous section.
-
Чтобы открыть консоль управления групповыми политиками (GPMC), выберите управление групповая политика.To open the Group Policy Management Console (GPMC), choose Group Policy Management.
В управляемом домене есть два встроенных групповая политика объектов (GPO) — один для контейнера Computers AADDC , а другой — для контейнера Пользователи AADDC .There are two built-in Group Policy Objects (GPOs) in a managed domain — one for the AADDC Computers container, and one for the AADDC Users container. Эти объекты групповой политики можно настроить таким образом, чтобы при необходимости настроить групповую политику в управляемом домене.You can customize these GPOs to configure group policy as needed within your managed domain.
-
В консоли управления групповая политика разверните узел лес: aaddscontoso.com .In the Group Policy Management console, expand the Forest: aaddscontoso.com node. Затем разверните узлы домены .Next, expand the Domains nodes.
Существуют два встроенных контейнера для AADDC компьютеров и пользователей AADDC.Two built-in containers exist for AADDC Computers and AADDC Users. К каждому из этих контейнеров применяется объект групповой политики по умолчанию.Each of these containers has a default GPO applied to them.
-
Эти встроенные объекты групповой политики можно настроить для настройки конкретных групповых политик в управляемом домене.These built-in GPOs can be customized to configure specific group policies on your managed domain. Щелкните правой кнопкой мыши один из объектов групповой политики, например AADDC Computers, а затем выберите изменить….Right-select one of the GPOs, such as AADDC Computers GPO, then choose Edit….
-
Откроется средство редактор «Управление групповыми политиками», позволяющее настроить объект групповой политики, например политики учетной записи.The Group Policy Management Editor tool opens to let you customize the GPO, such as Account Policies:
По завершении выберите файл > сохранить , чтобы сохранить политику.When done, choose File > Save to save the policy. По умолчанию компьютеры обновляют групповая политика каждые 90 минут и применяют внесенные изменения.Computers refresh Group Policy by default every 90 minutes and apply the changes you made.
Как работают активные директории
Сходство клиентаClient affinity
Контроллеры домена используют сведения о сайте для информирования Active Directory клиентов о контроллерах домена, находящихся на ближайшем сайте в качестве клиента.Domain controllers use site information to inform Active Directory clients about domain controllers present within the closest site as the client. Например, рассмотрим клиент на сайте в Сиэтле, который не знает свое назначение сайта и связывает контроллер домена с сайтом Атланта.For example, consider a client in the Seattle site that does not know its site affiliation and contacts a domain controller from the Atlanta site. Основываясь на IP-адресе клиента, контроллер домена в Атланта определяет сайт, на котором находится клиент, и отправляет сведения о сайте обратно клиенту.Based on the IP address of the client, the domain controller in Atlanta determines which site the client is actually from and sends the site information back to the client. Контроллер домена также информирует клиента о том, является ли выбранный контроллер домена ближайшим к нему.The domain controller also informs the client whether the chosen domain controller is the closest one to it. Клиент кэширует сведения о сайте, предоставляемые контроллером домена в Атланта, запрашивает запись ресурса для конкретного узла (SRV) (запись ресурса службы доменных имен (DNS), используемую для поиска контроллеров домена для AD DS) и находит контроллер домена в пределах одного сайта.The client caches the site information provided by the domain controller in Atlanta, queries for the site-specific service (SRV) resource record (a Domain Name System (DNS) resource record used to locate domain controllers for AD DS) and thereby finds a domain controller within the same site.
Обнаружив контроллер домена на том же сайте, клиент предотвращает обмен данными через WAN Links.By finding a domain controller in the same site, the client avoids communications over WAN links. Если на клиентском сайте не расположены контроллеры домена, контроллер домена с наименьшими затратами по отношению к другим подключенным сайтам объявляет себя (регистрирует запись ресурса службы (SRV) в DNS) на сайте, который не имеет контроллера домена.If no domain controllers are located at the client site, a domain controller that has the lowest cost connections relative to other connected sites advertises itself (registers a site-specific service (SRV) resource record in DNS) in the site that does not have a domain controller. Контроллеры домена, опубликованные в DNS, находятся на ближайшем сайте в соответствии с определением топологии сайта.The domain controllers that are published in DNS are those from the closest site as defined by the site topology. Этот процесс гарантирует, что каждый сайт имеет предпочитаемый контроллер домена для проверки подлинности.This process ensures that every site has a preferred domain controller for authentication.
Дополнительные сведения о процессе поиска контроллера домена см. в разделе Active Directory Collection.For more information about the process of locating a domain controller, see Active Directory Collection.
Утилиты командной строки Active Directory
Подключение консоли ADUC к домену из рабочей группы
Active Directory и LDAP
Упрощенный протокол доступа к каталогам (Lightweight Directory Access Protocol, LDAP) — стандартный протокол Интернет соединений в сетях TCP/IP. LDAP спроектирован специально для доступа к службам каталогов с минимальными издержками. В LDAP также определены операции, используемые для запроса и изменения информации каталога.
Клиенты Active Directory применяют LDAP для связи с компьютерами, на которых работает Active Directory, при каждом входе в сеть или поиске общих ресурсов. LDAP упрощает взаимосвязь каталогов и переход на Active Directory с других служб каталогов. Для повышения совместимости можно использовать интерфейсы служб Active Directory (Active Directory Service- Interfaces, ADSI).
Active Directory — что это простыми словами
Active Directory — это очень удобный способ системного управления. С помощью Active Directory можно эффективно управлять данными.
Указанные службы позволяют создать единую базу данных под управлением контроллеров домена. Если вы владеете предприятием, руководите офисом, в общем, контролируете деятельность множества людей, которых нужно объединить, вам пригодится такой домен.
В него включаются все объекты — компьютеры, принтеры, факсы, учётные записи пользователей и прочее. Сумма доменов, на которых расположены данные, именуется «лесом». База Active Directory — это доменная среда, где количество объектов может составлять до 2 миллиардов. Представляете эти масштабы?
То есть, при помощи такого «леса» или базы данных можно соединить большое количество сотрудников и оборудования в офисе, причём без привязки к месту — в службах могут быть соединены и другие юзеры, например, из офиса компании в другом городе.
Кроме того, в рамках служб Active Directory создаются и объединяются несколько доменов — чем больше компания, тем больше средств необходимо для контроля её техники в рамках базы данных.
Далее, при создании такой сети определяется один контролирующий домен, и даже при последующем наличии других доменов первоначальный по-прежнему остаётся «родительским» — то есть только он имеет полный доступ к управлению информацией.
Где хранятся эти данные, и чем обеспечивается существование доменов? Чтобы создать Active Directory, используются контроллеры. Обычно их ставится два — если с одним что-то произойдёт, информация будет сохранена на втором контроллере.
Ещё один вариант использования базы — если, например, ваша компания сотрудничает с другой, и вам предстоит выполнить общий проект. В таком случае может потребоваться доступ посторонних личностей к файлам домена, и здесь можно настроить своего рода «отношения» между двумя разными «лесами», открыть доступ к требуемой информации, не рискуя безопасностью остальных данных.
В общем, Active Directory является средством для создания базы данных в рамках определённой структуры, независимо от её размеров. Пользователи и вся техника объединяются в один «лес», создаются домены, которые размещаются на контроллерах.
Ещё целесообразно уточнить — работа служб возможна исключительно на устройствах с серверными системами Windows. Помимо этого, на контроллерах создаётся 3-4 сервера DNS. Они обслуживают основную зону домена, а в случае, когда один из них выходит из строя, его заменяют прочие серверы.
После краткого обзора Active Directory для чайников, вас закономерно интересует вопрос — зачем менять локальную группу на целую базу данных? Естественно, здесь поле возможностей в разы шире, а чтобы выяснить другие отличия данных служб для системного управления, давайте детальнее рассмотрим их преимущества.
Улучшения в области выдачи идентификаторов RID и управления имиRID Management and Issuance Improvements
В системе Active Directory в Windows 2000 появился хозяин RID, который выдавал пулы относительных идентификаторов контроллерам домена, чтобы последние могли создавать идентификаторы безопасности (SID) для субъектов безопасности, таких как пользователи, группы и компьютеры.Windows 2000 Active Directory introduced the RID Master, which issues pools of relative identifiers to domain controllers, in order to create security identifiers (SIDs) of security trustees like users, groups, and computers. По умолчанию глобальное пространство RID ограничено общим количеством идентификаторов безопасности (230, или 1 073 741 823), которое можно создать в домене.By default, this global RID space is limited to 230 (or 1,073,741,823) total SIDs created in a domain. Идентификаторы безопасности нельзя вернуть в пул или выдать повторно.SIDs cannot return to the pool or reissue. Со временем в большом домене может возникнуть нехватка идентификаторов RID либо их пул может начать иссякать в результате различных происшествий, ведущих к удалению RID.Over time, a large domain may begin to run low on RIDs, or accidents may lead to unnecessary RID depletion and eventual exhaustion.
В Windows Server 2012 решен ряд проблем, связанных с выдачей идентификаторов RID и управлением ими, которые были выявлены клиентами и службой поддержки клиентов Майкрософт с 1999 года, когда были созданы первые домены Active Directory.Windows Server 2012 addresses a number of RID issuance and management issues uncovered by customers and Microsoft Customer Support as AD DS matured since the creation of the first Active Directory domains in 1999. К ним относятся следующие.These include:
- В журнал событий периодически записываются предупреждения об использовании идентификаторов RID.Periodic RID consumption warnings are written to the event log
- Когда администратор делает пул RID недействительным, в журнале создается событие.Events log when an administrator invalidates a RID pool
- Ограничение на максимальный размер блока RID теперь устанавливается принудительно в политике RID.A maximum cap on the RID policy RID Block Size is now enforced
- Искусственный верхний порог RID теперь применяется принудительно, а если глобальное пространство RID истощается, в журнал заносится запись, что позволяет администратору предпринять меры прежде, чем пространство будет исчерпано.Artificial RID ceilings are now enforced and logged when the global RID space is low, allowing an administrator to take action before the global space is exhausted
- Глобальное пространство RID теперь можно увеличить на один бит, благодаря чему его размер увеличивается вдвое — до 231 (2 147 483 648 идентификаторов безопасности).The global RID space can now be increased by one bit, doubling the size to 231 (2,147,483,648 SIDs)
Подробнее об идентификаторах RID и хозяине RID см. в разделе Принципы работы идентификаторов безопасности.For more information about RIDs and the RID Master, review How Security Identifiers Work.
Объект ConnectionConnection object
Объект Connection — это Active Directory объект, представляющий подключение репликации с исходного контроллера домена к целевому контроллеру домена.A connection object is an Active Directory object that represents a replication connection from a source domain controller to a destination domain controller. Контроллер домена является членом одного сайта и представлен на сайте объектом сервера в службах домен Active Directory Services (AD DS).A domain controller is a member of a single site and is represented in the site by a server object in Active Directory Domain Services (AD DS). Каждый объект сервера имеет дочерний объект параметров NTDS, представляющий реплицируемый контроллер домена на сайте.Each server object has a child NTDS Settings object that represents the replicating domain controller in the site.
Объект Connection является дочерним по отношению к объекту параметров NTDS на целевом сервере.The connection object is a child of the NTDS Settings object on the destination server. Чтобы репликация выполнялась между двумя контроллерами домена, объект сервера одного из них должен иметь объект Connection, представляющий входящую репликацию из другого.For replication to occur between two domain controllers, the server object of one must have a connection object that represents inbound replication from the other. Все подключения репликации для контроллера домена хранятся в объекте параметров NTDS в виде объектов соединения.All replication connections for a domain controller are stored as connection objects under the NTDS Settings object. Объект Connection определяет исходный сервер репликации, содержит расписание репликации и указывает транспорт репликации.The connection object identifies the replication source server, contains a replication schedule, and specifies a replication transport.
Средство проверки согласованности знаний (KCC) автоматически создает объекты подключения, но их также можно создать вручную.The Knowledge Consistency Checker (KCC) creates connection objects automatically, but they can also be created manually. Объекты подключения, созданные КСС, отображаются в оснастке «сайты и службы» Active Directory «как и» при нормальных условиях работы.Connection objects created by the KCC appear in the Active Directory Sites and Services snap-in as and are considered adequate under normal operating conditions. Объекты соединения, созданные администратором, создаются вручную.Connection objects created by an administrator are manually created connection objects. Объект подключения, созданный вручную, определяется по имени, назначенному администратором при его создании.A manually created connection object is identified by the name assigned by the administrator when it was created. При изменении объекта соединения он преобразуется в административно измененный объект подключения, а объект отображается в виде идентификатора GUID.When you modify a connection object, you convert it into an administratively modified connection object and the object appears in the form of a GUID. KCC не вносит изменения в ручные или измененные объекты подключения.The KCC does not make changes to manual or modified connection objects.